ERS-IT-News September 2004

1. Fachliches
   1.1 Fragebogen der Finanzbehörden Niedersachsen zur GDPdU
   1.2 Digitale Steuerprüfung: DIHK verlangt konkretere Anforderungen
   1.3 Ergebnis der steuerlichen Betriebsprüfung 2003
   1.4 SAP® R/3 wird Beschreibungsstandardkonform
   1.5 GoBS - Renovierungsbedarf?
   1.6 COBIT and IT Governance Case Study: Allstate
   1.7 Braucht Deutschland eine Bundessteuerverwaltung?
   1.8 Rechnungseingang beim Unternehmer als Voraussetzung für den Vorsteuerabzug
   
   
   
2. IT-Systeme und IT-Infrastruktur
   2.1 Neue Einsteiger-Version des IBM TotalStorage NAS Gateway 500
   2.2 Symantec und MessageLabs kämpfen gemeinsam gegen Spam
   2.3 Kerberos hat stumpfe Zähne
   2.4 McAfee integriert Intrusion Prevention in Virenschutz
   2.5 IT-Sicherheit: Im Zweifelsfall haftet das Management
   2.6 Dialer: Java-Applet bestätigt Einwahl ohne Nutzeraktion
   
   
   
3. Branchen-News
   3.1 SAP-Chef: Nur drei IT-Schwergewichte werden überleben
   3.2 Verdauungsprobleme im Enterprise-Bereich
   3.3 Deutsche Unternehmen scheuen Outsourcing ins Ausland
   3.4 Intel verbessert Centrino-Chipsatz
   3.5 Gigabit-Adater zum Nachrüsten für Notebooks
   3.6 Website überprüft Echtheit von E-Mails
   
   
   
4. Sonstiges
   4.1 E-Passport der Amerikaner legt Daten auf den Präsentierteller
   4.2 Microsoft-Sicherheitschef browst mit dem Firefox
   4.3 Datenspionage mit "Phishing-Mails"
   
   
   
5. Betriebswirtschaftliche IT-Anwendungen
   5.1 Übersicht
   5.2 Jetzt Neu! Sage KHK Classic Line 3.3
   5.3 ERP wie die Großen. Zum kleinen Preis.
   5.4 SSA Global gibt Verfügbarkeit von SSA Financial Management bekannt
   5.5 VARIAL: Jährliche DEÜV-Qualitätskontrolle mit Erfolg bestanden - Varial Personalwirtschaft wird erneut mit GKV-Zertifikat ausgezeichnet.
   5.6 DCW: Neue Pflege-Verträge ab 2005 - Unbefristete Pflege für DCW-Software
   
   
   

1 Fachliches

1.1 Fragebogen der Finanzbehörden Niedersachsen zur GDPdU

Das Finanzamt Niedersachsen hat erstmalig einen Fragebogen veröffentlicht, nach dem die EDV-Systeme der Unternehmen bewertet werden, bzw. aus dem hervorgeht, welche Informationen für die Finanzverwaltung von Interesse sind. Im Fragebogen wird direkt auf einzelne Systeme wie Zeiterfassungs-, Archivierungs-, elektronische Kassen- und Warenwirtschaftssysteme eingegangen und in welchen Dateiformaten die Daten zur Verfügung stehen. Interessant ist außerdem, dass im Punkt 3.1.1 die Dokumentation der Software (Handbücher, Programmierhinweise, etc.) abgefragt wird, die damit explizit prüfungsrelevant wird.

(Quelle: http://www.gdpdu-portal.com/Download/Dokumente/GDPdU%20Fragebogen%
20der%20Finanzbehoerden%20Niedersachsen%202004.pdf)

nach oben

1.2 Digitale Steuerprüfung: DIHK verlangt konkretere Anforderungen

Seit Januar 2002 haben Steuerprüfer das Recht, bei Betriebsprüfungen neben der herkömmlichen „Papierprüfung“ auch elektronisch vorzugehen. Im Rahmen der so genannten digitalen Steuerprüfung können sie verschiedene Zugriffsrechte auf steuerrelevante Daten in Anspruch nehmen. Allerdings sind die Kriterien für steuerrelevante Daten in jedem Unternehmen anders. Der Deutsche Industrie- und Handelskammertag (DIHK) kritisiert in diesem Zusammenhang, dass die Finanzverwaltung bislang keine allgemein gültigen Kriterien aufgestellt hat. Da steuerrelevante Daten unter anderem beispielsweise in Bestellungen, Angeboten, Auftragsbestätigungen, Strategiepapieren, Fahrtenschreibern sowie allen Übertragungs- und Speicherformen wie E-Mail und Fax enthalten sein können, stellt es nach Ansicht des DIHK einen für die Firmen unverhältnismäßig hohen Aufwand dar, diese Daten herauszufiltern und von anderen Informationen zu trennen. Geschehe dies aber nicht, könne der Prüfer in alle Unterlagen Einblick nehmen. Zudem müssten alle Daten sechs bis zehn Jahre aufbewahrt werden, was vor allem für kleine und mittlere Unternehmen (KMU) ein kaum zu bewältigendes Problem sei. Der DIHK hat die Finanzverwaltung vor diesem Hintergrund dazu aufgefordert, den Begriff der steuerrelevanten Daten zu konkretisieren und dabei auch die Bedürfnisse der Unternehmen zu berücksichtigen. Nur so würden auch KMU in die Lage versetzt, die Anforderungen der digitalen Steuerprüfung zu erfüllen.

(Quelle: http://www.ihk-newsletter.de/news.asp?ID=44469)

nach oben

1.3 Ergebnis der steuerlichen Betriebsprüfung 2003

Nach den statistischen Aufzeichnungen der obersten Finanzbehörden der Länder haben die Betriebsprüfungen im Jahr 2003 zu Mehrsteuern von mehr als 14 Mrd. Euro geführt. Es handelt sich um Ergebnisse von Prüfungen bei gewerblichen Unternehmen, frei­beruflich Tätigen, land- und forstwirtschaftlichen Betrieben aller Größenordnungen sowie bei Bauherrengemein­schaften und sonstigen Steuerpflichtigen. Ergebnisse der Lohnsteueraußenprüfung, der Umsatzsteuer-Sonderprüfung und der Steuerfahndungsdienste sind in diesen Mehrergebnissen nicht enthalten.

(Quelle: http://www.bundesfinanzministerium.de/Steuern/Aktuell-.484.25912/Artikel/Ergebnis-der-steuerlichen-Betr...htm)

nach oben

1.4 SAP® R/3 wird Beschreibungsstandardkonform

Audicon stellt die beiden SAP® R/3 Schnittstellen AIS DARTconnect und AIS TDS SAPconnect für GDPdU vor. Mit beiden Schnittstellen sind Unternehmen in der Lage, einen Export der steuerrelevanten Daten aus SAP® R/3 im Format des vom Bundesfinanzministerium empfohlenen Beschreibungsstandard vorzunehmen. Dieses Format wird von den Steuerprüfern der Finanzverwaltung bei einer Prüfung nach den GDPdU anerkannt.

(Quelle: http://www.audicon.net/products/sapschnittstellen/schnittstellen.php)

nach oben

1.5 GoBS - Renovierungsbedarf? 

Die seit 1995 geltenden GoBS, die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, wurden faktisch nicht beachtet, d.h. von den Buchführungspflichtigen schlicht ignoriert. Der eher akademische Text sperrte sich förmlich gegen eine Umsetzung. Die umfassende Dokumentation des DV-Systemeinsatzes bleibt auf der Strecke. Seit dem 1. Jan. 2002 sind die GDPdU in Kraft und verlangen die Aufbewahrung originär digitaler Daten in maschinell auswertbarer Form – letztlich eine Verschärfung der Aufbewahrungspflichten, um Prüfbarkeit zu gewährleisten und den Geschäftsvorfall nachvollziehbar zu machen. Die nachfolgende Diskussion zielt auf eine Renovierung der GoBS, um diese für den Buchführungspflichtigen anwendbar zu machen und die Datenerhebung nach den GDPdU zu unterstützen.

Motivation

Die GoBS schreiben bei elektronischer Buchführung die Dokumentation des „Verfahrens" vor: System, Organisation, Geschäftsvorfälle, Daten, Systemereignisse etc. Diese Verfahrensdokumentation soll dem Außenprüfer ein schnell faßbares Bild der elektronischen Buchführung des Unternehmens verschaffen und den Geschäftsvorfall nachvollziehbar machen - vom Gesamt-Überblick bis zur der Datenstruktur. Dem Buchführungspflichtigen stehen der Text des GoBS-Erlaßes, zahlreiche Kommentare und die Gliederung des TÜVit/VOI zur Verfügung. Beim Einsatz von Standardsoftware muss ein Teil der notwenigen Dokumentation vom Hersteller (der Standardsoftware) geliefert werden. Die Unternehmen fragen den Hersteller; dieser signalisiert, die Dokumentation zum Produkt genüge den GoBS und der Steuerberater bestätigt, daß das ausreicht. Die Umsetzung der GoBS findet bis - auf wenige Ausnahmen - faktisch nicht statt. Angebote von Dienstleistern zwischen 30 und 50 Manntagen und sind für die meisten Mittelständler prohibitiv. Der Textaussagen der GoBS sind, abgesehen von der Darstellung einiger elementarer Themen, letztlich so diffus, dass sich kaum ein Prüfer mit dem Steuerpflichtigen hier auf das Diskussionsglatteis bewegen würde. Die lockeren und meist unrichtigen Auskünfte der Steuerberater in Sachen GoBS tun ihr Übriges. Die GoBS sind in der vorliegenden Fassung für das „normale" Unternehmen nicht handhabbar: Sie lassen sich nur mit relativ hohem Aufwand operationalisieren und den Herstellern von Archiv- oder DM-Systemen bescheren sie ganz spezifische Probleme (s. u.).

Ursachenforschung
Wo liegen die Ursachen für die schwache Akzeptanz der GoBS? Die Ursachen sollen einerseits im Text selbst und an den Phänomenen des Einsatzes untersucht werden.

Text der GoBS
Unter einem hermeneutischen Blickwinkel stellen die GoBS ein metaphysisches Konstrukt von Forderungen dar: sehr allgemein, sehr umfassend, aber mit erheblichen Mängeln in Semantik, Ausdruck, begrifflicher Konsequenz sowie Klarheit und - besonders hervorzuheben - Vollständigkeit. Das Ziel, im Kopf des Buchführungspflichtigen eine klare und greifbare Vorstellung über die Verfahrensdokumentation zu erzeugen, wird gründlich verfehlt. Das liegt im Wesentlichen daran, dass Definitionen fehlen und die Disziplin der stufenweisen Abstraktion nicht berücksichtigt wird: ausgehend vom einfachen, phänomenologisch Fassbaren zum Komplexen mit jeweils definierten Begriffen. Die GoBS ermangeln einer Darstellungsmethodik und Didaktik. Ein weiteres Problem wird durch das Fehlen von Modellen und grafischen Darstellungen verursacht. Die vom TÜVit/VOI zum Standard erklärte Gliederung der Verfahrensdokumentation stellt zumindest einen einigermaßen gelungenen Versuch dar, aus dem Text der GoBS eine vernünftige Struktur herauszupressen. Doch die fast sklavische Anlehnung an den GoBS-Aufbau verhilft, das zeigt die verschwindend geringe Zahl der Anwender, der TÜVit/VOI-Gliederung nicht zu einem durchschlagenden Erfolg. Die Gliederung schafft der Vorstellung des Einzelnen keinen besseren Zugang zu einer konkreten Umsetzung.

