Adler Albus Aktiv
Abb. 1-2.13 JavaScript Quellcode
Ein bereits klassisches Einsatzgebiet von Java ist die Nutzung eines StandardWebbrowsers fur den plattformlibergreifenden Zugriff auf einen Server, auf dem die Anwendungslogik lauft, Anstelle eines zusatzlichen Programmes fur verschiedene Betriebssysteme reicht ein installierter Webbrowser auf dem Arbeitsplatzrechner. Ein Beispiel fur ein solches Applet ist in Abb . 1-2.5 (Kap . 2.4.2) dargestellt , wo ein Telnet-Client mittels eines Java-Applets realisiert wird. 1m Intranet, wo wesentlich hohere Datenlibertragungsraten als im Internet zur VerfUgung stehen, offnet sich noch eine weitere Anwendungsebene fur Java: Applets, die die gesamte Anwendungslogik umfassen, wie z. B. samtl iche Funktionen fur den Aufbau einer Tabellenkalkulation, einer Textverarbeitung und eines
56
I Elemente einer Infrastruktur fOr E-Business
Kommunikationstools, werden schon von diversen SoftwareherstelIern vermarktet. Der Vorteil solcher Losungen Iiegt darin, dass nur der zur unmittelbaren Arbeit benotigte, plattformunabhangige Applikationscode im Netzwerk ubertragen werden muss und durch eine zentrale SoftwareinstalIation die Wartungsarbeiten an den einzelnen Arbeitsplatzrechnern verringert werden konnen. Neben reinen Office-Anwendungen wird Java im Intra- und Extranet auch fur die Programmierung von klassischen betriebswirtschaftlichen Transaktionssystemerr'? eingesetzt. Dabei werden sogenannte Servlets verwendet. Servlets laufen im Unterschied zu Applets nicht auf dem Client, sondern auf dem Host bzw. Server abo Von der Programmiersprache Java zu unterscheiden ist JavaScripr", eine Makrosprache, die zwar auf Java basiert, aber nur einen kleinen Teil der Funktionen von Java implementiert. JavaScript wird als Quellcode direkt in die HTML-Seite eingebettet und fUhrt Funktionen aus, die bisher CGI-Scripts vorbehalten waren . JavaScript wurde von der Firma Netscape fur den Navigator 2.0 unter dem Namen LiveScript entwickelt. Ein haufiges Einsatzgebiet fur JavaScript ist die Steuerung und Uberprufung von Formulareingaben in HTML-Seiten. In Abb. 1-2.14 ist der HTML-QuelIcode mit JavaScript einer Eingabesteuerung uber Forms und eine Bildauswahl angefuhrt.
2.4.5.5 W3-Clients Zur Anzeige von HTML-Dokumenten werden eine Reihe von Clients, die in zeilenorientierte, bildschirmorientierte und fensterorientierte Browser eingeteilt werden, angeboten. Be triebssysteme, die keine grafische Unterstiitzung und/oder Fenstertechnik bieten, mussen gezwungenermaBen auf die beiden erstgenannten Browser zuruckgreifen. FUr spezielIe Anwendungsfalle, Z. B. als Client fur Sehbehinderte oder blinde Menschen erweisen sich die zeilenorientierten Browser oft als vorteilhafter als die fensterorientierten Betriebssysteme wie MacOS und MSWindowslNT oder UNIX mit X-Windows verwenden fensterorientierte Browser und deren erweiterte Fahigkeiten in Bezug auf multimediale Ausgestaltung von HTML -Dokumenten. Netscape Communicator und Navigator? und MS-Internet Explorer 50 (vgI. auch Abb. 1-2.10) sind die derzeit am weitesten verbreiteten W3Clients am Internet. Beide Browser unterstutzen in der aktuelIsten Version JAVA, HTML 4, XML 1, CSS-l, Teile von CSS 2.0 und DOM. Beide Anbieter verwenden zum Teil auch nicht standardisierte HTML-Tags und Extras, die zwar die Funktionalitat erweitern, aber eben nur von diesen Browsern verarbeitet werden konnen . Bei diesen Eigenarten handelt es sich noch urn ein Relikt aus dem "Browserkrieg", als beide Firmen urn die Dominanz im Client-Markt kampften. Inzwischen ist aber bei beiden HerstelIern der Trend zur Verwendung von Internetstan47
48 49
50
So gibt es etwa schon seit Ende 1998 eine robuste Version des ERP System Movex der Firma Intentia. Vgl. http://developer.netscape.com!docs/manuals/javascript.html (25. 1. 1999) Vgl. http://www.netscape.com (18. 1. 1999) Vgl. http://www.microsoft.com!(18. 1. 1999)
2 Internet und Intranet - Grundlagen und Dienste
57
dards erkennbar . Auch wenn es keine wirklich umfassende Studie zu den Marktanteilen der einzelnen Clients gibt, ist doch fast allen Studien gemeinsam, dass Microsoft mit dem Explorer nunmehr die Nase vorne hat. Aber selbst ein bescheidener Anteil eines kleinen Herstellers, wie z. B. Opera oder eingesetzte alte Browserversionen, machen bei einer geschatzten weltweiten Internetteilneh merzahl von 407 Millionen Usern einen beachtlichen Anteil aus.
www.idv.edu Guten Abendl Willkommen in
um: I
Abb . 1-2.14 Screenshot einer HTML-Seite mit Opera 5.2 in 140%-iger Vergolserung
Der Browsermarkt teilt sich nicht nur zwischen Netscape und Microsoft Explorer auf, sondem umfasst auch Produkte wie Microsofts WebTV, AOL, den in Sun StarOffice 5.251 integrierten Webclient und Opera 6.0 52, das durch seine Kompaktheit, Schnelligkeit und Verfugbarkeit fur PDAs53 glanzt, Dariiber hinaus verfugt Opera tiber zahlreiche nutzliche Funktionen, wie z. B. die in Abb. 1-2.14 gezeigte Vergrollerungsfunktion, die es von den Mitbewerbern absetzt. Ein 51 52 53
1m aktueIlen Release StarOffice 6 ist kein Browser mehr enthalten. Das aktueIle Release fur PDAs basierend auf dem Symbian OS ist Opera 5.13 (Janner 2002) . Personal Digital Agent (PDA) sind kleine Computer, die vor aIlem als Terminkalenderersatz Verwendung finden, aber auch aIle gangigen Office-Anwendungen ermoglichen. Opera ist fur PDAs, die auf dem Betriebssystem EPOC basieren, erhliltlich. Eine Bewertung findet sich im Kap. 3.9.
58
I Elemente einer Infrastruktur fUr E-Business
weiteres ntitzliches Feature ist das Speichern der URLs der gerade dargestellten Seiten , sodass man beim nachsten Programmaufruf wieder die geoffneten Fenster wie bei der letzten Sitzung vorfindet. Die grundlegenden Funktionen sind bei allen fensterorientierten W3-Browsern identisch. Unterschiede gibt es vor allem in den untersttitzten W3C54-Standards. Diese Internettechnologien haben mittlerweile eine solche Komplexitat angenommen, dass Internetbrowser komplexe und, fast rnochte man sagen, selbstverstandlicherweise fehleranfallige Programme geworden sind. Diese "never touch a running systemv-Mentalitat mag mit ein Grund dafur sein, dass viele Benutzer nach wie vor alte, aber stabile Browserversionen einsetzen. Einen weiteren Grund stellt sicherlich auch der enorme Ressourcenbedarf der aktuellen Versionen dar. Ein etwas alterer PC ist mit den aktuellen Versionen zumeist schon tiberfordert . Neben den vorher genannten "Standardfunktionen" konnen die meisten W3-Browser auch als E-Mail-Clients (Microsoft Internet Explorer bis Version 4.01) und Newsreader verwendet werden. Neuere Entwicklungen wie JAVA und ActiveX ermoglichen, abgesehen von erweiterten Interaktionsmoglichkeiten, auch die einfache Integration von Animation und Sound in ein HTML-Dokument. Immer wichtiger wird auch die Integration von XML-Fahigkeiten in die Web-Clients, bei der Microsoft am weitesten fortgeschritten ist".
2.4.6 Informations- und Kommunikationsserver im Internet Da es im Internet keinen zentral verwalteten Katalog tiber das gesamte Informationsangebot gibt, wurden zu einigen Bereichen spezielle Suchdienste und "Inhaltslisten " geschaffen. Einer der ersten, aber heute kaum mehr verwendeten Dienste, ist Archie, ein elektronisches Informationssystem, das tiber einen Index von Anonymous-FTP-Servern nach Verzeichniseintragen und Dateinamen sucht. Auch hier zeigt sich wieder der Trend, Internetbrowser als universelle Clients einzusetzen. Es besteht nach wie vor die Moglichkeit, Archie zu nutzen", urn aber gezielt nach Dateien zu suchen, verwendet man heutzutage redaktionell betreute Indices" und Suchmaschinen. Selbst fur so ausgefallene Anwendungsbereiche, wie die Suche von Cracks, gibt es eigene Datenbanken mit Interfaces zum WWW. 1m World Wide Web existieren zahlreiche " Search-Engines", die auf zwei verschiedenen Prinzipien fuBen. Das erste ist ahnlich wie Archie aufgebaut und fragt tiber sogenannte Robots (bzw . auch als Spider oder Crawler bezeichnet) die Verzeichnisse und Dokumente von HTTP-Servern ab, speichert sie (oder Teile davon) in einer Datenbank und bietet die Moglichkeit, mittels Forms diese Eintrage
54 Das W3C (www.w3c.org) ist eine 1994 von Tim Barners Lee gegrtindete Privatorganisation, derenZiel die Forderung von interoperabilen Standards ist. 55 Siehe Anwendungsbeispiel in Kap. 7.4 (dargestellt in Abb. 1-7.7) 56 Vgl. http://marvin.physik.uni-oldenburg.de/Docs/net-serv/archie-gate.htmU (29.3.2001) 57 Beispiele dafur sind www.zdnet.com und WWW.tucows.com
2 Internet und Intranet - Grundlagen und Dienste
59
aufzufinden. Die bekanntesten Suchmaschinen dieser Art sind Lycos» , Webcrawler", Altavista60 und Google", Dabei wird von den "groBen" Suchmaschinen nicht nur die Volltextsuche untersttitzt, sondem auch die Suche nach Multimediadaten wie Audio, Bilder und Video . Die bedeutendsten Unterschiede zwischen den einzelnen Suchmaschinen liegen im Umfang der Selektionsmoglichkeiten, in der Anzahl der indizierten Intemetressourcen und in der Reihenfolge der Suchergebnisse. War es fruher lediglich eine Reihung entsprechend chronologischer Kriterien, wie der Zeitpunkt der Indexerstellung, wenden derzeit Suchmaschinen (z. B. Google.com und ragingsearch.com von Altavista) ausgeklugelte Mechanismen, wie beispielsweise eine intelligente Linkanalyse zur Gewichtung der Suchresultate an.
Abb. 1-2.15 Ein thematischer Index am Beispiel about.com
Einen anderen Weg gehen eine zweite Art von Search-Engines, sogenannte Indices. Ein Index strukturiert die abgespeicherten Informationen in verschiedenen Kategorien, vergleichbar mit den "Yellow-Books", untergliedert nach Landern, Branchen, Interessensgebieten usw. Die bekanntesten Server dieser Art 58 59 60 61
Vgl. Vgl. Vgl. Vgl.
http://www.lycos.com!(25. 1. 1999) http://webcrawler.com!(25. 1. 1999) http://www.altavista.com!(25. 1. 1999) http://www.google.com!(27. 9. 2000)
60
I Elemente einer Infrastruktur fur E-Business
sind Yahoo", about.com" und fur osterreich-spezifische W3-Server Yellow Pages Austria". Die Unters cheidung zwischen .Volltextsuchmaschinen" und .J ndizes" geht auf die Anfang szeiten des WWW zuruck , als die ersten groBen Portale wie Altavista und Yahoo noch eindeutig einer Kategorie zugeordnet werden konnten. Die Bezeichnung Port al verdeutlicht deren primaren Zweck, namlich als Einstiegsseite fur das gesamte Internet zu dienen . Zu diesem Zweck und durch das konkurrenzbedingte Bernuhen eine moglichst groBe Teilnehmerzahl zu erlangen, bieten die groBen Portale heute ein umfangreiches Informations- und Kommunikationsdienstangebot an. Neben der klassischen .Volltextsuche" und redaktionell betreuten Indices sind dies vor allem elektronische Marktplatze (Kataloge, Auktionen, Preisvergleiche), webbasierte E-Mail, Chat, Instant Messaging (wie z. B. Yahoo, AOL und MSN), Nachrichten und vielerlei nutzlicher Dienste (z. B. Fahrtroutenplanung, Adresssuche, Kalender, FremdsprachenUbersetzung). Dienstanbieter
Besucher
Reichweite %
1. AOL Websites
52.929.934
59,19
2. Yahoo! 3.MSN 4. Microsoft 5. Lvcos Network 6. Excite@Home
47.957 .034 36.138.715 33.650.811 24.196.502 21.739.602 18.575.321 15.20 1.7 11 14.766.606 12.300.004
53,63 40,41 37,63 27,06 24,31
7.WaltDisney Internet Group 8. Time Warner 9. About the Human Internet 10. AltaVista
20,77 17,00 16.51 13.76
Zeit pro Besucher 0:32:36 1:08:47 0:51:36 0: 12:23 0: 16: 51 0:28:24 0:23:57 0: 16:27 0:09:43 0: 15:57
Tabelle 1-2.7 Die "Top 10 Internet Properties" im August 2000 in den USA65
Neben den groBen .Allzweck-Portalen" existieren im Endverbraucherbereich noch zielgruppenorientierte Portale wie etwa fur Studenten die Beispiele Collegef'lub.com'" in den Vereinigten Staaten und studenti .ir" in Italien. An letzterem kann man auch erkennen, dass in Europa im Gegensatz zu den USA die Integration von SMS-Gateways ein wesentlicher Erfolgsfaktor fur den Internetauftritt ist.
62
63 64 65 66 67
Vgl. http://www.yahoo.de/(25. 1. 1999) Vgl. http://www.about.com/(1. 10.2000) Vgl. http://www.austronaut. at/(25. 1. 1999) Vgl. http://209.249.142.27/nnpm/owaINRpublicreports.toppropertiesweekly (1. 10.2000) Vgl. http://www.collegeclub .com/(27. 9. 2000) Vgl. http://www.studenti.it/(27. 9. 2000)
2 Internet und Intranet - Grundlagen und Dienste
61
Dies ist auch an jenen osterreichischen Websites erkennbar, die dezitiert ein junges Publikum als Zielgruppe ansprechen, wie die z. B. oe3.at und uboot.com . Wesentlich fur den wirtschaftlichen Erfolg und Misserfolg eines derartigen Portals sind bisher nie gekannte Marketingausgaben am Beginn des Marktauftrittes und der strategische First-Mover Advantage, der es so bekannten Namen wie Hotmail, eBay und Yahoo ermoglichte, zu internationalen Grosen heranzuwachsen. Ein Indikator fur die Bedeutung von Kommunikationsdiensten als Instrument der Kundenbindung stellt die Positionierung der Portalsites in Ranglisten dar. Auffallig ist, dass jene Portal sites (AOL, Yahoo und MSN) , die vor der Konkurrenz Kommunikationsdienste eingebunden haben, einen deutlichen Vorsprung vor den .N achzuglern" wie z. B. Altavista haben (siehe Tabelle 1-2.7). Das Reaktionsvermogen auf technologische Neuerungen ist ein wichtiger, wenn auch nur einer von vielen Erfolgsfaktoren fur Portalsites. Aber selbst in diesem heiB umkampften Segment ist noch Platz fur erfolgreiche Neueinsteiger, wenn sie ein neuartiges oder verbessertes Geschaftsmodell aufweisen. So glanzt etwa das im Vergleich zu den Mitbewerbern relativ junge about.com durch einen qualitativ hochwertigen thematischen Index. Dieser wird von tiber 700 Betreuern redaktionell erarbeitet , wobei deren Kompensation ahnlich dem von Amazon .com eingefuhrten Affiliate-Advertising erfolgt, indem die Themenbetreuer an den Werbeeinn ahmen beteiligt werden. Ein anderes Geschaftsmodell fur ein schnelles Wachstum verfolgte namezero.com'", das durch die kostenlose Zurverfugungstellung eines Domainnamens, damit personalisierter E-Mail Adresse und .Jdassischer" Portaldienste eine moglichst groBe Subskribentenbasis aufzubauen versucht. Die groBen Internetportale Yahoo! und Altavista waren am Anfang lediglich reine Suchmaschinen bzw. ein thematischer Index. Der Grund fur deren Erfolg war, dass ein Bedarf nach Suchhilfen bestand und noch immer besteht. Dies hangt damit zusammen, dass aufgrund der technischen Konzeption das W3 fur das Information Retrieval denkbar ungtinstig ist. So mangelt es u. a. an bidirektionalen Links und Moglichkeiten zur inhaltsorientierten Auszeichnung von Dokumenten. Durch die Verwendung von XML und immer "intelligenter" werdenden Suchmaschinen wie www.google.com (das in Yahoo anstelle von Altavista eingebunden wurde), versucht man nunmehr, diesem Problem beizukommen. Dies wird zwar die InhalterschlieBung im "klassischen" Sinne des Information Retrieval erleichtern, aber aus Sicht des E-Commerce bleibt auch in Zukunft noch gentigend Platz fur innovative Dienste zum Auffinden und zur Strukturierung von Inforrnationen. Ein solches Anwendungsgebiet ist beispielsweise das Vergleichen von Preisen in 68
Mittlerweile gibt es die kostenlosen Domain Namen nicht mehr. Kurzfristig erfolgte die Vergabe erst nach mehreren Wochen und war zudem restriktiver, indem dieser Gratisdienst nur mehr fur US-amerikanische Subskribenten galt. Auch besteht die Gefahr fur Teilnehmer, dass ihre Accounts grundlos gekiindigt werden und ihnen gleichzeitig zum entgeltlichen Erwerb angeboten werden. Ein ahnliches Geschaftsmodell zum Aufbau einer Kundenbasis verfolgte namedemo .com, das die kostenlose Bereitstellung des Domains und der Services ebenfalls bereits eingestellt hat.
62
I Elemente einer Infrastruktur fUr E-Business
Online-Shops , wie es der Informationsserver tny'Simon.com'" in den USA und im Vergleich dazu in einem etwas eingeschrankterem Umfange geizhals.at'" im EURaum errnoglicht. Solche Preisvergleiche tragen wesentlich zur Effizienzsteigerung elektronischer Markte in Hinsicht auf Preishohe, Preiselastizitaten und Suchkosten bei. 2.4.7 Webbasierte E-Mail, Chat und Instant Messaging
Urn E-Mails von einem Server herunterzuladen bzw. urn E-Mails tiber einen Server zu versenden, wird ein spezielles Programm auf dem eigenen PC benotigt, das mit den entsprechenden Einstellungen wie IP-Adresse des Servers, Protokoll , etc. konfiguriert werden muss. Beispiele fur diese E-Mail Clients (oder E-Mail Reader wie diese Programme auch genannt werden) , sind Eudora , Netscape Messenger oder MS Outlook Express . Eine andere Moglichkeit E-Mailszubearbeiten.besteht in der Nutzung von GroBrechnerumgebungen, BBS-Systemen, Groupwareprodukten oder kommerziellen Online-Diensten mit proprietaren Mailingsystemen und Internetgateways. All diesen Moglichkeiten ist gemeinsam, dass sie entweder die Installation und Konfiguration eine s Programms am Arbeitsplatzrechner benotigen oder stationar an die Umgebung (z. B. GroBrechnerterminal) gebunden sind. Zu sehr verhaftet war das Denken in einer .Postkastenmetapher" und bevor man einen Mail -Client abseits seiner gewohnten Umgebung neu konfigurierte, war es gar nicht unublich, sich E-Mails an eine andere Adresse nachschicken zu lassen. Grund dafur war meist, dass eine Firewall den Zugriff auf einen Mailserver auBerhalb des lokalen Netzwerkes unterband . Was lag naher, als einen Webbrowser als universelles Interface zum Internet und somit fur den Zugriff auf einen Mailserver zu benutzen ? Dies bedeutet einen einfachen Zugriff auf das personliche Postfach von jedem Rechner, der tiber einen Webbrowser und Internetzugang verfugt. Diese naheliegende, einfache und zugleich geniale Idee machte Ihre Erfinder zu Milliardaren. Sie grtindeten das Unternehmen Hotmail, das als erste Internetfirma webbasierte gratis E-Mail-Konten anbot. Vor allem auch auf Grund des "First Mover Advantages" verfugt Hotmail nach wie vor tiber die GroBte aller Subskribentenbasen. Galt es in den Anfangsjahren noch als unschicklich, solche Gratis-Adressen fur ernsthafte Verwendungszwecke zu benutzen, hat sich dies inzwischen geandert. Viele Schul- und Universitatsabsolventen behalten ihre Adressen bei und verwenden diese nicht nur fur private, sondern vor allem als Selbstandige auch fur berufliche Zwecke. Ein nicht zu unterschatzender Vorteil ist es, wenn man eine solche E-Mail Adresse" tiber das Telefon buchstab iert. Yahoo und Hotmail sind international so bekannt, dass hier eine fehlerhafte Ubertragung 69 70
71
Vgl. http://www.mysimon.com/(1. 10.2000) Vgl. http://www.geizhals.at/(1. 10.2000) Die international am verbreitetsten Form fur E-Mail Adressen aller Art ist die Verwendung des Vornamens gefolgt vom Nachname ohne Deliminator wie Punkt oder Unterstrich. Urn die Schreibweise abzukurzen ist auch der erste Buchstabe des Vornamens gefolgt vom Familiennamen eine gelaufige Form.
2 Internet und Intranet - Grundlagen und Dienste
63
unwahrscheinlicher ist als es etwa bei einer Adresse der Form [email protected] " der Fall ist. Zusatzlich bieten einige dieser Gratisdienste (Yahoo , GMX) auch den Zugriff via POP auf das Postfach. In Verbindung mit einem mobilen Telefon und einem PDA kann man derart seine E-Mails komfortabel auch mobil verwalten. Dartiber hinaus bietet z: B. Yahoo einen Zugriff tiber WAP . Neben diesen technischen Auswahlkriterien sollte aber vor allem die GroBe und damit weitere Existenz des Providers als oberstes Auswahlkriterium dienen . Gratis E-Mails sind fur den Betreiber relativ einfach und z. T. kostenlos" zu realisieren und so bieten viele Firmen diese abseits ihrer Kemkompetenz als (effektives und effizientes) Mittel zur Kundenbindung an. Aus Nutzersicht besteht jedoch die Gefahr, dass Firmen diesen Service ersatzlos" einstellen, was bei einer .Iiebgewonnenen" Adresse schmerzen kann . So gesehen empfiehlt es sich nur bei den Branchenfuhrern Hotmail, Yahoo, AOL , GMX 74 etc . Adressen anzulegen. Wenn man auch auf diese nicht vertrauen will, bleibt einem (auBer dem Betreib eines eigenen Mailservers) noch die Moglichkeit einen webbasierten E-MailAccount mit einem eigenen Domainnamen im Outsourcing" zu betreiben. Besonders beliebt im Intemet sind alle Formen der Echtzeitkommunikation. Das Gegenteil dazu sind zeitversetzte Kommunikationsdienste wie etwa E-Mails und Postings aller Art. Beschrankte sich diese Form der Kommunikation in den Anfangszeiten noch auf geschriebene Texte in Online Chats (mit den allseits bekannten Smilies :-) und oftmals wenig geistreichen Beitragen), gewinnt die Internettelefonie (Voice over IP) immer mehr an Bedeutung. Sei es tiber spezialierte Peer-to-Peer Clients (z. B. Buddyphone) oder mittels vielseitigeren Instant-Messengern wie ICQ, Yahoo-Messenger oder MS-Messenger. Neben Konferenz-Chat bieten diese Instant-Messenger meist auch noch eine direkte Anbindung an einen Intemet-Telefonanbieter. Damit kann man via IP in Festnetze und Mobilnetze telefonieren". Die Qualitat fallt dabei sehr unterschiedlich aus und kommt dem subjektivem Empfinden des Autors nach Telefonqualitat nahe. Die zunehmende Bandbreite ermoglicht aber nicht nur die Ubertragung von Audio, sondem auch von Videodaten. Dem verbreiteten Einsat z von Video in akzeptabler Qualitat steht im privaten Bereich oftmals noch der Intemetproviderentgegen, der die Bandbreite fur den Upload von Daten bewusst geringer auslegt als fur den Download. Grund dafur ist eine Produktdifferenzierung von Providem, die die fur Videokon-
72
73
74
75
76
Uber www.everyone.net kann man seinen Kunden webbasierte e-mails kostenlos unter einem eigenen Domainnamen anbieten . Dazu muss man lediglich tiber den Domainnamen verfiigen und den MX-Eintrag im DNS andern bzw. andern lassen. So geschehen z. B. bei der Internetseite der US-Tageszeitung "The Miami Herald" die Ende Marz 2001 die Einstellung mit der Begrtindung einer Konzentration auf Kernkompetenzen bekanntgab . Das Sign-Up bei GMX gestaltet sich verglichen mit Yahoo und Hotmail aufgrund einer langwierigen Abfrage von marketingrelevanten Benutzerdaten als sehr zeitintensiv. Kostenlos z. B. bei www.everyone.netodergegen Bezahlung z. B. bei www.yahoo.com. Im Marz 2001 z. B tiber net2phoone von Canada nach Osterreich an aIle Netze urn 0,16 USD.
64
I Elemente einer Infrastruktur fOr E-Business
feren zen notwendigen Bandbreiten im professionellen Bereich ansiedelt und fur den Upload von Daten fur private Zugange eine geringere Bandbreite vorsieht.
2.4.8 Virtual Reality Modeling Language (VRML)77
VRML ist ein 3D-Metafile-Datenformat fur nieht proprietare, plattformunabhangige VR und steht als das 3D Aquivalent zu HTML. VR-Umgebungen werden mittels VRML als eine Zusammenstellung von logischen Elementen beschrieben, deren Details mit einem "universal ressource naming scheme" spezifiziert werden, das den Zugriff auf gemeinsam genutzte Ressourcen tiber das Netzwerk erlaubt. Unter Verwendung eines entsprechenden Browsers oder als Plug-In fur Netscap e und MS-Web Explorer ist es mit diesem, nicht seitenorientierten Fileformat moglich, Objekte frei im Raum zu bewegen, tiber Gelandeformationen zu fliegen und interaktiv mit einer virtuelIen Umgebung zu kommun izieren und tiber Hyperlinks auf andere Teile des WWW zu gelangen.
walk sp in ~ ~ -
look slide
- - ~ ~~ -
--
point
- - - ~~
--
~ lam p ---
~ view ~
- --
Abb. 1-2.16 VRML-Objekt mit Navigations- und Steuerleiste'"
Intervistas World'View" ist einer der am meisten verwendeten VRML-Browser am Internet. Als Plug-in fur Netscape oder MS-Internet Explorer konnen damit VRML-Objekte innerhalb einer WWW-Seite dargestellt werden. Das frtihere 77 78
79
VgI. http://www .sdsc.edu/vrmV (19. 1. 1999) VgI. http://www .beetle.de/(30. 3. 1997) VgI. http://www .intervista.com/worldview/ (25. 1. 1999)
2 Internet und Intranet - Grundlagen und Dienste
65
VRML-Consortium, das nun unter dem Namen Web3D-Consortium firmiert, bemiiht sich urn die Standardisierung der VRML und hat unter dem ISO/IEC Standard die Spezifikation fur die aktuelle Version VRML 97 definiert und in der Version VRML 2.0 publiziert'".
Literatur Alpar (1996) , Paul: .Kommerzielle Nutzung des Internet", Berlin 1996 Clare (1995), Chris und Gordon Stuteley.: "Information Systems - Strategy to Design", London 1995 Cox (1995), Nancy, Charles Manley und Francis Chea : "LAN Times Guide to Multimedia Networking", Berkeley 1995 Cronin (1994), Mary J.: "Doing Business on the Internet", ITP, New York 1994 EhrkamplMansfeld (1994), Ehrkamp, Jorg und Godehard Mansfeld: .Das Telekommunikations Buch ", Sybex, DUsseldorf 1994 Ellsworth (1994) , Jill H.: "Education on the Internet", Sams Publishing, Indianapolis 1994 EllsworthlEllsworth (1994), Ellsworth, Jill H. und Matthew V. Ellsworth: "The Internet Business Book", John Wiley & Sons, New York 1994 Ellsworth (1995) , Ellsworth, Jill H. und Matthew V. Ellsworth: "Marketing on the Internet, Multimedia Strategies for the World Wide Web", New York 1995 Fiderio (1988) , J.: "A grand vision", In: Byte 10/1988, S. 237-244 Goldmann (1995), Martin u.a. : "Internet - Per Anhalter durch das globale Datennetz", Systema Verlag, Munchen 1995 Holler (1995), Johann: "Software im Recht , Rechtliche Aspekte der Herstellung, des Vertriebes und der Anwendung von Software in Osterreich", Habilitationsschrift, Linz 1995 idv (1997), Forschungsbesprechung (unveroffentlicht) Kane (1994) , Pamela: "The Hitchhiker's Guide to the Electronic Highway", MIS Press, New York 1994 Klau (1994), Peter : .Das Internet", IWT Verlag, Bonn 1995 Lammarsch (1994), Joachim: "Internet & Co - Elektronische Fachkommunikation auf akademischen Netzen", Addison-Wesley, Bonn 1994 Liu (1994), Cricket, Jerry Peek, Russ Jones, Bryan Buus und Adrian Nye: "Managing Internet Information Services", Sebastopol (USA) 1994 MaierlWildberger (1994), Maier, Gunther und Andreas Wildberger: "In 8 Sekunden urn die Welt - Kommunikation uber das Internet", Addison-Wesley, Bonn 1994 Manger (1996), Jason : .Javascript Essent ials", Berkely 1996 Mittendorfer (1994), Johann , Peter Jaros und Michael Weber: "Regionales Informationssystem Steyr - Kirchdorf (RIS)", Steyr 1994 Nelson (1981) , Ted : "Literary Machines", Swathmore 1981 Nielsen (1990), Jakob, "Hypertext and Hypermedia", London 1990 Pils/Zlabinger (1995), Pils, Manfred und Robert Ziabinger: .Regionale Vernetzung im Dienste von Umwelt, Energie und Wirtschaft - am Beispiel Waldviertel", Endbericht an das Bundesministerium fur Wissenschaft, Forschung und Kunst, Linz 1995 80
Vgl. http://www.vrml.org/ (19. 1. 1999)
66
I Elemente einer Infrastruktur fUr E-Business
Rheingold (1995), Howard : "The Virtual Community, Finding Connection in a Computerized World", London 1995 Swadley (1995), Richard (Hrsg.), The Internet unleashed, Indianapolis 1995 Woodhead (1991), Nigel: "Hypertext and Hypermedia, Theory and Applications", Wilmslow 1991
Die zahlreichen Quellen aus dem WWW werden jeweils nur in den FuBnoten angegeben .