Ein weiterer Grund - es handelt sich hier um die oben erwähnte Didaktik - weshalb sowohl die GoBS als auch die TÜVit-Gliederung sich gegen das „Verstehen" sperren, sei hier erwähnt. Beide verstoßen deutlich gegen die uns bekannten Mechanismen der Gnostik des Menschen. Durchweg werden Listen von Dingen verlangt, die eine gemeinsame Eigenschaft aufweisen. Das menschliche Verstehen funktioniert anders. Zunächst identifizieren wir Objekte, im nächsten Schritt deren Eigenschaften und schließlich deren Beziehungen untereinander. Mit Hilfe der Beziehungen werden aus einfachen, phänomenologisch fassbaren Objekten komplexe, d.h. zusammengesetzte Objekte erzeugt. Eine verblüffende, aber seit Adele Goldberg wohlbekannte Analogie zur Entwicklung der Objektorientierung, die ja schließlich mit Kindern entwickelt wurde. Ob nun die gnostischen Mechanismen nach Hume, Kant, Wittgenstein oder anderen verstanden werden, der objektorientierte Ansatz ist in jedem Falle eine probate „philosophiefreie" pragmatische Methode, die auch Neurologen mit der „Bildeidetik" unterstützten. Die Aussage des Wittgensteinschen Tractatus, über gewisse Sachverhalte lieber zu schweigen als sie unklar auszudrücken, könnte schon für sich als Leitlinie gelten.

Die zahlreichen Veröffentlichungen von Anwälten, Wirtschaftsprüfern und Steuerberatern machen auf ihre Weise deutlich, wie unscharf diese gesetzliche Vorschrift formuliert wurde. Ein klar formulierter Erlass darf nicht einer Unmenge diffiziler und teilweise widersprüchlicher Interpretationen nach sich ziehen. Erfreulicherweise sieht die Situation bei den GDPdU wesentlich besser aus. Zwar gibt es auch hier gewisse Unsicherheiten und gelegentlich Interpretationsbedarf. Aber dieser Erlass zeugt von einer unvergleichlich klareren Handschrift und von besserer didaktischer Qualität.

GoBS im Einsatz
Betrachten wir zur weiteren Diskussion ein Beziehungsdiagramm, mit dessen Hilfe aufgezeigt werden soll, welche Situationen beim konkreten Einsatz entstehen.

Prüfer: Der Betriebsprüfer hat den gesetzlichen Auftrag die Unternehmen zu prüfen. Also muss er die GoBS verstehen, um eine konkrete Verfahrensdokumentation zu nutzen, d.h. sich über das Verfahren zu orientieren und eine Prüfung vorzunehmen. Andererseits hat er auch die GoBS-Konformität der Verfahrensdokumentation selbst zu beurteilen. Das bedeutet, dass der Prüfer die Qualität des ihm präsentierten Informationsvehikels durchaus kritisch sehen muss und nicht nur, ob es den vorgesehen Informationszweck erfüllt. Eine zweifellos problematische Situation für den Prüfer. In jedem Fall benötigt er hierfür gründliche Kenntnis der GoBS, um die jeweilige Abbildung (F: Text-GoBS -> konkrete Dokumentation) zu verstehen. Klar ist, dass eine solche Aufgabe nur schwer zu bewältigen ist: ein Werkzeug zu beurteilen und gleichzeitig damit zu arbeiten.

Systemlieferanten: Ebenfalls betroffen von den GoBS sind die Systemlieferanten, die ihren Herstellerbeitrag für die Verfahrensdokumentation liefern müssen. Diesen Teil der Dokumentation muss der Buchführungspflichtige in seine spezifische Verfahrensdokumentation direkt oder per Verweis integrieren. Für Lieferanten bzw. Hersteller von ERP-Systemen gestaltet sich die Bereitstellung der Dokumentation recht einfach, da bei jedem Geschäftsvorfall klar ist, mit welcher Art von Dokument jeweils hantiert wird. Ganz anders liegt der Fall bei Archiv- und DMS-Lösungen. Diese Systeme „wissen" im Herstellungszustand à priori nicht, mit welchen Arten von Dokumenten sie operieren. Ein Beispiel: die Scan-Funktion bewältigt alle möglichen Arten von Papiervorlagen: Rechnungen, Warenscheine usw. Erst bei der Implementierung wird dies festgelegt. Ähnlich und teilweise noch schwieriger ist die Situation bei den DMS. Hier wird vor Ort kundenspezifisch modelliert (Workflow). Gehen wir davon aus, dass die Verfahrensdokumentation ein abstraktes Modell des DV-Einsatzes beschreibt, so können die Lieferanten der Archiv- und DMS-Lösungen nur ein allgemeines Meta-Modell als Beitrag zur Verfahrensdokumentation liefern; die allgemeingültigen Systemereignisse sind hiervon ausgenommen. Das führt dazu, dass entweder der Systemlieferant oder der Betreiber die Anpassung der Dokumentation, d.h. den Übergang vom Meta-Modell zum Modell durchführen müssen bzw. diese Last dem Prüfer aufbürden.

Unternehmen: Versetzen wir uns nun in die Lage des Unternehmers und der betroffenen Mitarbeiter. Da bei der Erstellung und Pflege im Sinne der Funktionstrennung Mitarbeiter verschiedener Disziplinen beteiligt sind, benötigen alle begriffliche Klarheit: worum geht’s, was ist zu tun? Das geht nicht ohne verbindliche Definitionen und eine Festschreibung des Kontextes, in dem diese Begriffe verwendet werden. Da die Verfahrensdokumentation als sprachliche und evtl. grafische Darstellung und teilweise Modell der Wirklichkeit ein metaphysisches Objekt darstellt, müssen sich die Interpretationen, d.h. die Bilder im Kopf der Beteiligten möglichst eng überdecken. Der Unternehmer findet in den GoBS keine unmittelbaren Handlungsanweisungen für die Erstellung der Verfahrensdokumentation und wird durch die GoBS nicht in die Lage versetzt den GoBS mit möglichst geringem Aufwand zu genügen.

Das, was sich für die Beteiligten in der Vorstellung gut überdeckt, sind die phänomenologisch wahrnehmbaren Sachverhalte und Objekte: Das Unternehmen, die Organisation, die Abteilungen, die Mitarbeiter und ihre Rollen sowie die spezifischen Systeme. Unter Systemen soll verstanden werden: Software, Hardware, Netze, Firewall, Sicherheitseinrichtungen, Archive etc. und auch Zusammenfassungen von Systemen zu virtuellen Komponenten z.B. alle_unsere_Server. Die nächsten zu beschreibenden Komponenten sind Geschäftsobjekte, also Objekte wie Stammdaten, Journale, Belege, Dokumente und Konten. Hier machen sich bereit unterschiedliche Wahrnehmungen bemerkbar. Die Mitarbeiter aus IT, Controlling und Buchhaltung sehen dies Objekte unter verschieden Gesichtswinkeln. Das bedeutet, jeder stellt gewisse Eigenschaften des betrachteten Objekts in seinen individuellen Vordergrund. Hier muss eine Darstellung gefunden werden, die jedem seinen seine Sicht erlaubt, die aber andererseits vollständig ist für die Belange der Prüfung im Sinne von GoBS und GDPdU. Wesentlich abstrakter und damit komplexer wird es nun beim Verständnis des Geschäftsvorfalls. Der Geschäftsvorfall wird zum Komplex-Objekt, einem zusammengesetzten Objekt: Mitarbeiter, System, Daten, Aufzeichnung, Anweisungen etc. etc. sind die bestimmenden Komponenten. Das Verstehen und Beschreiben dieser Komplex-Objekte wird erleichtert, wenn klar definierte Eigenschaften den Dingen zugeordnet werden. Das gilt für Eigenschaften und insbesondere für Funktionen (Beleg-, Journal- u. Kontenfunktion), die den aus der Objektorientierung bekannten Properties entsprechen. Zum besseren Verständnis der Wirkung und des Verhaltens von Komplex-Objekten kommt man nicht ohne Modelle aus, die uns eine bildhafte Darstellung liefern und den gnostischen Prozess unterstützen: wir verstehen schneller und alle Beteiligten operieren mit demselben Bild.

Die Systemhersteller (s.o.) liefern dem Nutzer ein System, mit dem dieser spezifische Geschäftsvorfälle abwickelt. Hinter diesen Vorfällen verbergen sich die Eigenschaften des Verfahrens, nach dem das System arbeitet. Also sind die Systemhersteller gezwungen, die Regeln dieser Geschäftsvorfälle und die beteiligten Geschäftsobjekte zu beschreiben. Der Hersteller kennt i. A. nicht den Sprachgebrauch des jeweiligen Unternehmens. Also wird er möglichst allgemeingültig und abstrakt beschreiben. Nun haben aber auch die Hersteller unterschiedlichen Sprachgebrauch. Der Nutzer steht dadurch zusätzlich vor der Aufgabe, Dokumentationen unterschiedlicher Terminologie mit seinen eigenen Angaben zu einem einheitlichen Ganzen möglichst homogen zu verschmelzen. Eine völlig überflüssige und noch dazu kostspielige Aufgabe.

Postulate
Wie könnte ein zeitgemäßer und pragmatischer Ansatz zur Neugestaltung der GoBS aussehen, welche Forderungen müsste er erfüllen? Fassen wir nun die aus der obigen Diskussion sich ergebenden Forderungen an einen neuen GoBS-Ansatz in Form von Postulaten zusammen.

• Verbindliche Definition der verwendeten Begriffe mit Kontextbeispielen für den Gebrauch – Festschreibung einer verbindlichen Terminologie
• Einführung des Dokumentations-Objekts, das durch Zuordnung von Eigenschaften und Funktionen (Methoden wie Export, Zugriff etc.) erzeugt wird
• Nutzung grafischer Darstellungen - Bildung von Modellen
• Phänomenologischer Methode zur Darstellung von Objekte und Modellen
• Stufenweise Abstraktion durch die Erzeugung von zusammengesetzten Objekten
• Einheitliche Vorgaben für System-Hersteller und System-Nutzer
• Vollständigkeit der Forderungen bzgl. Eigenschaften und Funktionen
• Verwendbarkeit für Dokumentation in Papierform oder elektronisch
• Vorlage eines didaktisch orientierten Metamodells für die Verfahrensdokumentation, d.h. einer generischen Konstruktionsvorlage für konkrete Dokumentationen
• Funktionstrennung für die Bewertung und Nutzung der Verfahrensdokumentation durch den Prüfer (evtl. Zertifizierung der Konformität durch Wirtschaftsprüfer/Steuerberater)

Umsetzung
Das untenstehende Diagramm zeigt einen möglichen Ansatz für die Identifikation und Strukturierung der Dokumentationsobjekte. Auf den untersten beiden Ebene befinden sich die phänomenologisch fassbaren Objekte. Ein Verweis auf andere Objekte kann auf derselben Ebene oder von einer höheren auf die Objekte in den darunter liegenden Ebenen erfolgen. Alle Dokumentationsobjekte werden mit typischen Attributen versehen. Durch die Zuordnung von Objekt-Verweisen als Pseudo-Attribute werden Komplex-Objekte erzeugt. Neben den verbalen Begriffsdefinitionen, die für alle Ebenen universell verbindlich sind, gibt es Modelle, die als strukturale Definition mit grafischer Darstellung vorgegeben werden. Die Methoden sind kurze, benannte Templates zur generischen unternehmensspezifischen Objekterzeugung von klassifizierten Attributen: Export, Import, Ablage, Signatur, Vernichtung etc. Die Verknüpfung mit den jeweiligen Objekten erfolgt in elektronischen Systemen wie in der papiergebundenen Dokumentation mit schwacher Datenbindung (kopierte Textreferenz).

Die GoBS-Neu gestalten sich nach dieser Struktur. Zunächst werden in einem Glossar Definitionen und Modelle geliefert. Mit konsequenter Verwendung dieses Vokablulars wird das Ziel der GoBS-Neu redefiniert. Danach werden die einzelnen Ebenen mit ihren Dokumentationsobjekten und jeweiligen Grundforderungen nacheinander dargestellt und zum Schluß die dokumentationspflichtigen Methoden aufgeführt. Auf diese Weise entsteht eine generische Vorlage. Auf diese Weise werden die vagabundierenden Aspekte der GoBS, die das ständige erstellen von Listen verlangen, als Attribute den jeweiligen evtl. virtuellen Dokumentationsobjekten zugeordnet und die Struktur der GoBS-Neu entspricht in Aufbau und Struktur der durch sie verlangten Verfahrensdokumentation. Die GoBS-Neu werden zu direkten Handlungsanweisungen für die Erstellung und Pflege der Verfahrensdokumentation. Die gewählte Darstellungsmethodik eignet sich sowohl für die Erstellung und Pflege der Verfahrensdokumentation in Papierform als auch für eine elektronische Umsetzung z.B. als Intranetlösung, die dann auch von Dritten gepflegt werden kann.

Schlußbemerkung
Eine gesetzliche Vorschrift macht nur dann Sinn, wenn der Betroffene sie versteht und auf seine konkrete Situation anwenden kann – ohne Hilfe von Experten und komplizierte Interpretationen. Wer effizient prüfen will, muss für eine klare Vorschrift sorgen, die sich vom Buchführungspflichtigen auch effizient umsetzen läßt.

(Quelle: http://www.elektronische-steuerpruefung.de/faqs/gobs_mack2.htm)

nach oben

1.6 COBIT and IT Governance Case Study: Allstate

Abstract
With assets in excess of US $134 billion, revenues of more than US $32 billion and nearly 40,000 employees, Allstate serves more than 16 million households and is the largest publicly held property and casualty insurance company in the United States. In 2000 Allstate internal audit implemented a formal IT control framework and adopted Control Objectives for Information and related Technology (COBIT). Allstate internal audit uses COBIT to scope and plan all audits. In addition, efforts are underway by Allstate’s infrastructure group to build-in appropriate COBIT controls into select infrastructure processes. After the Sarbanes-Oxley Act was passed in the US, Allstate began using COBIT to evaluate IT governance and control, obtain benchmarks for assessing automated controls embedded in key business processes and assess the control activities performed by the company’s application support team. COBIT helps ensure alignment between business strategies and technology investments. Allstate has also found that COBIT helps it achieve an effective balance of appropriate and consistent controls to improve the efficiency and effectiveness of the business.

Background
Allstate was founded in 1931 as part of Sears, Roebuck & Co., and became a publicly traded company in 1993. With assets in excess of US $134 billion and revenues of more than US $32 billion, the company has nearly 40,000 employees. It is based in Northbrook, Illinois, USA, and offers a wide range of protection and savings tools that work together to achieve financial security. The company serves more than 16 million households, and is the largest publicly held property and casualty insurance company in the United States . Prior to 2000, Allstate Internal Audit did not have a formal IT control framework in place. A new director of internal audit reviewed the department and business environment, and subsequently worked with senior management to adopt Control Objectives for Information and related Technology (COBIT) as the IT governance model under which the team would operate.

Process
The audit director achieved support of COBIT by demonstrating to management that its use provided a structured means to ensure consistent and appropriate IT controls throughout the company.  In addition, COBIT provided a common control language that enabled related control and process communications. The process of introducing and ultimately receiving the go-ahead to adopt COBIT consisted of a variety of steps. The team members constructed a COBIT-based risk assessment approach, then held interviews with strategic IT and business managers to obtain enterprise views about the key business objectives and potential risk areas. Based on the comments received, they developed and ranked, according to risk, critical application and infrastructure inventory. The team evaluated the risk ratings by business unit and the systems impact for each COBIT category. They identified audits related to specific risk areas and developed the annual audit plan. In addition, they designed audit programs and templates based on COBIT objectives.

Allstate has since used COBIT to scope, assess and document control activities associated with the company’s internal infrastructure areas. Goals for implementing COBIT focus on:

• Increasing awareness of the importance of IT controls
• Bringing attention to corporate IT governance
• Fostering management accountability
• Improving client/auditor communication
• Providing a risk assessment framework

COBIT’s Role in Sarbanes-Oxley Compliance
After the Sarbanes-Oxley Act was passed in the US, Allstate used COBIT to evaluate IT governance and control, and used the Internal Control-Integrated Framework from the Committee of the Sponsoring Organizations of the Treadway Commission (COSO) to evaluate business process control. Control objectives derived from COBIT were used as benchmarks for assessing automated controls embedded in key business process. The team members also used COBIT to assess the control activities performed by the company’s application support team as they developed and maintained applications that were of significant importance from a Sarbanes-Oxley perspective. COBIT was also used to assess controls within Allstate’s infrastructure environment. One of the first steps in Allstate’s Sarbanes-Oxley approach was to define three phases. Phase 1 focused on organizing and launching the plan, phase 2 included documentation and assessment workshops, and phase 3 concentrated on sustainment activities.

In phase 1 the IT audit team aligned Allstate’s IT processes into three distinct IT levels that define how the company views IT. Level 1 was for the business control owner (automated application controls such as interface controls, system edit checks and end user security). Level 2 was for the application support control owner (general application controls such as change management, programmer security and system development lifecycle). Level 3 was for the infrastructure control owner (general computing controls such as data center operations, security administration and network administration).

Allstate IT Control Framework
The team members performed an IT risk assessment of COBIT to identify the objectives that relate to Sarbanes-Oxley and mapped the risk-assessed subset of COBIT objectives to the company’s level 1, 2 and 3 processes. They further drilled down the level 3 COBIT objectives to each infrastructure area. Next they used the risk-ranked business processes to scope their level 2 work (key applications) and elements of their level 3 work (key operating systems).

To further ease the control documentation gathering process, the team developed summary level control objectives (based on COBIT and customized by Allstate) that grouped like-kind COBIT objectives together. This led to identifying which of the underlying COBIT objectives were key to ensuring that each summary level Allstate objective would be met. At least one key control is required for each Allstate summary control objective.

Phase 2 focused on level 1, 2 and 3 control documentation workshops to help identify and confirm control activities, key controls and gaps. This enabled the development of an IT design gap decision tree and a control gap prioritization spreadsheet to assist with the gap remediation impact assessment.

As part of phase 3, periodic self-assessment of control objectives continues to be performed by the business and IT units. Although the approaches vary, best practices have been applied, such as:

• All key controls must be self-assessed at least annually, with the majority assessed quarterly.
• Key controls with open design gaps should not be self-assessed.
• The individual who performs the key control activity cannot also perform the self-assessment.
• All self-assessment testing must be evidenced by appropriate documentation.
• Self-assessment scope and results must be summarized and reported to applicable certifiers.

In addition, attestation readiness reviews are performed by internal audit to assess management’s self-assessment activities. A repeatable process is required to be used throughout the company. Allstate plans on continuing to use COBIT as its IT framework and to drive its audit planning process and subsequent audit work. In addition, because it proved to be such a beneficial tool, COBIT will remain an integral part of the company’s ongoing Sarbanes-Oxley sustainment efforts.

IT Governance Starts at the Board Level
The primary responsibility of the Allstate board of directors is to oversee the affairs of the company for the benefit of the shareholders. The board acts as advisor and counselor to senior management and ultimately monitors its performance. This includes monitoring IT governance, which is reviewed and discussed by the board’s audit committee, particularly with respect to compliance with company policies and standards, compliance with legal and regulatory requirements and the effectiveness of internal controls.

COBIT’s control objectives and management guidelines provide the board with a high level of assurance. Allstate uses this technology governance process to achieve and maintain alignment between business strategies and technology investments. For example:

• Business and IT stakeholders must be consistently involved in priority setting and resource allocation as Allstate pursues its enterprise strategies.
• A shared governance approach ensures that potential technology solutions are examined with the broader, cross-business unit perspective necessary for enterprise strategy optimization.
• Potential mismatches in technology acquisition and utilization between near-term business objectives and long-term strategic direction must be identified, discussed and resolved.
• Governance ensures that existing assets and solutions are leveraged where appropriate and that new assets and solutions are developed with sufficient breadth and flexibility to be leveraged by other initiatives.

Conclusion
Through its continual assessment and enhancement efforts, Allstate has found that while inadequate controls expose an organization to risks that could degrade or interrupt work and potentially harm its reputation, the overuse of controls is a burden to successfully running a business in a highly competitive environment. COBIT helps Allstate achieve an effective balance where appropriate controls are in place to improve the efficiency and effectiveness of processes. Examples of benefits realized include:

• Edits early in the process reduced exceptions and rework.
• Controls that provide consistency in data collection and processing help ensure accurate information and compliance with myriad states’ rules and regulations.
• Properly securing information minimizes the need to recover data and systems, to explain why confidential information was disclosed or to address the loss of competitive information.
• Including controls at the front end of the system development process saved time, effort and expense.
• Technology investment decisions are aligned to the business goals.
• Improved communications between the business and IT communities.
• Management had a framework that promoted scope containment and financial management.

(Quelle: http://www.itgi.org/Template_ITGI.cfm?Section=ITGI&CONTENTID=
13354&TEMPLATE=/ContentManagement/ContentDisplay.cfm)

nach oben

1.7 Braucht Deutschland eine Bundessteuerverwaltung?

Hinter dem Schlagwort "Bundessteuerverwaltung" verbirgt sich der Vorschlag, die Verwaltungskompetenz für die Einkommen-, Körperschaft- und Umsatzsteuer von den Bundesländern auf den Bund zu übertragen. Das Modell einer Bundessteuerverwaltung war schon im Entwurf des Grundgesetzes enthalten, scheiterte aber am Einspruch der Alliierten Hohen Kommissare. Ich halte es für dringend geboten, diese nur aus der damaligen historischen Situation erklärbare Entscheidung zu überdenken. Denn wir erkennen heute immer klarer, dass viele Defizite des Steuervollzuges mit Rechtsrahmen und Praxis der föderal organisierten Steuerverwaltung in unmittelbarem Zusammenhang stehen. Dieser Steuerföderalismus erzeugt Reibungsverluste mit spürbaren finanziellen Folgen, beschränkt die internationale Handlungsfähigkeit des deutschen Fiskus und erschwert eine konsequente Modernisierung der Verwaltung. Feststellungen des Bundesrechnungshofs und internationale Untersuchungen belegen dies.