3 Mobile Business Manfred Pils Institut fiir Datenverarbeitung, Johannes Kepler Universitdt Lin:
3.1 Mobile Business im Oberblick 3.1.1 Was ist Mobile Business Mobile Business ist ein Teilgebiet des E-Business, wobei die Mob ilitat des Benutzers, der Einsatz mobiler Gerate und Anwendungen, der mobile Netzzugang sowie Location Based Services im Mittelpunkt der Betrachtung stehen. Vor zwei Jahren sprachen Prognosen von 600 Millionen Benutzern im Jahre 2004 fur das Mobile Internet.' Eine andere Prognose besagte, es werde im Jahr 2003 eine Dreiviertelmilliarde Internet-Nutzer geben, noch im selben Jahr werde der Anteil der mobilen User den der stationaren ubersteigen,' Auch wenn derartige Prognosen haufig nach unten korrigiert werden mussen, so wird Themen wie "Mobile Business", "Mobile Office" und "Mobile Enterprise Computing" dennoch eine erfolgreiche Zukunft vorhergesagt. Die Aufmerksamkeit wird auf die in rascher Folge auf den Markt kommenden Notebooks, Handhelds, Smartphones und Mobiltelefone gelenkt, die - nach Angaben der Hersteller - trotz ihrer geringen AusmaBe auch zur Nutzung von Internet-Diensten geeignet seien . Die Verbindung zum Internet bzw . zum Intranet erfolgt ohne Kabelverbindung und ist daher mehr oder weniger ortsunabhangig. Das Thema "Mobile Business" darf sich keineswegs auf die Beobachtung der Entwicklungen im Bereich der "Wireless Technology" beschranken. Es ist notwendig, die erforderlichen betriebswirtschaftlich-organisatorischen Losungen bzw . alle ubrigen Elemente und Rahmenbedingungen des Electronic Business' mit einzubeziehen. Gestalten der Au Ben beziehungen eines Unternehmens, Sicherheit, Zahlungssysterne, sensible Systeme, Benutzerakzeptanz u. a. sind daher aktuelle Themen im Bereich des Mobile Business. Es ist zu erwarten, dass sich in naher Zukunft neue Anwendungen gemeinsam mit den entsprechenden Geschaftsmodellen entwickeln und auch durchsetzen werden, die sich fur den mobilen Einsatz besonders eignen. Vgl. http://www.ericsson.de/highlights/mobile_internet.html (2. 10.2000) Nach einer Prognose des Siemens-Managements auf der CeBIT 2001, Quelle : www.computerwoche.de (25. 3. 2001) Vgl dazu insbesondere Kap. 1.1
68
I Elemente einer Infrastruktur fOr E-Business
Wesentlich ist die Betonung der Ortsunabhangigkeit aufgrund leichter und einfach zu bedienender Endgerate sowie wirklich bedarfsgerechter Anwendungen fur die kiinftige "Wireless Information Society". Nicht aIle derzeit verfiigbaren Standards und Anwendungen entsprechen diesen Anforderungen. So haben nicht nur MobiltelefonhersteIler, Netzwerkausriister und Mobilfunkbetreiber das Mobiltelefon als einen wichtigen Schwerpunkt des Mobile Business im Auge, sondern zunehmend auch andere Branchen. So planen etwa Musikkonzerne, dass Mobiltelefone mit Musikhits klingeln sollen. Gute Chancen auf erfolgreiches Mobile Business haben auch die Bereiche Mobile Payment, Location Based Services, das Mobile Ticketing, Mobile Entertainment, mobiles Internet im Auto sowie Spezialanwendungen, wie die in den USA durchaus erfolgversprechenden Appliances. Nach einer amerikanischen Studie" wurde das Potenzial fur Mobile Business auf 12 Millionen Benutzer im Gesundheitsbereich, 7 Millionen fur Mobile Banking, 6 Millionen fur Kurierdienste, 5 Millionen fur Versicherungen, 4 Millionen fur lnstandhaltung und 2 Millionen fur Immobilien geschatzt. Noch im Jahre 2000 waren manche Prognosen optimistisch, als sie meinten, dass binnen mehrerer Jahre rund zwei Drittel des E-Commerce auf mobile, mit Funk ausgestattete Gerate entfallen wurden.' Vergleichsweise eingeschrankte Mobilitat, jedoch wesentlich hohere Bandbreiten und geringere Kosten der Datenubertragung weisen das Mobile Internet, das Mobile Intranet bzw. die Local Worlds auf. FUr diese Formen des Mobile Business gibt es sinnvoll einsetzbare Intranet-Applikationen. Derzeit uberwiegt die mobile Einbindung von Mitarbeitern in bestehende betriebliche Anwendungen gegenuber dem "wireless electronic commerce"," Auch werden sich sinn volle Extranet-Anwendungen im Rahmen des Mobile Business entwicklen, z. B. im Bereich des E-Learnings. Diese Formen werden daher in Zukunft teilweise in Konkurrenz mit den bereits vor einigen Jahren hochgepriesenen UMTS -Diensten 7 stehen . Es muss damit gerechnet werden, dass das Marktangebot an Infrastruktur und Endgeraten einem immer rascheren Wandel unterliegt. Es ist eine der Herausforderungen unserer Zeit, dass die technischen Standards des Mobile Business und auch deren Akzeptanz einer eigenen Dynamik folgen, die oft abweicht von den WUnschen und Prognosen der Experten und der Global Players.
VgI. Wedbush Morgan Securities, Industry Report, The Wireless Internet & Mobile Commerce, Sept. 2000 VgI. z. B. Schwartz/Moore 2000 VgI. die mit IT-Managern durchgefiihrte "Mobile Commerce Agenda Study", in Travis 2001 .!.Iniversal Mobile Telecommunications Systems ist ein modulares Kommunikationssystem, das eine Vielzahl von Technologien einschliesst und abgestufte Bandbreiten von 2 Mbps, 512 kbps und 128 kbps bietet. UMTS ist Teil des von der lTV definierten Frameworks IMT-2000 oder third generation (3G) .
3 Mobile Business
69
3.1.2 Wechselnder Festnetz- und PC-Anschluss
Die Nutzung des Internets mittels tragbarer und batteriebetriebener Notebooks, die mittels Modem an unterschiedlichen Standorten auBerhalb des Unternehmens ans Festnetz angeschlossen werden , kann in einem gewissen Sinne als mobil und somit als eine Vorstufe zum Mobile Business bezeichnet werden. Samtliche Inter net-, Intranet- und Extranet-Anwendungen, die sich mit geringen Bandbreiten begniigen, sind hier grundsatzlich denkbar. Dariiber hinaus bieten Hotelketten in den USA ihren Gasten DSL-Anbindungen ins Internet sowie auch VPN-Dienste. AIlein Marriot hat iiber 100.000 Hotelzimmer entsprechend ausgestattet. Manche Hotelketten errichten Intranet-Portale fur wichtige Anwendungen (Faxen, Drucken, Versenden von verschliisselten E-Mails USW.)8 Diese Dienste sind selbstverstandlich auch von Personal Digital Assistants (PDAs) mit Netzwerkanschluss nutzbar, wobei Daten (z. B. Termine, Adressen) und E-Mails iiber Kabel, Infrarot und kiinftig auch iiber Bluetooth mit einem PC abgeglichen werden konnen. Diese Formen des E-Business werden jedoch nicht zum Bereich des Mobile Business im engeren Sinne gerechnet, auch wenn dabei durchaus sinnvolle organisatorische Losungen fur die Unterstiitzung eines mobilen Arbeitsplatzes (Mobile Workplace) entstehen konnen . Dies sei an einem Beispiel erlautert. Angenommen, es war bisher erforderlich, umfangreiche, mittels CAD erstellte Zeichnungen in Form von Ausdrucken und Plots an einen entfernten Einsatzort mitzubringen. Nunmehr ist es moglich, diese Arbeitsdokumente auf Personal Digital Assistants zu iibertragen und mitzutragen. Es konnen in die elektronischen Unterlagen mittels Stift Anmerkungen (Redlining) gemacht werden. Der Datenabgleich erfolgt nach Riickkehr im Biiro in einer koventionellen Weise mittels Kabel oder Infrarot, also ohne Funkverbindung. Viele Tageszeitungen bieten die Moglichkeit an, sich die neueste Ausgabe ihres speziell fur PDAs aufbereiteten Nachrichtenangebotes herunterzuladerr' und diese mobil - jedoch offline - zu lesen . Die zweite Variante besteht darin, mit dem mobilen Gerat eine Internet-Verbindung aufzubauen'? und die News mobil und zugleich online iiber einen HTML-Browser (Web-Browser) bzw . einem WMLBrowser (WAP-Browser) zu lesen. Eine andere Form ist der Datenabgleich und/oder der Download von Software fur PDAs iiber Internet, Intranet oder Extranet, in der Regel noch im Umweg iiber einen PC und dem lokalen Datenabgleich. Beispielsweise konnte bei der CeBIT 2001 ein Messe-Informationssystem 11 (Software und Daten) iiber das Internet auf einen PDA geladen und vor und wahrend des Messebesuches zur Recherche und Navigation benutzt werden . 8 9 10
11
Vgl. Sweeney 2000 Z. B. unter der Verwendung der Software AvantGo Unter Verwendung der in den folgenden Abschnitten beschriebenen Techniken Mobile Fair Guide CeBIT 2001. Der Service stand fur verschieden Gerate zur Verfugung (PDAs mit PALM OS, Casio, Compaq , HP, PSION)
70
I Elemente einer Infrastruktur fur E-Business
Die volle Version bot folgende Suchkategorien 12: • • • • •
Ausstellerinformation mit Messeadresse Produktgruppenlisten Kartentibersichten CeBIT Informationen Veranstaltungsprogramm der CeBIT 2001
Auf dem Messegelande befanden sich .Datentankstellen", an denen man eine reduzierte Version des Mobile Fair Guide CeBIT 2001 laden konnte. Diese Light Version bot die Suchkategorien .Aussteller Kurzinfo", .Kartenubersichten" und "CeBIT Inforrnationen". Der mobile Einsatz eines analogen oder ISDN-Modems erfordert nicht nur die VerfUgbarkeit eines stationaren Internet-Anschlusses, sondem auch die Fahigkeit und Bereitschaft des Benutzers, sein System in das jeweils verfugbare Festnetz einzuklinken." Dies schrankt im Vergleich zu den weiter unten beschriebenen Systemen die Mobilitat und den Komfort und somit die Akzeptanz der Anwendung stark ein. Diese Form der wechselnden Festnetzanbindung wird daher auch ktinftig von einem vergleichsweise geringen Anteil der potenziellen Intemet-Benutzer verwendet; sie soll nachfolgend nicht mehr betrachtet werden . Downloads, die tiber die Kombination PDA mit Mobiltelefon erfolgen, sind zwar in der Handhabung wenig komfortabel, stellen jedoch eine wesentliche Erweiterung der Mobilitat dar. Noch eleganter ist die Funk-Direktanbindung des PDAs, z. B. mittels WLANs l4, GSM bzw . GPRS . Diesen Themen widmen sich die nachfolgenden Abschnitte.
3.2 Mobiles Intranet und Local Worlds 3.2.1 Oberblick
Urn das Thema "Mobiles Intranet" bzw. "Local Worlds" zu verdeutlichen, sei das Beispiel fur ein Messeinformationssystem hier nochmals aufgegriffen. Eleganter als das im letzten Abschnitt angesprochene System sind Mobile-BusinessAnwendungen, die dem Besucher einen spontanen Download des Messeinformationssystems sowie eine Interaktion gestatten. 12
13
14
VgI. http://www .ccbit.de/4513 (27. 3. 2001) Bereits beim Zugriff mittels Notebook auf das Internet tiber einen fur den Benutzer fremden Telefonanschluss konnen in der Praxis vielfaltige technische Schwierigkeiten auftreten, die haufig eine untiberwindliche Nutzungshtirde darstellen . Und dies, obwohl ein derartiger Internet-Access technisch gelost ist und daher theoretisch bereits Routine sein mtisste . Die in der Praxis auftretenden Probleme sind aber dennoch haufig unlosbar, z. B. kein passender Stecker oder Kabel vorhanden, ungeeignete Nebenstellenanlagen, kein Access-Account, fehlerhafte Konfiguration des Systems. Wireless Local Area Network. Ublich sind auch die Bezeichnungen Wireless LAN oder Funk-LAN
3 Mobile Business
71
Fur das Mobile Intranet und Local Worlds bestehen zur Zeit besonders gute Voraussetzungen, was Anwendungen und auch die verfugbare Technik betrifft. 1m April 2002 bestanden angeblich bereits etliche Millionen drahtlose Netze weltweit." Es bestehen derzeit insbesondere folgende Moglichkeiten: (1) WLAN gemaB IEEE 802 .llb, (2) HomeRF und (3) Bluetooth . Ktinftig wird die Verbreitung neue Wireless-lAN-Standards und -Technologien (z. B. IEEE 802.1la) auch multimediale Anwendungen errnoglichen. Geschaftsmodelle des Mobilen Intranets werden beispielsweise bei neuen Formen des Workplace-Designs in Unternehmungen und Verwaltungen zum Einsatz kommen, z. B. bei ortlich nicht fixierten Arbeitsplatzen oder auch im Bereich des E-Learnings in Schulen, Universitaten, Bibliotheken und bei Tagungen. Die Anwendungsfelder dieser Technologien konnen auch mit dem Begriff "Local Worlds" umschrieben werden. Es handelt sich dabei um raumlich abgegrenzte Informations-, Kommunikations- und Navigationssysteme, die fur Unternehmungen, Messen, Hotels, Amter, Bahnhofe und Flughafen teilweise vollig neuartige Anwendungen errnoglichen. Ftir die Benutzer einer Local World ist in der Regel auch ein Zugriff auf das Internet moglich. Eine entsprechende Infrastruktur vorausgesetzt, ist es bereits heute moglich, mobiles Intranet bzw. Local Worlds auch tiber entfernte Standorte hinweg zu verbinden und virtuelle Local Worlds zu schaffen. Auf die Mobilitat eines Benutzers nur innerhalb eines Haushaltes zielen beispielsweise die auf Windows CE.net basierenden Mira-Podukte ab." Ein anderes Anwendungsgebiet ist es, in Geschaftslokalen Kunden einen schnellen InternetZugang und die Moglichkeit zur Erledigung der elektronischen Korrespondenz in einer angenehmen Atmosphare zu ermoglichen. Restaurant-Ketten, Kaffeehauser Hotels und Krankenhauser bieten ihren Kunden WLANs und erzielen damit eine bessere Auslastung wahrend der Geschaftszeiten.' ? Auch Flugzeugpassagieren wird kunftig ein Internetzugang wahrend des Fluges angeboten . Dabei stellt eine Phased Array Antenna die Verbindung zwischen dem Flugzeug und einem Satelliten her."
3.2.2 Techniken und Standards
3.2.2.1 Klassische WLANs Im innerbetrieblichen Bereich besteht durch Einsatz von klassischen WLANs die Moglichkeit fur einen drahtlosen Zugang von PCs, Notebooks und anderen Endgeraten zum Intranet und tiber Router auch zum Internet. Klassische WLANs
15
16
17 18
Vgl. dazu http://futurezone.orf.at/futurezone.orf?read=detail&id= 119668&tmp=42963 (30. 4. 2002) http ://www .microsoft.com!presspasslPressI2002/Jan02/0 1-07CES2002KeynotePR.asp Vgl. z. B. Brewin 2001 und Nelson 2001 Vgl. http ://www.pressetext.com!open.php?pte=0201030l6&chan=hat (7. 1. 2002)
72
I Elemente einer Infrastruktur fur E-Business
basieren auf den inzwischen weit verbreiteten Standards IEEE 802.11 und 802 .11b 19 • Es sind damit im Bereich'? einer Funkzelle Bandbreiten bis zu 11 Mbps moglich, die fur das mobile Internet (vgl. weiter unten die AusfUhrungen zu GSM und UMTS) noch in weiter Zukunft liegen. Im Jahre 2001 wurden ca. 4 Millionen Wl.Alv-Einheiteri" gernaf IEEE 802.11 b verkauft, fur 2002 werden tiber 7 Millionen erwartet. Die relativ hohe Datenrate wird durch die DSSS-Technik (Direct Sequence Spread Spectrum) errnoglicht, wobei in automatischer Anpassung an die jeweiligen Empfangsbedingungen unter Verwendung von Dynamic Rate Shifting zwischen den Bandbreiten 1,2,5,5 und 11 Mbps gewechselt wird. Verschlusselung des Datenverkehrs, Roaming und DHCp22 sind Be ispiele fur in WLANs gemall IEEE 802 .llb verfugbare Funktionen. Die mobilen Endgerate mussen mit entsprechenden Karten-' ausgestattet sein. Wegen der technisch aufwendigen Vermeidung von Kollisionen" weist ein WLAN gemaf IEEE 802.11 b eine etwas im Vergleich zu Ethernet-LANs geringere Leistung auf. Trotz des Standards kommt es zu Problemen (etwa bei der Verschlusselung), falls Netzwerkkomponenten unterschiedlicher Hersteller kombiniert werden. In WLANs gemaf IEEE 802 .11b werden zwei Betriebsarten unterschieden: •
Infrastructure Mode: Das Netzwerk besteht aus einem oder mehreren Basisstationen (Access Points), die mit dem verkabelten Netzwerk verbunden sind . Ein Basis Service Set (BSS) liegt vor, wenn nur eine einzige Basisstation im Einsatz ist. Wenn zwei oder mehrere Basisstationen ein Sub-Netzwerk bilden, so liegt ein Extended Service Set (ESS) vor (Aufbau mehrerer Funkzellen). Durch Roaming kann die Reichweite des WLANs erheblich ausgedehnt werden; bei einem entsprechenden Aufbau der Struktur des Netzwerkes ist auch ein Load Balancing zwischen den einzelnen Basisstationen moglich . Der Netzwerk-Administrator hat dann fur eine ausreichende raumliche Uberlappung der Funkzellen zu sorgen, jedoch soli ten einander die DSSS-Kanale benachbarter Basisstationen nicht uberschneiden.
Die Standards beziehen sich auf die Layer 1 und 2 des ISO-Modells. Es sind dies IEEE 802.11 (seit 1997 fur 1 und 2 Mbps) und die im Jahre 1999 fur Layer 1 verabschiedete Norm 802.11b (fur 5,5 und 11 Mbps). 20 Aktionsradius einer Funkzelle bis zu 45 Meter, Frequenzbereich 2,4 GHz. Die Leistung ist auf unter 100 mW limitiert. 21 Anzahl der Basisstationen zuzuglich Anzahl der Clients 22 Dynamic Host Configuration Protocol, vgl. dazu z. B. http://www.dhcp.org 23 Eine wireless-End-Stat ion ist ausgestattet mit einer 802.11-gemaBen CompactFlash Card, PC-Card, PCI oder ISA Network Interface Card (NIC). 24 Verwendet wird nicht das bekannte und in Ethernet-LANs eingesetzte CSMA/CD-ProtokoU, sondern das aufwendigere Carrier Sense Mulitiple Access with Collision Avoidance (CSMA/CA-Protokoll) oder die Distributed Coordination Function (DCF). Beispiele fur zusatzliche, im WLAN erforderliche Funktionen sind CRC-Checksum und die Packet Fragmentat ion. 19
3 Mobile Business
•
73
Ad-Hoe-Mode: Es handelt sich um Peer-To-Peer-Losungen, fur die Basisstationen nicht benotigt werden . Diese Betriebsart wird als Independent Service Set (IBSS) bezeichnet.
Es besteht gemaf der Wired Equivalent Privacy (WEP) die Moglichkeit, fur die Verschliisselung der Kommunikation im Bereich des ISO-Layer 2 einen 40-bitshared-key-RC4-PRNG-Algorithmus von RSA Data Security zu verwenden. Einzelne Hersteller bieten eine 104- bzw. 128-bit-Verschliisselung an. Dariiber hinaus sind oberhalb des ISO-Layer 2 aile in IEEE 802-Netzwerken gebrauchlichen Verschliisselungsverfahren einsetzbar>, die u. a. auch wegen erheblicher Sicherheitslucken" des derzeit eingesetzten WEP -Algorithmus empfohlen werden . Attacken auf WLANs sind mittels handelsiiblicher Hardware und frei erhaltlicher Software moglich geworden; das Berechnen der Schliissel durch einen Angreifer dauert angeblich lediglich 15 bis 40 Minuten ." Der Einsatz von SSH bzw . eines Virtual Private Networks bei sensiblen Systemen ist daher dringend erforderlich. Die Schwachstelle kann derzeit nur bei einzelnen Produkten durch Firmware-Updates (auBerhalb des WEP-Standards) geschlossen werden." Hersteller einschlagiger Produkte haben proprietare Erweiterungen auf den Markt gebracht, was den beliebten Standard IEEE 802.11 b schwacht, da die Kompatibilitlit der Produkte untereinander erschwert wird. Erst in neuen Standards ist die Beseitigung dieser gravierenden Sicherheitsliicken vorgesehen. Ubrigens : Das Bekanntwerden neuer Sicherheitsliicken kann dennoch niemals ausgeschlossen werden. Anfang 2002 wurde in Wien das erste kommerzielle Funknetz Europas basierend auf dem Standard IEEE 802.11b fur einen mobilen Breitband-Zugang mit anfangs 20 Basisstationen an stark frequentierten Platzen in Betrieb genommen; ein Ausbau auf ca . 100 Stationen erfolgte in wenigen Monaten. Die Basisstationen werden in Kooperation mit Besitzem von Lokalen betrieben; spezielle Zeit- und Volumentarife sind vorgesehen. Motto : .Beliebte Gastronomiebetriebe mit viel Komfort und Flair bieten ihren Glisten ab sofort den drahtlosen und rasant schnellen Zugang ins Internet.'?" Auch in zahlreichen anderen Stadten, z. B. auf osterreichischen Bahnhofen und Flughafen, entstanden Funknetze auf Basis des Standards IEEE 802.11 b, die voraussichtlich spater auf 802.lla oder 802 .11g umgeriistet werden .30 Derzeit gibt es eine Fulle kleinerer Betreiber von WLANs. Bestrebungen, ein iibergreifendes virtuelles WLAN mit einem entsprechenden einheitlichen Abrechnungssystem aufzubauen, sind im Gange ." WLANs konnen vollkommen zur Be25 26 27 28 29
30 31
Z. B. IPSec oder Application-Level-Encryption Vgl. http://www.i saac.cs .berkeley .edu/isaac/wep-faq.html Vgl. dazu Siering 2001, S. 124 Es findet das Verfahren "Fast Packet Keying", basierend auf RC4 Anwendung; vgl. www .rsasecurity.com/news/pr/011217-2.html(29. 1. 2002) http://www .metronet.at (23. 1. 2002) Z. B. in Sydney, vgl. dazu http://www .pressetext.de/pte.mc?pte=020123041 (14. 1. 2002) Vgl. z. B. http://futurezone.orf.atlfuturezone.orf?read=detail&id=122378&temp=28530 (14.6.2002)
74
I Elemente einer Infrastruktur fUr E-Business
nutzung freigegeben werden; bei gebtihrenpflichtigen oder bei nur fur registrierte Benutzer erlaubten WLANs ist ein Login, z. B. tiber eine SSL -gesicherte WWWSeite, erforderlich.
3.2.2.2 HomeRF HomeRF ist ein Standard, der prirnar fur den Heimgebrauch vorgesehen ist. Der Standard 2.0 ermoglicht bis zu 10 Mbps bis zu 15 Meter Entfernung; BlowfishEncryption und optional eine 56-bit-Verschltisselung sind verfligbar. HomeRF arbeitet (wie die WLANs nach IEEE 802.l1b) im 2,4-GHz-ISM-Band. Das Angebot an Basisstationen ("Connection Points") mit Funktionen wie NAT und DHCP sowie an entsprechenden PC-Cards und USB-Adaptern ist vergleichsweise gering. Es kann jedoch angenommen werden , dass sich ktinftig (trotz der derzeit noch bestehenden Sicherheitslticken) WLANs gemal; IEEE 802.11x auch im Heimbereich durchsetzen werden und der HomeRF-Standard an Bedeutung verlieren wird. Der weltweite Marktanteil der Homekf'-Gerate im Vergleich zum Konkurrenten IEEE 802 .11x fiel von 45% (2000) auf 30 % (2001), wahrend die IEEE 802 .11x-Produkte derzeit bei 70% liegen."
3.2.2.3 Wireless Personal Area Networks (WPAN) und Bluetooth Ein WPAN (Wireless Personal Area Network) ist ahnlich einem WLAN. Durch ein WPAN soli jedoch lediglich ein Arbeitsplatz ("Master") und dessen Umgebung ("Slaves"), bestehend aus Peripheriegeraten wie Drucker, Mobiltelefon oder PDA, abgedeckt werden. Eine vergleichsweise geringe Reichweite (bis zu 10 Metern, mit Verstarkern 100 Meter) bei Obertragungsraten bis zu 723 kbps bietet der von ca. 2.000 Herstellern untersttitzte Kurzstreckenfunkstandard Bluetooth". Dieser arbeitet im 2,45 Glfz-Frequenzband >' und wird auch als .Kabel-Ersatz-Technologie" bezeichnet. Bluetooth ist geeignet fur Personal Area Networking, also fur die Verbindung mehrerer Gerate (PC, Organizer, Mobiltelefon , Drucker usw.), die sich in raumlicher Nahe befinden. Jedes diesem Standard entsprechende Gerat (z. B. ISDN-Modems, portable Freisprecheinrichtungen", Mobiltelefone) wird mit einer einmaligen, 24-Bit langen Bluetooth-Adresse ausgestattet. Die Kommunikation ist derzeit auf 8 Gerate in einem nach dem Master-Slave-Prinzip arbeitenden Netzwerk (in einem .Piconet") beschrankt ." Verlasst der Master das Netz , so bricht allerdings 32 33 34
35
36
Vgl. Lawson, Stephen: Study: Home Users warm up to wireless LAN, in: http://www.cnn.comITECH/ (9. 1. 2002) Entwickelt von der Bluetooth Special Interest Group 2,402 bis 2,480 GHz Z. B. wird die Verbindung zwischen dem Headset von Plantronics zum Mobiltelefon mittels Bluetooth hergestellt, vgl. dazu http://www .heise.de/mobil/newsticker/datalmur13.07.02-001/ (13. 7. 2002) Bluetooth wird auch haufig im Zusammenhang mit aus heutiger Sicht noch in weiter ferne liegenden Zukunftsszenarien zum Thema UMTS genannt: Angenommen, man
3 Mobile Business
75
das betreffende Piconet zusammen. Bis zu 10 Piconets konnen ein .Scatremet" bilden . Berechtigungsprtifungen und Verschltisselung sind im Bluetooth-Standard integriert. Fur den Betrieb bis zu 7 Geraten bzw. Benutzem ist der Einsatz jeweils eines Bluetooth-Access-Points erforderlich, der eine "Hot-Spot-Area", eben die "Personal Area" abdeckt. Access-Points verftigen in der Regel tiber einen (Fast-) Ethernet-Anschluss und einen eingebauten Web server und konnen tiber einen Web-Browser administriert werden (z. B. die Zuweisung der IP-Adressen der Clients"). Nicht Bluetooth-taugliche Endgerate (z. B. PCs, Notebooks) konnen z. B. tiber Bluetooth-Karten, Bluetooth-PCMCIA-Karten oder USB-BluetoothAdapter in das Netzwerk eingebunden werden. Eine Verschltisselung der tibertragenen Daten ist moglich (Schlussellange bis zu 128 Bit Lange). Eine neue Bluetooth-Version 2.0 wurde fur Ende 2003 mit Bruttotransferraten von 4, 8 und 12 Mbps bei gleichbleibender Reichweite angekundigt," Das bestehende Master-Slave-Problem derzeitiger Piconets soli beseitigt werden, weiter sollen ktinftig auch Broad- und Multicasting moglich sein. Ais ein Anwendungsbereich findet sich der Local Navigator", durch den lokale Informations- und Navigationsdienste in Local Worlds (Messen, Hotels, Kongressen, Einkaufszentren, Flughafen, Bahnhofen usw.) angeboten werden sollen . Das seinerzeit groBte Bluetooth-Netzwerk mit 130 Basistationen und 300 PDAs sollte auf der CeBIT 2001 vorgefUhrt werden. Fur die Navigation im Messegelande wurde ein .L ocallvavigator" implementiert. Ais Endgerate sollten PDAs und Smartphones eingesetzt werden . .Doch dann kam alles anders: Die Basisstationen streikten, und die eingebuchten Handhelds empfingen nichts . In der 25.000 Quadratmeter groBen Halle 13 der CeBIT sollte das weltgrofste Bluetooth-Funknetz aufgebaut werden - mit mehr als 100 Basisstationen. Am Ende war es eine Prasentation der Probleme, mit denen die inzwischen zwei Jahre alte Technologie noch zu kampfen hat: Bluetooth-Produkte verschiedener Abstammung konnen oft untereinander nicht kommunizieren - mangels Standards. Laut Ulrich Wossner vom deutschen Untemehmen Lesswire, dem Initiator des Netzes, ist darin auch das Versagen auf der CeBIT begrtindet: Eine Bluetooth-Karte in einem Server verweigerte die Kommunikation mit der Basis. "40 Derzeit kommen laufend mit Bluetooth ausgestattete Gerate auf den Markt. Glaubt man den Prognoserr", so soli im Jahre 2002 weltweit in mehr als 100 Mil-
37
38 39
40 41
betritt mit einem UMTS-Handy einen Raum oder betatigt ein Gerat, so sollen mittels Bluetooth bestimmte Informationen (z. B. Angebote, Bilder) auf das UMTS-Handy Ubertragen oder Transaktionen veranlasst werden (z. B. Abbuchung vom Bankkonto). Auch DHCP (= Dynamic Host Configuration Protocol) ist moglich. VgI. http://futurezone.orf.atlfuturezone.orf?read=detail&id=122459&tmp=52387 (14.6.2002). Zu denjeweils aktuellen Entwicklungen vgI. http://www.bluetooth.com Vgl. http://www.lesswire.de/germanlintelligentlcontent.htm (25. 2. 2001) http://www.computerwoche.de (27. 3. 2001) Vgl. dazu ORF-Futurezone v. 30. 1. 2001
I Elemente einer Infrastruktur fur E-Business
76
100 Millionen Mobiltelefonen (im Jahre 2005 sollen es 600 bis 700 Millionen sein) die Bluetooth-Technologie integriert sein . Noch im Jahre 1999 wurde die Meinung vertreten, Bluetooth verdrange den Standard IEEE 802 .11 42 • Derzeit ist man bemuht, eine Koexistenz bzw . Kompatibilitat der WPAN-Standards (IEEE 802.15) und der WLAN-Standards (IEEE 802.11) zu erreichen .
3.2.2.4
DEer
Als weiterer fur Kurzstrecken verfUgbarer Standard wird auch DECT diskutiert. Web-Pads" konnen mit einer integrierten DECT-Schnittstelle Kontakt zu einer Basisstation und weiter zum Internet aufnehmen. Auch sind Gerate-Sets, bestehend aus Bas isstationen und Mobilstationerr" auf dem Markt, die es errnoglichen, dass sich mehrere Arbeitsstationen mittels DECT einen analogen Telefonanschluss teilen. Pro Kanal konnen dabei 24 Kbps ubertragen werden . Theoretisch konnten bis zu 24 solcher Kanale zusammengefasst werden, wodurch sich eine gesamte Bandbreite von 552 Kbps ergibt. Entsprechende Gerate sind allerdings (noch) nicht verfUgbar .
3.2.2.5 Aktuelle Weiterentwicklungen der WLANs Es gibt mehrere, einander teilweise konkurrierende Weiterentwicklungen fUr Funk-LANs, die hohere Bandbreiten anbieten . Es sind dies insbesondere die Stan dards IEEE 802.IIg, IEEE 802.lIa, HiperLAN/2 sowie IEEE 802.1 Ih.45 Die Standards sind in permanenter Weiterentwicklung; es muss daher gerechnet werden, dass das Angebot an Infrastruktur und Endgeraten einem immer rascheren Wandel unterliegt. Einsatzfelder sind Bures, Unterrichtsraume, lndustrie und ganz allgemein Uberall dort, wo Ubertragung durch Funk entweder eine effiziente Alternative oder eine Erganzung zur Verkabelung darstellt, oder wo Kunden temporar ein Zugang zum Internet bereitgestellt werden soIl, etwa in Ausstellungen, Restaurants, Flughafen. Die jeweils genannten Datenraten beziehen sich jeweils auf die physikalische Schicht (Layer 1). Der Durchsatz reduziert sich bei Betrachtung der IP-Ebene von beispielsweise 54 Mbps auf ca. 32 Mbps. Mit zunehmendem Abstand zwischen Sender und Empfanger reduziert sich zusatzl ich die Bandbreite. Der Standard IEEE 802 .11g verwendet OFDM (orthogonal frequency division multiplexing), CCK (compementary code keying) und PBCC (packet binary convolutional codingr". Ubertragungsraten bis zu 54 Mbps sind moglich. Vorteilhaft 42 43
44
45 46
Z. B. ZD Net UK v. 18.5.1999 , http ://www .zdnet.co.uk/news/1999/19/ns-8162.html Z. B. das WebPannel mit Tochscreen-Display (basierend auf Linux oder Windows CE) der Fa. Haft & Wes sel Z. B. 56K-Wave Memory Vgl. dazu z. B. Fitzek/Gross/Kopsel 2001 Vgl. http ://standards.ieee.org/announccmcnts/80211gadv.html (7 . 1. 2002)
3 Mobile Business
77
ist die Abwartskompatibilitat zu vorhandenen Infrastrukturen gemaf IEEE 802.1 lb. Als wesentlicher Nachteil gilt jedoch die Storanfalligkeit wegen des verw endeten, mit anderen Funkdiensten (z. B. Bluetooth) zu teilenden 2,4-GHzBandes, sowie die Reduzierung der tatsachlichen Bandbreite bei Mi schbetrieb IEEE 802 .11 b und g. Anders ist die Situation bei den Verfahren nach IEEE 802.11a, die ebenfalls auf Basis OFDM arbeiten, jedoch das weitgehend noch freie 5-GHz-B and verwenden. Sie bieten 54 Mbps und kiinftig bis zu 108 Mbps . Acht unterschiedliche Datenraten sind moglich. Das 5-GHz-Band ist j edoch weltweit unterschiedlich definiert, z. B. beziiglich Frequenzbander und Sendeleistung. IEEE 802.11a ist in den USA und erst tei1weise in der EU zugelassen." Die zustandigen Regulierungsbehorden werden jedoch in Kiirze die erforderlichen Frequenzen zur alIgemeinen Benutzung vergeben . Die Sende1eistung der Gerate ist mit 1 Watt begrenzt. 48 IEEE 802 .11 a ist j edoch nicht kompatibel zu IEEE 802.1 lb. Eine weitere Alternative ist HiperLAN/1 49 , ebenfalls ein LAN-Standard im 5GHz-Band mit Bandbreiten von 6 Mbps bis 54 Mbps (OFDM modulation). HiperLAN/250 gestattet im Funk-LAN Zugriffe bis zu 54 Mbps. Es handelt sich um das europaische Pendant zur US-amerikanischen WLAN-Technik IEEE 802.11a. Sieben unterschiedliche Datenraten sind moglich. Genutzt wird da s 5GHz-Band. Dieses Spektrum kann im Vergleich zu IEEE 802.11a durch dynamische Frequenzauswahl (DCS/DFS51) und adaptive Steuerung der Sendeleistung TPC52 besser ausgenutzt werden. Die Anwendungen mit Daten, Sprache und Video arbeiten jeweils mit bestimmten QcS-Pararnetern". Gerate fur diesen Standard werden derz eit noch nicht am Markt angeboten . Der Standard IEEE 802 .11h ist eine Weiterentwicklung von IEEE 802.11a, erweitert um die aus HiperLAN/2 bekannten Funktionen DCSIDFS und TPC. Derzeit ist eine vollige Uberarbeitung von IEEE 802 .11 im Gange; neue Mechanismen sind fur folgende Be reiche vorgesehen: Netzwerkseitige Definition eines Login (fur geschlossene WLANs), Roaming, WEP sowie Quality of Service (IEEE 802.11e). Zudem wird an Spezifikationen fur ein Interface von HiperLAN zu UMTS bzw. fur die IMT-2000 Familie der 3G-Systeme gearbeitet. Es gibt auch eine enge Kooperation von HiperLAN mit IEEE-SA (Working Group 802.11) und mit MMAC in Japan (Working Group High Speed Wireless Access Networks), um eine Harmonisierung der Systerne, die von diesen Foren im 5 GHz-Bereich ent wickelt werden, zu erreichen.