Wie sehr ein Überdenken der althergebrachten Strukturen vonnöten ist, lässt sich anhand zahlreicher Beispiele, die symptomatisch für die Mängel im föderalen Steuersystem Deutschlands sind, überzeugend belegen:

• Auf europäischer Ebene müssen die häufig divergierenden Interessen der Bundesländer durch den Bund mit vertreten werden. Hierdurch wird unsere Verhandlungsposition gegenüber anderen Mitgliedstaaten immer wieder geschwächt.
• Auf nationaler Ebene können die 16 unabhängigen Steuerverwaltungen mit unterschiedlicher Organisation und technischer Ausstattung und unterschiedlicher Vollzugspraxis keinen einheitlichen Steuervollzug garantieren. Es liegt nahe, dass die Länder zudem versucht sein können, den ansässigen Unternehmen Standortvorteile zu verschaffen. Verbindliche Qualitätsvorgaben und ein darauf aufbauendes bundesweites Verwaltungs-Controlling im Steuerbereich, die solches Verhalten aufdecken könnten, gibt es nicht. Der Bund muss zwar für einen gleichmäßigen Vollzug der Steuergesetze sorgen; seine Befugnisse sind aber zu schwach. Über den Einsatz finanzieller und personeller Ressourcen bestimmen die Länder allein.
• Im weiteren erschweren seit Jahren modernisierungsbedürftige und untereinander nicht kompatible EDV-Systeme der einzelnen Länder den Datenaustausch zwischen den Finanzbehörden. Das gemeinsame EDV-Projekt FISCUS, das für eine moderne und effiziente Verwaltung an sich von zentraler Bedeutung ist, kommt nur mühsam voran.
• Schließlich müssen Verwaltungsregelungen und Formulare in personalintensiven Diskussionsrunden der unzähligen Bund/Länder-Gremien im Steuerbereich abgestimmt werden; dennoch müssen hierbei immer wieder länderspezifische Abweichungen hingenommen werden, die zu einer zusätzlichen Verkomplizierung des Steuerrechts beitragen.

Diese Liste ließe sich ohne weiteres fortsetzen. Es ist deshalb höchste Zeit, diese Mängel im Zuge unserer Agenda zur Modernisierung und Vereinfachung des Steuerrechts schrittweise und auf unterschiedlichen Ebenen zu reduzieren:

• Auf der administrativen Ebene geht es darum, die Kooperation zwischen Bund und Ländern zu verbessern.
• Mit Neuzuweisungen von Aufgaben an eine zentrale Behörde auf Bundesebene könnte die Finanzverwaltungspraxis effizienter gestaltet werden. Dafür bieten Grundgesetz und Finanzverwaltungsgesetz schon nach heutigem Stand eine geeignete Grundlage.
• Schließlich sollte aber auch eine zielgerichtete Reform der Finanzverfassung selbst kein Tabu sein.

Vor diesem Hintergrund hat Finanzminister Eichel das Modell einer Bundessteuerverwaltung für die Gemeinschaftssteuern im Rahmen der Verfassungskommission zur Modernisierung der bundesstaatlichen Ordnung zur Diskussion gestellt. Uns geht es im gesamtstaatlichen Interesse um eine schlagkräftige und effiziente Verwaltung, die den internationalen Vergleich nicht zu scheuen braucht. Ob die Verfassungskommission, die sich am 10. Juni 2004 zu ihrer siebten Sitzung getroffen hat und ihre Ergebnisse schon bis Herbst dieses Jahres vorlegen will, den Ansatz einer Bundessteuerverwaltung tatsächlich aufgreift, ist noch offen. Nach dem bisherigen Diskussionsstand steht die Mehrzahl der Länder diesem Vorschlag eher skeptisch gegenüber. Die Bundesregierung wird das Thema aber wegen seiner zentralen Bedeutung - nicht zuletzt für die Ausschöpfung der vorhandenen Steuerquellen und damit für ausreichende Steuereinnahmen der öffentlichen Haushalte insgesamt - weiter vorantreiben. Im Rahmen der Kommission sollte es in jedem Fall möglich sein, erst pragmatische, politisch kurzfristig umsetzbare Schritten gemeinsam zu vereinbaren. Hier kommt u. a. die Stärkung der Einflussmöglichkeiten des Bundes durch Änderung des Finanzverwaltungsgesetzes, aber auch eine engere Zusammenarbeit und ein zielgerichtetes Benchmarking zwischen den Ländern in Betracht. Das Ziel soll aber nicht aus den Augen verloren werden.

(Quelle: http://www.bundesfinanzministerium.de/BMF-
.336.24699/Artikel/index.htm)

nach oben

1.8 Rechnungseingang beim Unternehmer als Voraussetzung für den Vorsteuerabzug

BFH, Urteil v. 1.7.04, V R 33/01 (veröffentlicht am 1.9.04) - Nachfolgeentscheidung zum EuGH-Urteil vom 29. April 2004, Rs. C-152/02, Terra Baubedarf-Handel GmbH (UR 2004, 323)

Der Unternehmer kann Vorsteuerbeträge erst in dem Besteuerungszeitraum abziehen, in dem die materiell-rechtlichen Anspruchsvoraussetzungen i S. des § 15 Abs. 1 Nr. 1 Satz 1 UStG insgesamt vorliegen. Zu diesen Voraussetzungen gehört eine Rechnung mit gesondertem Umsatzsteuerausweis.

Eine Baubedarfhandel-GmbH beantragte die Änderung der USt-Festsetzung für 1999, da weitere Vorsteuerbeträge in Höhe von rund 3.000 DM als abziehbar anzuerkennen seien. Die zugrunde liegenden Leistungen bezog die GmbH in 1999. Die dazu gehörenden Rechnungen wurden im Dezember 1999 ausgestellt, sind aber erst im Januar 2000 zugegangen. 

Das FA anerkannte den Vorsteuerabzug aus diesen Rechnungen in 1999 nicht, da der Abzug außer dem Bezug der Lieferung oder Leistung auch den Erhalt einer entsprechenden Rechnung voraussetze. Das FG bestätigte diese der überwiegenden Meinung und der Verwaltungspraxis entsprechende Auffassung des FA. Wegen Zweifeln, ob diese Beurteilung mit der 6. EG-Richtlinie vereinbar war, setzte der BFH das anschließende Revisionsverfahren aus und legte die Frage dem EuGH zur Vorabentscheidung vor. Dieser klärte die Streitfrage in dem Sinn, dass entsprechend der bisherigen Auffassung der Vorsteuerabzug erst für den Voranmeldungszeitraum zu gewähren ist, in dem auch die Rechnung vorliegt. 

Es bleibt daher bei der bisherigen Beurteilung, dass Vorsteuerbeträge erst in dem Besteuerungszeitraum abgezogen werden können, in dem die materiell-rechtlichen Anspruchsvoraussetzungen insgesamt vorliegen. Dazu gehört auch der Besitz einer Rechnung mit gesondertem Umsatzsteuerausweis. Zwar entsteht der Anspruch auf die abziehbare Steuer bereits in dem Zeitpunkt in dem die Lieferung oder die Dienstleistung bewirkt wird (hier 1999). Er kann aber erst in dem Besteuerungszeitraum ausgeübt werden, in dem auch eine Rechnung mit Steuerausweis vorliegt (hier 2000). Die Ausübung des Rechts auf den Vorsteuerabzug wirkt nicht auf den Zeitpunkt der Entstehung des Abzugsrechts zurück. Der BFH bestätigte daher das FG-Urteil und wies die Revision zurück.

nach oben

2 IT-Systeme und IT-Infrastruktur

2.1 Neue Einsteiger-Version des IBM TotalStorage NAS Gateway 500

IBM stellt heute eine neue Einsteiger-Version seines IBM TotalStorage NAS Gateway 500 vor, das sich als kostengünstige Lösung für weniger anspruchsvolle NAS-Umgebungen eignet. Die integrierte Hardware- und Software-Lösung NAS Gateway 500 schafft eine Verbindung zwischen SANs und Nutzern, die über IP auf Daten zugreifen müssen. Dank der neuen Version des Produkts können Anwender nun mit einer Ein-Prozessor-Version des Gateways beginnen und dieses bei Bedarf auf bis zu acht POWER 4+ Prozessoren ausbauen. IBM führt außerdem einen neuen Modus für die Datenspiegelung über IP-Netzwerke ein. Das NAS Gateway 500 unterstützt ab sofort zusätzlich zur asynchronen und der synchronen Spiegelung auch Mirror Write Consistency (MWC). MWC ist schneller als synchrone Datenspiegelung und gleichzeitig zuverlässiger als die asynchrone Spiegelung.

(Quelle: http://www.ibm.com/news/de/2004/08/27.html)

nach oben

2.2 Symantec und MessageLabs kämpfen gemeinsam gegen Spam

Strategische Partnerschaft ermöglicht neue Wege bei Managed Security Services.
Die Sicherheitsunternehmen MessageLabs und Symantec wollen gemeinsam einen Managed Service zur Bekämpfung von Spam und anderen Sicherheitsrisiken noch in diesem Jahr anbieten. Mit insgesamt 17 Filtern zieht die Kooperation nach eigenen Angaben gegen unerwünschte Nachrichten zu Felde. Die Symantec Skeptic-Technolgie und die Brightmail Spam-Abwehr ergänzen den Mail-Security- und Management Service von MessageLabs. Die neue Lösung solle laut den Herstellern auch die Ressourcen in firmeninternen Netzen schonen, da bereits außerhalb der Unternehmensinfrastruktur Viren, Spam, Trojaner und Phishing-Mails abgefangen werden. Außerdem biete die Lösung Schutz vor Dictionary Attacks, verbessere die Mail-Verbindungen und das Desaster Recovery. Die kombinierte Lösung, die auf mehrere Filtertechnologien von Symantec zurückgreift, ermöglicht den Mitarbeitern bei MessageLabs sich auf unbekannte Viren und aggressive Spam-Varianten zu konzentrieren. So wollen beide Unternehmen das so genannte 'Window of Vulnerability', also den Zeitraum zwischen dem Auftauchen neuer Schädlinge und dem Entwickeln von einer wirksamen Signatur, verkürzen.

"Unternehmen jeder Größe steht nun ein Managed E-Mail Security Service zur Verfügung", erklärt Jos White, President von MessageLabs. So solle der Service auch für kleinere Unternehmen rentabel sein und dennoch alle Vorteile eines externen Security-Services bieten.

(Quelle: http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=16268)

nach oben

2.3 Kerberos hat stumpfe Zähne

Leck im Sicherheits-Protokoll ermöglicht Zugriff auf Rechner.
Das Sicherheitsprotokoll zur Authentifizierung in Netzwerken 'Kerberos' hat mit einer Sicherheitslücke zu kämpfen. Computer, die unter Unix, Linux oder Mac OS X laufen sind von dem Leck betroffen, über das sich ein Angreifer online Zugriff auf dem Rechner verschaffen kann. Ein Wurm, der sich diesen Fehler zu Nutze macht, scheint aber derzeit noch eher unwahrscheinlich. Entdeckt wurde die Sicherheitslücke vom Massachusetts Institute of Technology (MIT), das auch das Protokoll entwickelt hat. Die Sicherheitslücke ist als kritisch einzustufen, denn Kerberos sorgt für eine starke Identifizierung vor allem an den Eingängen zu Netzwerken. Bis jetzt sei noch keine Möglichkeit bekannt, wie der Fehler ausgenützt werden könnte, erklärten Mitarbeiter des MIT. Die Lücke ist ein so genannter 'double free'-Fehler. Dabei greift ein Programm zweimal auf denselben Speicher zu. Diese Art von Fehlern sind weit schwieriger auszunützen als die weit verbreiteten Buffer Overflows.

Kerberos wurde vom MIT entwickelt, damit ein User seine Identität auch über eine unsichere Netzwerkverbindung aufbauen kann. Hat ein Client über Kerberos seine Identität bestätigt, kann er alle Daten und die gesamte Kommunikation über den Sicherheitsstandard verschlüsseln. Der Code steht sowohl quelloffen als auch in kommerziellen Produkten zur Verfügung. Obwohl zum Beispiel auch Microsoft 'Active Directory' mit dem Standard absichert, ist es von dem Fehler nicht betroffen, da Redmond eine eigene Variante des Protokolls verwendet.