Z. B. das Funk-Lan von Proxim oVgl. dazu http://futurezone.orf.at(5. 10.2001) Vgl. dazu http://www.heise.de/mobil/newsticker/dataljk-09.07.02-007/ (9.7.2002) 49 High Performance European Radio LAN 50 Vgl. http://www.etsLorg/tbnews/0002_BRAN.htm (26. 2. 2001) 51 DCSIDFS = Dynamic ChannellFrequency Selection 52 TPC = Transmi ssion Power Control 53 QoS = Quality of Service 47
48
I Elemente einer Infrastruktur fUr E-Business
78
HIPERACCESS soil einen schnellen Zugriff (25 Mbps typ ical dat a rate) fur SOH054 zu anderen Netzwerken errnoglichen, etwa auf UMTS-, ATM- und IPbasierende Netzwerke. Die Zuw eisung de s 40,5 - 43,5 GHz-B andes wird in den jeweilig en CEPT Working Groups diskutiert. Die Version HIPERLINK wird auf kurze Distanzen bis zu 150 m eine sehr schnelle Verbindung mit 155 Mb it/s ermoglichen. HIPERLINK wird im 17 GH z-Bereich arbeiten.
3.3 Mobiles Internet 3.3.1 Grundsatzliche Moglichkeiten 3.3.1.1 Mobiles Internet mittels Notebook Die klassischen Moglichkeiten zur Nutzung des Mobilen Internets'" sind: • •
Notebook" mit GSM- bzw . GPRS -tauglichem Mobiltelefon, j eweils verbunden tiber Kabel oder Infrarot-Schnittstelle IrDA Notebook mit GSM- bzw . GPRS-Karte
Neben den auf GSM und GPRS (ab dem Jahre 2001) basierenden Verfahren der Datenubertragung bzw . des Internetzuganges werden zukunftig auch UMTS sowie auch Wireless Local Loops (Funkbrucke fur die letzte Meile) zur Verftigung stehen . Sieht man ab von Besonderheiten der Notebooks, wie etwa • •
der im Vergleich zu PCs etw as geringeren ode r kostspieligen Erweiterbarkeit durch externe Gerate (z. B. externe Laufwerke), der zeitweise n Unabhangigkeit von der Stromversorgung
so bestehen kaum Unterschi ede zu stationaren Geraten , Es konnen gangige PCBetriebssysteme, Web-Browser, E-Mail-Clients, Helper-Applikationen , HTMLEditoren usw . verwendet werden. Wesentliche technische und wirt schaftliche Einschrankungen fur eine drahtlose Einbindung ins Internet bestehen allerdings: Die derzeit verfugbaren Bandbreiten sowie die vergleichsweise hohen Kosten der Internet-Anbindung schlieBen derzeit noch bandbreitenintensivere Applikationen aus.
54 SOHO = Small Office / Home Office , haufig verwendeter Sammelbegriff fur Buras in Haushalten und kleinen Untem ehmungen
55 Der Autor nutzte seit dem Jahre 1996 erfolgreich - auch international - die Moglichkeit zur Einwahl ins Internet mit 9,6 kbps per Apple Powerbook, Noki a GSM-Karte und
56
Hand y 2110 . Damals war allgemein noch kaum Know-How fur derartige Losungen verbreitet. Von den Herstellem teilweise versehen mit den unterschiedlichsten Bezeichnungen wie Powerbook, iBook usw.
3 Mobile Business
79
3.3.1.2 Mobiles Internet mittels Mobiltelefon
Mit Interesse, teilweise jedoch auch mit Skepsis, werden die Moglichkeiten der direkten Internet-Nutzung mittels Mobiltelefonen betrachtet, wobei kein Notebook verwendet wird. Mobiltelefone werden also ktinftig urn WAP- , xHTML und/oder HTML-Browser erweitert. Insbesondere wurde noch urn die Jahrt ausendwende der mobile Internet-Zugang mittel s UMTS von der einschlegigen Industri e und insbesondere von den Mobilfunkanbietern als ein zukunftstrachtiger Markt angesehen. Da sich jedoch die Einfuhrung von UMTS fur die Mobiltelefone urn Jahre verzogert hat, haben andere Technologien, z. B. die PDAs sowie die WLAN s die nicht besetzten Marktsegmente teilweise besetzt.
3.3.1.3 Mobiles Internet mittels Personal Digital Assistants
Es handelt sich urn eine Gruppe von Geraten, die unter Bezeichnungen wie Hand helds, Organi zer, PDAs (Personal Digital Assistants), Notepads, Sub-Notebooks bzw. Pocket-PCs am Markt angeboten werden ." Dieser Teil des Geratemarktes ist in einer sehr dynamischen Entwicklung; es kommen laufend neue Produkte auf den Markt. 1m Jahr 2002 werden voraussichtlich 16 Millionen neue Gerate ausgeliefert, das entspricht einer Steigerung von ca. 30%. Ftir das Jahr 2003 lauten die Prognosen auf ca. 23 Millionen Gerate," PDAs verfugen tiber klassische, mit dem Sammelbegriff "Personal Information Manager " (PIM) versehene Funktionen , wie Verwaltung von Kalendern (mit Tage s-, Wochen - und Monat ssichten), Texten, Aufgaben , Adressbuch und dergleichen. Charakteristisch ist ein mobiler Zugang zum Internet und/oder zumindest der Datenabgleich mit einem Pc. Was den Einsatz im Internet betrifft, so sind hierbei mehrere Kategorien von Geraten am Markt: •
57
58 59
Organizer mit Internet- Verbindung tiber GSM bzw. GPRS (entweder tiber ein Mobiltelefon oder direkt), Modem oder tiber ein WLAN . Es kommt dabe i zum Einsatz funktionell eingeschrankter Versionen der von der PC-Welt bekannten Software (z. B. E-Mail-Clients, Tabellenkalkulation , Textverarbeitung, Prasentations software) . Daneben werden auch W AP- und/oder HTMLBrowser" verwendet. Der Stromverbrauch zusatzlicher Karten (z. B. fur das WLAN) schrankt jedoch die Laufzeit des Gerates und somit die Mobilitat merklich ein.
PalmOS, MS Windows fur Pocket PC, Pocket PC 2002, Windows CE und EPOC sind Beispiele fur die in solchen Geraten verwendeten Betriebsysteme. Ob sich auf Linux basiende PDAs durchsetzen werden, wird die Zukunft zeigen. Ublich sind Farbdisplay s in der Grosse 240 x 320,480 x 160 oder 640 x 240 Pixel sowie 16 MB ROM und 8 bis 32 MB RAM. Die Dateneingabe erfolgt mittels Stift oder einer kleinen Tastatur. Vgl. http://futurezone.orf.atJfuturezone.orf?read=detail&id=99275 (11. 12. 2001) Z. B. Opera
80 •
•
I Elemente einer Infrastruktur fUr E-Business
Smart Phones sind Multifunktionsgerate, bei denen es es zu einer baulichen und funktionellen Kombination eines Organizers mit den Funktionen eines GSM- bzw. GPRS-Mobiltelefones kommt. Web-Browser, WAP, SMS und eventuell Video- und mp3-Player sind in solchen Multifunktionsgeraten integriert. Als Beispiele sind der Nokia Communicator 9210 , das "Windows Powered Smartphone 2002" von Microsoft und Texas Instruments'", der Treo 270 von Handspring" sowie der Journada 928 WDA zu nennen. Am Kerper tragbare Computer." ausgestattet mit einem HMD (head mounted display) furein breites Anwendungsfeld. SD- oder CompactFlash-Cards fur Mobilfunk oder WLANs stellen die Verbindung zum Internet her.
Abb. 1-3.1 Poma™ von Xybernaut, bestehend aus der CPU mit 128 MHz 32-bit RISC-Prozessor, dem VGA Liquid Crystal Head Mount Display mit 640x480 SVGA sowie der Maus. Betriebssystem Windows CE mit Internet Explorer for CE, Windows Media Player u. a. Das Gerat kann mit CompactFlash-Cards z. B. fur WLAN, Bluetooth, Modem, GSM, Ethernet sowie mit externen I-GB-Microdrives ausgestattet werden'" Die Arbeit mit PDAs ist immer ein Kompromiss, insbesondere was die von den Herstellern angepriesenen Anwendungsfelder Mobile Office, Multimedia sowie Spielen betrifft.v' Als wesentlichste Schwachstelle der Handhelds, Organizer &
60
61
62 63
64
Als Funktionen sind neue Datendienste vorgesehen, wie ein gesicherter Web- und EMail-Zugang, Personal Informat ion Manager (PIM) sowie multimediale Fahigkeiten, die nach Angaben der Fa. Microsoft fur 2,5G- und 3G-Funknetze optimiert sind. Geringe Abmessungen und Gewicht Farbdisplay, Bedienung mit nur einer Hand , Synchronisation mit dem PC oder Server per Funk mittels ActiveSync. Das Smartphone ist ausgestattet mit Pocket Outlook, Pocket Internet Explorer , MSN Messenger und Windows Media Player (vgl. http://www.microsoft.com/mobile/phones/default.asp (18. 7. 2002) Das Gerat ist ausgestattet mit einem transflektiven CSTN-Farbdisplay, einer Tastatur mit Hintergrundbeleuchtung sowie mit dem Webbrowser Blazer, der Seiten in HTML, xHTML, WML, HDML und cHTML anzeigen kann (vgl. http://www.heise.de/mobil/ newsticker/data/jk-29.05.Q2-004/ (29.5.2002) Z. B. der Poma von Xybernaut, vgl. http://www.pressetext.com. pte020108030 (8. 1. 2002) http://www.xybernautonline.com/eComrnercelPomaIPlac_Poma.htm (22.7.2002 - auch Bildquelle) Vgl. dazu auch Rink 200 I
3 Mobile Business
81
Co ist zunachst die deutlich eingeschrankte Ergonomie beztiglich Tastatur und Display zu nennen. Zur Erleichterung der Texteingabe sind faltbare Tastaturen sowie zusammenrollbare Folientastaturen-' auf den Markt gekommen . Benutzer werden kunftig auch mit virtuellen Tastaturen, also mit den Fingem auf der Tischplatte schreiben. Dies errnoglichen neue, unsichtbare Tastaturen'v, die mit Sen soren und Bluetooth ausgestattet und an beiden Handflachen zu befestigen sind. Weiters storen die kurze Reichweite von Batterien sowie Schwierigkeiten, Umlaute einzugeben . SchlieBlich gibt es zusatzliche Gewichts-, Platz- und insbesondere Stromprobleme beim Einsatz von CompactFlash- oder SD -Karten, die Mobile Business erst ermoglichen, Nimmt man diese Nachteile wegen des Vorteiles der Mobilitat dennoch in Kauf, so sind die geringen Bandbreiten der Einbindung ins Internet sowie die in Europa nicht flachendeckende Funkversorgung nach wie vor als enttauschend anzusehen . Sogar auf europaischen Hauptverkehrswegen kommt es nach wie vor zu zahlreichen Unterbrechungen der GSM-Funkverbindung . Nach einer Studie sei bei Bahnfahrten im GroBraum Mtinchen ein bestimmtes Mobilfunknetz nur zu 63% erreichbar gewesen. (Die Angaben fur die tibrigen Netze betragen 67 %, 79% und 90 %) . Auch auf LandstraBen bestanden in der Umgebung Mtinchens erhebliche Funklocher/? Vielfach beschranken sich die mobilen Benutzer darauf, ihren PDA mit dem PC per Kabel oder Infrarot abzugleichen, urn unterwegs E-Mails lesen und beantworten oder Termine planen zu konnen . Fur einzelne Gerate" sind auch Versionen der Verschltisselungssoftware PGP verfligbar. Schlussel, die auf dem PC generiert wurden, konnen in den Organizer tibertragen und dort z. B. fur das Verschltisseln von E-Mails genutzt werden. Zur Ausstattung der PDAs gehoren ktinftig auch Webbrowser mit 128bit-SSL-Verschltisselung sowie die Untersttitzung vieler aktueller Standards (HTML, WML, cHTML)69. Auch die Synchronisation mit dem PC (wichtig etwa bei Infrarot) erfolgt verschltisselt (256 bit). Fur einen Abgleich mit dem PC tiber das Internet stehen bisher Losungen mit WAP- oder HTML-Browsern zur Verftigung.
3.3.2 SyncML Standard fur den Datenabgleich per Internet SyncML (Synchronization Markup Language) ist ein auf XML basierender Standard fur den Datenabgleich unterschiedlicher Rechner (vor allem mobiler Gerate) tiber das Internet. Der Vorteil liegt darin, dass der Datenabgleich nicht mehr an einen konkreten PC gebunden ist , sondern kunftig tiber das Internet erfolgen kann. SyncML umfasst u. a. die DTD (Document Type Definition) fur die abzugleichenden personlichen Informationen. Es werden SyncML Clients (d. i. in der Regel das mobile Gerat) und der SyncML Server (in der Regel ein PC bzw . Server mit 65
Z. B. die Folientastatur von Gett
66 Vgl. www .senseboard.com Studie der Stiftung Warentest, zit. in http ://futurezone.orf.at (24. 2 .2001) Z. B. fur den Palm-Organizer 69 Vgl. Sicherer Browser fur den Handheld, in: http ://futurezone.orf.at(30.11. 2001) 67 68
82
I Elemente einer Infrastruktur fur E-Business
dem Sync Server Agent und der Sync Eng ine) unterschieden . De r SyncML Client sendet in der Regel als erster seine Anderungen des Datenbestandes zum SyncML Server, der fur den Ablauf der Sync-Analyse zustandig ist. SyncML ist zwar grundsatzlich unabhangig vom Transportmedium, verw endet jedoch derzeit HTTP und in einer WAP-Umgebung das WSP70. Oer Standard sieht mehrere grundsatzliche Arten der Synchronisation vor" : • • • • • • •
Two-way sync Slow Sync (feldweiser Abgleich) One-Way Sync from Client only Refresh Sync from Client only One-Way Sync from Server only Refresh Sync from Server only Server Alerted Sync
Nachfolgendes Beispiel zeigt einen kurzen Ausschn itt aus einem SyncML-Ookument, in dem Anderungen vom SyncML Client an den SyncML Server gesandt werden" : <SyncML> <SyncHdr> I .0 SyncMLl l .0 <Se ssionID> 1 <MsgID> 2<1MsgID> http://www.syn cml.o rg/s ync-server> <So urcc>IMEI:493005 100592800 <SyncBody> <Status> <MsgRef> 1O SyncHdr IMEI:493005 100592800 <SourceRef> http://www .syncml.org/sync- server 2 12<1Data>
70 WSP = Wireless Session Protocol, vgl. die Tabelle in Kap . 3.3 .5.1. 71 72
Vgl. SyncML Sync Protocolm version 1.0, http.l/www.syncml.org/docs/syncml_protocol_vI0_20001207 .pdf Vgl. SyncML Sync Protocolm version 1.0, http.l/www.syncml.org/docs/syncmLprotocol_vl0_20001207.pdf
3 Mobile Business
83
Erst wenige Gerate (Mobiltelefone und Smartphones) sind derzeit verftigbar, die SyncMU3 zumindest teilweise unterstiitzen. Dennoch durfte sich SyncML durchsetzen. Zahlreiche Clientprogramme sowie Server wurden bereits von der SyncML-Iniative zertifiziert. Eine Erweiterung SyncML-DM (Device-Management) ermoglicht kiinftig die Femwartung von Geraten.
3.3.3 Techniken und Standards des Mobile Business fUr die Datenubertragung uber Funk Einen Uberblick tiber die zeitliche Dimension der wichtigsten Techniken und Standards der Datenubertragung tiber Funk sowie der Informationsdarstellung fur Mobile Business gibt Abbildung 1-3.1. Dabei kommt es zu einem Vergleich zwischen Europa, Japan und den USA.
Europa
TDMA
USA
CDMA GSM
I~
I I
~
I>
c= 2 001 2 G
EDGE
20 02
2003
I----. I
W- CDMA
2,5 G
2 0 04
200 5
~
I
1--.
3 G
~
Abb. 1-3.1 Zeitliche Dimension der wichtigsten Techniken und Standards des Mobile Business fur die Datentibertragung tiber Funk sowie die Informationsdarstellung (aus Sicht des Jahres 2001)
73
Vgl. http ://www .syncml.org/ (22.3.2001). Derzeit ist die SyncML Specification 1.0.1 verfugbar,
84
I Elemente einer lnfrastruktur fur E-Business
2G (Second Generation Mobile Network) : Es handelt sich urn die 2. Generationen von Netzwerken fur den mobilen Einsatz. Beispiel : GSM 2,5G (Second Generation Enhanced): Es handelt sich urn die erweiterten 2. Generationen von Netzwerken fur den mobilen Einsatz. Beispiel : GPRS oder EDGE 3G (Third Generation Mobile Network) : Es handelt sich urn die 3. Generationen von Netzwerken fur den mobilen Einsatz . Beispiel : UMTS
3.3.3.1 GSM GSM (Global System for Mobile Commun ication) ist mit dem CSD-Dienst (Circuit Switched Data) derzeit fur eine Bandbreite von 9,6 kbps ausgelegt. Dies reicht beispielsweise fur die Nutzung von E-Mail-Diensten wie SMTP und POP, jedoch nur eingeschrankt fur das Aufrufen von WWW-Seiten. Gegen die breite Verwendung sprechen auch die vergleichsweise hohen Kosten (in Osterreich urn die 0,15 € pro Minute) . Die sinnvolle Nutzung von multimedialen, z. B. von auf Streaming-Verfahren basierenden, Audio- und Videodiensten ist nicht moglich. Es ist jedoch durchaus moglich, im Rahmen von GSM die fur den Benutzer verftigbare Bandbreite der bestehenden Netze zu steigem. Zu Lasten der Fehlerkorrektur kann die Geschwindigkeit zunachst auf 14,4 kbps erhoht werden, sofem das benutzte Mobiltelefon dazu geeignet ist.
3.3.3.2 HSCSD Beim HSCSD-Verfahren (High Speed Circuit Switched Data) btindelt man mehrere Datenkanale (max . 8) eines Tragers; so waren theoretisch bis zu 76,8 kbps (und bei Einschranken der Fehlerkorrektur sogar 115,2 kbps) erreichbar. Realistisch sind jedoch nur 38 kbps. Von HSCSD machen seit Ende 1999 einige Provider" Gebrauch und bieten z. B. eine Bandbreite von 28,8 kbps an, wobei die Kosten pro Minute ca. 50% tiber den bei den GSM-Angeboten mit 9,6 kbps tiblichen liegen . Fur den Benutzer ist jedenfalls die Anschaffung eines HSCSDfahigen Gerates erforderlich. Der Einsatzbereich liegt bei den klassischen Formen des Mobilen Intemets (z. B. Notebook in Verbindung mit dem Nokia Card Phone). Man benotigt jedenfalls benutzerseitig neue Endgerate (z. B. PC-Karten) . Fur die Provider werden entsprechende Erweiterungen des GSM-Funk-Netzwerkes erforderlich. Problematisch ist, dass wahrend der Verbindung die jeweils gebtindelten Kanale belegt sind und es daher zu einer relativ starken Belastung des GSM-Netzwerkes kommt. In Abhangigkeit von der aktuellen Belastung des GSM-Netzwerkes wird die Kanalbundelung dynamisch geregelt. Verzichtet man auf die Vorteile der paketorientierten Verfahren, so lassen sich durch eine Punkt-zu-Punkt-Einwahl sichere Verbindungen zu einem Intranet aufbauen. 74
Zu den ersten zahlten in Deutschland E-Plus und in Osterreich ONE
3 Mobile Business
85
3.1.3.3 GPRS GPRS (General Packet Radio Service) bietet eine im Vergl eich zum GSM verbesserte Bandbreite und wird seit 2001 angeboten" . Eine veranderte GSM-Netzinfrastruktur sowie perm anent "eingebuchte" GPRS-taugliche Endgerate sind Voraussetzung". Vier definierte Funkkanale mit den jeweiligen Kodierverfahren (Coding Schemes) 9,05 (CS1) , 13,4 (CS2) , 15,6 (CS3) und 21,4 (CS4) kbps" werden erst dann belegt, wenn Datenpakete gesendet werden . Derzeit werden in der Regel CSI und CS2 sowie die Bundelung von 3 oder 4 Kanalen verwendet, was max . 53,6 kbps ergibt. Theoretisch ist jedoch die Kopplung von 8 Kanalen moglich, Da die derzeitigen GPRS-Netzwerke nur mit einer einzigen Qualitiy-of-Service-Stufe ("best effort") arbeiten, ist die tatsachlich erreichbare Bandbreite von der jeweiligen Netzauslastung abhangig. Die von den Providem tatsachlich angebotenen Datenraten machen also nicht einmal die Datenrate eines ISDN-Kanales aus und gestatten daher noch keine bandbreitenintensiveren Anwendungen. Das verb indungslose Verfahren GPRS benotigt zudem ein VPN (Virtual Private Network), das die Bandbreite verringert. In der ersten Zeit des GPRS -Betriebes war ein europaweite s Roaming noch nicht moglich. " Erst seit April 2002 ist fur T-Mobile-Kunden ein GPRS -Roaming mit T-Mobile UK, T-Mobile Austria und T-Mobile Czech Republic verfiigbar. Ein europaischer GPRS-Roamingverbund ist erst allmahlich im Aufbau begriffen. Neuere, in Europa angebotene Dienste, wie MMS und i-Mode?", sind derzeit nur mit GPRS moglich. Fur GPRS bieten sich Tarifmodelle, deren Basis das libertragene Datenvolumen ist, an. Die Ubertragung eines MB ytes kostet in Deutschland via HSCSD zwischen 0,36 und 7,93 €, im Vergleich dazu bei GPRS bis zu 30,- € .80 Die GPRS-Tarife der Telefonprovider" werden sich weiterhin laufend verandem und somit auch manche Kalkulationen im Bereich Mobile Business. Es empfiehlt sich daher eine standige Beobachtung der teilweise unlibersichtlichen Gebtihren. Fur den Dienst GPRS pro von T-Mobile galten am 1. 4. 2001 :82
Auf http ://www .ericsson .de/microsite/gprs/index.html(3. 10. 2000) war von einer Bandbreite von bis zu 115 kbit/s die Rede, die noch im Jahre 2000 verfUgbar sein soUte. Tatsachlich konnten diese Prognosen nicht eingehalten werden. 76 Mehrere GPRS-fahige Endgerate erschienen erst im Verlauf des Jahres 2001 77 Diese Angaben sind bezogen auf den physical layer. In Praxis liegen die Werte um ca. ein Drittel oder mehr darunter. 78 Einzelne Roaming-Vereinbarungen wurden bereits abgeschlossen, z. B. VIAG Interkom und ONE. 79 Vgl. dazu die nachfolgenden KapiteI3 .3.7 und 3.3.9 80 Vgl. Ozkilic 2002 81 T-Mobile und Viag Interkom sowie http://www.cebit.de/cclist (22. 3. 2001) 82 T-Mobil Presse, in: http://www.t-mobil.de/index/1.1064 .95d-pmid$226 .00.html (27.3. 2001) 75
86
I Elemente einer Infrastruktur fur E-Business
"FUr WAP-Nutzer, die sich fur die neue Variante des T-Dl GPRS pro entscheiden, ist bereits ein Datenblock von 1 MB im Grundpreis von 19,95 Mark 83 enthalten. Dafllr konnen WAP-Kunden beispielsweise einen Monat lang ohne Zusatzkosten taglich bis zu 15 E-Mails empfangen oder senden ode r bis zu sechsmal taglich WAP-Informationen wie Aktienkurse, Fahrplaninformationen oder Wetterauskunfte abrufen . Jedes weitere lO-KB-Paket wird mit 19 Pfennig " berechnet. Gleichzeitig konnen die Kunden den neuen Tarif auch fur das kostengunstige Surfen im Internet via Laptop und GPRS-Handy nutzen : Der lO-kByte-Datenblock kostet sie nur noch 7 Pfennige '", hinzu kommt ein Stundenpreis fur die Nutzung von 49 Pfennigen'" . So werden die Kosten fur das mobile Internetsurfen via GPRSHandy und Laptop gegenuber dem bisherigen GPRS pro urn mehr als die Halfte reduziert: Das Laden der T-Mobile Homepage beispielsweise kostet so nur noch 96 Pfennig'" statt 2,62 Mark 88 . " Der oste rreich ische Mobilfunk-Betreiber ONE stellte ab Febru ar 2001 ein monatliches Grundentgelt von 7,19 € in Rechnung , wobei das Datenvolumen lO MB Web und lOO KB WAP bereits eingeschlossen sind. 89 Darube r werden pro MB 1,02 € bzw. pro KB 0,03 € verrechnet. Der aktuelle Stand des Kundenkontos kann tiber Web im ONE Cockp it abgefragt werden .
Bei E-Plus wurde Anfang 2002 die Abrechnung auf kleinere Einheiten umge stellt, was die Nutzung von WAP verbilligt. Wurden bisher fur 10 kB Datenvolumen 35 Cent verrechnet, so anderte sich der Tarif auf 2,5 Cen t fur 1 kB. Hingegen verteuerte sich die Ubertragung groberer Datenmengen, da die bisherige Errnabigung ab 100 kB pro Internet-Verbindung entfiel. Eine Entscheidung zwischen HSCSD und GPRS ist im konkreten Fall vom jeweiligen Mobilfunkanbieter und dem betreffenden Pre is-Leistungsverhaltnis abhangig. Der Mobilfunkanbieter ONE stellt die beiden Dienste wie folgt gegenuber'": Die Vorteile von "One High Speed Data" (basierend auf HSCSD) seien: • • • • • • •
83 84
85 86 87
88 89 90
Ideal fur die schnelle mobile Ubertragung groBer Datenmengen (Filme, EMails mit Attachments, Videokonferenzen). Einfache Integration in bestehende Firmennetzwerke In den meistcn Landern Europas via Roaming einsetzbar. Die Verrechnung erfolgt nach Verbindungsdauer. Datentibertragung oder Sprachtelefone sind moglich, Hohe Servicequalitat: Garantierte Bandbrcite von 28,8 Kbps unabhangig von der Benutzeranzahl. Derze it schnellste Form der mobilen Datentibertragung. Die Gratissoftware BlueKite" erlaubt durch Datenkompression noch schnellere Ubertragungsraten. Entspricht lO,20 € Entspricht 0, lO € Entspricht 0,04 € Entspricht 0,25 € Entspricht 0,49 € Entspricht 1,34 € Vgl. http://www.one.atigprs/tarife.shtml (27. 3. 2001) Vgl. http://www .one.atigprs/vergleich.shtml (27. 3. 2001)
3 Mobile Business
87
Die Vorteile von "ONE GPRS" seien : • • • • • •
Ideal fur E-Mails, Chats und WAP, Spiele und Instant Messenger, denn der GPRS Nutzer ist 24 Stunden online. Rascher Verbindungsaufbau Erste Roamingpartner bereits verftigbar Verrechnung nach tatsachlicher Datenmenge Gleich zeitiges Telefonieren und Datentibertragung tiber WAP und/oder Web ist moglich . Je nach verwendetem Mobiltelefon und verfUgbaren Netzressourcen stellt ONE die maximale Bandbreite zur Verftigung.
Der osterreichische Mobilfunkanbieter telering hatte im November 2001 drei relativ untibersichtliche GPRS-Angebote: - GPRS-WAP : monatlicher GPRS-Paketpreis (inc!. 3 MB Datenvolumen) 14,46 €, dartiber hinaus 0,0211 € pro KB - GPRS-20: monatlicher GPRS-Paketpreis (inc!. 20 MB Datenvolumen fur Internet und 200 KB fur WAP) 14,46 € , dartiber hinaus 0,0211 € pro KB, bis 50 MB 1,3808 € pro MB, dartiber 1,8721 € pro MB - GPRS-50 : monatlicher GPRS-Paketpreis (inc!. 50 MB Datenvolumen) 43,53 € , dartiber hinaus 0,8721 € pro MB Mittlerweile gehen bereits einige Mobilfunkbetreiber?' davon aus, dass fur die am meisten nachgefragten Dienste (z. B. E-Mail-Dienste) GPRS vollig ausreiche und dafUr nicht das teure UMTS notig sei. Al bietet mehrere GPRS-Tarife an:92 Das Online Package Mobil (monatlich 15 €) mit 120 min. GSM Datendienste, 10 MB GPRS (jedes weitere MB: 0,99 €) und 50 SMS Bei der Abrechnung in Sekunden sind monatlich 50 MB inkludiert, jedes weitere MB kostet 0,44 € . Je nach Tarif sind pro Minute 0,0356 bis 0,1446 € zu bezahlen.
3.3.3.4 EDGE und EGPRS
EDGE (Enhanced Data Rates for GSM-Evolution) ermoglicht durch den Einsatz einer anderen Modulationsart'" eine grolsere Ubertragungsrate'" . EDGE ist mit den bisherigen GSM-Varianten kombinierbar: HSCSD wird dabei zu ECSD (Enhanced Circuit Switched Data) sowie GPRS zu EGPRS (Enhanced General Packet
91
92
93
94
Z. B. der franzosische Mobilfunkbetreiber Bouygues Telecom Vgl. http://www.al.net/CDA/display_1/0.1027.NavGroup_0-Artld_2933.00.html (2\. \. 2002) Es wird ergan zend zu dem be im GSM verwendeten Modulationsverfahren GSMK (Gaussian Minimum Shift Keying) das Verfahren 8-PSK (8-Pa se-Shift-Keying) einge fuhrt . Vgl. Nikolai/Daniel/KUhn 2000 , S. 190 - 197
88
I Elemente einer Infrastruktur fur E-Business
Radio Service) erweitert. EGPRS bietet eine theoretische Bandbreite bis zu 473,6 kbps, die sich aus 8 Zeitschlitzen zu je 59,2 kbps ergibt. EDGE ist allerdings vergleichsweise anfalliger fur Ubertragungsfehler bei schlechteren Empfangssituationen, weshalb im Betrieb eine automatische Umschaltung zum robusteren GMSK-Verfahren erfolgt. Fehlerkorrekturen sowie die mangelnden AkkuKapazitaten der Mobiltelefone, aufgrund derer nicht aile Zeitschlitze verwendet werden durften , werden jedoch die Bandbreiten erheblich vermindern. Im prakti schen Einsatz wird fur EGPRS mit einer Bandbreite von durchschnittlich 220 kbps beim Einsatz von EDGE-Modems in Notebooks sowie mit 110 kbps bei EDGE-fahigen Mobiltelefonen gerechnet. Obwohl noch nicht bekannt ist, welche Netzbetreiber EDGE anbieten werden , so ist davon die Rede, dass vier Dienstklassen angeboten werden, die jeweils unterschiedliche Datenraten und akzeptierbare Verzogerungszeiten aufweisen : •
• • •
Acknowledge Mode (fur FTP, E-Mail). Es soli moglich sein, dass eingehende E-Mails selbstandig tibermittelt werden. Diese Dienstklasse soli als erster EDGE-Dienst (voraussichtlich im Jahre 2002) in den USA eingefuhrt werden. Conversational Class (fur Sprachdienste und Videotelefonie) Interactive Class (fur Web-Surfen , Zugriffe auf Datenbank-Server) Streaming Class (fur Video- und Multimedia-Anwendungen)
In den neuen GSM-Netzwerken wird es kunftig zu einer Mischung unterschiedlicher Benutzer und Techniken kommen. Es sind dies zunachst die Teilnehmer des alten GSM-Netzes (Schwerpunkt ist dabei der Sprachdienst), hinzu kommen die Benutzer des GPRS sowie die Benutzer von EDGE . Aufgabe der Netzbetreiber wird es sein, die Bedarfe dieser unterschiedlichen Benutzerkategorien dadurch zu decken , dass die Kapazitaten (etwa durch dynamische Anpassung der Zeitschlitze des Multiplexverfahrens) bereitgestellt werden . Providerseitig sind dazu hohe Investitionen erforderlich. Es gilt, Multistandard-Basisstationen und die Ubertragungstechnik zu entwickeln und einzusetzen sowie in die bestehenden Systeme zu integrieren. SchlieBlich sind neue Endgerate und last not least neue Tarifmodelle zu entwickeln .