(Quelle: http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=16267)

nach oben

2.4 McAfee integriert Intrusion Prevention in Virenschutz

Gestaffelte Verteidigung gegen Angreifer

Der Sicherheitsspezialist McAfee bringt die neue Version seiner 'VirusScan Enterprise'-Software mit einem integrierten Feature für Intrusion Prevention auf den Markt. Es biete, verspricht McAfee, Unternehmensnetzwerken beispielsweise Schutz vor Buffer Overflow-Attacken – eine häufige Methode, mit der Viren und Würmer verwundbare Windows-Rechner angreifen. 'VirusScan Enterprise 8.0i' integriert sowohl Intrusion Prevention Services (IPS) als auch Firewall-Technologien in die Antiviren-Software. PCs und Server sollen so automatisch vor der Ausbreitung von schädlichem Code geschützt werden. Darüber hinaus beinhaltet die Software Features, um im Ernstfall eine solche Attacke so zu managen, so dass sich der Schaden begrenzen lässt.

Dabei greift die neue Version von VirusScan auf eine IPS Technologie zurück, die McAfee durch den Kauf von Entercept Security Technologies im April 2003 übernommen hat. Dieses Tool mache es dem VirusScan möglich, bösartigen Code zu erkennen, sagte John Bedrick, Marketing-Manager für Systemsicherheit bei McAfee. Das Produkt benötigt zwar regelmäßige Updates, im Gegensatz zu herkömmlicher Antivirus-Software werde aber nicht für jeden Wurm eine eigene 'Signatur' benötigt, so Bedrick. Das neue Feature ist Teil des 'Protection-in-Depth'-Programms, mit dem McAfee der Computerkriminalität ein vielschichtiges Verteidigungskonzept entgegensetzen will. Ein Schwerpunkt ist dabei der Bereich Intrusion Prevention. Bereits im Juni hatte der Sicherheitsspezialist mit 'Intrushield' und 'Entercept' zwei neue IPS-Produkte auf den Markt gebracht. Der VirusScan 8.0i wird nicht alleine, sondern nur im Bündel, zum Beispiel mit McAfees 'Total Virus Defense' erhältlich sein.

(Quelle: http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=16228)

nach oben

2.5 IT-Sicherheit: Im Zweifelsfall haftet das Management

Eine Vogel-Strauß-Politik kann auch privat den Ruin bedeuten.
Die diesjährige Security-Studie von silicon.de brachte es an den Tag: Etwa 15 Prozent der befragten Unternehmen waren in den vergangenen 18 Monaten durch DoS-Angriffe (Denial of Service) beeinträchtigt, 29 Prozent hatten mit Datenverlusten zu kämpfen, und 10 Prozent beklagten sogar den vorübergehenden Verlust ihrer Systemintegrität. Jedes zwanzigste Unternehmen war mit Betrug und Datendiebstahl konfrontiert. Gleichwohl sind die IT-Sicherheitsvorkehrungen in vielen Unternehmen immer noch unzureichend. Bei rund einem Drittel der befragten mittelständischen Unternehmen gibt es nicht einmal schriftlich festgehaltene Regeln oder Verbote.

Die Gründe sind vielfältig: Neben Geld- und Zeitmangel ist es vor allem die zunehmende Komplexität der Sicherheitsbedrohungen, die den Unternehmen zu schaffen macht. Diese Aussagen decken sich auch mit den Erfahrungen des Innsbrucker Sicherheitsspezialisten Phion: "Sie glauben gar nicht, wie viele Unternehmen ihr Sicherheits-Niveau herunterfahren, weil sie den eigentlich notwenigen Level nicht administrieren können", sagt Phion-Prokurist Dr. Wieland Alge gegenüber silicon.de. Mangelnde Sicherheitsvorkehrungen werden indes häufig nur unter dem Aspekt des unmittelbaren finanziellen Schadens oder der Image-Einbuße diskutiert, die ein Unternehmen durch das Ausspähen oder Verfälschen von Geschäftsdaten erleidet. Dabei hat mangelnde IT-Sicherheit aber auch noch eine juristische Seite, wie Rechtsanwalt Ulrich Emmert von der Kanzlei 'esb Rechtsanwälte' in Stuttgart im Gespräch mit silicon.de erläutert.

Gesetze mit empfindlichen Sanktionen
Um dieses zu untermauern, braucht gar nicht das neue Regelwerk der internationalen Bankenaufsicht, besser bekannt unter dem Begriff 'Basel II', herangezogen werden. Die einschlägigen Bestimmungen der verschiedenen Gesetze genügen auch jetzt schon für empfindliche Sanktionen. Das Spektrum reicht dabei vom Bundesdatenschutzgesetz (BDSG) und dem Teledienste-Datenschutzgesetz (TDDSG) bis zu den entsprechenden Haftungsregelungen im Handelsgesetzbuch und im Aktiengesetz. Bei den letzteren wurde in den vergangenen Jahren nicht zuletzt die private Haftung von Geschäftsführern und Vorständen verschärft. Bei allen Unternehmen, ganz gleich welcher Größe, muss die Einhaltung der vielfältigen Datenschutzbestimmungen ganz oben im Pflichtenheft stehen, sagt IT-Spezialist und Jurist Emmert, der unter anderem auch Lehrbeauftragter für Internet-Recht an der FH Nürtingen und Datenschutzbeauftragter verschiedener mittelständischer Firmen ist: "Alle Unternehmen haben personenbezogene Daten im Blick auf ihre Verfügbarkeit, ihre Weitergabe und entsprechende Zugriffsmöglichkeit sowie bezüglich der verwendeten Eingabegeräte und Datenträger unter Kontrolle zu halten", fasst er wesentliche Bestimmungen aus dem BDSG in Deutschland beziehungsweise dem DSG in Österreich zusammen.

Das Datenschutzgesetz in Deutschland sieht dabei im Streitfall sogar eine "Beweislastumkehr" vor. Das heißt, dass nicht der Kläger die Schuld beweisen muss, sondern der Beschuldigte seine Unschuld. Beim Ausspähen von Daten sind laut Emmert die gesetzlichen Maschen, in diesem Fall des Strafrechts, in Österreich enger geknüpft als in Deutschland: So sei beispielsweise der Netzzugriff auf leichtsinnigerweise freigegebene Windows-Dateien in Deutschland nicht strafbar, weil kein besonderer Zugriffsschutz überwunden wurde. Gleiches gilt für Mailserver-Dateien. Auch hier ist in Deutschland der Zugriff auf den elektronischen Postverkehr solange nicht strafbar, als keine verschlüsselten Daten geknackt werden. In Österreich dagegen ist schon das Ausspähen der Daten unter Strafe gestellt. Völlig unterschiedlich ist in Deutschland und Österreich im Übrigen laut Emmert die Verantwortlichkeit bei Outsourcing-Geschäften geregelt - zum Nachteil des Besitzers der Daten: Während in Deutschland hauptsächlich der Auftraggeber für die Einhaltung der diversen Datenschutzbestimmungen die Verantwortung trage, sei es in Österreich vor allem der beauftragte IT-Dienstleister. Jenseits der Haftungsfragen gilt in beiden Rechtssystemen der Grundsatz, dass es bei Versäumnissen im Bereich der IT-Sicherheit keinen strafrechtlichen Schutz für die Geschädigten gebe: "Wenn Unternehmen ihre elektronische Post nicht verschlüsseln oder auf die Installation einer Firewall beziehungsweise eines Virtuellen Privaten Netzes [VPN] verzichten, können sie im Falle eines Einbruchs nicht auf die Hilfe des Staatsanwalts zählen", erläutert Ulrich Emmert.

Verschärftes Risikomanagement für größere Unternehmen
Sind Versäumnisse bei den IT-Sicherheitsvorkehrungen für Unternehmen jeglicher Größe gravierend, so können solche Versäumnisse bei größeren Firmen geradezu dramatische Folgen haben, die zu schlimmen Folgen für das Unternehmen selbst beziehungsweise zu einschneidenden privaten Konsequenzen für Geschäftsführer und Vorstände führen. Ab einer bestimmten Größe müssen Firmen nämlich nicht nur die Bestimmungen des Datenschutzgesetzes berücksichtigen, sondern auch die Risikomanagement- und Lageberichtsabschnitte im Aktiengesetz (AktG) und im Handelsgesetzbuch (HGB), die durch das Gesetz zu Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingeführt wurden. Beide Regelungen sind in Deutschland und Österreich in etwa gleichwertig. In allen diesen Gesetzestexten finden sich rigide Bestimmungen hinsichtlich der zu installierenden sicherheitstechnischen Abwehr- und Kontrollsysteme, für deren Erfüllung das Unternehmen und in bestimmten Punkten auch die Vorstände oder Geschäftsführer persönlich haften. Ein Bestandteil der Risikobewertung, die im Lagebericht vorgenommen werden muss, sind auch IT-Sicherheitsvorkehrungen, die im Unternehmen installiert sind. Ein derartiges verschärftes Risikomanagement ist für alle Unternehmen vorgeschrieben, die zwei Mal die Umsatz-Untergrenze von 6,875 Millionen Euro oder die Bilanzsumme von 3,438 Millionen Euro überschreiten. Wer dann kein Firewall-System nach dem letzten Stand der Technik hat oder wer seine E-Mails nicht verschlüsselt, der riskiert viel. Das gilt im Übrigen auch für Unternehmen, die private MP3-Tauschbörsen einzelner Mitarbeiter nicht wirksam unterbinden. Generell gilt, dass die entsprechende Risikovorsorge inklusive der IT-Sicherheitsvorkehrungen umso rigider durchgeführt werden muss, je größer das Unternehmen ist. Die oben genannten Grenzwerte zeigen aber, dass im Prinzip auch kleinere Mittelständler gut daran tun, in Sachen IT-Sicherheit keine Vogel-Strauß-Politik zu betreiben.

(Quelle: http://www.silicon.de/cpo/hgr-itsecurity/detail.php?nr=15634)

nach oben

2.6 Dialer: Java-Applet bestätigt Einwahl ohne Nutzeraktion

Java-Applet zur OK-Eingabe im Dialer-Fenster schleust sich auf Systeme ein.
Im Internet wurde ein Dialer gesichtet, der zusätzlich ein Java-Applet ablegt, das die Eingabe von "OK" übernimmt, sobald das Dialer-Fenster erscheint, womit die von der Regulierungsbehörde beschlossenen Regeln umgangen werden. Mit diesen Regelungen sollten Nutzer eigentlich vor der automatischen Installation von Dialern geschützt werden. Das Ausmaß des Schadens ist derzeit nicht bekannt.

Wie die Webseite Dialerschutz.de berichtet, informierten Nutzer die Site über einen Dialer zu Erotikangeboten, der unbemerkt im Hintergrund die zwingende OK-Eingabe für die Installation des Dialers mit Hilfe eines Java-Applets übernimmt. So kann sich der Dialer in Systeme einnisten, ohne dass der Nutzer etwas davon bemerkt. Dazu werden Dateien unbemerkt auf den Rechner des Nutzers geladen, damit diese im Falle der Dialer-Abfrage die Bestätigung vornehmen können. Eine Interaktion des Nutzers ist dazu nicht notwendig.
Nach Recherchen von Dialerschutz.de stammt der betreffende Dialer von der Firma Teleflate S.L., die in Palma de Mallorca ansässig sein soll. Der Dialer wurde demnach bei der Regulierungsbehörde ordnungsgemäß registriert und berechnet pro Einwahl eine Gebühr von 30,- Euro. Zu den derzeit bekannten Einwahlnummern gehören die teleflate-Nummern 09009-0000492 und 09009-000484. Dezeit liegen keine Angaben über das Ausmaß der Verbreitung des Dialers vor. Auch ist unklar, auf wie vielen Webseiten der Dialer zum Einsatz kommt. Allerdings zeigt dieser Dialer, wie leicht sich die Regeln für den Dialer-Einsatz umgehen lassen, so dass PC-Besitzer nichts von dem Dialer-Einsatz mitbekommen. (ip)

(Quelle: http://www.itnews.de/0409/33342.html)

nach oben

3 Branchen-News

3.1 SAP-Chef: Nur drei IT-Schwergewichte werden überleben

CNET/ZDNet sprach mit Henning Kagermann über seine kurze Romanze mit Microsoft, die Sorgen, die sein Mitbewerber mit der Kartellaufsicht hat, und warum Innovationen nur schwer von der Hand gehen, wenn ein Unternehmen 20.000 CIOs bei Laune halten muss.

Henning Kagermann wurde im Mai 2003 CEO des drittgrößten Software-Unternehmens der Welt, nachdem er und SAP-Mitbegründer Hasso Plattner sich diesen Titel fünf Jahre lang teilten. Nur einen Monat nach Plattners Abschied suchten die größten Konkurrenten von SAP sich gegen das Unternehmen zu verbünden. Zunächst verständigten sich die Mitbewerber Peoplesoft und J.D. Edwards auf eine Fusion. Wenige Tage später reagierte Oracle, der größte Konkurrent von SAP mit einem Angebot zur Übernahme von Peoplesoft – ein Geschäft mit einem Umfang von 7,7 Milliarden Dollar, das inzwischen als wettbewerbsfeindlich von der Regierung angefochten wurde. Das Kaufangebot an Peoplesoft versetzte die IT-Branche in Aufruhr und brachte Oracle vor Gericht. Es spornte aber auch Microsoft dazu an, mit SAP über eine Fusion zu sprechen – Verhandlungen die vergangenen Monat im Zuge des Kartellverfahrens von Oracle bekannt wurden. Die Gespräche gediehen nicht sehr weit, jedoch unterstreicht schon die bloße Tatsache, dass es sie gab, wie sehr sich dieser Teil der Software-Branche im Umbruch befindet.

CNET/ZDNET: Viele waren überrascht, als sie erfuhren dass SAP Fusionsgespräche mit Microsoft geführt hat. Wie ernsthaft waren diese Gespräche?

Kagermann: Man hat Kontakt zu uns aufgenommen und wir haben zugehört, da jedoch kein konkretes Angebot vorlag, kann ich nicht sagen, ob es sich um ernsthafte Gespräche handelte oder nicht. Ich glaube, davon kann man erst sprechen, sobald ein Angebot vorliegt.

CNET/ZDNET: Woran scheiterte das Geschäft?

Kagermann: Wir untersuchten, welcher potentielle Vorteil sich (aus einer Fusion) für die Kunden ergäbe. Es scheiterte in der Frühphase, als wir der Frage nachgingen, ob wir beiden Kundengruppen einen spürbar höheren Wert versprechen könnten.

(Quelle: http://www.zdnet.de/itmanager/unternehmen/0,39023441,39125169,00.htm)

nach oben

3.2 Verdauungsprobleme im Enterprise-Bereich

ZDNet analysierte die Verfassung des Enterprise Resource Planning-Marktes: Bei ERP-Lösungen sind Preisnachlässe von bis zu 70 Prozent drin, denn wenige große Mitspieler jagen sich gegenseitig die Umsätze ab. Nachdem vor wenigen Wochen die streng geheimen Übernahmeverhandlungen mit SAP veröffentlicht worden waren, wurde Microsofts Motivation für diesen Deal schnell identifiziert: Der Software-Gigant versuchte, über die im gehobenen Segment angesiedelte Stammkundschaft des deutschen Unternehmens den seit langem erstrebten Einfluss im Großunternehmens-Bereich zu gewinnen.

Was aber wäre dabei für SAP, den Führer am Business-Software-Markt mit einem Umsatz von über acht Milliarden Dollar, drin gewesen? Das Unternehmen wollte sich dazu nicht umfassend äußern. Aber eine der Antworten auf diese Frage enthüllt einige vielsagende Fakten über die gesamte Enterprise-Software-Branche. SAP, wie auch die Rivalen Oracle und Peoplesoft, konnte sich lange Zeit über fette Gewinne und zweistelliges Wachstum freuen, weil große Firmenkunden sich dort mit Finanz-, Human Resources- und Manufacturing-Software versorgten – allesamt Funktionen, die unter die als "Enterprise Resource Planning“ oder ERP bekannte Kategorie fallen. Die Gespräche mit Microsoft im letzten Jahr sowie Oracles Bemühungen um Peoplesoft weisen darauf hin, dass die ERP-Verkäufe langsam nachlassen und die führenden Unternehmen für Enterprise-Software deshalb gezwungen sind, nach neuen Märkten Ausschau zu halten oder Fusionen und Akquisitionen in Betracht zu ziehen, wenn sie weiter wachsen wollen.

"Man muss sich darüber im Klaren sein, dass der ERP-Markt ein sehr kleiner Markt ist“, so Jim Shepherd, Analyst bei AMR Research in Boston. "Die Realität sieht so aus, dass es nun einmal nur 1000 Fortune-1000-Unternehmen gibt.“

Obgleich ein Großteil der Technologiebranche vor ähnlichen Herausforderungen steht, war diese Veränderung für die Hersteller von Enterprise-Software doch besonders hart. Drei Jahrzehnte lang wurden die Umsätze für Business-Software hauptsächlich durch das Versprechen der "Killer-Anwendung“ in die Höhe getrieben – einer Anwendung, die Kunden neue Einblicke in ihre Geschäfte verschafft, auf effizienteste Art und Weise Profite erwirtschaftet und ihnen dabei hilft, einen Wettbewerbsvorteil zu erlangen. Während der gesamten 90er Jahre hat dies viele Millionen Dollar schwere Umsätze stimuliert.

(Quelle: http://www.zdnet.de/itmanager/kommentare
/0,39023450,39125352,00.htm)

nach oben

3.3 Deutsche Unternehmen scheuen Outsourcing ins Ausland

Deutsche Unternehmen zögern beim Outsourcing in ferne Länder. So plant nur jedes zwölfte deutsche Unternehmen ein Offshore-Outsourcing. Jedes fünfte deutsche Unternehmen hat dagegen schon Geschäftsbereiche ins europäische Ausland verlagert. Zu diesem Ergebnis kommt die aktuelle Benchmarking-Studie „Erfolgsmodelle im Outsourcing“ von Mummert Consulting und dem Spezialisten für Umfrage- und Beschwerdemanagementsoftware Inworks.

Outsourcing in Niedriglohnländern lohnt sich für Unternehmen: Die Kosten lassen sich damit um durchschnittlich 35 Prozent reduzieren. Die Gründe für die Zurückhaltung: Drei Viertel der befragten Betriebe haben Angst, sich durch Offshore-Outsourcing von ausländischen Dienstleistern abhängig zu machen. Das sind rund zehn Prozent mehr als beim innerdeutschen Outsourcing. Mehr als 62 Prozent der Firmen scheuen sich, eigenes Know-how in ausländische Hände zu geben. Wird ein deutscher Outsourcing-Anbieter beauftragt, teilen nur rund 49 Prozent diese Sorge. Die Kontrolle über die Geschäftsprozesse zu verlieren, ist eine weitere Sorge, die 37,5 Prozent der Unternehmen von einem Outsourcing ins Ausland abschreckt. Daneben befürchtet jedes achte Unternehmen einen Verlust der Wettbewerbsvorteile durch die mit Offshoring verbundene Standardisierung der Prozesse. Beschränkt sich Outsourcing auf Deutschland, hat lediglich jedes achtzehnte Unternehmen diese Befürchtung.

Nur wenn sich Kosteneinsparungen von 30 Prozent realisieren lassen, lohnt sich Outsourcing für die Unternehmen, so die Einschätzung von Mummert Consulting. Mit Komplett-Outsourcing im Inland lassen sich die Kosten im Schnitt lediglich um 17 Prozent reduzieren. Das entspricht aber häufig nicht den Erwartungen der Unternehmen. Hingegen locken hohe Einsparpotenziale im Ausland: Wenn beispielsweise die Informationstechnik nach Indien, Russland oder China verlagert wird, lassen sich die Kosten durchschnittlich um rund 35 Prozent reduzieren, so die Outsourcing-Studie von Mummert Consulting. In der Studie „Erfolgsmodelle im Outsourcing“ von Mummert Consulting und dem Spezialisten für Umfrage- und Beschwerdemanagementsoftware Inworks wurden 460 Fach- und Führungskräfte von Dezember 2003 bis Februar 2004 befragt.

http://www.sapinfo.net/index.php4?ACTION=noframe&url=
http://www.sapinfo.net/public/de/news.php4/Category-28813c6138d029be8/page/0/open)

nach oben

Eineinhalb Jahre nach Einführung seiner Centrino-Technik für die bequeme Nutzung der Funktechnik WLAN hat Intel die Möglichkeiten dieses Chipsatzes für Notebooks erweitert. Centrino unterstützt nun neben den verbreiteten WLAN-Standards 802.11b und 802.11g auch den Standard 802.11a. Dieser verspricht mehr Tempo im Datenverkehr bis zu 54 Megabit pro Sekunde und nutzt ein reserviertes Frequenzband – damit können sich die Funkwellen von Notebook, Mikrowelle und anderen Geräten nicht mehr in die Quere kommen. Außerdem hat Intel für Centrino eine neue Software für die vereinfachte Verbindung und mit zusätzlichen Sicherheitsfunktionen entwickelt.

http://www.sapinfo.net/index.php4?ACTION=noframe
&url=http://www.sapinfo.net/public/de/news.php4/Category-28813c6138d029be8/page/0/open)

nach oben

3.5 Gigabit-Adater zum Nachrüsten für Notebooks

Gigabit-Cardbus-Adapter von Netgear vorgestellt.
Netgear hat einen Gigabit-Cardbus-Adapter vorgestellt, mit dem man Notebooks mit der schnellen Netzanschlussmöglichkeit versehen kann. Das Gerät verfügt über einen Autosensing-Modus und kann so auch Übertragungsgeschwindigkeiten von 10 oder 100 MBit/s automatisch erkennen. Die GA511-Cardbus Adapter-Karte soll bis zu zehnmal schneller als Fast-Ethernet und bis zu 100-mal schneller als 802.11b Wireless sein. Die PC-Karte soll ab Ende September 2004 zum Preis von Euro 59,- erhältlich sein.

(Quelle: http://www.itnews.de/0409/33365.html)

nach oben

3.6 Website überprüft Echtheit von E-Mails

Eine neue, englischsprachige Internetseite ermöglicht es, E-Mails online auf ihre Authentizität zu überprüfen. Unter dem Menüpunkt „E-Mail Dossier“ findet sich eine Funktion, mit deren Hilfe sich feststellen lässt, ob bei dem in der E-Mail-Adresse genannten Absender-Server ein entsprechender E-Mail-Account tatsächlich existiert. Ist dies nicht der Fall, d.h. stimmen Server- und E-Mail-Adresse nicht überein, so ist die entsprechende Mail mit hoher Wahrscheinlichkeit gefälscht. Die Online-Überprüfung nimmt nur wenige Sekunden in Anspruch und steht kostenlos zur Verfügung.