3.3.3.5 CDMA und TDMA
COMA (Code Division Multiple Access) wird als "spread spectrum" Technologie bezeichnet. Gegenuber einem GSM-Systcm erhoht sich die Bandbreite auf das 4bis 5-fache . CDMA ist nicht nur in den bestehenden Systemen der 2. Generation, sondern wird auch in den 3G-Systemen vertreten sein." Das TDMA-Verfahren (Time Division Multiple Access) arbeitet mit der Einteilung in Zeitscheiben und ist neben COMA einer der in den USA gebrauchlichen Standards .
95
VgI. http://www.cdg.org/frame_hn.html (4. 10.2000)
3 Mobile Business
89
3.3.3.6 PDe PDC (Personal Digital Cellular) ist der im Mobilfunk bislang eingesetzte japanische Standard, der hinter GSM hinsichtlich der Verbreitung mit ca . 40 Millionen Benutzem an zweiter Stelle steht. Er bietet die Bandbreite von 9,6 kbps .
3.3.3.7 Systeme der 3. Generation Unter der Bezeichnung IMT-2000 96 sind jene Standards zu verstehen, die eine globale Versorgung und ein Roaming tiber die Netzwerke hinweg errnoglichen sollen. Da die bestehenden Netzwerkbetreiber ihre Dienste und deren Standards allmahlich aus den derzeitigen Systemen der 2. Generation entwickeln wollen, wird kein einheitliches System, sondem eine kompatible "family of systems" angestrebt. Es werden daher CDMA, TDMA und GSM weiterentwickelt. "The IMT-2000 or third-generation (3G) vision is to create a unified global set of standards requirements that will lead to the commercial deployment of a new generation of advanced multimedia wireless communications.i"? Daneben sollte es auch eine Ruckwarts-Kornpatibilitat zwischen den alteren Techniken und den jeweils aktuellen mobilen Netzwerken geben . Wesentlich ist es, die fur jede Anwendung abgestimmte Bandbreite zur Verfugung zu stellen. Mit UMTS soll es ktinftig drei unterschiedliche Datenraten geben: • • •
In der Pico-Zelle im stationaren Betrieb 2 Mpbs, im portablen Modus (Autofahrer in Ballungszentren und Fulsganger) 512 kbps, im mobilen Modus (im fahrenden Fahrzeug auBerhalb von Ballungszentren) 128 kbps.
Diese Bandbreiten liegen weit unter jenen, die bereits heute in verkabelten Netzen (etwa in Lokalen Netzen'") oder in WLANs Alltag sind . Inwieweit die durch UMTS bereitgestellte Bandbreite ausreicht, urn Video- und Tontibertragungen hoher Qualitat anzubieten, bleibt abzuwarten. Erstmals wurde im Oktober 2000 ein UMTS-Empfang mit 1,2 Mbps mittels TTD (Time Division Duplex) vorgefuhrt, jedoch nicht mittels eines Mobiltelefons . Am weitesten fortgeschritten sind die Technologien und deren Einsatz in Japan, weil dort derzeit die vergleichsweise hochste Nachfrage nach groberen Bandbreiten besteht. NTT DoCoMo und Japan Telecom setzen auf W-CDMA99. DDI und IDO praferieren Wideband-cdmaOne. In Nordamerika wird von der TIAIOO die 96 International Mobile Telecommunications-2000 http://publicI.lucent.com/wireless/products/solutions/third.html (4. 10. 2000) In verkabelten Netzwerken sind - je nach eingesetzter Technik - bereits heute weit hohere Bandbreiten von z. B. 100 Mbps oder IGbps ublich. 99 Wideband Code Division Multiple Access 100 Telecommunications Industry Association 97
98
90
I Elemente einer Infrastruktur fOr E-Business
Weiterentwicklung von cdmaOne und der TDMA-Technologie in Richtung auf die 3. Generation (also auf Wideband-cdmaOne) vorangetrieben. In Europa werden von der ETSl101 die UMTS-Standards lO2 entwickelt. Auch hier soil en die bestehenden GSM-Dienste zu Technologien der 3. Generation weiterentwickelt werden. In Europa soil die W-CDMA-Technogie eingesetzt werden. Die Entwicklung in Europa und in Japan zeigt sich jedoch insbesondere an den unterschiedlichen Standards WAP und i-Mode. UMTS wurde in Japan'?' im Oktober 2001 104 eingefuhrt. 1m wichtigen Telekommunikationsmarkt Deutschland haben 6 Unternehmen UMTS-Lizenzen ersteigert. Es sind dies : • • • • • •
T-Mobil (Deutsche Telekom MobilNet GmbH) E-Plus / Hutchinson Group 3 G Mannesmann Mobilfunk GmbH MobilCom Multimedia GmbH VIAG INTERKOM GmbH & Co.
Noch im Jahre 2001 ging man in Deutschland von der Einfuhrung von UMTS im Jahre 2002 aus. In Europa besteht jedoch nach wie vor Unsicherheit, wann tatsachlich der Betrieb aufgenommen werden wird. Als Starttermine wurden im Janner 2002 an gegeben.!" T-Mobile 3. Quartal 2003 , MobilCom 2. Halbjahr 2002, Vodafone D2 Herbst 2002, Quam frtihestens 1. Quartal 2003, Viag und EPlus 2003 . Der flachendeckende Betrieb ist fur 2005 vorgesehen. 1m Juni 2002 wurde bekannt gegeben, dass im Sommer 2003 durch T-Mobile in Deutschland der kommerzielle UMTS-Netzbetrieb aufgenommen werden soIl. 106 Zahlreiche Anktindigungen von Mobilfunkbetreibern und Herstellern der letzten Jahre tiber die Aufnahme des UMTS-Betriebes stellten sich als zu voreilig heraus, was Zweifel tiber eine rasche Verbreitung dieser Technik und der darauf aufbauenden mobilen Anwendungen nahrte, Die Eifahrungen, die in den letzten Jahren in Europa mit der langen Phase der hohen Gebtihren fur den Internet-Access bei Festnetzanschltissen gemacht wurden , bestatigen sich leider derzeit nochmals bei den hohen Gebtihren fur GSMbzw. GPRS-Benutzer. Obwohl die Nutzung aufgrund der WAP-Angebote und WAP-Endgerate derzeit nur wenige sinnvolle Anwendungen aufweist, ist mobiles Internet dennoch in aller Munde. Neben der Schwachstelle der verftigbaren Technik (insbesondere Bandbreiten, Endgerate sowie User Interface) gibt es als wei teres Hindernis noch die als zu hoch empfundenen Kosten. Die ktinftigen, wahrscheinlich ebenfalls uberrnabig hohen UMTS-Gebtihren dtirften daher zumindest 101 102 103 104
EuropeanTelecommunications StandardsInstitute Universal MobileTelecommunications System Vgl. die untenstehenden Ausftihrungen zum i-Mode-Dienstvon NTT DoCoMo Als Wireless Access System gelangen dabei Direct Spread CDMA und WidebandCDMA im 2 GHz-Band zum Einsatz. 105 Vgl. T-Mobile mit UMTS im Sommer 2003, in: http://futurezone.orf.at (24. 1. 2002) 106 Vgl. http://www.pressetext.de/pte.mc?pte=020606038 (7. 6. 2002)
3 Mobile Business
91
in den Anfangsphasen der Einfuhrung dieses Dienstes eine breitere Nutzung ausschlieBen. Der ursprtinglich fur Mai 2001 vorgesehene Start des neuen 3G-Mobilfunknetzes FOMA (Freedom Of Multimedial Access) in Japan wurde aus technischen Grtinden auf Oktober verschoben, eben so wie der UMTS-Start auf der Isle of Man . Die Swisscom Mobile begann im Dezember 2001 mit dem Betrieb eines UMTS-Pilotnetzes mit 8 Basisstationen in Bern, das der Erprobung der UMTSTechnologie dienen sollte. Ende 2002 sollen 20% der Schweizer Bevolkerung erreicht werden .l'" Anfang 2002 nahm Sonera in vier finnischen Stadten ein UMTS-Netz zu Tcstzwecken in Betrieb. Ein kommerzieller Betrieb wird fur 2004 oder 2005 erwartet.l'" Die in den letzten Jahren zu optimistisch erstellten Business-Plane der Mobiltelefonanbieter, die tiber die teuren UMTS-Lizenzen verfugen, mussen derzeit der Realitat angepasst werden . Es mehren sich Presseberichte tiber die enormen Kosten der Mobilfunkbetreiber fur den UMTS-Ausbau. Die erforderlichen Investitionen werden allein in Osterreich auf bis zu 5,81 Mrd . € geschatzr.'?? Einzelne der Mobilfunkbetreiber'!? werden die technischen Mindestvorgaben fur UMTS nicht erfullen und die weiter oben beschriebenen Standards erst Jahre spater anbieten. Das norwegische UMTS-Konsortium Broadband Mobile wurde zahlungsunfahig. Die noch urn die Jahrtausendwende in vielen Medien via UMTS-Werbung propagierten Musik- und Videodienste sowie die daraus erwarteten hohen Einnahmen der Mobiltelefonanbieter rticken in weite Ferne. Ein UMTS-Durchbruch wird wenn tiberhaupt - nicht vor dem Jahre 2004 oder 2005 erwartet. Als Reaktion auf diese Entwicklung solI die UMTS-Ubertragungsrate bei manchen Anbietern zunachst auf 64 kbps begrenzt werden. Nur urn UMTS attraktiver zu machen, setzt die Mobilfunkbranche zunachst darauf, die Systeme der 2. Generation (GSM und GPRS) weit unter deren Leistungsfahigkeit einzusetzen,'!' Diese MaBnahmen sind jedoch nicht als zeitgemaf einzustufen; sie lassen zudem eine vollig neue Konkurrenzsituation durch die sich in der Praxis rasch verbreitenden und relativ billigen WLAN-Technologien mit den vergleichsweise hohen Bandbreiten entstehen, deren Auswirkungen noch nicht abzusehen sind .
3.3.3.8 H2U Die beiden Systeme WLANs und UMTS werden wegen der enormen Anzahl bereits bestehender WLAN-Hotspots als Konkurrentcn gesehen. Viel spricht je-
107 108
109 110 III
VgI. http .z/www.presserext.com, pte011210026 (10. 12.2001) VgI. Sonera opens UMTS network in Finland, in: http://www.sonera.filenglish/pressinfo/releaseslEngSonera2002/2002/ l .html (23. 1. 2002) VgI. UMTS-Ausbau kostet 80 Milliardcn ATS, in http ://futurezone.orf.at (20.8.2001) VgI. UMTS ohne Killeranwendungen, in: http ://fururezone.orf.at (7. 9. 2001) VgI. UMTS-Durchbruch nicht vor 2004 , in: http://futurezone.orf.at (25.9.2001)
92
I Elernente einer Infrastruktur fOr E-Business
doch fur eine sinn volle gegenseitige Erganzung, wobei die Starken der beiden Systeme kombiniert werden konnten. Urn ein nahtloses Roaming zwischen UMTS- und WLAN-Funkzellen zu ermoglichen, wird seit Marz 2001 an der Entwicklung von H2U-Spezifikationen (Higher Capacity to UMTS) gearbeitet,'!" Dabei sollen samtliche aktuellen WLAN-Technologien einbezogen werden . Kunftige Mobiltelefone und PDAs sollen also mit der kombinierten Funktionalitat auch den UMTS-Dienst attraktiver machen . Einzelne Mobilfunkbetreiber kundigen bereits den Einstieg ins WLAN-Geschaft im 5-GHz -Band an.!"
3.3.3.9 Systeme der 4. Generation Eine noch schnellere DatenUbertragung durch mulitple Antennen der Mobiltelefone verspricht der neue Standard Multiple Input Multiple Output (MIMO) . Es werden mehrere Verbindungen gleichzeitig aufgebaut und damit die Bandbreiten gegenuber UMTS urn ca . den Faktor 10 vergrobert. Das Japanische Telekommunikationsministerium beabsichtigt, in die 4G-Technologie (mit Bandbreite urn 100 Mbps) zu investieren. Als Jahr der MarkteinfUhrung wird 2010 genannt.
3.3.4 Wichtige Standards fur die Informationsdarstellung und das Mobile Programming FUr die Gestaltung der Informationsdarstellung bzw. fur die Entwicklung von Anwendungen am Gerat sind insbesondere folgende Standards zu beachten : • • • • • • •
Wirele ss Application Environment (ein Teil der WAP-Architektur) XHTML Basic Compact HTML HTML 4.0 Guidelines for Mobile Access HDMUl4 VoiceXMUI5 (z. B. fur kUnftige mobile Office-Anwendungen, die nattirliche Sprache als Benutzerschnittstelle ermoglichen), Wireless Java
Aktuell ist das Programmieren mobiler Gerate (Mobile Programming) mit Wire less Java!". Dafur gibt es derzeit die beiden Standards'!' J2ME1l8 (Sun MicrosyVgl. dazu http://www .heise.de/mobil/n ewsticker/data/jk-09.07.02-007/ (9. 7. 2002) und http://www.heise.de/mobil/artikeI/2002/04/24/doppelfunker/ (14. 6. 2002) ll3 Vgl. dazu http://www .heise.de/mobillnewsticker/data/jk-12.07.02/ (12.7.2002) 114 Handheld Device Markup Language, vgl. dazu Kap. 3.3.8 us Der Grundgedanke von VoiceXML ist folgender: Der Benutzer spricht in ein Telefon in naturlicher Sprache mit einem VoiceXML-Serv er. Die Sprache wird tibersetzt in einen Request fur eine VoiceXML-Seite auf einem Webserver, der die entsprechenden Aktionen ausfuhrt und eventuell Antworttexte zurucksendet, die wiederum in nattirliche Sprache umgewandelt werden. 116 Vgl. z. B. Qusay, H. Mahmoud: Wireless Java, O'Reilly 2002 112
3 Mobile Business
93
stems Java 2 Micro Edition) und QUALCOMM's BREW Environment. Das japanische Gegensttick dazu ist Java-for-i-Mode. Es wird ktinftig von wesentlicher Bedeutung sein, ob ein mobiles Gerat J2ME-tauglich ist. Software Development Kits fur Wireless Java stehen z. B. von Siemens!'? sowie von Whiteboard'P' zur Verftigung. In diesem Zusammenhang sind die Spezifikationen MIDP sowie CLDC zu beachten: "The Mobile Information Device Profile (MIDP) is a set of JavaTM APIs which, together with the Connected Limited Device Configuration (CLDC), provides a complete J2METM application runtime environment targeted at mobile information devices , such as mobile phones and entry level PDAs . The MIDP specification addresses issues such as user interface, persistence storage, networking, and application life cycle." 121
MIDP ist eine Klassenbibliothek und Laufzeit-Umgebung flir mobile Endgerate. Midlets sind spezielle Java-Anwendungen, die sich - in Analogie zu Applets und Servlets - als Standards fur plattformtibergreifende und gerateunabhangige Software durchsetzen sollen. Midlets konnen beispielsweise Anwendungen wie Organizer oder auch Spiele sein, aber auch Fronends fur Server-Anwendungen. Etliche aktuelle Mobiltelefone und PDAs untersttitzen bereits diese vereinfachte, auf Kleingerate zurechtgeschnittene Java-Variante . Entwicklungsumgebungen fur Windows, Linux und Solaris sind bei Sun verftigbar. Es gibt allerdings auch Einschrankungen, z. B. der begrenzte Arbeitsspeicher oder spezielle Funktionen und im MIDP nicht standardisierte Java-Klassen mancher Gerate.F' Die Programmierung und der Einsatz von mobilen Anwendungen fur Endgerate unterschiedlicher Hersteller und Betriebssysteme wird auch erleichtert durch MExE, einer standardisierten Ausfuhrungsumgebung.'> Ein entsprechender Applikationsserver fur MexE ist auf dem Markt verftigbar.
3.1.5 WAP-Technik und Standards - Oberblick
3.1.5.1 Wireless Application Protocol (WAP)
Zur WAP-Architektur l24 zahlt eine Reihe von Standards, die einer raschen Weiterentwicklung unterworfen sind 125. WAP musste bislang Rticksicht auf die im 117
118 119
120
121
122 123 124
Vgl. dazu http://www.wirelessinanutshell.com/wirelessjaval (21. I .2002) Vgl. http://wireless.java.sun.com/j2me/ (25. 1. 2002) Vgl. http://www.siemens-mobile.de (25. 1. 2002) Vgl. http://www.zucotto.com/whiteboard/index.html (25. 1. 2002) http://java.sun.com/products/midp/ (25. 1. 2002). Aktuell ist J2METM CLDC reference implementation vl .0.3 Vgl. Violka 2000 Vgl. dazu http://www.pressetext.atlpte.mc?pte=020117011 (17. 1. 2002) Die WAP-Architektur umfasst einen Satz von Protokollen (WAP-Stack). Es werden die Schichten Application Layer (mit WAE), Session Layer (mit WSP), Transaction Layer (mit Wireless Transaction Protokol, WTP), Security Layer (mit WTLS) und Transport Layer (mit WDP; hier erfolgt die Anpassung auf das jeweilige Ubertragungsmedium)
94
I Elemente einer Infrastruktur fur E-Business
Vergleich zu PCs eingeschrankten Rahmenbedingungen der mobilen Gerate (insbesondere Bandbreite, Display , Speicher, CPU) nehmen. Der neue Standard WAP 2.0 solI angeblich Entwicklungskosten senken, da Anwendungen fur PC- und WAP-Cl ients gemeinsam entwickelt werden konnen , FUr kunftig werden Farbe , verbesserte Navigation sowie Multimedia Messaging versprochen . Stellt man den bislang angebotenen alteren WAP-Standard den im Internet ublichen Standards gegenuber, so ergeben sich folgende Zuordnung en: Internet HTML, JavaScript
HTTP TLS - SSL TCPfIP,
UDPfIP
WAP Wireless Application Environment (insbesondere WML, WML-Script) Wireless Session Protocol (WSP) Wireless Transport Layer Security (WTLS) User Datagram Protocol Wireless Datagram Protocol (WDP) (UDP)
I
Bearers (z. B. GSM, CDMA, CDPD, FLEX) Die Kommunikation zwischen dem WAP-Client und dem Webserver, auf dem WML-Seiten gespe ichert sind , lauft tiber einen speziellen WAP-Server, der als WAP-Gateway und -Proxy konfiguriert ist. Die WAP-Server haben auch die Funktion eines WAP-Portales fur die eigenen Kunden . Die Kommunikation erfolgt in folgenden Schritten : •
•
•
125
Der User des WAP-Clients fordert tiber das (Funk)Netz des Telefonproviders ein WML-Dokument an, wobei das Wireless Sess ion Protocol (WSP) verwendet wird. Diese Anfrage wird zunachst vom WAP-Server des Telefonproviders bearbeitet. Der Telefonprovider ist bestrebt, die WAP-Benutzer moglichst mit Informationen, die auf seinem eigenen WAP-Server liegen, zu versorgen. Werden solche Informationen angefordert, so werden die betreffenden binar kodierten WML-Dokumente Uber das (Funk)N etz des Telefonproviders an den WAPClient gesendet. Das Internet wird nicht eingesetzt. Angenommen, das vorn Benutzer gewilnschte WML-Dokument liegt auf einem Webserver irgendwo im Internet. In diesem FaIle setzt der WAP-Server die vom WAP-Gerat kommende Anfrage in HTTP-Requests urn und sen-
unterschieden. Die unterste Schicht bilden die Bearers (der Ubertragungstyp , z. B. GSM, GPRS, HSCSD) Der Juni 2000 erlassene und verbreitete Stand ard WAP 1.2.1 wird abgelost von WAP 2.0, (vgl. http ://www .wapforum.org). Die Spezifikationen umfassen unter anderem auch das Multimedia Messaging Service (MMS) , das Wireles s Application Environment (z. B. Wireless Markup Language , WMLScript Language SIN, XHTML Mobile Profile Specificat ion), Wireless Protocols (z. B. WAP over GSM USSD Specification), Wireless Security sowie Wireless Telephon y Application (WTA).
3 Mobile Business
• •
•
95
det diese tiber das Internet an den Webserver, auf dem das WRL-Dokument liegt. Das am Webserver gefundene WML-Dokumcnt wird Uberdas Internet mittels HTTP an den WAP-Server gesandt. Urn das zu ubertragende Datenvolumen zu reduzieren, werden die WML-Dokumente (auch WML -Skripts) durch den WAP-Server binar kodiert (Binary WML) und unter Verwcndung des WSP tiber das (Funk)Netz des Telefonproviders an den WAP-Client gesendet. Der WML User-Agent bringt diese in eine fur den Benutzer sichtbare Form am Display des WAP-Clients.
FUr das Telefonieren selbst ist ein weiterer User-Agent, der WTA-User-Agent zustandig . Die gesicherte WAl--Ubertragung ist in drei Stufen cingeteilt: • • •
WTLS Klasse 1: allgemein fur Verschllisselung WTLS Klasse 2: WTLS Klasse 1 zuzuglich Identifizierung des Servers WTLS Klasse 3: WTLS Klasse 2 zuzuglich Identifizierung des Teilnehmers
3.3.5.2 Seitengestaltung mit der Wireless Markup Language (WML) Die Inhalte bzw . Anwendungen werden mit der Wireless Markup Language (WML) erstellt'>. Es handelt sich urn eine XML-Sprache und weist Ahnlichkeiten mit HTML auf. WML-Dokumente mussen eine entsprechende XML-Deklaration sowie eine Document Type Definition (DTD) aufweisen:
Wesentlich ist zunachst die Unterscheidung in • •
Decks, definiert mit den tags <wml> und und Cards, definiert mit den tags und .
Man spricht bei WAP von .Homedeck" und nicht von einer Homepage. Ein Deck ("Stapel") besteht in der Regel aus mehreren Cards. Der Benutzer navigiert schrittweise durch die Cards . Jedes Tag muss mit ,,/" abgeschlossen werden. Variable, denen mittels Benutzereingaben Werte zugewiesen werden, konnen mehrere Decks Uberdauern und den Inhalt einer Card verandern. Beispiel: Die Zuweisung der Variable "Beurteilung" mit einem durch den Benutzer ausgewahlten Wert ("S", "A " oder "N") erfolgt durch nachfolgendes Auswahlmenu: <wml> 126
Vgl. z. B. Htimmler 2000
96
I Elemente einer Infrastruktur fUr E-Business Wie fanden Sie die Lehrveranstaltung? <select name="Beurteilung"> seh r gut akzeptabel nicht akzeptabel
Weitere wichtige Tags sind : -cbr/» Neue Zeile eine zwe ispaltige Tabelle wird definiert gruppiert Texte oder andere Elemente Fordert den Benutzer zur Texteingabe auf <do> Fi.ihrt einen Befehl aus Offner einen URI
Ein URI (uniform resource identifier) kann ein URL oder auch eine Ressource sein . In nachfolgendem Beispiel wird "wtai:/I" zur Nutzung von Telefonfunktionen (fur die Anwahl einer Nummer) verwendet: <do type="accept" label="Anruf'>
Telefonnummer eingeben:
In einem weiteren Beispiel gelangt der Benutzer zur Card mit Informationen zum Lagerbestand eines Artikels: <wml> <do type "accept">
-c/do» Mit OK sehen Sie den Lagerbestand
Der Lagerbestand ...
-c/wml»
3 Mobile Business
97
Die Einbindung von Datenbankbefehlen ist analog zu HTML moglich . WMLDateien konnen also auch dynamisch generiert werden. Sie konnen WML-Skripts sowie Grafiken enthalten . •
•
WMLScript: Ahnlich JavaScript, kann zur prozeduralen Beschreibung von Ablaufen in WML-Dateien verwendet werden . Beispiele: Uberprufung von Benutzereingaben , lokale Fehlermeldungen. WMLScript wird in eigenen Dateien mit der Extension ".wrnls" gespeichert. Grafiken : Dazu wird das WBMP -Format (Wireless Bitmap), das Grafiken mit lediglich 1 Bit Farbtiefe ermoglicht, verwendet. Ais Extension wird ".wbmp" verwendet.
3.3.5.3 Authentification, Privacy und Integrity Der Security-Layer WTLS (Wireless Transport Layer Security) ist optional und ermoglicht sichere Verbindungen (Authentification, Privacy und Integrity), wobei im Bereich des WAP-Gateways eine Sicherheitslticke entsteht, da keine End-toEnd-Verschltisselung erfolgt. 127
3.3.5.4 Publizieren von WML-Seiten auf Webservern Sollen WML-Seiten auf Webservem angeboten werden , so sind die entsprechenden MIME-Typen einzutragen. Es sind dies : text/vnd.wap.wml - .wml (WML Quelltext) image/vnd.img.wbmp - .wbmp (Wireless Bitmap) application/vnd.wap.wmle - .wmle (kompiliertes WML) text/vnd .wap.wmlscript - .wmlscript (WMLScript) text/vnd.wap.wmlscript - .wsc (WMLScript) application/vnd.wap.wmlscriptc - .wmlscriptc (kompiliertes WMLScript)
3.3.5.5 WAP-Gerate und Browser Aus Sicht der Gerate bestehen derzeit folgende wichtige Moglichkeiten der Nutzung von WAP-Diensten 128 : • • •
WAP-taugliche Mobiltelefone WAP-fahige Personal Digital Assistants Notebooks und PCs
Die Darstellung von WML-Seiten ist bei den einzelnen Browsem unterschiedlich. Der Einsatz von WAP kann auch fur Notebooks oder auch fur PCs sinnvoll sein, 127 128
Vgl. Kap. 3.4.4 Ubersichten tiber die jeweil s aktuellen Gerate bzw. Softwarepakete werden in einschlagigen Fachzeitschriften laufend veroffentlicht, Auf eine detaillierte Darstellung der einzelnen Produkte wird an dieser Stelle verzichtet.
98
• • •
I Elemente einer Infrastruktur fUr E-Business
da im Vergleich zu HTML weniger Daten tibertragen werden , falls ein WAP-taugliches Gerat nicht zur Verfugung steht und/oder der Benutzer die eher knapp formulierten Informationen vorzieht.
Die Bezeichnung WAP-Browser wird auch verwendet fur die Betrachtung von WML-Seiten am PC. Hier sind auch Bezeichnungen wie WAP-Previewer, WAPEmulatoren oder HTML- bzw. WML-Konverter anzutreffen (vgl. Abb. 1-3.2). Es sind dies Server im Internet, die eine Konvertierung von WML-Seiten in HTMLSeiten vornehmen. Diese sind dann aufrufbar tiber Standard-Web-Browser. Neueste Versionen von Web-Browsemt-? konnen auch WML-Seiten anzeigen. Dass eine WML-Seite oder eine WBMP-Grafik auf einem derartigen WAPBrowser im WWW zu sehen ist, sagt jedoch noch nichts dartiber aus, dass dieselbe Seite auf einem bestimmten Mobiltelefon in gleicher Weise oder iiberhaupt zu sehen ist. Wird auf WML-Seiten zugegriffen, die nicht vom Mobiltelefonbetreiber selbst angeboten werden, sondern von einer Organisation auf einem WWW- bzw . WAP-Server am Internet, so ist auch nicht gesagt, dass der am Mobiltelefon jeweils angezeigte Inhalt die aktuellste Fassung des Dokumentes darstellt.P? Bei den Mobiltelefonen kommen laufend neue Modelle mit unterschiedlichem Entwicklungsstand auf den Markt. Als Faustregel gilt: Gerate, die alter als ein Jahr sind, taugen nicht mehr fur die neueren Standards. Diese Gerate haben sich zu Wegwerfprodukten entwickelt. Die wichtigsten Schwachstellen sind: •
• • • • •
129
130
Auf den kleinen Displays von Mobiltelefonen lassen sich nur knapp formulierte Texte und (im Unterschied zu den japanischen i-Mode-Geraten) nur einfachste Pixelgrafiken darstellen. Es gibt Schwierigkeiten, Umlaute (etwa bei Ortsnamen) und Sonderzeichen einzugeben. Endgerate sind fur WMLScript noch nicht bereit. Aufgrund der Geratevielfalt werden die WML-Seiten nicht ausreichend getestet. Eingabe der Daten ohne ergonomische Tastatur und Maus . Geringe Stabilitat der Verbindungen. Begrenzte Stromversorgung (Schwachstelle Batterie).
Der Web-Browser Opera Dies hat der Autor bei den vom Institut fur Datenverarbeitung angebotenen WMLSeiten erfahren rnussen.
3 Mobile Business
99
Abb. 1-3.3 Darstellung von WML -Seiten am PC (wap.at browser)
3.1.5.6 Kosten WAP ist (ca. 20 Cent pro Minute) im Vergleich zum WWW (mit ca. 0,5 Cent pro Minute) teuer, wenn man fur die Verbindungsdauer bezahlt. Dies wird noch verstarkt duch das umstandliche Navigieren und die kleine Informationsmenge, die am Display zu sehen ist. In einem im Jahre 2000 durchgeflihrten praktischen Test 131 ergaben sich z. B. Kosten fur eine Fahrplanauskunft tiber WAP in der Hohe von 0,66 € (Dauer tiber 3 Minuten) - per Web und ISDN dagegen nur 3 Cent (Dauer 30 Sekunden).
3.1.5.7 WML·Editoren und Software Development Kits Es sind mehrere Editoren und Development-Kits mit Dokumenten, Beispielen und Bibliotheken verftigbar. Beispiele : Das Nokia WAP-SDK (Software Development Kit) 132 enthalt neben einem Project Organizer auch einen WML-Browser (dieser ist kompatibel zu WAP 1.1) mit dem Aussehen eines Nokia 71lO-Mobiltelefones. Das Nokia WAP131 132
Vgl. Kosse12000, S. 194ff. Vgl. http://www.nokia.de/system1oesungenlwap/entwicklung/index .html (3. 10.2000)
100
I Elemente einer Infrastruktur fur E-Business
SDK verfugt tiber ein integriertes WAP-Gateway, wodurch am PC ein Zugriff auf im Internet oder lokal gesp eich erte WAP-Se iten moglich ist, ohne die Dien ste eines Netzanbieters oder WAP-Servers zu benotigen. Das Nokia WAP-SDK steht fur Windows 95/98/NT zum kostenlosen Download zur VerfUgung. Soli das Verhalten der zu entwickelnden WAP-Anwendung unter realen Bedingungen getestet werden, so wird der Nokia-WAP-Server benotigt, Fur den neuen Standard WAP 2.0 sind ebenfall s Developer Toolk its verfugbar, z. B. von Jatayu Software.' > Ein WAP 2.0 kompatibl es Gateway, Browser sowie das Development Tookit werden kostenlos zur VerfUgung gestellt.