(Quelle: http://www.ihk-newsletter.de/news.asp?ID=44484)

nach oben

4 Sonstiges

4.1 E-Passport der Amerikaner legt Daten auf den Präsentierteller

Experten empfehlen Do-it-Yourself-Schutz.

Der elektronische Pass, den die USA aus Anti-Terror-Gründen als künftige Identifikation favorisieren, funkt persönliche Daten querbeet. Weil eine Verschlüsselung des persönlichen Datensatzes nicht in den Spezifikationen vorgeschrieben ist, fehlt sie meistens auch, und so lassen sich die Informationen auf dem Weg von der Chipkarte zum Lesegerät abfangen. Das haben Tests des 'National Biometric Security Project' ergeben. Die Mitarbeiter waren beauftragt, die Interoperabilität der verschiedenen angebotenen Geräte zu testen. Dass es nicht nur an der Heterogenität mangelt sondern auch Sicherheitslücken bestehen, hatte man wohl vorher nicht gerechnet. Der zuständige Vertreter von Infineon vor Ort – das Unternehmen versorgt das Konzept mit den entsprechenden Chips – spielte das Problem herunter. In der US-Presse wird Jörg Borchert zitiert mit den Worten: "Die meisten neuen Technologien haben am Anfang ihre Schwierigkeiten gehabt. Die Tests haben die Probleme aufgezeigt und wir können jetzt die Details ausarbeiten." USB, Ethernet und Firewire hätten auch erst reifen müssen.

Kritiker sehen da noch ordentliche Nachbearbeitung nötig, bevor der elektronische Pass eingeführt werden kann. Es gehe eben nicht nur um die Interoperabilität. Beim Funkvorgang zwischen dem Chip und dem Lesegerät ist es laut US-Medienberichten möglich, auf eine Distanz von rund neun Metern Daten abzufangen. Das liegt wohl hauptsächlich daran, dass der Standard des zuständigen Gremiums ICAO (International Civil Aviation Organization) keine Verschlüsselung der persönlichen Daten vorschreibt. Dort vertraut man darauf, dass sich mit Hilfe der digitalen Signatur basierend auf dem PKI-Verfahren (Public Key Infrastructure) der nötige Schutz herbeiführen lässt. Die Befürchtungen der Gegner des E-Passports in der derzeitigen Form sind vor allem folgende: das Ministerium für Heimatschutz, das den Pass wegen der Terrorgefahr einführen will, habe selbst wenig Ahnung von den Technologien und überlässt das Thema den Herstellern. Die wiederum können nicht absolut sicherstellen, dass sich niemand der Daten bemächtigen kann. Die Versprechen der Regierung könnten so nie eingehalten werden. Und zum Thema Terror fällt den Zweiflern auch einiges ein. Wenn sich wirklich die Informationen so leicht stehlen lassen, dann ist es eben für Terroristen ein leichtes, zum Beispiel amerikanische Staatsbürger zu selektieren und gezielt anzugehen.

Die ICAO spielt auch in Deutschland eine wichtige, wenn auch nur mittelbare Rolle. An deren Spezifikationen nämlich orientiert sich unter anderem die Bundesdruckerei, die auf der diesjährigen CeBIT einen biometrischen Reisepass vorgestellt hat. Der Pass entspreche den "den strengen Richtlinien der ICAO", hatte der Firmenchef Ulrich Hamann seinerzeit erwähnt. Und Bundesinnenminister Otto Schily, der sich seit jeher für den digitalen Personalausweis stark gemacht hat, um unter anderem auch die Terrorgefahr besser einschätzen und möglicherweise eindämmen zu können, hatte die Neuerung begrüßt und freudig verkündet, dass die nächste Generation der elektronischen Ausweise auf der Lösung der Bundesdruckerei basieren solle.

Die Sicherheitsdiskussion, die nicht zuletzt durch die jetzt veröffentlichten Tests immer wieder empor kocht, passt in das derzeitige Stimmungsbild. Man will sich nicht so recht einlassen auf diese neue Technik, die persönliche Daten in welcher Form auch immer kreuz und quer funkt. Und offenbar liegen die Kritiker nicht so falsch, die vor allem in der RFID-Technologie einen mächtigen Reibungspunkt gefunden haben. Gegen die Funktechnik, die Informationen von einem Chip mit Hilfe eines Lesegeräts kontaktlos ausliest, hat es schon Demonstrationen gegeben und die Metro Group musste sich sogar mit dem deutschen Big-Brother-Award 'ehren' lassen, der an Unternehmen oder Institutionen vergeben werden, welche es mit dem Datenschutz nicht so genau nehmen. Schließlich ärgert man sich diesseits wie jenseits des Atlantiks über die geplante Datenbank, die all die gesammelten Informationen horten und bei Bedarf vorhalten soll. Einmal abgesehen von einem elektronischen logistischen Aufwand, ein monumentales Backend zu formen, bleibt es bei der Angst vor fremden, böswilligen Zugriffen. Ein solches Sammelsurium ist das ideale Auffangbecken für Daten, die von Hacker gestohlen und missbraucht werden könnten. Die ICAO plant dennoch, bis 2015 einen solchen Pool mit Daten von rund einer Milliarde Menschen aufzufüllen.

Der neuerliche, zu ungunsten des E-Passports ausgefallene Test könne jedenfalls, so das Fazit der Skeptiker, beim Einzelnen nur eine Konsequenz haben: Die Sicherheit der eigenen Daten liegt bei jedem selbst. Wie das bei E-Passports im derzeitigen Stand der Technik geht? Man nehme ein wenig Alufolie und bedecke damit den Chip oder trage die Karte in einem kleinen Metallumschlag mit sich herum. So sei ein Auslesen oder Abfangen nicht mehr möglich. Übrigens: Der eingangs angesprochene Interoperabilitätstest ergab, dass auch viele Geräte entweder den Chip gar nicht erkannten oder ihn nicht lesen konnten. Das war bei diesem ersten Test zu erwarten. Das andere, wie gesagt, eher nicht.

(Quelle: http://www.silicon.de/cpo/ts-itsecurity/detail.php?nr=16241)

nach oben

4.2 Microsoft-Sicherheitschef browst mit dem Firefox

Das Konkurrenzprodukt scheint sicherer.

Offenbar verwendet Stephen Toulouse, Sicherheitschef bei Microsoft, den Firefox-Browser der Entwicklergemeinschaft Mozilla.org und nicht das hauseigene Produkt. Schließlich ist der Internet Explorer nicht zuletzt wegen seiner großen Verbreitung – er ist auf rund 95 Prozent aller Rechner installiert – immer wieder in den Schlagzeilen wegen der Sicherheitsprobleme und Lecks, die Angriffe erlauben. Toulouse erklärte in einem Interview mit dem Lifestyle-Magazin Wired, dass er ein Sicherheitsupdate für den Browser der Konkurrenz installieren musste: "Sicherheit ist wirklich ein industrieweites Problem. Gerade heute Morgen musste ich ein Update für den Firefox installieren, um einen Fehler zu beheben, der es einem Angreifer erlaubt hätte, ein Programm auf meinem System zu starten." Ob Toulouse aus Sicherheitsbedenken auf das Produkt der Konkurrenz zurückgegriffen hat oder ob er den Browser nur zu Testzwecken installiert hat, ließ der Microsoft-Manager indes offen. Doch arbeite sein Unternehmen nach wie vor sehr intensiv daran, die weitverbreitete Software aus Redmond sicherer zu machen und notfalls auch Funktionen zu opfern, auch wenn das für den Anwender weniger Bequemlichkeiten bedeute.

(Quelle: http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=16239)

nach oben

4.3 Datenspionage mit "Phishing-Mails"

Derzeit sind verstärkt "Phishing-Mails" im Umlauf. Mit diesen E-Mails locken Betrüger auf gefälschte Internetseiten und fordern sie auf, Angaben über Passwörter und Zugangsinformationen zu ihrem Online-Banking zu machen. Mit den so gewonnenen Daten versuchen die Betrüger auf die Konten der Betroffenen zuzugreifen. Bitte beachten Sie dazu: Machen Sie niemals - weder telefonisch noch per E-Mail - Angaben über Ihre geheimen Zugangsdaten zum Online- oder Telefonbanking (PIN, TAN oder Kontonummer). Kreditinstitute fordern solche Daten nicht von Ihnen ein, schon gar nicht per Telefon oder E-Mail. Ignorieren Sie daher E-Mails, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden - auch wenn Ihnen der angezeigte Absender bekannt erscheint. Sollten Sie versehentlich eine zweifelhafte Internetseite besucht und Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit Ihrer Bank in Verbindung, sperren Sie ggf. Ihre PIN und die TAN-Nummern. Informieren Sie Ihre Bank auch darüber, wenn Sie eine solche E-Mail erhalten haben.

(Quelle: http://www.bsi.bund.de/av/phishing/phishing.htm)

nach oben

5 Betriebswirtschaftliche IT-Anwendungen

5.1 Übersicht

Über den nützlichen Link www.softguide.de erhalten Sie eine aktuelle Marktübersicht für Standardsoftware, Betriebliche Software und Branchenlösungen.
Allerdings haben wir für Sie eine tabellarische Zusammenstellung einiger betriebswirtschaftlicher IT-Systeme erstellt, die wie folgt kategorisiert sind:

1. Buchhaltungs Systeme
2. Operative Systeme

nach oben

5.2 Jetzt Neu! Sage KHK Classic Line 3.3

Betriebswirtschaftliche Aufgaben werden zunehmend komplexer. Wachsender Wettbewerbsdruck und steigende Kundenorientierung erfordern eine optimale betriebswirtschaftliche Software – eine Software wie die Classic Line, die Sie kompetent bei allen betriebswirtschaftlichen Aufgaben in Ihrem Unternehmen unterstützt und Sie noch erfolgreicher macht.

Ihre Vorteile im Überblick:

Volle Investitionskontrolle
Die Classic Line besteht aus einem umfangreichen Spektrum an Modulen. Sie entscheiden dabei selbst, welche Module Sie für Ihre Firma benötigen und wie viele Arbeitsplätze integriert werden. Durch unser transparentes, modulspezifisches Preissystem wissen Sie stets, mit welchen Kosten zu rechnen ist. Dank eines darüber hinaus exzellenten Preis-Leistungs-Verhältnisses wird die Classic Line zu einer attraktiven Investition.

Modulare Software für Ihre speziellen Anforderungen
Sie kennen Ihren Betrieb und damit Ihre Anforderungen an eine betriebswirtschaftliche Software am besten. Die Classic Line liefert für alles eine passende Lösung. Neben den umfangreichen Standardmodulen von Auftragsbearbeitung bis Zahlungsverkehr stehen Ihnen außerdem zahlreiche Sage Branchen- und Speziallösungen zur Verfügung, die auf Ihre Bedürfnisse zugeschnitten werden können.

Wenn Ihr Unternehmen wächst, dann wächst die Classic Line mit
Die Classic Line erhalten Sie in zwei Varianten: Die Line 50 ist die optimale Lösung für kleine Unternehmen, wohingegen sich die Line 100 an mittlere Unternehmen wendet. Die Skalierbarkeit der Classic Line erlaubt es Ihnen, jederzeit flexibel Anpassungen vorzunehmen – Sie können neue Module hinzufügen oder Ihre Installation um zusätzliche Arbeitsplätze erweitern. Genau so, wie Sie es benötigen.