3.3.6 SMS und EMS Stark genutzt wird das Short Messag e Service (SMS), fur dessen Nutzung das Internet nicht Vorausset zung ist. Viele Benutzer verwenden auch die Moglichkeit, mittels einer SMS-Plattforrn im WWW gratis SMS-Nachrichten abzusetzen. Da es an bestimmten Tagen zu Uberlastungen des Systems kommt, darf man sich nicht auf eine rechtzeitige Uberrnittlung einer Nachricht verlassen . SMS ist gegenwartig fur den Online-Werbemarkt ein wichtiges Medium; es wird von jahrlichen Wach stums raten von 30% gesprochen. Ais erfolgreich gelten SMS-Trailer (Werbebotschaften am Ende einer SMS) sowie die Moglichkeit eines effizienten Mitteleinsatzes (Targeting).' >' Nicht gestattet ist jedoch die Zusendung von unerwtin schten Werbezusendungen tiber SMS ; die Mobilfunkanbieter sind verpflichtet, dies zu unterbinden. SMS ist im Bereich Private-To-Private sehr popular; es werden daher in neuere Geraten spe zielle Funktionen, etwa unter der Bezeichnung "SMS-Chats" eingebaut. Dadurch ist es moglich, mit mehreren Benutzern gleichzeitig und autornatisiert Nachrichten zu versenden. Zahlreiche Gateways setzen SMS-Nachrichten in E-Mails oder Faxe urn bzw. umgekehrt. SMS ist wie das E-Mailing eine Form der asynchronen Kommunikation , also muss der Kommunikationspartner nicht zur gleichen Zeit verfugbar sein ; Anwendungen mtissen auf dies Rticksicht nehmen . Da die Zustellung der Nachricht in vielen Fallen mit Verzogerung erfolgt, ist SMS fur zeitkritische Online-Anwendungen nicht geeignet. 3000 Mitarbe iter der Allianz AG in Polen nutzen eine interessante SMS-Anwendung der Topcall International AG. "Die Allianz verfugt tiber ein breites Angebotsspektrum und ein globales Netzwerk aus umfassenden Datenbanken . Etwa 80% der Versich erungsagenten arbeiten regelmalsig im AuBendienst, benotigen aber laufend aktuelle Informationen tiber Produkte und Kunden. Durch die SMS-L osung wird den AuBendienstmit arbeitern der permanente Datentransfer tiber den TOPCALL-Server in Verbindung mit einer Oracle-Datenbank errnoglicht. Mitarbeiter der Allianz AG erhalten Empfangsbenachrichtigungen tiber neue E-Mails ('You've got new mail') ebenso auf ihr Handy weiterge leitet wie Internet-Anfragen bzw. -Auftrage ('Plea se contact ... ') von Kun-
133 134
Vgl. http://www.jatayusoft.com Vgl. http://www.pressetext.com.pteOllI28033(28.1 1. 2001)
3 Mobile Business
101
den. Auch tiber mogliche Provisionszahlungen werden die AuBendienstler nun per SMS informiert. Provi sionsmitteilungen werden nicht mehr per Post verschickt; Zeiteinsparungen und ein optimierter Informationsfluss sind mit diesem System garantiert, Mit der Topcall SMS-Losung konnte die Zufriedenheit der AuBendienstmitarbeiter deutlich erhoht und ihre Anrufe im Buro zu StoBzeiten urn etwa 30% gesenkt werden . Auch die Lange der Telefongesprache konnte reduziert werden - urn bis zu 50 Prozent. Gleichzeitig stieg die Motivation der Versicherungsagenten der polnischen Allianz AG signifikant, und das Kundenservice konnte entscheidend verbessert werden, da Web- und E-Mail-Anfragen rascher beantwortet werden konnen, Mobilitat und standige Erreichbarkeit des Kundenbetreucrs bedeuten cine enormc Erhohung der Kundenzufriedenheit. " 135
Eine weitere Anwendung stellt der Umstieg bisheriger Paging-Kunden auf SMS dar. "Die Grundfunktionalitat des Paging, namlich Gruppen schnell und einfach zu alarmieren bzw. zu benachrichtigen, wird von Al durch eine SMS-Losung ersetzt: Al SMS PRO, ab dem 3. Quartal verfugbar, ermoglicht die Alarmierung und Benachrichtigung mehrerer Personen gleichzeitig via SMS - tiber Web-Oberflache oder Handy . Einsatzleiter konnen im Alarmfall bis zu tausend Person en zeitgleich verstandigen. Fur Alarmierungs- und Notrufdienste bietet mobilkom austria die Funktion 'Priority Message', die eine raschest mogliche Zustellung fur besonders wichtige Nachrichten garantiert. Die Empfanger von Gruppen-SMS-Nachrichten mussen nicht tiber ein Al Handy verfugen, sondern konnen selbstverstandlich auch Kunden anderer Netzbetreiber sein." 136
Es besteht auch die Moglichkeit, elektrische Gerate (Heizung, Beleuchtung usw.) tiber SMS femzusteuem. Der Benutzer setzt eine SMS-Nachricht mit vordefiniertem Inhalt ab, die von einem Facility-Management-System empfangen und in einen Steuerbefehl umgewandelt wird. Die Popularitat von SMS insbesondere bei Jugendlichen kann auch daran abgelesen werden, dass Politiker und Verbraucherschtitzer erfolgreich gegen eine im Jahre 2002 geplante Gebuhrenerhohung bei T-Mobile von 0,08 € auf 0,19 € fur den SMS- Versand protestierten. Es war von .Jvlarktmissbrauch zu Lasten von Jugendlichen" die Rede .137 Der britische Mobilfunkprovider Virgin Mobile bietet auch fur nicht WAP-fahige Mobiltelefone die Moglichkeit, WAP-Dienste zu nutzen. Erforderlich ist eine spezielle SIM-Karte, die einen WAP-Browser enthalt, der WML-Seiten per SMS sendet und empfangt. EMS (Enhanced Messaging Service) ermoglicht seit Ende 2001 die Versendung von SMS mit Sounds, Bildem, Animationen, Logos und Text, wobei allerdings nur einzelne Hersteller entsprechende Gerate anbieten. Fur ein derartiges "Greeting SMS" stellt Al den Betrag von 1,50 € in Rechnung.
135
136 137
http://www .pressetext.de/pte.mc?pte=020718005 (18. 7. 2002) Vgl. dazu http://www .pressetext.de/pte.mc?pte=020503004 (3. 5. 2002) Vgl. dazu SMS bei T-Mobile auch ktinftig ab 0,08 Euro, in: http://www.heise.de/newsticker/data/ad-21 .0 1.02-000/ (22. 1. 2002)
102
I Elemente einer Infrastruktur fiir E-Business
3.1.7 MMS Der Multimedia Me ssaging Service (MMS) kann Bilder, Musik und ktinftig auch Videofil es mit Textn achrichten koppeln. Au s einem Vorrat von Bildern konnen beispielsweise Picture-Postcards zusammengestellt werden. Auf Pocket PCs ist die Installation eigener MMS-Clients moglich, MMS-Centers fur den Einsatz beim Telefonprovider sind bereits verfugbar. Ein MMS-fahiges Mobiltelefon, z. B. mit Displays 176 mal 208 Pixel, mit einem Kamera-Modul ausgestattet sowie mit HSCSD oder GPRS wird als Endgerat benotigt. MMS wird seit Mitte 2002 von Mobilkom in Deutschland und von T-Mobile in mehreren Staaten Europas angeboten. Die Mobilkom Austria nahm im gleichen Jahr den MMS -Dienst in Osterreich und Kroatien auf, wobei bis Jahresende 50.000 bis 80.000 Benutzer erwartet wurden. MMS-Mitteilungen konnen jedoch auch tiber E-Mail verschickt werden, wenn der Empfanger tiber kein MMS-taugliches Gerat verfugt, wobei in diesem FaIle eine Verstandigung per SMS erfolgt. 138 Der Ernpfanger muss sich allerdings vorher beim Mobil funkbetreiber registrieren lassen. Di ese bieten auch einen Vorrat an Bildern und Sounds an . Entscheidend fur den Erfolg von MMS wird jedoch die ktinftige Preisgestaltung sein. Das Versenden einer MMS kostete bei Aufnahme des Dienstes bei Mobilkom Austria 0,60 € , bei T-Mobile werden fur eine Multimedia-Postkarte ("M-Card") 2,- € verrechnet.!" Inwieweit die "MMS-Abodienste" der Mobilkom Austria "APATop-News" und "girl-a-day" ("Die Beauty des Tages, jeden Morgen auf Ihrem Handy!"1 40) sinnvoll sind, wird die Zukunft zeigen. "MMS is a standardized service that is expected to become a true mass-market service. MMS is specified by 3GPP and WAP Forum." 141
Auch bei MMS kam es zu Fehleinschatzungen daruber, wann endlich MMSfahige Endgerate auf den Markt kommen (sie wurden ursprtinglich bis Ende 2001 erwartet). Zur Zeit des Beginnes des MMS-Services, Mitte 2002, standen fur den Benutzer nur wenige Gerate zur Auswahl.' ? Inwieweit sich Erwartungen, MMS konne die durch hohe UMTS-Lizenzen und -Investitionen stark belasteten Mobilfunkanbieter starker entlasten, als realistisch herausstellen, bleibt abzuwarten.
3.1.8 Wireless Internet in den USA Von den meisten Mobiltelefonbetreibern werden in den USA unter verschiedenen Produktbezeichnungen ahnliche Informations- und Kommunikationsdienste jeVgl. http://futurezone .orf.atlfuturezone .orf?read=detail&id= 121742&tmp=79793 (4.6.2002) 139 Vgl. http://www .heise.de/mobil/newsticker/data/mgo-l0.07.02-0011 (10. 7. 2002) 140 http://www.al .netlCDA/di splay_1I0.1027.NavGroup_0-Artld_25891 .00.html (l0. 7. 2002) 141 http ://www.nokia.com/networks/mobile_ internetlmultimedia_messaging_service.html (26.2.2001) 142 Z. B. die Modelle Sony Ericsson T68i, Ericsson T68m 138
3 Mobile Business
103
weils mit der Bandbreite von 9,6 kbps angeboten. Beispielsweise bietet Sprint die Dienste "Sprint pes Wireless Web" und "Sprint pes Wireless Web Messaging" an. Diese Dienste verwenden den "Sprint pes Mini Browser" (den UP.Browser™ von Phone .com) und schlieBen mit ein:
pes
•
•
•
•
Sprint pes Wireless Web Short Mail : Zum Versenden einer Kurznachricht wird lediglich die Telefonnummer benotigt . In der Regel sind bereits vorformulierte Nachrichtentexte verfUgbar, wie z. B. "I'm running late, I'm on my way". Es ist moglich, vorbereitete Texte per Mobiltelefon oder uber die Webpage des Anbieters zusammenzustellen. Sprint pes Wireless Web Mail : Dieser Dienst ermoglicht das Senden und Empfangen von E-Mails ins bzw. vom Internet. Eine mobile E-Mail-Adresse setzt sich aus der Telefonnummer und dem Domainnamen des jeweiligen Anbieters zusammen . Sprint pes Wireless Web Browser: Hier werden speziell aufbereitete Textversionen von uber 60 bekannten Websites angeboten, beispielsweise von Ebay, Fidelity Investments und Nextdoor .!" My Sprint pes Wireless Web : Es besteht die Moglichkeit zur Personalisierung , also der Auswahl der Inhalte. Entsprechende Bookmarks bzw . Verzeichnisse "My Wireless Web" werden dann eingerichtet.
Die Lange der Textnachrichten ist in der Regel auf 100 oder 150 Zeichen eingeschrankt. 1m Unterschied zu den meisten europaischen Mobiltelefonprovidern ist es in den USA moglich, den jeweiligen Stand der jeweils aufgelaufenen Gebuhren zu erhalten. In den USA ist neben WAP haufig auch die aus HTML abstammende und zeitlich bereits vor WML entwickelte Handheld Device Markup Language (HDML) im Einsatz ; HDML-Seiten konnen auf einem WWW-Server l 44 publiziert werden. Nachfolgend wird ein Beispiel!" fur eine HDML-3.0-Seite gegeben : January rainfall 1998 : 19 1997 : 15 February rainfall 1998 : 14 143
144 145
Einen Uberblick tiber die von Sprint zur Verfiigung gestellten "Sp rint PCS Wireless Sites" gibt http://www.sprintpcs.com/wireless/wwbrowsing_providers.html (8. 5. 2001) MIME-Type text/x-hdml hdml Adams, Paul: Intro to HDML, in: http://hotwired.lycos.com/webmonkey/99/48/index3a_page3.html?tw=design (I. 8. 2002)
104
I Elemente einer Infrastruktur fur E-Business 1997: IO March rainfall 1998: 18 1997 : 19
Es wird in den USA auch der Ein satz von UWC -136 146 diskutiert, eine auf TDMA basierende 3G-Technologie; es ist jedoch vor dem Jahre 2007 nicht mit einem UMTS-Start zu rechnen.!"
3.3.9 i-Mode und FOMA (NTT DaCoMa)
3.3.9.1 Oberblick Der in Japan bereits seit Februar 1999 verfligbare "NTT DoCoMo's i-mode service" wies Anfang Oktober 2000 bereits tiber 12 Millionen und Mitte 2002 bereits 33 Millionen!" Teilnehmer auf und ermoglicht die Nutzung von Intemetdiensten mittels Mobiltelefon (i-mode-compatible cellular phone). Uber 40 .000 InternetSites konnen erreicht werden. Zum Unterschied von den europaischen, WAPtauglichen Geraten handelt es sich urn ein proprietares System, fur das in Japan bereits Gerate mit Liqid-Cristal-Displays, die 256 Farben mit einer Auflosung bis zu 120 x 120 Pixel darstellen konnen, zur Verfugung stehen'v. Das Mobiltelefon konnte auch bisher permanent auf "Stand-By" geschaltet sein und war dann bereit, neben herkornrnlichen Telefonanrufen mit 9600 bps auch Daten zu empfangen. Ein zusatzlicher Ubertragungsmodus gestattet 64 kbps tiber kurze Strecken zu einer speziellen Basisstation zu Hause. Wahrend des Stand-ByBetriebes oder eines Telefonates ist es moglich, Video-Inhalte zu laden und darzustellen. Die Abrechnung erfolgt nach den tibertragenden Datenpaketen (PDC150). E-Mails werden automatisch ans Mobiltelefon tibertragen; jeder Teilnehmer hat eine Intemet-taugliche E-Mail-Adresset 51. Werden von den Information Providem Gebtihren verlangt, so werden diese tiber DoCoMo abgerechnet. Individualisierte Homepages bzw . Mentis konnen eingerichtet werden; dafur wird eine entsprechende Datenbank mit den Benutzerprofilen verwendet. 1m Mai 2001 wurde mit dem Verkauf von Mobiltelefonen begonnen, mit denen Musik aus dem Netz geladen und abgespielt werden kann . Ob dies die sehnlichst erwartete mobile .Killeranwendung" sein wird , ist jedoch fraglich. Universal Wireless Communications Consortium Vgl. UMTS-Start in den USA nicht vor 2007, in: http://futurezone.orf.at (4.8.2001) 148 http://www .nttdocomo.comJ(l9. 7. 2002) 149 Vgl. dazu http://nttdocomo.comJrelease/topics/tpOOOI07 .html(4.1 O. 2000) 150 Packet-based telecommunication charge 151 [email protected] 146 147
3 Mobile Business
105
NIT DoCoMo fuhrte FOMAl 52 (basierend auf IMT-2000 und ihrem W-CDMA System!") im Oktober 2001 zunachst im GroBraum Tokio und einige Monate spater auch in anderen Stadten ein . Zu Beginn standen dabei lediglich zwei Endgerate'> zur Wahl , wobei die Kunden auf die in der Werbung gepriesene Funktion des Video-Streamings verzichten mussten. (In naher Zukunft werden sie daher nochmals ein neues Gerat anschaffen mtissen .) Aufgrund einer Allianz, die NTT DoCoMo mit der niederlandischen KPN Mobile und Telecom Italia Mobile geschlossen hat, werden kombinierte i-Mode und WAP- Telefone vorbereitet. In den Niederlanden (KPN Mobile) wurde im Jahre 2002 schrittweise der erste i-mode-Dienst Europas auf Basis GPRS eingefuhrt, eben so auch in Belgien (KPN Orange) und Deutschland (E-Plus).155 EMails bis zu 1000 Zeichen sowie SMS-Mitteilungen bis zu 160 Zeichen konnen empfangen und versendet werden . Urn das japanische Erfolgsmodell i-mode auch in Europa umsetzen zu konnen, werden hohe Qualitatsstandards an die ContentProvider gestellt.!" Zum Unterschied von WAP konnen i-mode-Seiten mit einer vereinfachten HTML- Version, auch bezeichnet als cHTMU 57, entwickelt werden . Dieses imode kompatible HTML ist ein Subset aus HTML 2.0, 3.2 und 4.0 und ist erweitert mit einigen zusatzlichen Tags. Es gibt gerateabhangige Einschrankungen, z. B. was die untersttitzten Tags betrifft. Dies gilt auch fur die Darstellung von transparenten, animierten und interleaced GIFs.Weitere Voraussetzungen sind SJIS-Character-Encoding sowie die Verwendung des GIF-Formates fur Grafiken. Java und Skriptsprachen wurden zu Beginn des i-Mode-Dienstes noch nicht unterstutzt!". Von entsprechend ausgestatteten Endgeraten (i-mode Terminals) konnen auch i-cppli-Anwendungen (Java-for-i-Mode-Anwendungen-") geladen und lokal ausgefuhrt werden . Daneben gibt es auch Anwendungen, die auto matisch Verbindung ins Netzwerk aufnehmen, urn Updates (etwa zu Wetter- und Verkehrsinformationen oder zu Borsenkursen) zu laden. Die Zahl der i-uppliKunden in Japan stieg seit Anfang 2001 auf tiber 14 Millionen (Mitte 2002). Weniger verbreitet sind Mitte 2002 die Dienste "Personal Handy System" PHS (1,9 Millionen) sowie FOMA (110.000 Kunden) 160. 152 "Freedom Of Mobile MultimediaAccess", ein Motto von NIT DoCoMo 153 Die UMTS-Dienste, die in Europa eingefuhrt werden sollen, werden voraussichtlich ebenfalls auf dieser Technologiebasieren. 154 Es waren dies die "FOMA Enhanced Handsets" NEC N2001 und MatsushitaIPanasonic P2101V 155 Vgl. KPN Mobile nimmt i-mode Testbetrieb auf, in: http://www.pressetext.comloben. php?pte=01l217041&chat=ht(17.12 .2001) 156 Unter anderem werden die .Positiven Games" von Photo Play des osterreichischen Unternehmens funworld ag im europaischen i-rnode-Dienst angeboten; vgl. http://www. pressetext.dc/pte.mc?pte=020115009 (15. 1. 2002). 157 compact HTML 158 Geplant war die Einbeziehung von Sun's Java, Jini und Javacard-Technologien. 159 Es kommt die gemeinsam mit Sun Microsystems entwickelte i-Mode Extension Library zum Einsatz. 160 Vgl. die Angaben tiber SubscriberGrowth in: http://www.nttdocomo.com (19. 7. 2002)
106
I Elemente einer Infrastruktur fUr E-Business
Als Gebuhren fur den klassischen i-Mode -Dienst fallen in Japan neben einer monatlichen Grundgebuhr von derzeit 300 Yen auch Kosten fur die Datenmenge an (0,3 Yen pro 128 B). Die Nutzung mancher i-Mode-Sites wird mit einer monatlichen FixgebUhr pro Site verrechnet. Das Senden oder Empfangen einer Nachricht bis zu 20 Zeichen kostet ca. 1 Yen, 250 Zeichen hingegen 4 Yen. FUr den mobilen Zugriff auf Musik werden als monatliche Gebuhr umgerechnet ca. 2,€ zuzuglich ca. 3,- € pro Musikstuck verlangt. FUr den neuen UMTS-Dienst betragen die monatlichen Grundgebuhren bis zu 73,60 € . Ein E-Mail mit 50 japanischen Schriftzeichen kostet 1,4 Cent. Die von E-Plus in Deutschland angebotenen neuen i-rnode-Gerate und -Dienste bestechen im Vergleich zu WAP 1.2.1 mit einem hochwertigen Content-Angebot, Farbbildern und Animationen. Sie lassen jedoch eine fur Europa ungewohnlich hohe Kostenbelastung erwarten,'?' Zur monatlichen GrundgebUhr von 3,- € kommen noch 1 Cent pro Kilobyte sowie die Informations-Abonnements mit bis zu 2,€ monatl ich. Ein Mail abzusenden kostet 19 Cent. Mitte 2002 gab es in Deutschland ca. 28.000 i-mode-User.I'<
3.3.9.2 HTML-Beispiel fur i-Mode Ein auf einem Mobiltelefon gezeigtes Menu wird wie folgt in HTML dargestellt: <TITLE>HAUPTMENU <mEAD> Mein Menu
1. Mein Menu 2. Bestellungen 3. Neues 4. Setti ngs
3.4 Anwendungsbereiche des Mobile Business 3.4.1 WAP-Anwendungen im Oberblick Die WAP-Gateways werden fast ausschlieBlich nur von den Funknetzbetreibern angeboten und bieten auch Portale an. Nachfolgend seien aktuelle Beispiele fur in Deutschland verfUgbare WAl--Dienste'P genannt:
161 162 163
Vgl. Gobel 2002 Vgl. http://www.pressetext.de/pte.mc?pte=020722009 (19. 7. 2002) Vgl. http ://www.nokia.de/systemloesungen/wap/dienste/index.html(3.1 O. 2000)
3 Mobile Business
107
Es steh en zur Verftigung: Die aktuelle Ausgabe des Spiegels, die Politikseiten der Suddeutschen Zeitung, der Borsenrnarkt im Handelsblatt, n-tv Text und Pro Sieben News, Wetter, die Ergebnisse der letzte Lottoziehung, Fahrplan der Deutschen Bahn, Kinoprogramme, TV -Tips, Horoskop, aktuelles Fernsehprogramm, WDR-Videotext oder FuBball-, Tennis- oder Forrnel l-Nachrichten, Zum Thema "Mobile Manager" werden vom deutschen Provider D2 Nachrichtenquellen (Tagesschau, Yahoo!News, NDR, Sat! oder Spiegel Online) angeboten, daneben verschiedene Auskunftsdienste und Business- und Bankinformationen sowie Sportnachrichten, Reise- und Verkehrsinformationen, Wettervorhersagen, Informationen zu Fun- und Lifestylebereichen sowie D2 Pressemitteilungen. Es besteht die Moglichkeit, E-Mails via WAP zu veschicken, ein Adressbuch anzulegen und per Quick Check den aktuellen Kontostand fur das D2-Netz abzurufen . Aus dem Programm von T-DI sind heute.online, focus.online, die DM, die Wirtschaftswoche, das Handelsblatt, Aktienkurse, Eurosport, Sat! ran, Kino News, MTV, Ravensburger, Lufthansa, Teragon Route, ADAC, Deutsche Bahn, Hotel HRS und das Telefonbuch, die Gelben Seiten sowie eigene Unternehmensund Produktinfos zu nennen . Die Nachrichten- und Fernsehagentur Reuters plante zusammen mit Nokia den Aufbau eines mobilen Service, der fur das Nokia 7110 optimiert sein sollte. Schwerpunkte dieses WAP-Dienstes sollten globale Nachrichten und Aktuelles aus dem Bereich Sport und Finanzmarkt sein . Vielfach wurde in der Werbung der mobile Zugang zum Internet mittels WAP zu fruh angepriesen; entsprechend hat das Image der WAP-Anwendungen gelitten. Aufgrund der gerateseitigen Einschrankungen besteht jedoch ein krasser Unterschied zu den am WWW gebrauchlichen Browsern. Vielfach wurden die Anwender mit Meldungen wie "Invalid WML", .Verbindungsaufbau nicht moglich" oder "File not found" abgeschreckt. Fur Informationsanbieter besteht ein hoher redaktioneller Aufwand bei der Anpassung von Informationen an W AP-Standards. Auch viele Internet-Entwickler beherrschen nicht die Erfordernisse von WAP . Vielfach wird WAP nicht ernst genommen und lediglich als Testplattform angesehen. WAP wird nach wie vor mit vergleichsweise niedriger Prioritat neben den Webdiensten betrieben. Neben vorbildlichen WAP -lnformationsangeboten l64 , z. B. •
•
knappe Formulierung von Nachrichten, wobei das Wesentliche an der Information bestehen bleibt (z. B. T-Online, n-tv, heise-online, Handelsblatt, Financial Times Deutschland), hervorragend recherchierte Kataloge mit treffend kommentierten Links (z. B. Infoseek);
gibt es eine groBe Anzahl von negativen Beispielen, z. B.: •
164
Es erfolgt die Einbindung von Inhalten ins WAP-Portal, ohne dass eine WAPgerechte Redigierung und Anpassung erfolgt. Vgl. dazu BagerlBleich 2000, S. 200ff
108
• •
•
I Elemente einer Infrastruktur fur E-Business
Bei Suchmaschinen sind Suchergebnisse kaum oder gar nicht komm entiert, urn Platz auf dem Display zu schaffen. Bei einem Hotelbuchungssystem muss der Kunde ein Formular mit 8 Feldem ausfullen, noch bevor vom System eine Ubernachtungsmoglichkeit genannt wird. Das Angebot von Shops und Auktionen ist nach wie vor gering .
Viele Angebote werden zudem nicht ausreichend auf allen verftigbaren Browsem getestet. Auf WAP basierende Dienste sind aus diesen Grunden derze it nur wenig beliebt und werden in absehbarer Zeit keine Akzeptanz finden, die an jene von WWW heranreicht. Mittlerweile bieten Provider Mailaccounts an, die sich auch tiber WAP abfragen lassen. Der Zugriff auf Mailaccounts tiber WAP war jedoch bisher in der Regel nur in einer fur den Benutzer sehr umstandlichen Art moglich . Diese werden bisweilen durch eine sehr umfangreiche Anmeldeprozedur abgeschreckt, wobei wiederum die Schwachstelle Tastatur voll zum Tragen kommt. Beim Electronic Banking mittels WAP kommt es haufig vor, dass nach dem Login die Anwendung aus fur den Benutzer unerklarlichen Grtinden abbricht, und er nicht weiB, ob eine Transaktion ordnungsgemaf abgeschlossen wurde . Mittlerweile besteht fur WAP-taugliche PDAs die durchaus interessante Moglichkeit, tiber WAP Daten abzugleichen . .E inen recht fragwtirdigen Service bietet pins.steganos.com an: die Online -Verwaltung von Zugangsinformationen per WWW oder Mobiltelefon. Von Vergessl ichkeit geplagte Surfer mogen sich dartiber freuen , nicht mehr samtliche Passw orter, Bankkarten-PINs ode r Online-Bank ing-T ANs auswendig lernen zu mUssen. Der Betreiber Demcom bemtiht sich, Sicherhe itsbedenken zu zerstreuen : Die Verbindung zwischen Webb rowser und Steganos-Server ist verschltisselt und auch die Verbindung zwischen dem Gatew ay des Mobilfunkbetreibers und Steganos soli verschltisselt erfolg en. Denn och sollte man soleh sensible Daten niem als einer fremden Firma anvertrauen. Denn was ntitzt die verschltis selte Ubertragung, wenn Crack er den Steganos-Server hacken oder ein unzufriedener Demcon-Mitarbe iter einen Handel mit den wertvollen Kundeninformationen aufziehtT I65
Die Situation hat sich in letzter Zeit zwar insofeme gebess ert, als die Webdesigner und die Informationsanbieter allmahlich lemen, mit WAP umzugehen . Dass es jedoch in der Vergangenheit stets einige Zeit dauerte, bis nach Markteinfuhrung eines Dienstes die Endgerate in ausreichender Anzahl zur Verfugung standen, hat dem WAP-Image weiter zugeset zt. Nur 3 Prozent der Benutzer deutscher Mobilfunkbetreiber nutzen WAP. Nur jedes zwolfte in Deutschland verkaufte Mobiltelefon ist WAP-tauglich 166
165 166
Bager/Bleich 2000, S. 201 Vgl. Endres 2001, S. 117
3 Mobile Business
109
3.4.2 Anwendungen von NTT DoCoMo im Oberblick
3.4.2.1 Derzeitige i-Mode-Informationsangebote Es bestehen zwei grundsatzliche Moglichkeiten, Informationen zu erlangen: •
•
Informationsangebote aus beliebigen Webservem irn Internet werden mittels HTTP an die i-Mode-Server ubertragen. Von diesen werden die Datenpakete bzw. Sprache per Funk an die Teilnehmer gesandt. Die Benutzer konnen mit den jeweils von ihnen gewtinschten Informationen ("Push Content") von den Information Providern ihrer Wahl versorgt werden . Vom Provider (DoCoMo) wird die User Subscription uberpruft, um Junks zu verhindern.
Es gibt vier Kategorien von i-cppli-Sites mit Java-for-i-Mode-Anwendungen: • • • •
Information Sites Database Sites Transaction Sites Entertainment Sites
Es steht eine groBe Zahl von Application Alliance Partners zur Verfugung, beispielsweise in folgenden Bereichen : • • • • • • • • • • • •
Mobile Banking Service Mobile Trading Service Aktuelle Kreditkarteninformation Life Insurance Account Information Airline (z. B. Online Reservation, Mileage Account) Reisen (z. B. Hotel- und Flugreservierung, Autovermietung, Landkarten, Auto-Navigation, Restaurantfuhrer) Konzertkartenreservierung News (Headlines, Sport, Wetter, Business , Technologie usw.) Unterhaltung (Netzwerkspiele, Karaoke, Sport, Lotterie usw.) Gelbe Seiten, Online-Buchandel Information tiber Nebenbeschaftigung Lemmaterial
Zahlreiche Firmen und Privatpersonen haben Webseiten fur den i-Mode-Service zur Verfugung gestellt. Es werden auch anscheinend gewinnbringende und von den Benutzern tatsachlich in Anspruch genommene Anwendungen, wie z. B. Musik zum Download angeboten. Das Anhoren ist gratis, fur das Abspeichern fallen Gebtihren an.
110
Elemente einer Infrastruktur fUr E-Business
3.4.2.2 FOMA-Anwendungen
Zuklinftig plant NTT DoCoMo unter dem Motto "Freedom Of Mobile Multimedia Access" (FOMA) den Ausbau der Anwendungsbereiche Personal Applications, Entertainment Applications, Business Applications und Home Applications."? FOMA wird in Japan als Bezeichnung fur die W-CDMA-Dienste von NTT DoCoMo verwendet. Zunachst wird es durch die Verbesserung der Bandbreite moglich sein, ein groBes Angebot von Multimedia-Inhalten zu nutzen . Beispielsweise konnen Bildund Musikdateien an die i-Mode-Mails angehangt werden . Musik- und Bildinformation von Streaming-Servern, Videotelefondienste sowie gleichzeitiges Telefonieren und Ubertragen von Datenpaketen werden angeboten. Der .rnopera location service" bietet derzeit ortsbezogene Informationen tiber Restaurants, Fahrplan- und Wetterinformationen. Diese Local Based Services werden weiter ausgebaut. Ein schematischer Dberblick uber die im Jahre 2001 geplanten Dienste und Anwendungen ist in Abb. 1-3.4 dargestellt.
167
Vgl. dazu: NTT DoCoMo: FOMA, Freedom Of Mobile multimedia Access, January 2001
3 Mobile Business Information Services (pull type)
Data Rate High
Broadcasting (push type)
Video Conferencing (V)
Remote Medical Diagnostics (V)
Digital Catalog Shopping (V)
Video on Demand (V)
Digital Information Delivery (video & audio) (V)
Videophone (V)
Video Mail (V)
Remote Education (V)
Mobile Video Player (SJ)
Advanced Car Navigation (SI)
Karaoke (A)
Digital Information Delivery (audio) (A)
EJ Mobile Banking (T)
Telephone (SP)
Data Rate Low
Voice Mail (SP)
IE-~"m
Digital Newspaper! PUblishing (SI)
111
Mobile TV (V)
Mobile Radio (A)
MobleAudio Player (A)
Digital Information Delivery (text) (T)
I
Short Message (T)
Interactive AbkOrzungen: A = Audio Data
I
Point-toPoint
One Way SI = Still Image T=Text Data
Multipoint SP = Speech V= Video
Abb.I-3.4 Dienste und Anwendungen von NIT DoCoMo (Quelle: NIT 2001)
3.4.3 Mobile Payment und Mobile Banking Untemehmen schlieBen sich in Konsortien bzw. zu Kooperationen zusammen, urn Standards fur das Bezahlen mit dem Mobiltelefon zu entwickeln . Beispiele : •
168
Die Deutsche Bank 24 und Nokia haben sich zu einer Kooperation zusammengeschlossen, urn einen neuen Mobile Banking Service zu entwickeln, der auf WAP basiert. Mit diesem Dienst wird es moglich, Bankgeschafte per WAP-fahigem Endgerat zu erledigen .l"
Vgl. http://www.nokia.de/systemloesungenlwap/dienste/index.html (3. 10. 2000)
112 •
I Elemente einer Infrastruktur fur E-Business
Siemens und IC Mobile haben die Grtindung eines Konsortiums angektindigt. Es solI unter anderem auch ein einheitliches Application Programming Interface (API) fur mobile Payment -Systeme erarbeitet werden .
Mangels anerkannter Standards sind zur Zeit proprietare Systeme im Einsatz, z. B. das Pay@once von Siemens, das Mobile Banking im japanischen i-Mode-Service oder das nachfolgend naher erlauterte von Paybox angebotene System . Eine Form der Bezahlung von Online-Angeboten sowie alltaglicher Dienstleistungen (Taxi usw.) ist mittels Mobiltelefon tiber Paybox bis max . 200,- € mogIich169 • Das Internet wird fur diesen Dienst nicht benotigt, kann aber auch fur Uberweisungen und Registrierungen verwendet werden . Der Zahlende und der Zahlungsempfanger mussen bei Paybox registriert sein. Der Zahlungsempfanger ruft mit seinem Mobiltelefon eine vorgegebene Nummer an und gibt den Betrag sowie die Paybox-Nummer des Zahlenden ein. Letzterer wird sofort von Paybox zurtickgerufen; der Name des Zahlungsempfangers und der Betrag werden wiederholt. Der Zahlende muss jetzt die Transaktion durch Eingabe seiner PIN freigeben. Paybox zieht den Betrag per Lastschrift ein und leitet ihn an den Empfanger weiter. Beide erhalten eine Bestatigung per SMS bzw. E-Mail. Nicht registrierte Empfanger mtissen sich (z. B. per WWW) registrieren lassen, urn zu ihrem Geld zu kommen . Der Betrag wird nur dann tiberwiesen, wenn er dem gewtinschten Empfanger gutgeschrieben werden kann. Die Grundgebtihr betragt 7 € ; jede Uberweisung kostet je angefangene 25 € 0,25 € (hochstens jedoch 2 €); hinzu kommen noch die entsprechenden Telefongebtihren. Die hohen Gebtihren und die geringe Verbreitung des Paybox-Systems bedingen einander. Ftir den Einsatz im Mobile Banking kommen ktinftig auch Verschlusselungsverfahren (z. B. in Deutschland im Rahmen des HBCI-Standards I70 ) zum Einsatz. Sollen Transaktionen mittels PDA erfolgen, so kann der private HBCI-Schltissel beispielsweise auf einer Smartcard gespeichert sein . Bei Verwendung eines Mobiltelefones besteht kunftig die Moglichkeit, HBCI in die Chipkarte zu integrieren. Auch ist der Einsatz von zusatzlichen Chipkartenlesegeraten denkbar. 3.4.4 Mobile Broking
Eine der beliebtesten WAP-Anwendungen ist das Abfragen von Borsenkursen .!" Auch im i-mode-Dienst sind Borseninformationen (die Bewegung jeder Aktie kann aktualisiert und daher verfolgt werden) beliebt. Das Online-Brokering tiber WAP ist noch nicht mit allen Mobilfunkbetreibern und auch nicht tiber alle WAPtauglichen Endgerate moglich. Dies gilt sinngemaf auch fur die Banken bzw .
169 170
171
Vgl. http://www.paybox.de und http://www .paybox .atlproduktlfunktion/ptop.html (25.2.2001) Homebanking Computer Interface (definiert von den Spitzenverbanden der deutschen Kreditwirtschaft) Vgl. Behr 2000
3 Mobile Business
113
Online-Broker. Fur den Zugang zum Konto bzw. Wertpapierkonto werden haufig die vom Telebanking her bekannten PIN und TAN benotigt. Die Handhabung von TAN-Listen im mobilen Betrieb ist allerdings problematisch. Ebenso kommt es beim Mobile Broking manchmal zum Verbrauch einer TAN-Liste an einem Tag.
o SSL WAPTerminal
WTLS Wireless Transport Layer Security
EJ WAPServer
http-Server im Internet oder Intranet
ApplicationServer fOr die Bankanwendung
Abb. 1-3.4 Schematische Grundstruktur der Kommunikationsbeziehungen fur WAP-Bankanwendungen
WTLS (Wireles s Transport Layer Security) ist Teil der WAP-Protokolle zur Absicherung der Datenkommunikation (analog dem SSL im Internet) . Trotz Verschlusselung gemals SSL bzw. WTLS kommt es im Bereich des WAP-Servers zu einer Entschltisselung, urn die binare Kodierung der WML-Dokumente vornehmen zu konnen. Zur Erhohung der Sicherheit sollte daher darauf geachtet werden, dass der WAP-Server, der http-Server sowie der Application-Server von der betreffenden Bank administriert werden. Abb . 1-3.4 zeigt schematisch die Grundstruktur der Kommunikationsbeziehungen fur WAP-Bankanwendungen.
114
I Elemente einer Infrastruktur fur E-Business
3.4.5 Lokalisierung und Individualisierung
3.4.5.1 Location Based Services Das Prinzip der Location Based Services entspricht zunachst dem grundsatzlichen Anliegen regionaler Informations- und Kommunikationssysteme, namlich primar regionale und lokale Informationen anzubieten. Das Potenzial der auf diesem Prinzip beruhenden E-Business- bzw. Mobile Business-Anwendungen ist teilweise noch nicht erkannt worden. Location Based Services werden in der Regel noch erganzt durch die Moglichkeiten des Benutzers zur Individualisierung. Kann das System dartiber hinaus auch die genaue Position des Benutzers feststellen (durch Ermitteln der GSM-Funkzelle oder tiber GPSI72), so konnen ad-hoc Landkarten, Routen und sonstige raumbezogene Informationen fur den Benutzer bereitgestellt werden. Eine Reihe von Herstellern bietet beispielsweise GPS-Routenplanung fur PDAs an . Der Standort, der als Ausgangspunkt fur die Recherche des Benutzers dient, sollte auch manuell e ingegeben werden konnen . Erst ab WAPVersion 1.2 ist es moglich, die ein zelnen Endgerate zu identifizieren. Klassische Anwendungsgebiete sind Verkehrsinformationsdienste, Hotelkataloge, Shoppingflihrer fur unterwegs, Taxi- und Tankstelleninformationen sowie Versorgungsdienste im Notfall. Ais Kosten fur die Inanspruchnahme eines Location Based Services (z. B. fur die Abfrage der nachstgelegenen Tankstellen) wurden im April 2001 vom osterreichischen Mobi lfunkanbieter Telering 0,44 € verrechnet. Ein Praxistest im gleichen Monat zeigte, dass nicht nur die leicht erreichbaren Tankstellen angezeigt wurden, sondern auch solche, die vom Standort durch einen Fluss getrennt waren . 1m Ernstfalle wird daher der Benutzer bei Verwendung der im Umlauf befindlichen Mobiltelefone, die tiber keinen GPS-Navigator verfligen, nicht ohne Ortskenntnisse, StraBenkarten oder Stadtplane auskommen konnen . Die Mobilitat behinderter, kranker oder alter Menschen konnte durch entsprechende Location Based Services erhoht werden, falls Informationen tiber die von diesen Personen benotigte lokale Infrastruktur (z. B. Hilfsorganisationen) verfligbar werden . Besonders problematisch ist hierbei eine etwaige mangelnde flachendeckende Versorgung. Ais ein Beispiel, wie Mobile-Business-Anwendungen mit Location Based Services in naher Zukunft aussehen werden, kann hierbei die Online-Navigation mit dem Pocket PC genannt werden 173. Allerdings wird derzeit neben einem Mobiltelefon auch ein eigener GPS-Empanger benotigt, Diese Anwendung tritt damit in Konkurrenz zu den bislang teuren Auto-Navigationssystemen. Der Fahrer gibt das
172
173
Global Pos itioning System. Beispielsweise gibt es fur den Nokia Communicator 9210 die Erweiterung LAM-I, mit der tiber GPS der gegenwartige Standort best immt werden kann. V gl. ct 24/2000 , S. 50
3 Mobile Business
115
Ziel der Fahrt auf dem Pocket PC ein . Per SMS wird tiber das Mobiltelefon der Server verstandigt, der seinerseits die Route per SMS zurucksendet. In dem hier angesprochenen Geschaftsfeld werden Location-Based-Information-Service-Provider tatig . Das Motto eines solchen Providers .wcities" lautet: "Bringing the world to your handheld". Neben multilingualen Informationsangeboten aus der jeweiligen Region oder Stadt werden angepasste Anwendungen auf WWW und WAP geboten. Als wei teres Beispiel wird das Konzept der Fa . Ericsson fur Location Based Services dargestellt: "By making information and services more localized, and more personalized to individual subscribers' needs, the whole Mobile Internet experience comes to life. "174 Ericsson's!" end -to-end solution allows mobile operators to offer personalized, location-based services to their customers by combining location-based information with standardized positioning methods. This solution offers end users a range of services including targeted advertising, directory services and route plans. Advanced customer data management secures relevant information for each user. Zu den wichtigen Funktionen der Location Based Services zahlen dabei : • • • •
Datenschutz der Informationen tiber die jeweilige geografische Position des Benutzers Gerate-Unabhangigkeit (in Europa: WAP-l.l-fahige Gerate und PCs) Die Identitat des Benutzers und seine Profile sind bekannt Verrechnung der Werbeeinschaltungen, z. B. nach der Haufigkeit des Aufrufes der Seite und der Reaktionen des Benutzers
Das Mobilfunkunternehmen Viag Interkom bietet einen sogenannten M-Kompass an . Dieser enthalt zum Beispiel einen "Restaurant Finder" mit einer Auswahl internationaler Gaststatten der jeweiligen Stadt, in der sich der Kunde gerade befindel. Der Kunde kann z. B. eine Pizzeria aussuchen und dort einen Platz reserviereno "Nutzt der Kunde ein GPRS -Handy, kann er die WAP-Sitzung anschlieBend unmittelbar fortsetzen und sich den Weg mit dem Routenplaner von M-Kompass zum Italiener weisen lassen", sagte Ziermann' ?"auf der Cebit 2001. 177 Jeder Kunde mit einem Mobilfunkvertrag von Viag Interkom kann M-Kompass ohne Voranmeldung per WAP nutzen. In der Einflihrungsphase fallen die ublichen Gebtihren fur den WAP-Dienst an .178 Die im japanischen i-Mode-Dienst derzeit verfligbaren Local Based Services werden derzeit von einem Konsortium zu einer groBen "DoCoMo Location Plattform" (DLP) ausgebaut. Mehr als 150 Unternehmen sind einbezogen. Fur die 174
http://www.ericsson.com/gsmworldcongres s/subpage .asp?sp=Exhibition (26. 2. 2001)
175 Vgl. dazu http://www.ericsson.com/mobileinternet/offerings/loc_services.shtml (26.2.2001)
176 Hans-Burghardt Ziermann , Geschaftsfuhrer von Viag Interkom 177 178
M-Compass als digitaler Stadtfuhrer, in: http://www.cebit.de (22.3.2001) Vgl. M-Compass als digitaler Stadtftihrer, in: http://www .cebit.de (22.3.2001)
I Elemente einer Infrastruktur fur E-Business
116
Nutzung werden DLP-kompatible GPS-Gedite benotigt. Als Dienste werden von diesem Application Service Provider kunftig angeboten: •
•
Anwendungen, die den eigenen Standort verwenden, wie Areas Information Portal (Iokale Informationen) Navigation (Routenplanung) Emergency Notification (Notfalle) Anwendungen, die den Standort von anderen Person en oder Objekten verwenden, wie z. B. das Tracking von AuBendienstmitarbeitern, Kindem, Alteren, Tieren.
Betrachtet man die in Abschnitt "Mobiles Intranet" bzw. "Local Worlds" geschilderten Anwendungen und Techniken (WLAN, Bluetooth), z. B. ein Messeinformations- und Navigationssystem, so kann man zum Schluss kommen, dass es sich bei diesen im Grunde um eine Sonderform der Local Based Services handelt.
3.4.5.2 Individualisierung / Personalisierung Eine zukunftstrachtige Form der Individualisierung bzw . Personalisierung dient der Vereinfachung der Navigation auf den mobilen Geraten. Der Benutzer stellt sich die von ihm gewunschten Einstiegsseiten zusammen, auf die er unterwegs tiber WAP, PC oder Web-Pad bequem zugreifen mochte.!" Allerdings kommt es letztlich auf den Umgang mit diesen Moglichkeiten durch den Anwender an. Die Praxis ist manchmal der Nutzung von WAP nur wenig forderlich, wie ein konkretes Beispiel eines Mobilfunkbetreibers in Osterreich zeigt. Die Eintragung der WAP-Links erfolgt zunachst in einer komplizierten Art und Weise tiber WWW. Die durch diese individualisierten Einstiegsmentis aufgerufenen WML-Seiten werden in einem Cash des Mobilfunkbetreibers "eingefroren" und nicht mehr angepasst, auch wenn die betreffenden WML-Seiten inhaltlich geandert oder aus dem Angebot genommen wurden . Derartig individualisierte Einstiegsmenus sind ein negatives Beispiel fur Mobile Business, da sie sich nicht zum Aufruf aktueller Informationen eignen . Es erhebt sich die Frage, ob der betreffende Mobilfunkbetreiber selbst an die Zukunft von Mobile Business glaubt. Die wichtigen Stichworte sind in diesem Zusammenhang beispielsweise "Your personal information portal", "Mobile Portal Framework" sowie "Mobile Office "; sie werden nachfolgend anhand des Angebotes von space2go.com erlautert: "Access all your personal information i.e.files, contacts, calendar, bookmarks, emails , photos , videos and tasks lists using any PC, Organizer or WAP-telephone. Whether you want to be reminded of an appointment via SMS, synchronise your organiser with your office calendar, show your holiday snaps to others in the Internet, send music files via WAP mobile phone or receive fax andvoice mails -
179
Entsprechende Dienste werden z. B. von space2go .com, yourwap .com, wap.at sowie von Mobiltelefonprovidern angeboten .
3 Mobile Business
117
this is now all possible with space2go 24 hours a day from any where in the world."!80 "As device displays are very small in m-business, the quality of the information that is offered there must be of high importance. Therefore, the aim is to offer each user their own personal 'mobile portal' independent of whether they are a pupil or a businessperson. An important prerequisite for this is the Web Organiser (MobileOffice), which represents a substantial component of the space2go 'Mobile Portal Framework'v.t'" Eine weitere Dienstleistung von space2go.com wird wie folgt beschrieben: "T ake your personal data with you on any Organiser and synchronise these when travelling without the need for a cable connection. This is made possible with space2go SyncWare."182 "space2go is one of the leading European m-Business companies which offers a wide range of solutions for its partners. With the space2go 'Mobile Portal Framework' you receive a package tailored optimally to your needs, which consists of mobile services, development capacities, support and financing models as a basis for your individual m-business solution."183 Einen personlichen mobilen Organizer bietet auch das osterreichische AI-Net fur monatlich 5,- € an . 184 Der Dienst verwaltet Aufgaben, Nachrichten und Termine, wobei Laptop, W AP-taugliches Telefon, PDA tiber W AP oder WWW zum Einsatz kommen konnen, Auch ein Einsatz fur Gruppen und kleinere Unternehmen ist moglich. Weitere Funktionen sind u. a. SMS-Weiterleitung, SMS-Reminder, SMS- und Mailfilter. Ein anderer Dienst sind die "Mobile Files" (derzeit auf 10 MB begrenzt). Einen ahnlichen Anwendungsbereich decken die von T-Online angebotenen "Mobile Office" und "Office Manager" ab, die von Notebooks, Organizern und Mobiltelefonen benutzt werden konnen , Nicht gespart wird bei der Werbung fur derartige Dienste mit Zusatzen wie "speed" oder .Jrighspeed", was angesichts der immer noch geringen Bandbreiten von GPRS reichlich tibertrieben wirkt. Al und T-Mobile treten in den genannten Anwendungen als Application-Service-Provider auf. Die neuesten mobilen Anwendungen bieten die Moglichkeit, zumindest teilweise auf den popularen SMS-Dienst auszuweichen . Die Anny Way Mobility Services (von Hewlett-Packard und Materna) ermoglichen den mobilen Zugang zu bestehenden Unternehmensanwendungen (wie MS Exchange, Lotus Notes, ERPund CRM-Systemen) per WAP und SMS . Die meisten Formen der Personalisierung haben zur Folge, dass detaillierte Informationen tiber die Arbeits- und Lebenswelt des Benutzers sowie eventuell auch wichtige Unternehmensdaten an den betreffenden Dienstanbieter dem Provider preis gegeben werden. Aufgrund der im Internet nach wie vor bestehenden Sicher180 181 182 183 184
http://www.space2go .comlindex_ns.html(21. 3. 2001) http://www.space2go.com/index_ns.html (21. 3. 2001) http://www.spacc2go.comlindex_ns .html(21. 3. 2001) http://www.space2go .comlindex_ns.html(21. 3. 2001) VgI. http://organizer.al.net/(21. 1. 2002)
118
I Elemente einer Infrastruktur fur E-Business
heitsrisiken ist die Gefahr der unbefugten Verwendung und Weitergabe der personen- und unternehmensbezogenen Daten nicht von der Hand zu weisen.!" Es empfiehlt sich daher, bei anspruchsvollerern Anwendungen mit Individualisierung bzw . Personalisierung auf das Vorhandensein eines entsprechenden Sicherheitsmanagements bei den Providern zu achten . Dies gilt sinngemaf auch fur individualisierte Losungen fur den SMS-Dienst am WWW, wo Mobiltelefonteilnehmer die Moglichkeit haben, ihre privaten und geschaftlichen Mobiltelefonpartner zu verwalten . Gute Chancen werden dem Anwendungsbereich "Instant Messaging" gegeben , allerdings nur, sofern diese Dienste plattformtibergreifend moglich sind .186 Eine Moglichkeit besteht darin, dass Instant Messenger eine WAl--Oberflache verwenden, z. B. TOM von T-Online. TOM tauscht auch Nachrichten mit ICQ und MSN aus. Instant Messaging kann auch auf Java-Midlets basieren, die auf einem mobilen Endgerat ablaufen. Dies ist beispielsweise beim Instant Messenger CIM der Fall, der die Benutzer bei Microsofts MSN anmeldet. 3.4.6 Mobile Ticketing
Der ebenfalls zukunftstrachtige Anwendungsbereich Mobile Ticketing!" ermoglicht es, mithilfe eines elektronischen Mediums Informationen tiber Veranstaltungen zu bekommen, diese zu buchen und zu bezahlen (mit User Authentifizierung und sicherer Bezahlung via Mobile e-Pay). Ftir die Qualitat entscheidend ist es hierbei, lokale Inhalte (Event Content) von moglichst zahlreichen unterschiedlichen Stellen in eine solche Anwendung einzubinden. Der Kunde erhalt ein ETicket als SMS und braucht sich vor der Veranstaltung nicht mehr an der Kasse anzustellen. Anwendungen des Mobile Ticketing verwenden entweder ein WAP-End-UserInterface und/oder WWW. Das WAP-End-User-Interface wird fur die konkrete Nutzung (Browsing, Booking, Paying) verwendet, WWW eher fur die Anmeldung und Individualisierung. Da Mobile Ticketing das impulsive Kaufen von Tickets untersttitzt, ist es ein durchaus interessanter neuer Vertriebskanal fur die Veranstalter. Das Prinzip des Mobile Ticketings ist auch auf andere Dienstleistungen (z. B. Hotel und Air Ticke ting) tibertragbar. In Osterreich kann beispielsweise per Mobiltelefon eine Bahnfahrkarte gekauft oder Lotto gespielt werden.
185
186 187
Vgl. dazu insbesondere Abschnitt III, Kap. I (Electronic Busine ss und Sensible Informations- und Kommun ikationssysteme) Vgl. dazu BagerNiolka 2001 Vgl. http://www.ericsson .comlgsmworidcongress/subpage.asp?sp=Exhibition (26.2 .2001)
3 Mobile Business
119
3.4.7 Mobile Entertainment Geringe Bandbreiten verh indern derzeit Spiele liber das Internet in Art und Umfang, wie man sie vom PC gewohnt ist, sowie Internet-Radio und Video . Zudem fehlt fur Musik und Video noch der preiswerte lokale Speicher. Der Bereich ist jedoch als durchaus zukunftstrachtig anzusehen. Dem mobilen Musikmarkt wurde ein jahrliches Umsatzpotential von 7 Milliarden € prognostiziert.!" Bereits in den ersten 100 Tagen des i-mode-Betriebes im Jahre 2002 in den Niederlanden wurden die auf dem Server "Photo Play" verfUgbaren .Positiv Games" bereits mehr als 55.000 mal gespielt. Diese Spiele sind auch in Osterreich liber die Al-Gamezone sowie bei ONE verfugbar."? Die aus dem Fernsehen bekannte Millionenshow kann unter der Bezeichnung .Mobiler Millionar" auch mittels SMS und WAP gespielt werden. Fur die Auswahl der Antwort stehen jeweils 90 Sekunden zur VerfUgung. Sieger ist, wer am schnellsten die Fragen gelost hat. Ein Spielzug kostet 0,15 €, der Gesamtsieger erhalt eine Million Cent. 190 Die Zukunft wird zeigen, inwieweit sich die heute prognostizierten Anwendungen tatsachlich bewahren, wie z. B. Computerspiele oder mobiles Ansehen von Filmen auf den kleinen Displays. Nachfolgend wird die Sichtweise eines der Akteure auf dem Gebiet der "Mobile Entertainment Service", die Fa. Nokia'?' dargestellt: "Nokia is moving the world towards the Mobile Information Society, and we are bringing entertainment along for the ride . For some time now, games have been an integral part of Nokia phones , but now we plan to open up the playing field to include the rest of the world . The Nokia Mobile Entertainment Service is bringing interactive games and content to Internet -connected mobile phones . It allows users to play live games with their friends on the other side of the globe. Whether it is an interactive adventure game, a quiz, or a chess tournament, games can reach new levels of excitement as Internet technology, mobile phone technology and popular entertainment content converge via the Nokia Mobile Entertainment Serv ice. Anyone with a WAP phone will be able to enjoy the thrilling , interactive entertainment of globally networked gaming wherever they are. Of course , the thought of global gaming is not only thrilling for the player; there's also the added revenue opportunity for operators, service and content providers. The Mobile Entert ainment Service is a fully managed facility for mobile network operators, and an advanced development platform for developers and publishers of interactive entertainment. So, whether you are a developer creating the latest, greatest entertainment application, or an operator providing cutt ing edge services,
188
189 190 191
Vgl. http://futurezone.orf.atlfuturezone.orf?read=detail&id=65349&tmp=85763 (2.5.2001) Vgl. http://www.pre ssetext.de/pte .mc?pte=020722009 (19. 7. 2002) Vgl. http://www.pressetext.com.pteOII129015(29.11. 2001) http://www.nokia.comfwap/entertainment.html(3. 10.2000)
120
I Elemente einer Infrastruktur fur E·Business the Mobile Entertainment Serv ice can help you make the most of the mobile revolution ."
1m japanischen i-Mode-System wird die Moglichkeit, Java-Anwendungen tiber das Netzwerk zu laden, auch im Bereich der Unterhaltung weiter ausgebaut. Beliebt sind hie rbei insbesondere Karaoke oder Spiele. Die Programmierung von Spielen mittels Java 2 Micro Edition (J2ME) wird ktinftig eine bessere Grafik sowie Animationen ermoglichen,
3.4.8 Spezialanwendungen (Appliances) Aus den USA ist die erfolgreiche Verbreitung von mobilen Geraten bekannt, die sich auf einen bestimmten, eingeschrankten Anwendungsbereich des Mobile Business spezialisiert haben . Als Beispiel ist hier die mobile Mailstation Cidco zu nennen, die zum Preis von $ 150,- erhaltlich ist. Dieses Gerat leistct nur einen kleinen, aber ntitzlichen Teil der Internetdienste: Es kann E-Mails empfangen und senden sowie Yahoo-Nachrichten sehen . Ein anderes Beispiel sind Ka meras, die Verbindung zu eBay aufnehmen konnen.
3.4.9 Mobiles Internet im Auto "space2go is now also in cars. As the first provider, space2go has realised a MobileOffice version especially for cars.':"? Die Autohersteller und Provider arbeiten an neuen mobilen Diensten fur das Auto, z. B. an einem mobilen Internet-Portal, wobei die Verbindung zum Internet tiber ein Mobiltelefon erfolgt.!" aber ein kleines Display werden eingehende SMS , Emails, Reiseplane, Spielplane, Borseninformationen sowie Informationen tiber das Reiseziel angezeigt. Buchen von Hotels mit anschlieBender Navigation dorthin sowie Information tiber die aktuelle Verkehrslage sind weitere Funktionen. Uber die Homepage des Autoherstellers besteht die Moglichkeit zur Individualisierung des Informationsangebotes. Internet-fahige Serienautos werden ktinftig eine Online-Anbindung an Internet-Portale ermoglichen, Einer der Anwendungsbereiche ist hierbei auch das Mobile Office , das auch im Auto zur Verfugung stehen solI. Eher fur die Verkehrssicherheit problematisch sind etliche der geplanten Funktionen, wie z. B. das Bearbeiten von E-Mails, auch wenn dies per Sprache erfolgt. Volkswagen hat unter dem Slogan "Intern et im Auto " fur seinen "Golf eGeneration" eine Standardausstattung mit PDA HP Journada sowie Mobiltelefon mit Freisprecheinrichtung vorgesehen .'?' Als Anwendungen werden Routenplanung,
192 193 194
http://www.space2go.com/index_ns.html(21. 3. 2001) Vgl. z. B. Bager 2001, S. 123 Vgl. http://www .volkswagen .de/golf/egeneration.html(23. 1. 2002) sowie ORF-Futurezone (16. 6. 2001)
3 Mobile Business
121
Verkehrs- und Wetterinformationen genannt. Hinzu kommen aile weiteren Funktionen eines Windows CE Pocket PC.
3.2 Internet anywhere, anytime, anyhow? Nach dem Statement "What is 3G? Network Evolution " gab Nokia im Jahre 2001 als Anwendungsbeispiele!": • • • •
3G is videoconferencing in a taxi. 3G is watching clips from your favorite soap in the train. 3G is sending images straight from the field to headquarters for analysis. 3G is sharing your Moroccan vacation with your friends - from Morocco .
Diese Beispiele zeigen zumindest gegenwartig einen Widerspruch zwischen Anspruch (etwa die Videokonferenz im Taxi) und Realitat. Denn nach wie vor werden dringend die .mobilen Killerapplikationen" gesucht. Angenommen, man hat zunachst jene Anwender im Auge, die in hohem AusmaB zwar mobile Benutzer sind, die jedoch nicht nur in gut versorgten Ballungszentren, sondern auch in landlichen Regionen tatig sind . Gerade fur diese Benutzerkategorie beschrankt sich derzeit und in naher Zukunft das Spektrum sinn voller Anwendungen eher auf das Lesen und Erstellen von kiirzeren Nachrichten, auf zeitlich unkritische Anwendungen und auf passive Dienste (z. B. Web-Browsen), Mobile Anwendungen, die eine stabile und zuverlassige Verbindung ins Internet voraussetzen (z. B. Buchungen, Banking, Broking, Pflege von Informationen) sind als problematisch zu bezeichnen. Soweit iiberhaupt ein Browsen im Web moglich ist, (z. B. bei PDAs auf Basis Windows-CE und EPOC), halt sich die Benutzerfreundlichkeit wegen der Schwachstellen des Displays in Grenzen . Die bestehenden WAP-Dienste haben nicht das Potenzial, in naher Zukunft annahemd jenen Standard zu bieten, den man bereits heute im WWW gewohnt ist. Auch die mit UMTS fur das Jahr 2003 angekiindigten Bandbreiten bis zu max. 2 Mbps entsprechen nur den unteren Datenraten von WLANs . Sie reichen einerseits bei weitem nicht fur multimediale Anwendungen (z. B. Streaming, E-Learning) aus, andererseits werden auch diese Bandbreiten (2 Mbps) nur in der sogenannten Pico-Zelle, die einen stationaren Betrieb voraussetzt, bzw. im portablen Modus (512 kbps) in Ballungszentren verfugbar sein. Dass landliche Regionen ihren strukturellen Nachholbedarf aufholen werden, ist derzeit leider nicht in Sicht. Mobile Anwender werden auch nach EinfUhrung von UMTS mit 128 bps (mobiler Modus) das Auslangen finden miissen. Anspruchsvollere multimediale Anwendungen sind damit ausgeschlossen. Die bislang mit geringen Bandbreiten das Auslangen findenden SMS-Dienste erfreuen sich wegen seiner Einfachheit und Gerateunabhangigkeit einer groBen Akzeptanz, so dass fur sinnvolle SMS-Anwendungen gute Chancen bestehen. 195
http://www.nolda.com/3g/whatis.html(26. 2. 2001)
122
I Elemente einer Infrastruktur fur E·Business
Man ver sucht einerseits durch MMS, an die Beliebtheit der SMS-Dienste anzuschlieBen. Die neuesten mobilen Anwendungen bieten andererseits die Moglichkeit, zumindest teilwei se auf den popularen SMS-Dienst auszuweichen, wie ubrigens auch MMS selbst' ?", D ie Any W ay Mobility Services'?" (von HewlettPackard und Materna) errnoglichen den mob ilen Zu gang zu bestehenden Unternehmensanwendungen (wie MS Exchange, Lotus Notes , ERP- und CRMSystemen) per WAP und SMS. Bei einer anderen Benutzerkategorie beschrankt sich die .Jvlobilitat" im wesen tlichen im Wechsel zwische n Btiro und zu Hause, sowie auf unterschiedliche Standorte im Firmengelande. Vielfach finden PDA -Benutzer das Ausl agen, wenn sie Kalenderdaten und E-Mails mit dem PC per Kabel oder Infrarot abgleichen konnen und/oder gelegentlich So ftware downloaden konnen , Falls breitbandige Anwendungen, wie die Nutzung vorhandener multimedialer Dienste gewtinscht sind, kommen bereits in der Gegenwart die Formen des Mobilen Intranets bzw . der Local Worlds (WLAN, Bluetooth), eventuell in Kombination mit einem Festnetzanschluss zu Hause, in Frage. Es dtirfte feststehen, dass im Bereich des Mobile Business zunachst die Netzwerkausrtister (etwa bei den Umstellung auf UMTS) zu den Gewinnern zahlen werden. In Zukunft werden sich jedoch auch wirtschaftlich sinnvolle Anwendungen (z. B. aus den Bereichen WL AN s, Mobile Ticketing oder E-Payment, Location Ba sed Services) durchsetzen , wobei die Zeitraume noch nicht genau abgeschatzt werden konnen. Die tatsachliche Inbetriebnahme neuer Kommunikationsdienste erfolgte in der Vergangenheit haufig urn ein bis zwei Jahre verspatet gegentiber den Anktindigen der Netzanbieter. Jegliche Prognosen von Providern und Softwarehausern sind daher mit entsprechender Vorsicht zu genieBen . Mobile Business und seine Verbreitung hangt unter anderem auch zusammen mit den jeweiligen alternativ verfugbaren und gewohnten Moglichkeiten und Kosten eines Internet-Zuganges. In Deutschland ist derzeit im GPRS fur einen 10 kByte-Block zwischen 5 und 35 Cent zuztiglich einer zeitlichen Gebtihr zu ent rich ten . Da bereits bei einer starkeren Nutzung dieses eher langsamen Internetzuganges die Kosten enorm steigen, stehen die poten ziellen Anwender den angekundigten mobilen Breitbanddiensten auch aus Kostengrtinden noch abwartend gegentiber. Mobile Business ist also auch abhangig von der jeweiligen Wirtschaftsregion und den dort vorhandenen Telematik-Infrastrukturen und -Kosten. Zu beob achten sind etwa die in den USA erfolgreichen und in Europa noch weniger bekannten Appliances sowie die Anwendungen zum Thema Internet zu Hause und im Auto . Die vergleichsweise geringe Verbreitung des Mob ile Business in den USA gegentib er Japan kann damit erklart werden, dass in den USA seit Jahren Flat-Rates fur den Telefonzugang und somit auch zum Internet best ehen . Ist man einmal gewohnt, kostenlos WWW zu benutzen, so ist die Barriere zur Nutzung kleiner 196 197
Vgl. dazu Kap. 3.1.5 Vgl. dazu http://www .prcssetext.de/pte.mc?pte=020117011 (17. 1. 2002)
3 Mobile Business
123
Gerate mit relativ hoher Kostenbelastung und einer vergleichsweise wenig komfortablen Benutzeroberflache hoch. Sind die Informationen (wie z. B. auf manchen WAP-Sites) noch dazu schlecht gepflegt und mangelhaft aufbereitet, so findet Mobile Business kaum breite Akzeptanz. 1m Gegensatz dazu eroffnete fur viele Japaner i-Mode erstmals den Zugang zum Internet. Darin kann eine Ursache fur den Erfolg dieses Dienstes gesehen werden, der jedoch nicht auf andere Weltregionen tibertragen werden kann . In Europa wirkt sich zusatzlich auch das mangelnde Vertrauen der Konsumenten auf das Netz, das im gesamten Bereich des E-Business zu versptiren ist, aus. Auch Pressemeldungen tiber die Vergabe von Zertifikaten durch ein bekanntes Zertifizierungsunternehmen an Personen, ohne deren Identitat geprtift zu haben , verstarken das Misstrauen in der Offentlichkeit. Auch das an fruherer Stelle beschriebene Beispiel mit dem Versagen des Bluetooth-Netzwerkes auf der CeBIT 2001 zeigt sehr gut den aktuellen Stand der betrieblichen Realitat, der sich sinngemaf nicht nur auf die WLANs gemaf IEEE 802.11b, sondern dartiber hinaus auch auf andere Technologien des Mobile Business tibertragen lasst, da auch dort die Produkte unterschiedlicher Hersteller nicht zuverlassig miteinander kommunizieren. Zudem werden Netzwerkadministratoren und Anwender laufend mit Meldungen tiber die mangelnde Sicherheit von WLANs sowie mit zahlreichen Firmware- bzw . Software-Updates konfrontiert. Dennoch ist aber damit zu rechnen, dass in naher Zukunft ausgereiftere Standards und Produkte zur Verftigung stehen . Der Anspruch des Mobile Business, "Internet anywhere, anytime, anyhow" zur Verfligung zu haben, ist also derzeit noch eine Vision. Urn sie Wirklichkeit werden zu lassen , werden nicht nur grobere Displays auf den Mobiltelefonen, einfachere Bedienung und Texteingabe, Kombinationsmoglichkeiten zwischen Mobiltelefonen, PCs, Organizer, Notebooks und GPS erforderlich sein. Fur den Aufbau von geeigneten Infrastrukturen und damit fur die Mobilitat forderlich ware es, die mobilen Endgerate der Zukunft fur mehrere wichtige Dienste und Standards gleichzeitig vorzubereiten, z. B. fur WLANs, GSM, GPRS, UMTS, i-mode uSW . Je nach der vorhandenen Netzinfrastruktur und der Anwendung sollte der Benutzer auf unterschiedliche Dienste, Provider und Quality of Services umschalten konnen, und dies moglichst bequem per Software. Es wird ktinftig unter anderem auch von Bedeutung sein, ob ein mobiles Gerat J2ME-tauglich ist. Angesagt ist auch ein Umdenken bei der einschlagigen Industrie sowie auch bei Internet- und Mobilfunkprovidern: Die angebotenen Techniken (z. B. UMTS) wurden haufig zu fruh angektindigt und als angeblich ausgereifte Produkte auf den Markt gebracht, obwohl sie fur eine Nutzung in groBem Umfange noch nicht ausreichend stabil waren und noch umfangreicher Standardisierungsarbeit der einzelnen Hersteller bedurften. Zudem wird auch die bereits vorhandene Technik nicht immer im Sinne des Benutzers eingesetzt, wie das an frtiherer Stelle am Beispiel mit den indi vidualisierten Einstiegsmentis gezeigt wurde. Kritik ist auch an dem untibersichtlichen "Tarifdschungel" der Mobilfunkbetreiber angebracht.