Einfache und schnelle Integration in Ihre Geschäftsprozesse
Mit der Classic Line entscheiden Sie sich für eine Software, die Ihre Geschäftsprozesse umfassend abbildet. Mehr als 350 qualifizierte Classic Line-Vertriebspartner bereiten mit Ihnen die Software-Einführung vor und stellen eine schnelle, problemlose Umsetzung in Ihrem Unternehmen sicher – jederzeit und direkt bei Ihnen vor Ort.

Mehr Effizienz für Ihr Geschäft durch einfache Einarbeitung und einheitliche Datenbasis
Vor allem die schnelle Datenverarbeitung zeichnet die Classic Line gegenüber anderen Produkten aus. Dies liegt zum einen daran, dass alle Unternehmensbereiche, in denen Sie die Classic Line einsetzen, mit einer einheitlichen Datenbasis arbeiten. Zum anderen ist die Datenhaltung speziell für die Bedürfnisse kleiner und mittlerer Unternehmen optimiert. Das ermöglicht kurze Zugriffszeiten, reduziert den Aufwand für die Administration und hält die Kosten in Grenzen. Auf der Programmoberfläche finden sich Ihre Mitarbeiter schnell zurecht. Die Steuerung des Programms über Tastatur oder Maus macht die Handhabung für jeden Nutzer zum Kinderspiel.

Zukunftssicherheit
Die Classic Line wird nun schon seit 1983 von über 30.000 Unternehmen in Deutschland erfolgreich eingesetzt. Sie wird kontinuierlich funktional weiterentwickelt und natürlich stets allen gesetzlichen Änderungen angepasst. Dies macht die Classic Line zu einer sicheren Investition. Nicht nur heute, sondern für viele Jahre.

(Quelle: http://www.sagekhk.de/public/produkte/classic_line/default.asp)

nach oben

5.3 ERP wie die Großen. Zum kleinen Preis.

Microsoft Navision für kleine Unternehmen ist da!

Die kaufmännische Komplettlösung für kostenbewusste Kleinunternehmen!
"Microsoft Navision für kleine Unternehmen" ist eine kaufmännische Komplettlösung, die exakt auf die Bedürfnisse kleinerer mittelständischer Betriebe abgestimmt ist. Umfassende Funktionalitäten decken die täglichen Geschäftsanforderungen Ihres Unternehmens bestens ab - von Warenwirtschaft über Einkauf, Lagerhaltung und Berichtswesen bis hin zu Verkauf und Abrechnung. Die Software macht Ihre Geschäftsprozesse transparent, so dass Sie zu jeder Zeit über den aktuellen Stand der Dinge informiert sind. Sie können fundierte Entscheidungen treffen, neue Geschäftsfelder erschließen und schnell auf wechselnde Marktbedingungen reagieren. Das Resultat sind steigende Produktivität, mehr Kunden und weniger Kosten. Jetzt wird die professionelle, zuverlässige ERP-Lösung auch für kleine Unternehmen lukrativ. Denn Sie entrichten nur einen Festpreis pro Anwender bzw. Arbeitsplatz. Und das zu einem überschaubaren Preis: "Navision für kleine Unternehmen" jetzt zum attraktiven Preis von 1.950 Euro (unverbindliche Preisempfehlung exkl. MwSt. pro PC-Arbeitsplatz) erwerben.

Die umfassende Funktionalität - passgenau für kleine Unternehmen!
Profitieren Sie von den umfangreichen Funktionalitäten, die die täglichen Anforderungen Ihres Unternehmens abdeckt - denn für den Einsatz bei kleinen Unternehmen wurde "Microsoft Navision für kleine Unternehmen" ausgerichtet. Zusätzlich lässt sich die Lösung genau auf die IT-Infrastruktur und die branchen-orientierten Geschäftsprozesse Ihres Unternehmens anpassen. Das heißt, "Microsoft Navision für kleine Unternehmen" ist durch die zusätzlichen Branchenlösungen unserer Microsoft Business Solutions Partner für die Anforderungen Ihrer Branche erweiterbar.

Investitionsschutz und Wachstum im Blick
"Microsoft Navision für kleine Unternehmen" lässt sich um beliebig viele Anwender erweiteren. Damit bleibt Ihre Investition auch in Zukunft geschützt, denn so kann die Lösung flexibel mit Ihrem Unternehmen mitwachsen. Und Module, die nicht in "Microsoft Navision für kleine Unternehmen" enthalten sind, können Sie auf Wunsch jederzeit auf Basis der herkömmlichen Microsoft Navision-Produkte erwerben. Auf diese Weise - und dank der beliebigen Userzahl - wächst "Microsoft Navision für kleine Unternehmen" flexibel mit Ihrem Unternehmen mit und unterstützt somit Umsatz- und Wachstumschancen von Kleinunternehmen. Ausserdem haben Sie mit Microsoft einen starken Partner an Ihrer Seite, der in der Lage ist, Ihnen eine kontinuierliche Weiterentwicklung der Software bis mindestens ins Jahr 2012 zuzusichern.

http://www.microsoft.com/germany/businessso
lutions/preiskampagne/default.mspx

nach oben

5.4 SSA Global gibt Verfügbarkeit von SSA Financial Management bekannt

SSA Global TM, weltweit tätiger Anbieter von erweiterter Unternehmenssoftware und Dienstleistungen, gab heute die Verfügbarkeit der Lösung SSA Financial Management, Version 2.0 (SSA FM) bekannt. Mit der neuen Lösung etabliert das Unternehmen den künftigen Standardpfad zum Upgrade der bei Kunden installierten Kern- und Finanzanwendungen um erweiterte Funktionen des Finanzmanagements. SSA FM wird vollständig mit den ERP-Kernlösungen von SSA Global integriert. SSA FM 2.0 ist eine leistungsfähige und moderne Lösung für international agierende Unternehmen, die einfach skalierbar ist und damit auch die Anforderungen mittelständischer Unternehmen erfüllt. Der modulare Aufbau und die Orientierung auf offene Systeme erlauben es den Kunden, die für sie kritischen Funktionalitäten auszuwählen. SSA FM 2.0 ist eine Komplettlösung, die entscheidende Kernfunktionen wie Hauptbuchhaltung, Kreditoren- und Debitorenmanagement, Anlagevermögen, Einkauf, Bestandsüberwachung, Auftragsabrechnung etc. unterstützt.

"SSA FM 2.0 beinhaltet sowohl Basis- als auch Erweiterungsfunktionen, die der Entwicklung des Finanzmanagements gerecht werden, und es bildet so eine tragfähige Plattform für die nächsten fünf bis sieben Jahre. Die Lösung erhöht die Reichweite des Finanzmanagements und unterstützt damit die meisten der für CFOs relevanten Themen", so John Van Decker, Vice President für Enterprise Applications Strategies der META Group. "Diese Themen umfassen eine Verbesserung der finanziellen Wertschöpfungskette und die Übernahme von Best Practices, zu denen u.a. der rollenbasierte Zugriff auf Informationen oder das Ausrichten der Technologie an gesetzlichen Vorschriften und Bestimmungen gehören." SSA FM 2.0 unterstützt Kunden dabei, die Reichweite des Finanzmanagements mit integrierten Erweiterungslösungen zu erhöhen. Diese beinhalten:

• SSA Workflow für das Management und Monitoring von Geschäftsprozessen zur Steuerung des Unternehmens in Übereinstimmung mit den gesetzlichen Anforderungen,
• SSA Portal für den rollenbasierten individuellen Zugriff von einem einzigen Punkt aus,
• SSA Corporate Performance Management (CPM) für die unternehmensweite Transparenz der finanziellen und operativen Performance, inkl. Forecasting, Business Intelligence, Reporting und Analysen,
• SSA Supplier Collaboration zur Vernetzung von Herstellern mit ihren Hauptzulieferern über das Internet, um Beschaffungskosten zu senken und Erträge und Profitabilität zu erhöhen.

http://srv-nld-msls0.baan.com/home/press/press/modulepress/FM

nach oben

5.5 VARIAL: Jährliche DEÜV-Qualitätskontrolle mit Erfolg bestanden - Varial Personalwirtschaft wird erneut mit GKV-Zertifikat ausgezeichnet.

Im Mai 2004 wurde die Software der Varial AG im Rahmen der laufenden Qualitätssicherung einer wiederholten Systemuntersuchung durch die ITSG (Informationstechnische Servicestelle der gesetzlichen Krankenversicherung) im Auftrag der GKV (Gesetzliche Krankenversicherung) unterzogen. Die Varial Personalwirtschaft hat die Systemuntersuchung erfolgreich bestanden und erhielt erneut das begehrte GKV-Zertifikat. Bereits seit über zehn Jahren in Folge erhält die Varial Personalwirtschaft diese Auszeichnung und ist stolz, als einer von wenigen Anbietern eine lückenlose Empfehlung zu erhalten. Das aktuelle Systemzertifikat der ITSG hat bis Juni 2005 Gültigkeit. Neben grundsätzlichen Kriterien werden während der Prüfung auch aktuelle gesetzliche Anforderungen, welche durch die Softwareanbieter umgesetzt werden müssen, begutachtet. Gegenstand der Untersuchung sind dabei auch Ergänzungen aus den jüngsten Varial-Releases gewesen. Das GKV-Zertifikat bescheinigt Anwendern, dass die Software alle Anforderungen seitens der GKV erfüllt. Die mit dem „GKV-Zertifikat“ (besonders qualifizierter Abschluss) ausgezeichneten Softwareprogramme erhalten nach erfolgreicher Prüfung (welche in jährlichem Turnus durchgeführt wird) den Status GKV-Zertifikat „systemuntersucht“.

(Quelle: http://www.varial.de/varial-new/mv_92.php?nid=60)

nach oben

5.6 DCW: Neue Pflege-Verträge ab 2005 - Unbefristete Pflege für DCW-Software

Steeb Anwendungssysteme GmbH bietet den Anwendern von DCW-Software neue Pflegeverträge mit einem zeitlich grundsätzlich unbefristeten Kundenservice an. Verbunden mit dem Angebot ist eine Reduzierung der aktuellen Pflegegebühren auf 80%. Die Pflege umfasst zur Zeit alle DCW-Module und zahlreiche Landesversionen. Auch der Nachkauf von DCW-Software ist weiterhin möglich. DCW-Produkte sind bei über 400 mittelständischen Unternehmen installiert. Ab 01.01.2005 bietet Steeb Anwendern von DCW-Software einen grundsätzlich unbefristeten Service für DCW-Software zu einem im Vergleich zur aktuellen Pflegevergütung reduzierten Pflegesatz an. Die gegenwärtigen Pflegeleistungen umfassen wie gewohnt die Störungshilfe und Fehlerkorrekturen sowie die Fortentwicklung der DCW-Software einschließlich kleinerer Funktionserweiterungen. Das bewährte Beraterteam des Geschäftsbereiches DCW soll die Anwender von DCW-Software auch zukünftig bei Projekten unterstützen. Steeb Anwendungssysteme synchronisiert damit die Pflegestrategie der von ihr betreuten Produktlinien SC/400, DCW und SAP entsprechend dem Leitmotto „Ein Steeb-Kunde ist nie ohne Wartung“.

(Quelle: http://www.steeb.de/infocenter/presse/news/211/)

nach oben