124
I Elemente einer Infrastruktur fu r E-Business
Allein in Deutschland gibt es nach einer Studie 198 137 verschiedene Vertragsarten und tiber 2700 verschiedene Tarife ; Kunden und Handler sind dabei liberfordert. Trotz dieser zum Thema Mobile Business geaulserten kritischen Bemerkungen ist es unabdingbar, sich mit den hier angesprochenen Fragestellungen auseinanderzusetzen, urn die E-Business-Strategie des Untemehmens oder der Verwaltung laufend an die neuesten Entwicklungcn anpasscn zu konnen .
Literatur Bager (2001), Jo: Drahtlos daheim, in ct 2001, Heft 4, S. 122f. Bager/Bleich (2000) , Bager , Jo 1 Bleich , Holger : WAP-Galerie, Die nUtzlichsten WAPSites, in: ct 2000, Heft 9, S. 200-205 BagerlViolka (2001), Bager, Jo 1 Violka, Karsten: Mobile Sofort-Nachrichten, in: ct 2001, Heft 26, S. 28 Behrm (2000), Bernd: Mobile Kurse, in ct 19/2000, S. 151 Brewin (2001), Bob: Starbucks takes a wireless leap, in: Computerworld 2/2001, S. 16 Endres, Johannes : Surfer on the Road, in: ct 4/2001, S. 116-121 Fitzek/Gro ss/Kopsel (2001), Fitzek, Frank 1 Gross, James 1 Kopsel, Andreas : KurzstreckenSprinter. Einblicke in die Technik neuer WLANs, in: ct 2001, Heft 26, S. 214-219 Hilmrnler (2000), Thomas : Workshop : WML-Programmierung, WAP-GeriHe futtern , in: Internet Professionell 2000, Heft 6, S. 107-109 Kossel (2000), Axel: WAP-Wahn, Das Marchen vom Surfen mit dem Handy, in: ct 2000, Heft 9, S. 194f. Nikolai/Dan iel/KUhn (2000), Nikolai , Dirk 1 Daniel, Klaus 1 KUhn, Edgar: Turbolader fur Funk-Bits, Zehfach schneller drahtlos surfen mit EDGE, in: ct 2000 , Heft 19, S. 190-197 Nelson (2001), Matthew G.: Doing business without wires, in: Infromation Week, Jan 15, 2001,S . 23-28 Ozkilic (2002), Ozkilic, Murat 1 Opitz, Rudolf: Handliche Netzwelt, Mit Datenhandys ins Internet, in: ct 2002, Heft 12, S. 124-125 Qusay (2002), H. Mahmoud : Wireless Java, O'Reilly 2002 Rink (2001), Jurgen : Eine ganze Hand voll. Der Weg zum optimalen Handheld, in: ct 2001, Heft 25, S. 118-129 SchwartzlMoore (2000) , Schwartz , Ephraim 1 Moore , Cath leen: E-Commerce on the go. Wireless drives next wave of e-business. In: InfoWorld, Oct. 23, 2000, Nr. 43, S. 29 Siering (2001), Peter: WLAN-Wegweiser, in: ct 2001, Heft 18, S. 122-124 Sweeny (2000) , Terry: Wired hotel rooms keep travelers connected - services for the global business market ; faster internet connections welcomed , in: Information Week, Nov.6,2000,S.172-176 Travis (2001), Paul: IT Managers seek basic wireless commerce, in: Information Week, Jan 22,2001 , S. 128-130 Violka (2002), Karsten : Kaffee unterweg s. Mobile Applikationen mit dcr Java Micro Edition entwicklen, in: ct 2002, Heft 1, S. 184-187 Zivadinovic (2000), Dusan: WAP inside, Soft- und Hardwarelosungen fur den WAP-Zu griff, in: ct 2000, Heft 9, S. 196-198 Die zahlreichen Quellen aus dem WWW werden jeweils nur in den FuBnoten angegeben. 198
Vgl. dazu http://www.heise.de/newsticker/datalrop-06.02.02 (6. 2. 2002)
4 Data Warehouses Gerald Quirchmayr Institut fiir Ang ewandte Informatik und Informationssysteme, Universitas Wien
Data Warehouses stelIen eine der fortgeschrittensten Moglichkeiten dar, urn Ftihrungsinformationssysteme mit Information zu versorgen. Sie sind vor alIem durch sehr hoch entwickelte und im Vergleich zu operativen Datenbanksystemen einfach zu handhabende Abfragemoglichkeiten charakterisiert. Die Trennung zwischen operativen Datenbanken und Data Warehouses wurde notig, urn umfangreiche und ressourcenbelastende Analysen ohne Behinderungen des operativen Betriebes durchfiihren zu konnen, Die in Data Warehouses enthaltene Information stelIt immer eine Momentaufnahme des operativen Betriebes, also eine Art Schnappschuss dar. Techn iken zur Analyse der in einem Data Warehouse vorhandenen Daten werden unter dem Oberbegriff Data Mining zusammengefasst, wobei zwischen statistischen Methoden des Data Mining und anderen Ansatzen, wie z. B. solchen auf Basis der Fuzzy Logic oder der Genetischen Algorithmen unterschieden wird. Ziel des Data Mining ist es, Zusammenhange zwischen Datenreihen zu ermitteln, die nicht unbedingt sofort erkennbar sind, urn daraus Schliisse abzuleiten und Prognoseempfehlungen zu geben. Dieser Ansatz geht also tiber das reine Report ing, welches die Grundlage alIer Data Warhouse Auswertungen bildet, weit hinaus .
4.1 Das Data Warehouse Konzept Das Data Warehouse Konzept zielt auf eine Trennung zwischen operativen Systemen und Analysesystem. Damit werden einerseits operative Systeme von den hohen Ressourcenbelastungen komplexer Analysevorgange entlastet und andererseits mogli chst komfortable Analysetools zur Verfugung gestelIt, die in heutigen Datenbanksystemen nicht realisiert sind.
4.1.1 Architektur und Funktionalitat von Data Warehouses Der architektonische Aufbau von Data Warehouse Prozessen ist darauf abgestelIt, aus operativen Systemen gewonnene Daten entsprechend aufzubereiten, zu analysieren und die Ergebnisse zu prasentieren . Primar dient dies der Generierung von Information zur Untersttitzung von Entscheidungstragern in Form von Reports . Ein typische s Beispiel solcher Architekturkonzepte ist das von J. Gray et. aI. ent-
126
I Elemente einer Infrastruktur fur E-Business
wickelte Phasenkonzept' , welches von der Formulierung einer Anfrage ausgeht, die Daten aus einer Datenbank extrahiert, der eigentlichen Extraktion der Daten, gefolgt von deren Visualisierung und Analyse.
Abb. 1-4.1 Extract-Visualize-Analyze Loop (Gray 1995)
Ein ahnlicher Ansatz wird von Kurz2 verfolgt, der folgende vierschichtige Data Warehouse Referenzarchitektur erstellt.
• Operative Quelldatenschicht: Vereinigung samtlicher intemer und extemer Datenquellen, welche Objekte fur das Data Warehouse bereitstellen. • Data Warehouse- und ETL-Schicht: Das Data Warehouse besteht aus dem Metadata-Repository und dem Data Storage fur die DWH-Objekte. Die ETL(Extraction,- Transformation-, und Loading-) Schicht ist verantwortlich fur Selektion, Transformation, Bereinigung und Laden der relevanten DWH-Objekte aus den operativen Quelldatensystemen. • Applikationsschicht: Die zentrale Aufgabe dieser Schicht besteht darin, die vom Anwender formulierten DWH-Anfragen in eine Abfragesprache zu iibersetzen und die Abfrage auszufuhren, Die Ergebnisse der Abfrage mussen anscWieBend fur die Prasentationsschicht bereitgestellt werden. • Priisentationsschichi: Aufgabe dieser Schicht ist die Aufbereitung der Daten in Form von Tabellen und deren Visualisierung. Neben diesem Schichtenmodell fur Data Warehouse Prozesse ist auch deren 00plementierungskonzept in modemen Netzwerken entscheidend fur die Akzeptanz durch den User. Durchgesetzt haben sich bisher 2- und 3-tier DWH-Architekturen, d. h. die auch aus Datanbanksystemen bekannten Client/Server-Modelle. Im Fall einer 2-tier Architektur sind DWH-Server und DWH-Datenbank auf einem ServerGray 1995 Kurz 1999
4 Data Warehouses
127
System integriert, im Fall der 3-tier Architektur sind DWH-Server und DWH-Datenbank getrennt.
Durch die komplexen SOL-Bel ehle Aaum fUr DB-Optimi zer vc manoenl Komple xe Berechnung Aggregatfunktionen i
(Vergteiche, komprexe Kennzahlen, Super Aggregate, elc.) ~_-. .
"~m~ ~~;
DWH-Abfrage
I Bericht (inkl. Formali erung)
it
j
/ /"
_ OJ/?) _ __..~._ .,_ . _.
Cach~/ .J
/ L- _.. ..(
!: Dar komplette Bericht (Dalen und ;!
t D~H·Abfra~estruktur) wird an den J L_~r~~~.l ~:~.~~~~:'-~. ,..
~~
I i!: '
.£
~ :2 4i
J ~~
~~
~~"ge Me~~-; ; Er;eb"iS~
'
Ld~lensal2en
:. -
r. .
{"I
,X-/ 1'- - :q,.~<: i · ,\ ;1 Kern. I', "1 DB Kern.
Daten
c
1Profiling I:
•
.
>,
I
!!
r·
I Statistik r
I
\,\
I
I \s:"',,1! (U~!~~~h~~~~':;t)
\ ',""'.
i!:
•
Metadaten
DWH-Statistiken und 1 DWH·Server10Msamlliche j Benutzerpr oliling l oalSna,",alYse . ,", ."" ",d A , ulbereilungder I ~~!~i~~m~.n_sional.en. Sl r~ktur durch
.J
Abb. 1-4.2 3-tier Architektur (Kurz 1999)
Uber die Verteilung der Arbeitslast zwischen den Clients und dem Server bzw. den Servem gibt es unterschiedliche Ansichten, reprasentiert durch die sogenannten Thin Client und Rich Client Philosophien. Thin Clients gewinnen mit der allgemeinen Verbreitung des WWW immer mehr an Bedeutung, im Extremfall sollte ein Browser genilgen. Da eine der Starken des DWH-Ansatzes die komfortable und performante Unterstiltzung umfangreicher und komplexer Analysen ist, empfiehlt es sich, auch die Analysefunktion auf den Client auszulagem, urn nicht bei jeder Rechenoperation auf den Server zugreifen zu milssen. Prinzip iell gilt eine bereits in Datanbanksystemen bewlihrte Vorgehensweise: die Abfragefunktionalitat sollte primar auf dem Server, die Analysefunktionalitat primar auf dem Client implementiert werden. Immer groBere Bedeutung bei der Gewinnung von Daten aus operativen Systemen kommt Standards fur komponentenorientierte Frameworks zu, deren unterschiedliche Orientierung und Gegensatzlichkeit jedoch zu Problemen fuhren kann. Die bekanntesten dieser Standards sind COREA (geeignet fur C++/Smalltalk, lIOP, heterogene Umgebungen) , DCOM (Microsoft Active-X , HTTP), und RMI (Java/Java Beans, HTTP) . Zusatzlich bietet sich XML an, vor allem fur den Import strukturierter Dokumente. Zentrale Bedeutung haben im Data Warehouse die Metadaten, die ilblicherweise in einem Metadata Repository gespeichert sind. Sowohl Semantik als auch Struk-
128
I Elemente einer Infrastruktur fur E-Business
tur der im DWH gespeicherten Daten konnen hier beschrieben werden. Metadaten, deren Verwendung, sowie die wesentlichsten Standards sind bei Kurz' ausftihrlich beschrieben . Weiterftihrende Information zu Aufbau und Architekturen von Data Warehouses finden die Leser bei Inmon' .
4.1.2 Anwendungsszenarien Anwendungen der Data Warehouse Technologie werden vor allem in strategischen und taktischen Ftihrungsinformationssystemen gesehen. Die im operativen Betrieb eines Untemehmens anfallenden Daten stellen eine liuBerst wertvolle Informationsquelle fur Entscheidungstrliger dar, die bisher viel zu wenig genutzt wird. Data Warehouses bieten nun die Moglichkeit, ohne den operativen Betrieb eines Unternehmens zu behindem, umfangreiche Analysen auf diesen Datenbestlinden durchzufuhren. Anwendungen wie Marktanalysen, Produktionsanalysen und e-CRM (Electronic Customer Relationship Management) waren ohne Data Warehouses nur sehr schwer vorstellbar. Insbesondere Wissen tiber das Verhalten der eigenen Kunden wird immer wichtiger, vor allem wenn es urn Themenbereiche wie Customer Retention geht, denn speziell im WWWgelten die Grundsatze "The competition is just a mouse click away" und "Know your customer well" verstarkt.
Improved Services
~MtF "
Teddy B. Customer
e-Commerce Operations
Abb, 1-4.3 Analyse im Mittelpunkt von e-CRM 3 4
Vgl. Kurz 1999, S. 199 ff Vgl. Immon 1992
4 Data Warehouses
129
Konnen dem Analytiker mit Hilfe eines Data Warehouses die relevanten Daten tiber das Kundenverhalten (abgeleitet aus deren Kaufverhalten bzw. Informationswtmschen) zur Verfugung gestellt werden, hat dieser eine wertvolle Basis zur gezielten Verbesserung des individuellen Angebots an Kunden. Besonders interessant wird dieser Ansatz im Bereich des E-Commerce, in dem man Kunden praktisch nur mehr anhand ihres Verhaltens auf den unternehmenseigenen Sites beurteilen kann. Personalisierung als eines der groBen Schlagworte des One-to-One Marketing im Internet kann auf diese Art ebenfalls sehr zielsicher untersttitzt und verbessert werden. Was fur Kundeninformation gilt, ist fllr unternehmensinterne Information nicht minder relevant. Insbesondere Absatz-, Finanz- und Produktionsdaten sind essentiell fur die effiziente Fuhrung eines Unternehmens. Wenn sich z. B. essentielle Kennzahlen wie der Return on Investment verandem, kann eine weitere Starke von Data Warehosues zum Tragen kommen, der sogenannte "Drill Down", der nichts anderes ist, als eine Art Zoom-Funktion. Die Frage, welcher Teil, Kapitalumschlag oder Umsatzrendite, die Veranderung auslost , sollte durch einen einfachen Klick oder Doppelklick auf den Return on Investment beantwortbar sein. Bei Bedarf ist in Data Warehouses jederzeit eine tiefergreifende Analyse moglich, wie etwa die Unterteilung der Umsatzrendite in Gewinn und Umsatz usw.
Sam Analyst
Abb. 1-4.4 Absatzanalyse nach Regionen
Dieses Verfahren des "Drill Down" kann nicht nur bei nach mathematischen Formeln strukturierten Kennzahlen angewendet werden, sondern in allen Situationen, in denen eine Aggregation von Daten erfolgt ist, so z. B. bei nach Regionen oder Produktgruppen gegliederten Umsatzstatistiken. Diese Analyse kann in Form von Tabellen oder in Form von Grafiken, in denen jede Farbe bzw. Schattierung eine besondere Bedeutung hat, erfolgen. Wenn z. B. ein Weinimporteur feststellt, dass sich der Umsatz Australischer Weine deutlich erhoht, ist fur ihn interessant zu
130
I Elemente einer Infrastruktur fur E-Business
wissen, aus welcher Region der besonders gefragte Wein stammt. In unserem Beispiel wUrde der "Drill Down" dreistufig erfolgen: World ~ Australia ~ South Australia. Die in der Abbildung 1-4.4 skizzierte Analyse kann, je nach Detaillierungsgrad in dem die Daten im DWH vorhanden sind , beliebig weitergefuhrt werden, etwa von South Australia auf Ebene des Barossa Valley und dort zu einem Weinproduzenten, dessen Wein sich besonders erfolgreich verkauft. Interessenten fur diese Analysen finden sich in allen Untemehmensbereichen, wie nachfolgende von Oracle publizierte Ubersicht zeigt:
Analysis Consumers Exist Throughout the .Organization
Abb. 1-4.5 Analys is Consumers (Quelle : Oracle)
4.1.3 Das Konzept hinter "Drill Down" und "Roll Up" Ahnlich einer Zoom-Funktion sollen "Drill Down " und "Roll Up" dem Anwender die Moglichkeit geben, bestimmte Datenbereiche im Detail zu sehen ("Drill Down") bzw . zu aggregieren ("Roll Up"). Primar werden diese Daten in Tabellenform gespeichert. 1m folgenden Beispiel' wird, ausgehend von einer vorgegebenen Tabelle aus einem operativen System mit Hilfe des Quotient Relation Ansatzes eine Partitionierung der Tabellen durchgeflihrt, die es erlaubt, dem User entsprechende Drill Downs und Roll Ups anzubieten.
5
Vgl. Magnisengi 2000
4 Data Warehouses
131
Ausgangstahelle: R(Year,Item,City.Sales) Year Y 1994 1994 1994 1994 1994 1994 1995 1995 1995 1995 1995 1995
Item I 1 2 1 2 1 2 3 4 2 4 2 4
City Ci New York City New York City Los Angeles Los Angeles San Francisco San Francisco New York City New York City Los Angeles Los Angeles San Francisco San Francisco
Sales Sa 40 30 30 20 10 20 20 60 10 50 30 40
Eine typische Partitionierung nach dem Verkaufsjahr Year wurde wie folgt aussehen: Table Quotient relation XI derived by partitioning of Year: Year Y 1994 1994 1994 1994 1994 1994
City Ci New York City(NYC) New York Los Angeles (LA) Los Angele s San Francisco(SF) San Francisco
Item I 1 2 1 2 1 2
Sales Sa 40 30 30 20 10 20
1995 1995 1995 1995 1995 1995
New York City New York City Los Angeles Los Angeles San Francisco San Francisco
3 1 2 4 2 4
20 60 10 50 30 40
Diese Reprasentation der Tabelle entspricht ihrer Gliederung in zwei Teilbereiche nach den Verkaufsjahren 1994 und 1995. Damit bekommt der Anwender eine Ansicht der Tabelle aufzwei Ebenen angeboten , Verkaufe aggregiert nach Jahr und bei Bedarfdie Details zujedem Verkaufsjahr. Abstrakt dargestellt, hat die Partition ierung folgende Form:
132
I Elemente einer Infrastruktur fOr E-Business
Year Y
1994
1995
City Ci NYC NYC LA LA SF SF NYC NYC LA LA SF SF
Item I
1 2 1 2 1 2 3 1 2 4 2 4
Sales Sa
40 30 30 20 10
20 20 60 10 50 30 40
Diese Unterteilung kann auch auf mehreren Ebenen erfolgen, etwa nach Verkaufsjahren und innerhalb dieser nach Stadten: Year Y
- - --
City Ci NYC LA
1994
-- --
SF NYC
- - -- -1995 --
LA SF
Item I
Sales Sa
1 2 1 2 1 2 3 1 2 4 2 4
40 30 30 20 10 20 20 60 10 50 30 40
Obige Partitionierung kann beliebig fortgesetzt werden, in obigem Beispiel ware etwa eine weitere Unterteilung nach Produkten moglich. Weitere Ausfiihrungen zum Quotient Relation Approach, Nested Relations, Extended Relations Model, und Object-Oriented Concepts, sowie Verweise auf weiterfiihrende Literatur finden interessierte Leser bei Mangisengi."
6
Vgl. O. Mangisengi 2000
4 Data Warehouses
133
4.2 Funktionsweise und Anwendungen der OLAP-Technologie OLAP (Online Analytical Processing) steht primar im Gegensatz zu OLTP (Online Transaction Processing), womit auch die Ausrichtung von OLAP bereits durch den Namen der Technologie deutlich charakterisiert ist. Ziel ist die strikte Trennung der fur Analysezwecke verwendeten Daten vom operativen Betrieb. OraCle's Family of Decision Suppor"tTools
OLAP ApplieatilJnS
OLAP Tools
Data S6urces
Relational Database Management Systems
Abb. 1-4.6 OLAP-Too ls am Beispiel von Oracle (Quelle : Oracle)
Das Beispiel des Weinimporteurs zeigt sehr deutlich eine Schwache des einfachen Drill Down, die Eindimensionalitat. OLAP-Technologie beseitigt diese Schwache, indem sie auf Multidimensionalitat, im Standardfall auf eine Wurfelstruktur, setzt. Ein solcher Wiirfel konnte in der ersten Dimension eine Strukturierung der Daten nach Produkten, in der zweiten nach Regionen und in der dritten nach Umsatz enthalten.
134
I Elemente einer Infrastruktur fUr E-Business
Produkt P in der Region R mit einem Umsatz a < U :::; b
Umsatz Produkt Abb. 1-4.7 OLAP Cube
Je nach Sichtweise interessiert den jeweiligen Analytiker eine bestimmte Region, ein bestimmtes Produkt oder auch ein bestimmtes Umsatzsegment. 1m Fall eines dreidimensionalen Wurfels wi.irde man durch diesen entsprechende Schnittebenen legen.
Produkt P in allen Regionen in allen Umsatzsegmenten
Abb. 1-4.8 Schnittebene durch einen OLAP Cube
OLAP-Produkte, meist ausgehend von relationalen Ansatzen (R-OLAP), werden heute von allen fi.ihrenden Herstellem angeboten. Auf diesen bauen dann weiterfi.ihrende Analysetools, wie etwa der Oracle Financial Analyzer auf.
4.3 Web-enabled Data Warehousing Wie auch die meisten anderen Anwendungen, sind Data Warehouses heute web-fahig. Der zunehmende Einsatz von Intranets und Extranets hat diese Entwicklung begtinstigt. Web-enabled Data Warehouses sind dadurch charakterisiert, dass sie als
4 Data Warehouses
135
Clients Browser, also Thin Clients, in Intranets eventuell mit Plug Ins, verwenden . Die 3-tier Architektur mit Client, DWH-Server und eigentlichem Datenserver kommt diesem Ansatz sehr entgegen. Design-Fragen wie die Vergabe von Benutzerberechtigungen, mobiler Zugriff und Datensicherheit mussen in diesem Kontext neu uberdacht werden. Wie stark die Integration von Data Warehouses in heutige Umgebungen bereits ist, zeigt nachfolgender Auszug aus einer Prasentation der Firma Oracle:
Abb. 1-4.9 ORACLE Warehouse (Quelle : Oracle)
Mit diesem Ansatz hat Oracle als einer der Technologiefiihrer in diesem Bereich einen Weg beschritten, der in ahnlicher Form auch von anderen Anbietem von Data Warehouse Produkten verfolgt wird. Entscheidend fur den Erfolg von Data Warehouses sind die Qualitat der im Untemehmen zur Verfugung stehenden Daten, die bereitgestellte Funktionalitat, hohe Sicherheit und der Grad der Integration.
Literatur und Web Sources Gray (1995), J. et. al. Microsoft Technical report MSR-TR-95-22, 5 February 1995, Revised 18 November 1995, Expanded June 1996. Inmon (1992), W. H, Building the Data Warehouse, 1992, ISBN 0-471-56960-7. Kimball (1996), R., The Data Warehouse Toolkit: Practical Techniques for Building Dimensional Warehouses, 1996, ISBN 0-471-15337-0. Kurz (1999), A., Data Warehousing, Enabling Technology, Bonn 1999 (S. 186 ff) Mangisengi (2000), 0., Metadata Modeling for Data Warehousing, Wien 2000
136
I Elemente einer Infrastruktur fUr E-Business
Einige Produktinformationen im Web (Diese Liste ist als Ausgangspunkt fur interessierte Leser zu verstehen und erhebt keinesfalls Anspruch auf Vollstand igkeit): http://www .cognos.com http://www.oracle.com http://www .microsoft.com http://www .microstrategy .com http ://www .sap.com http ://www .sas.com/solutions/index.html
5 Hosting Services im Bereich Electronic-Business Manfred Pils, Institut fiir Daten verarb eitung, Johanne s Kepler Universitdt Linz
5.1 Motive fur die Inanspruchnahme von Hosting Services Fur Unternehmungen und Verwaltungen mit Geschaftsfeldern im Bereich Electronic Business bzw. Electronic Government kann es tiberlegenswert sein, Hosting Serv ices von Dienstleistern in Anspruch zu nehmen. Dies sind in der Regel Provider, im Internet aktive Agen turen oder andere Unternehmen der EDV-Branche. Hosting Services entlasten ein Unternehmen von technischen Details und bedeuten eine geringe Anfangsinvestition, Hosting Services in Anspruch zu nehmen ist beispielsweise in folgenden Situationen tiberlegenswert: oDie Einbindung des betreffenden Unternehmensstandortes tiber einen Internet Service Provider ist nur unter hohen Kosten moglich. In der Regel fallen fUr einen im Unternehmen aufgestellten Web-Server hohe Anschlussgebtihren, Leitungskosten sowie Kosten von Installation und Betrieb der Hardware und Software an. oDie Ausfallsicherheit bei Leitungsstorungen (z. B. durch mehrfache Einbindung ins Internet) erscheint nicht gewahrleistet zu sein. o Das Unternehmen verfUgt nicht tiber die entsprechenden personellen, raumli chen und/oder finan ziellen Ressourcen fur Planung, Implementierung und Betrieb der erforderlichen telematischen Infrastruktur und ist nicht bereit, eine solche aufzubauen. o Das Unternehmen verfugt nicht tiber das fUrdie betreffenden Internetdienste (z. B. WWW, Electronic Mail , Domain Name System, Real Audio, Newsgroups) jeweils erforderliche Know-How. o Das Unternehmen verfugt nicht tiber das fur die Planung, Implementierung und Betrieb von Datenbanken sowie das fUr die Web -Database-Integration erforderliche und fUrElectronic-Business-Losungen unabdingbare Know-How . o Das Unternehmen will die Installation und den Betrieb von betrieblichen Anwendungssoftwarepaketen outsourcen und an Application Service Provider vergeben. GroBe Softwarehauser (z. B. Oracle) werden als Application Service Provider tatig. Als Motive hiefUr kommen unter anderem Einsparungen im ITPersonal sowie bei den Softwarelizenzen in Frage. Es kann sich dabei urn Anwendungen handeln , die tiber die klassischen Internetdienste hinausreichen.
138
I Elemente einer Infrastruktur fur E-Business
• Die Akzeptanz der Internet- und Extranetdien ste durch Kunden und Geschafts partner erscheint nicht oder noch nicht absehbar zu sein, so dass das Unternehmen unter diesem Risiko nicht bereit ist, Ressourcen aufzubauen oder zu binden. • Gesetzlichen Bestimmungen eines Staates solI durch Verlagerung des Standortes des Servers in einen anderen Staat ausgewichen werden. • Aufgrund nach wie vor insbesondere in Europa bestehender Bandbreiten -Engpasse (bandwidth bottlenecks) des Internet ist die Erreichbarkeit eines Internetdienstes (z. B. eines WWW-Servers) durch Kunden , Lieferanten und andere gewtinschte Zielgruppen verbesserungsfahig. Befindet sich beispielsweise die anzusprechende Zielgruppe in den USA, so bietet sich Web-Hosting bei einem US-Provider an. Zur telematischen Infrastruktur zahlen • die technischen Einrichtungen (insbesondere zwecks Anschluss an Fernmeldedienste und/oder an einen Internet Access Provider, Verkabelungssysteme, Lokale Netzwerke, Wireless LANs, Router, Firewalls, VPN-Gateways) mit der jeweils erforde rli chen Hardware und Software sowie die Konfiguration und Wartung von Servern und Clients; • die Internet- und Intranet-Basisdienste (insbesondere Domain Name Service, EMailing, WWW, FIP) mit der jeweils erforderlichen Hardware und Software; • sowie die vom Unternehmen im Einzelfall benotigten zusatzlichen Internetund Intranetdienste und Electronic-Business-Applikationen, z. B. Datenbanken, Buchungssysteme, Shopping-Cart-Systeme, Real Time Credit Card Processing, Real Audio, Video Conferencing, E-Learning-Plattformen, White Boarding. • Mitarbeiter mit entsprechender Kompeten z - auch aus dem Bereich des Internet-Publishing sowie anderer Internet- und Intranet-Anwendungen. Im Falle des Outsourcing s von Internet-, Intranet- und Extranetdiensten handelt es sich in der Regel urn eine in vielen Fallen irreversible, strategische Entscheidung. Man muss sich dabei im Klaren sein, dass es sich urn Outsourcing von Electronic Business handeIt und dass damit auf den Aufbau eigenen Know-Hows verzichtet wird. Es besteht die Gefahr, dass dieses Know-How uneinholbar verloren geht.
5.2 Basis-Oienstleistungen Zu den Basis-Dienstleistungen zahlen alle Formen des Web-Hostings. Wird der Web-Server nicht in den eigenen Raumlichkeiten des Unternehmens aufgestellt und nicht tiber eine Fest- oder Wahlverbindung (z. B. tiber ISDN) an den Point-ofPresence (POP) eines Providers angebunden, so bestehen insbesondere folgende grundsatzliche Moglichke iten fur Hosting Services: • Server-Housing, Server Renting: Es wird der Rechner (z. B. der Web- oder E-Mail-Server) in Raumlichkeiten des Dienstleisters aufgestellt, wobei die Hardware- und Softwareinstallation vom Unternehmen (also nicht durch den
5 Hosting Services im Bereich Electronic-Business
139
Pro vider) erfolgt, ebenso die Pflege der Dokumente. Der Dienstleister stellt lediglich Raum und Stromversorgung sowie die Intemeteinbindung zur Verfugung und ubemimmt gegebenenfalls auch Datensicherungsaufgaben. Eine groBere Anzahl derartiger Server bildet eine Server-Farm. Der Dienstleister muss nicht auch zugleich Access-Provider fur die betreffende Untemehmung sein. • Server-Hosting, Web-Server-Hosting, virtuelle Server: Der Dienstleister betreibt einen oder mehrere Server-Rechner und stellt (z. B. auf seinem Web-Server) ein Verzeichnis und entsprechenden Festplattenplatz zur Verfugung. Die Untemehmungen bzw . Benutzer haben Schreibrechte auf .Jhrem'' virtuellen Server bzw. auf bestimmten Verz eichnissen und konnen in der Regel tiber FfP, Telnet oder auch mittels spezieller Administrationstools ihr Angebot warten. Gute Provider verfugen ihrerseits Uber mehrere Anbindungen ans Intemet und eigene Backup-Leitungen. Beim Server-Hosting sind mehrere Varianten zu unterscheiden. Sie umfassen bei grolseren Providem in der Regel ein BUndel von Dienstleistungen, die in verschiedene Leistungspakete zusammengefasst angeboten werden. Web Server Hosting Services gehen langst tiber das Speichem von Web-Seiten hinaus . Auch die Erstellung, Anpassung, Administration oder die Pflege der Dokumente werden in der Regel als Dienstleistungen angeboten. Bundel bestehen in der Regel aus einem Basic Web Account, der erweitert werden kann, z. B. urn Domain-Name-, E-Mail-, FTP-, Datenbank- oder Real-AudioDienste. In vielen Hillen ist ein Untemehmen im Rahmen des WWW-Informationsangebotes einer im WWW tatigen Agentur vertreten, z. B. ein Hotel in einem Tourismus-Informationssystem. Es ist zu hinterfragen, ob ein Intemet-Auftritt eines Untemehmens ohne einen eigenen, leicht merkbaren URL bzw. ohne eine eigene, untemehmensspezifisch gestaltete Einstiegsseite zweckmalsig ist. Hierbei besteht die Gefahr, dass bei derartigen Losungen die Agentur im Vordergrund steht und das Marketing des einzelnen Untemehmens darunter leidet. Charakteristisch ist in solchen Fallen die mangelnde Auffindbarkeit des einzelnen Untemehmens im WWW .
5.3 Advanced Hosting Services FUr Untemehmungen und sonstige Institutionen, die Advanced Hosting Services in Anspruch zu nehmen beabsichtigen, ist es auf jeden Fall empfehlenswert, eine vergleichende Bewertung der Dienste und der Kosten von mehreren in- und auslandischen Dienstleistem vorzunehmen. Bereits fur die Basisdienste gibt es weltweit Tausende Provider, die Preise differieren teilweise urn den Faktor 10 oder gar 100. 1 Daneben sind auch die besonderen Bedingungen des betreffenden Dienstleisters (in der Regel zu entnehmen aus den ,,Policies" und "Guidelines") einzubeziehen. So kann es beispielsweise ein Dienstleister verbieten, dass 1
Vgl. HliskeslEhrmann 1997, S. 134
140
I Elemente einer Infrastruktur fUr E-Business
kundenspezifische cgi-Programme eingesetzt werden konnen , ohne dass diese einem - in der Regel teuren - Reviewing-Prozess durch die Programmierer des Providers unterzogen werden. Die Ubersichtlichkeit der Prasentation aller Bedingungen des Providers (der Dienste, der Kosten, der Verrechnung sart usw.) sollte bei der Auswahl mitberucksichtigt werden. Dies gilt verstarkt fur die anspruchsvolleren Hosting-Services (z. B: E-Commerce-Hosting, Storefront-Hosting) und deren Preise, die sowohl kontinuierlich an die technische Entwicklung angepasst, als auch zu neuen Dienstieistungspaketen geschniirt werden und daher laufenden Anderungen unterworfen sind. Es empfiehlt sich, aktuelle Informationen einzuholen. Werden einfachere Formen des Web-Hostings ("simple basic web accounts") betrachtet, so ist der Vergleich zwar einfacher, man muss jedoch auf anspruchsvollere Dienste (wie z. B. auf eine Datenbank-Einbindung) verzichten. Bei advanced Web Accounts sollte eine Vielzahl von quantitativen und qualitativen Faktoren als Entscheidungskriterien analysiert und bewertet werden, die insbesondere o o o o o o o o
Technik , Bandbreite verfiigbare Grundfunktionen Datenbank-Support Electronic-Business-Support Support fur Virtual Private Networks Verrechnung und Zahlungsweise Vertragsdauer Sonstige Bedingungen (insbesondere Acceptable Uses and Policy)
betreffen. Nachfolgend werden diese Faktoren naher erlautert,
5.3.1 Technik, Bandbreite
Zur Technik zahlen Funktionalitat und Leistungsmerkmale der eingesetzten Server-Technologien mit ihren Funktionen, die eingesetzte Netzwerk-Infrastruktur (hier insbesondere Router und Backbone), die Durchfuhrung von Backups (z. B. taglich) sowie auch UPS-Systeme und Notstromgeneratoren. Von Interesse sind also odie beim Provider einge setzte Betriebssystem-Plattform (z. B. NT, Windows 2000, Linux, Unix BSDI), odie Moglichkeit, diese Plattform zu wahlen, odie Moglichkeit, bei der Entwicklung das Shell-Environment zu wahlen (z. B. csh, tcsh, ksh), odie eingesetzte Web-Server-Software, • der Serverstandort, o der Carrier, odie Anbindung an ein oder mehrere Backbones sowie o die interne Netzwerkinfrastruktur des Providers.
5 Hosting Services
141
Nachfolgend eine Zusammenstellung der in diesem Zusammenhang am haufigsten verwendeten "Connectivity Terms". Die kleinste, in Internet und Intranet-Anwendungen noch sinnvolle Bandbreite, tiber welche World Wide Web-Services und andere kommerzielle Dienste an das tibrige Internet verfugbar gemacht werden, stellt derzeit Verbindungen in der Grclienordnung von 56-Kilobit (56.000 bits per Sekunde) dar. Unter Bandbreite (bandwidth) ist dabei jenes Datenvolumen zu verstehen, das durch eine bestimmte Ubertragungseinheit, durch einen Dienst oder durch einen Provider zur Verfugung gestellt wird. Eine Bandbreite kann allerdings nicht fur das gesamte Internet, sondern nur fur einen bestimmten Abschnitt garantiert werden. Sofern nicht exklusive, ausschlieBlich fur einen Kunden garantierte Bandbreiten vereinbart wurden, mtissen sich in der Regel alle Kunden bzw . Benutzer die jeweils vorgegebenene Bandbreite des Pro/iders teilen. Kleinere europaische Provider verfugen tiber Bandbreiten im AusmaB von 128.000 bps (bits per Sekunde), im Gegensatz zu vielen kleineren Internet Service Providern in den USA, denen Tvl-Verbindungent (auch DS-P genannt) im Internet zur Verfugung stehen, die jeweils 1,544 Millionen bps (Mbps) ermoglichen, oder aus 24 Einheiten zu je 56.000 bps bestehen. GroBe Internet Service Provider in den USA verfligen dartiber hinausgehend tiber noch wesentlich groBere Bandbreiten. T vl-Verbindungen werden dann haufig nur mehr zum Backup verwendet. Bei den National Backbone Operators in den USA sind DS-3-Backbones mit 45 Mbps, OC-3-Backbones4 mit 155 Mbps sowie solche mit OC-12 mit 622 Mbps ublich . Zu beachten sind auch die jeweils verftigbaren Bandbreiten zwischen den europaischen Knotenpunkten sowie zwischen Europa und den USA, die vom betreffenden Internet-Provider verwendet werden. Es besteht hierbei allgemein ein Nachholbedarf fur grofsere Bandbreiten innerhalb der Europaischen Union. Die Verbindungen in die USA sollten an die wichtigen amerikanischen PeeringPunkte (z. B. MAE-West oder MAE-East) angeschlossen sein. Fur eine schnelle Datentibertragung innerhalb eines Staates oder einer Region ist es schlieBlich auch von Interesse, ob der betreffende Provider direkt am jeweiligen nationalen bzw . regionalen Peering-Knoten beteiligt ist (z. B. am deutschen DE-CIX oder am INXS). Falls regionale Knoten zum Engpass werden, so ist es zweckmafsig, dass der Provider tiber eigene Peering-Knoten verfugt. Hohen Anforderungen an die Ausfallssicherheit kann ein Provider durch redundante Netzanbindungen und durch den Einsatz des Border Gate Protocols (BGP) Rechnung tragen . In den USA ist der Aufbau eines neuen, schnelleren .Jnternetsz., (12), auch Next Generation Internet (NGI)5 genannt, weit fortgeschritten.v Amerikanische T Carrier Level I
Data Service-I 4 5
Optical Carrier Level 3 Vgl. dazu z. B. Next Generation Internet-Initiative http t//www .ngi.gov.Tnitiative Inter net2 http://internet2.edu
142
I Elemente einer Infrastruktur fur E-Business
Universitaten, fllhrende Hardware- und Software-Unternehmungen sowie die USRegierung haben das moderne Glasfasernetzwerk mit neuesten Technologien (z. B. ATM-Switches) errichtet. Aufgrund der hohen Kapazitat von derzeit 622 MBit/s ist die ErschlieBung neuer Anwendungsgebiete, die im .alten" Internet nicht moglich sind, Realitat geworden. Beispiele sind: • Digitale Bibliotheken fur Musikstilcke • Verschliisselte Videokonferenzen • Cave-Umgebungen Hosting-Services bzw. Anwendungen, die im Internet2 angesiedelt sind, stehen den Benutzern des .alten" Internets nicht zur Verfugung.
5.3.2 Verfugbare Funktionen
Bei der Beurteilung eines Dienstleisters und dessen Hosting-Services soIlten insbesondere auch die Verftigbarkeit folgender Funktionen hinterfragt werden: • Nutzungsmoglichkeit von Dornain-Namen: Viele Provider bieten auch die Moglichkeit, auslandische Domain-Namen (also z. B. de- oder at-Domains bei einem US-Provider) zu verwenden. • Domain Name Registration (In- und/oder Ausland): Der Provider tibernimmt die Anmeldung eines Domain-Namens bei InterNIC oder einer zustandigen nationalen Organisation, wie Denic in Deutschland und NIC.at in Osterreich . • Telnet-Access und FTP-Account: In der Regel ist ein mengenmabig und zeitlich unbeschrankter FTP-Account inkludiert, der die Pflege des Web-Informationsangebotes durch das Unternehmen ermoglicht. Voraussetzung sind ein Internet-Access des Unternehmens und die Verfugbarkeit eines FTP-Clients. Zusatzlich kann ein anonymer FTP-Dienst zur Verfugung gestellt werden. Wichtig ist auch die Moglichkeit des Shell-Zugriffes tiber Telnet/SSH. • E-Mail-Services: Nutzung eines SMTP-, POP3- bzw. IMAP-Servers, POP3bzw. IMAP-Accounts, Mailinglisten, automatische Beantwortung von Electronic-Mails (Auto E-Mail responders) oder E-Mail-Forwarding. Der SMTP- und POP3- bzw . IMAP-Server sollte aIle gangigen E-Mail-Clients unterstutzen. Beschrankungen des Datenvolumens pro Mail sollten hinterfragt werden. • Webbasierte Mailservices mit Secure-Login (SSL). • Administration des Accounts bzw . der Dienste mittels Web-Browser mit Secure-Login (SSL). • Passwortgeschutzte Seiten sowie Seiten, die mittels SSL verschlusselt werden. • Eintragung bei Search Engines : Das Angebot des Unternehmes wird in wichtigen Search-Engines registriert. • Promotion bei Search Engines: MaBnahmen zur Vor-Reihung bei Search-Engines .
6
Vgl. z. B. Hitzig 1998, S. 44 ff
5 Hosting Services im Bereich Electronic-Business
143
• Moglichkeit, den Webspace an andere Untemehmen weiterzuvermieten , wobei der Provider fiir diese Untemehmen nicht identifizierbar ist. Hierzu sind u. a. Reseller Name Server erforderlich. Eine Anzahl wichtiger Funktionen ist - zumindest teilweise - abhangig von der verfiigbaren Server-Hardware, der Betriebssystem-Plattform und von der jeweils eingesetzten Server-Software (z. B. Apache, lIS) : • Support spezieller Administration ssoftware (z. B. Microsoft Frontpage) . • Microsoft Exchange 2000 ASP Hosting. • Support dynamischer Web-Seiten , z. B. durch SSI (Server Side Includes). Von Interesse ist auch, inwieweit die Ausfiihrung eigener Servlets bzw. Serverscripte moglich ist bzw. welche Entwicklungsumgebung unterstiitzt wird, z. B. Perl, PHP3, PHP4, TCL, C++, Java (Verfiigbarkeit eines Java-Development-Kits) , ColdFusion (Scriptsprache, die die Datenbanken Microsoft Access, dBASE , FoxPro und Paradox unterstiitzt), Microsoft Visual InterDev., Java Server Pages , Active Server Pages (Erweiterung von Web-Seiten urn Visual-BasicScipts, kompatibel mit der Datenbank Microsoft Access). • CGI-Support 7 : - Support von kundenindividuellen cgi-Skripts (CGI-Iocal directory) - Verfiigbarkeit von cgi-Skripts durch den Provider (z. B. Hit-Counter, Guest Book). • Zusatzliche Web-Server-Erweiterungen und Applikationen, wie z. B. Life Wire von Netscape, Cold Fusion Applications Server von Allaire , Microsoft Netshow , Shockwave von MacroMedi a, Microsoft Office/Frontpage XP Extensions, Microsoft.NET , Cron-Jobs. • Web-Zugriffsstatistik: Verschiedene Formen und Logfile-Formate, z. B. als Roh-Log-File oder als detaillierte Statistik mit grafischer Darstellung. Von Interesse ist auch, wie lange die Logfiles vorgehalten werden. • Support von Audio- und Video-Diensten, z. B. TrueSpeech, Real Audio, Real Video. • WAP-Support. • Support durch Search Engines bzw. Index-Server: Benutzer konnen mittels Suchbegriffen auf dem Web-Server navigieren. Weitere, zu beachtende Funktionen sind u. a. Moglichkeit fiir Web-Forwarding, Hit Tracking, Unterstiitzung vieler MIME-Typen, Pre-configurated Order Form support, Domain Name Alias, Support bei der HTML-Programmierung, Image Map Support, Tape Backup, gebiihrenfreier Support.
5.3.3 Datenbank-Support
Aufgrund der zentralen Bedeutung der Web-Database-Integration ist auch die Verfiigbarkeit eines Datenbank-Supports zu einem wichtigen Kriterium im Rah7
Common-Gateway-Interface
144
I Elemente einer Infrastruktur fur E-Business
men der Auswahl von Hosting-Services geworden. In Abhangigkeit von der Betriebssystem-Plattform werden haufig eine oder mehrere relationale Datenbanken samt Tools zur Verfugung gestellt. In der Regel istjedoch eine Programmierung z. B. in Perl erforderlich, urn das Interface zwischen Web und der Datenbank effizient nutzen zu konnen . • MiniSQL weist einen begrenzten Befehlsumfang sowie einen vergleichsweise unzulanglichen Zugriffsschutz auf. Urn von Anwendungen aus auf die Datenbank zugreifen zu konnen , sind Schnittstellen mittels Perl, Java oder Lite zu entwickeln. • Charakteristisch fur MySQL ist deren vergleichsweise hohe Geschwindigkeit, was durch fehlende Funktionen (wie Trigger und Transaktionen) erkauft wird. MySQL bietet allerdings einen Zugriffsschutz fur Tabellen, wie dies bei klassischen SQL-Datenbanken ublich ist. • Auf NT-basierten Systemen werden haufig die Produkte Microsoft Access, MSQL, Microsoft FoxPro und auch Shared/dedicated Microsoft SQL 2000 Services zur Nutzung angeboten. • Haufig nachgefragt wird auch eine PerllPHPlMySQLlCold Fusion-Unterstutzung auf Windows NTI2000-Plattformen. Weniger gebrauchlich ist bei Providern die Moglichkeit fur deren Kunden, JDBC8 fur die Verbindung zwischen Web und Datenbank einsetzen zu konnen. Die Benutzung einer bei einem Dienstleister installierten Datenbank unter Verwendung des Internet kann auch unabhangig von anderen Diensten, wie dem Webspace-Providing, vorgenommen werden. Die Einbindung von Datenbanken kann tiber Standards (wie z. B. ODBC9) erfolgen. Problematisch ist jedoch die Auslagerung einer Datenbank zu einem Dienstleister insbesondere dann, wenn die Datenbank in hohem AusmaB auch betriebsintern im Intranet oder auch in einem Extranet eingesetzt wird, da fur jede Anfrage durch eine Applikation ein entsprechendes Datenvolumen anfallt und verrechnet wird. Handelt es sich um sensible Daten , so sind aufwendige MaBnahmen (z. B. durch Virtual Private Networks, siehe unten) zur Reduzierung des Sicherheitsrisiken im Bereich der Ubertragung erforderlich. Eine weitere Schwachstelle besteht in jenem Sicherheitsrisiko, das sich aus der Organisation des Dienstleisters durch etwaige Sicherheitslticken ergeben kann.
5.3.4 Sicherheitsrisiken in Shared-Hosts-Umgebungen Shared-Hosts-Umgebungen liegen vor, wenn sich mehrere Kunden mit ihren Domains einen Webserver des Hosting-Providers teilen. Da diese Dienste vergleichsweise kostengtinstig sind, werden sie von zahlreichen kleineren und mittleren Unternehmungen beansprucht. Die haufig gebotene Moglichkeit der Scriptun-
8 9
Java Database Connectivity Open Database Connectivity (Microsoft)
5 Hosting Services im Bereich Electronic-Business
145
tersttitzung (z. B. PHP oder Perl) erfodert jedoch eine entsprechend sorgfaltige Konfiguration des Webservers. Empirische Tests'? brachten erschreckende Sicherheitslticken bei derartigen Shared-Hosts-Umgebungen ans Tageslicht. Durch den Einsatz von PHP-Skripts gelang es in etlichen Hillen, tiber das einem Kunden zugeordnete Verzeichnis hinaus auf Systemverzeichnisse und Systemdateien (auch auf Passwortdateien) zuzugreifen . SchlieBlich waren auch Schreib-lLesezugriffe im Webspace anderer Kunden moglich. Da PHP haufig auch zur Datenbankeinbindung verwendet wird, besteht ein erhebliches Sicherheitsrisiko, falls sich im PHP-Skript der Datenbank-Servername, der Benutzername sowie das Passwort im Klartext finden. Der "normale" WebBenutzer bekommt zwar den Inhalt der Skripts nicht zu sehen, sondern lediglich das Ergebnis der Abarbeitung des Skriptes in HTML-Format. Mithilfe von speziellen Browsern ist es jedoch moglich, den Quelltext von Skripten (PHP, Perl, asp usw.) zu sehen und somit unbefugten Zugriff zu einer Datenbank (z. B. zur Kundendatenbank) zu erlangen. Auf entsprechende SicherheitsmaBnahmen sollte daher insbesondere bei Shared-Hosts-Umgebungen geachtet werden. Als MaBnahmen empfehlen sich beispielsweise der Einsatz von PHP als cgi-Applikation oder das restriktive Einstellen von Schreib- und Leserechten oder gegebenenfalls der Wechsel des Providers.
5.3.5 Electronic-Susiness-Support
Dienstleister bieten haufig auch Untersttitzung auf dem Bereich des Electronic Business unter Bezeichnungen wie z. B. E-Commerce-Hosting oder StorefrontHosting an. Hierher zahlen insbesondere: • Shopping Cart System: Falls auf Web-Seiten Produkte angeboten werden, konnen die eingehenden Bestellungen registriert werden. Die betreffenden Produkte konnen in einen virtuellen Einkaufskorb gelegt oder daraus entfernt werden. Die Bestellung wird mittels Electronic Mail an das Unternehmen sowie in einer Kopie auch an den Kunden weitergeleitet. Bisweilen stellen Provider ihren Kunden ein Shopping-Cart-Generator-Script zur Verftigung. • SSL Encryption : Die Verschltisselung mittels Secure Socket Layers bietet eine Steigerung des Vertrauens durch Kunden und Lieferanten. • Nutzung von CyberCash: Rund urn die Uhr konnen "sichere" Zahlungen via Kreditkarte erfolgen . Die Registrierung bei CyberCash sowie ein Konto bei einer CyberCash- Vertragsbank sind daflir erforderlich . Es gibt Dienstleister, die sich auf die Einrichtung von Online-Shops spezialisiert haben und komplette Leistungspakete (Turnkey E-Commerce Solutions for Web Storefronts) anbieten, teilweise sogar fur eine weltweite Nutzung. Diese vereinfa-
10
Vgl. z. B. Glemser 2002
146
I Elemente einer Infrastruktur fur E-Business
chen den Start von Electronic Commerce, da sich das Unternehmen nur mit einem einzigen Partner abstimmen muss. Die Leistungspakete enthalt en beispiel sweise • • • •
Real Time Credit Card Processing, Merchant Accounts (VISA, MC, AMEX), Storefront Creation Tools, Website Hosting.
Eine weitere Gruppe von Dienstleistern nimmt die Funktion von Agenturen wahr, die sich haufig auf einzelne Branchen spezialisiert haben . Diese Agenturen bieten in einem vertraglich festgelegten Rahmen am WWW Informationen tiber Unternehmungen an, wobei die einzelnen Unternehmungen in ein ubergreifendes Gesamtsystem der Agentur eingeordnet sind. Hinzu kommen weitere Funktionen aus dem Bereich Electronic Business, wie z. B. die Moglichkeit fur Reser vierungen, Bestellungen oder sonstige Trans aktionen . Derartige Systeme sind haufig zugleich auch Intranets bzw. Extranets, da die Partnerunternehmungen das Informationssystem innerbetrieblich nutzen konnen und es in der Regel auch inhaltlich zu warten haben . Die techni sche Betreuung des Systems wird von der Agentur wahrgenornmen. Als Beispiel sei hier das Tourismusinformationssystem Tiscover genannt, das Informationen tiber Regionen, Orte, Hotels und andere touristische Objekte am WWW anbietet. Die einzelnen Partnerunternehmungen (Hotels usw .) haben in dem jeweils vereinbarten Rahmen die Moglichkeit, sich am WWW zu prasentieren oder von dem Reservierungssystem Gebrauch zu machen.
5.3.6 Support fUr Virtual Private Networks Ein moglicher Support fur Virtual Private Networks (VPNs) sollte in die Beurteilung der Hosting-Services eines Dienstleisters miteinbezogen werden . Raumlich verteilte Geschaftsstellen, Mobile Computing (z. B. durch AuBendienstmitarbeiter) sowie Telearbeit sind typische Anwendungsfelder fur VPNs, die fur die Vernetzung von unterschiedlichen Unternehmensstandorten das Internet nutzen. Ein weiteres Einsatzgebiet von VPNs liegt in der Organisation virtueller Unternehmungen sowie von Extranet- und Intranet-Losungen. Dabei wird stets von dem Grundprinzip ausgegangen, dass von jedem Standort aus jeweils nur die Verbindung zu einem lokalen Access-Provider aufgebaut wird und das Internet als Transportmedium genutzt wird. So nutzt etwa die Lufthansa einen Provider, urn den Zugriff auf die Flugdaten und auf die Crewplane europaweit zu ermoglichen.'! Ein anderes Beispiel ist das mehrere Betriebsstandorte in Frankreich, Belgien, Italien Norwegen und in den USA umfassende globale Intranet des Brillendesigners Mikli, das mittels einer IP-VPN-Losung von KPNQwest implementiert wurde.P 11 12
Lt. Bericht in Internet Professionell 6/2000, S. 59 Vgl. KPNQwest : internationale IP-VPN-Loesung fuer Mikli, pte011213018, http://www.pressetext.com (13. 12.2001)
5 Hosting Services im Bereich Electronic-Business
147
Der Service-Provider stellt seine Infrastruktur sowie sein Personal zur Verftigung und sollte in der Lage sein, stets den neuesten Stand der Technik einzusetzen und eventuell neu entdeckte Sicherheitsliicken sofort zu schIieBen. Es gilt, den Datenverkehr iiber das Internet vor Einsichtnahme und Verfalschungen zu sichern, sowie das Intranet gegen Angriffe aus dem Internet zu schutzen.!' Der in der Praxis teilweise bei Providern festgestellte Einsatz von GRE (Generic Routing Encapsulation) ohne Verschliisselung gilt jedenfalls als unzureichend,!' Werden anstelle von IPSec nur GRE verwendet, so drohen Angriffe auf den VPN-Tunnel (Tunnel Intrusion). Bei der Providerauswahl sollte daher darauf geachtet werden, dass in der Praxis aufgrund unterschiedlicher Standards" sowie auch aus mangelndem Sicherheitsbewusstsein die verfugbaren VPN-Techniken erst in unzureichendem AusmaB eingesetzt werden. Dies gilt sinngemliB auch fur den Einsatz von WLANsI6, die in der Praxis ohne jegliche Verschliisselung sogar in durchaus sensiblen Anwendungsbereichen eingesetzt werden.' ? Da in WLANs trotz Ein satz von WEPI8 derzeit noch erhebliche Sicherheitsli.icken bestehen, empfiehlt sich auch hier der Einsatz eines VPN. Empfehlenswert ist im allgemeinen IPSec (mit moderneren Verfahren wie z. B. 3DES) sowie von IKEI 9 als Losung fur das Schliisselmanagement. Be i der Authentifizierung sollte X.509 verwendet werden. 20 Ist der Anspruch an die Sicherheit sehr groB, so empfiehlt sich, die Verschli.isselung an den jeweiligen Endgeraten vorzunehmen, beispielsweise durch den Aufbau eines VPN-Tunnels zwischen zwei Hosts. Diese Losung kann jedoch neben der aufwendigen Konfiguration auch den Nachteil haben, dass dazwischenliegende NAT-Router bzw. Proxies nicht iiberwunden werden konnen. Bei der Verbindung entfernter lokaler Netze besteht daher auch die Moglichkeit, die Benutzer und deren Endgerate nicht mit der Installation von VPN-Software zu belasten, sondern VPN-Gateways bzw . Firewalls einzusetzen. Diese stellen den Ubergang zwischen dem Internet und dem zu schiizenden Netzwerk dar und konnen auch als Dienstleistung von einem Provider betrieben werden. Verschliisselt wird nur der iiber das Internet gefuhrte Datenstrom und nicht innerhalb des LANs. Abb. 1-5.1 zeigt die Grundstruktur eines VPN in einer stark vereinfachten Struktur. AuBendienstmitarbeiter oder Telearbeiter, die sich in ein mit einem VPN-Gateway geschiitztes Netzwerk via Internet einwahlen wollen, konnen also das VPN-Angebot 13
14
15
16
17
18 19
20
Sinnvoll kann darUber hinaus auch der Einsatz von VPNs fur Standleitungen sowie in Lokalen Netzwerken sein. Vgl. Bachfeld 2001 FUr Virtuelle Private Netze sind folgende Verfahren als Standards anerkannt : Es sind dies das Layer 2 Tunneling Protocol (L2TP) sowie das Internet Protocol Security (IPSec) . In diesem Zusammenhang von Interesse sind auch das Point-to-Point -Tunelling-Protocoll (PPTP) sowie das Point-to-Point-Encryption-Proto col (MPPE). Wireless LANs gemass IEEE S02.llb Vgl. dazu den Kap. 1.3. Wired Equivalent Privacy Internet-Key-Exchange-Protocol Vgl. dazu Reichelt (2000), S. 59
148
I Elemente einer Infrastruktur fur E-Business
Angebot eines Providersnutzen oder auch selbst mit VPN-Clients ausgestattet werden. In jedem FaIle werden Datenpakete verschltisselt tiber das Internet gesandt, dann wiederum durch ein Gateway gefiltert, · entschltisselt und authentifiziert." Von zentraler Bedeutung ist diesem Zusammenhang , wie die Qualitlitder Sicherheitsstandards des Dienstleisters eingeschatzt wird.
Abb. 1-5.1 Grundstruktutr eines Virtual Private Networks
Aus Sicherheitsmotiven heraus soIlte auch gepruft werden, ob die Nutzung eines SSL Secure Servers bzw. von TLS moglich ist. Diese Dienste gestatten es dem Benutzer, auch auBerhalb eines VPN Informationen von einem Web- oder Mail-Server in einer verschlusselten Form zu erhalten bzw. an diesen Server zu ubertragen. Eine weiterreichende, durch einen Provider zu erbringende Sicherheitsdienstleistung kann auch darin bestehen, das Sicherheitsmanagement oder Teile daraus fur ein Unternehmen wahrzunehmen. Hierher zahlt beispielsweise die Planung, Betrieb und Monitoring von Firewalls, Routern und Netzwerken.
21
Vgl. z. B. Raepple (1999), S. 118 ff, Kuri (1999), S. 190 ff.
5 Hosting Services im Bereich Electronic-Business
149
5.3.7 Verrechnung und Zahlungsweise Bei der Verrechnung, der Zahlungsweise sowie bei den einzelnen Positionen (siehe unten) bestehen grobere Unterschiede, insbesondere zwischen Web-HostingServices in Europa und in den USA. Folgende Verrechnungspositionen sind in unterschiedlichen Kombinationen anzutreffen: • Einrichtung des Accounts • eigener Domain-Name • Anzahl der Web-Seiten (manche europaische Provider bieten zu gestaffelten oder auch zu pauschalen Seitenpreisen an) • verfUgbarer Speicherplatz (mit oder ohne Warnung einer eventuellen Uberschreitung) • verfiigbare Bandbreite • Kombinierte Abrechnungen, die haufig aus zwei Komponenten bestehen: "Traffic Included": Volumen der iibertragenen Daten , das durch einen Pauschalbetrag abgegolten ist, eventuell unterteilt nach WWW- und FrP-Diensten. Beispiel: 500 MB pro Monat fur Web -Zugriffe. Manche Provider bieten eine entsprechende Transferlimitwarnung (eventuell auch iiber WWW einsehbar) an. "Extra Traffic": Ubertragene Daten, deren Volumen iiber den vereinbarten Pauschalbetrag hinausgehen, werden nach eigenen Verrechnungssatzen in Rechnung gestellt. Beispiele: $ 1 per MB, die iiber 500 MB hinausgehen. Bei manchen Providem bleiben bei der Berechnung des Datenvolumens der FrP- sowie der Mail-Transfer unberiicksichtigt. Die durch das Datenvolumen entstehenden Kosten sind durch die Nutzung des Web servers bzw . der anderen Dienste abhangig, Sie konnen daher aufgrund des nur grob abschatzbaren Mengengeriistes bereits binnen kurzer Zeit unerwartet stark anwachsen. Die Vereinbarung entsprechend kurzer Kiindigungsfristen ist daher auch aus diesem Grund anzuraten. • Als Grundlage der Datenmenge kommt die Messung des Datenvolumens oder auch die Committed Information Rate (CIR) , das sind ca. 250 MBytelMonat, in Frage. • Bei Electronic-Commerce-Leistungspaketen konnen auch Gebiihren pro Transaktion anfallen. Fur die Bezahlung stehen bei US-Providern in der Regel effi ziente Moglichkeiten der Verwendung eines Kreditkarten-Accounts zur Verfiigung, was die rasche Einrich tung des Internet-Accounts bzw. die prompte Abwicklung sonstiger Aktivitaten ermoglicht: • Online mittels Verwendung eines SSL-verschliisselten Servers. • Das mittel s E-Mail versandte Rechnungsformular wird urn die kundenspezifischen Daten erganzt, ausgedruckt und an den Provider gefaxt.
150
I Elemente einer Infrastruktur fUr E-Business
5.3.8 Vertragsdauer Wegen der nicht exakt vorh ersehbaren Entwicklung der Netzwerk-Infrastruktur und -kosten ist zunachst eine ktirzere Vertragsdauer empfehlenswert. Die Szene der Dienstle ister ist zudem ein er permanenten Anderung unterworfen, Tarife bewegen sich eher nach unten . Man sollte die Moglichkeit eines eventuellen Wechsels des Internet-Providers von vorneherein einplanen, z. B. durch Reservierung eines eigenen Domain-Namens oder Verwenden eines eigenen IP-Adressbereiches im lokalen Netzwerk bzw . Intranet.
5.3.9 Sonstige Bedingungen In der Regel ist das Unternehmen an eine Anzahl von zusatzlichen, teilweise unprazise formulierten Bedingungen seines Dienstleisters gebunden (in den USA etwa "Acceptable Uses and Policy" genannt). Die Bedingungen regeln folgende Bereiche: Verantwortung fur die Validierung der Information, Vermeidung unsachgemaller Nutzung, Beachtung einschlagiger Gesetze (z. B. der intellectual property rights), Sicherheit, Vertraulichkeit, Nutzung der CPU der Server, Weiterverkauf der Dienstleistungen an Kunden des Unternehmens, Verbot von .adult" oder .warez" Web-Sites. Bei auslandischen Hosting-Providern ist zu beachten, dass man in der Regel sowohl den Bestimmungen des betreffenden Staates als auch den am FirmenStandort geltenden Rechtsnorrnen unterworfen ist.
5.4 Application Service Provider Unter der Bezeichnung "Application Service Provider" (ASP) ist in letzter Zeit ein bre ites Spektrum an Dienstleistern mit sehr unterschiedlichen Diensten am Markt erschienen. Nach einer Studie" hat der ASP-Markt im Jahre 2000 ein Umsatzvolumen von 926 Millionen Dollar erreicht. Marktforscher sagen fur das Jahr 2005 eine Grobenordnung von 24 Milliarden Dollar voraus . Diese Entwicklung tragt offensichtlich dem Wunsch Rechnung, EDV - und Internetanwendungen und -ressourcen aus dem eigenen Unternehmen auszulagern oder neue Bedarfe nach solchen Ressourcen erst gar nicht entstehen zu lassen. Sinngernaf gilt dies auch fur neue, von Telearbeitern und von kleinen Organisationen nachgefragte Dienstleistungen, die haufig unter dem Begriff SOH023 zusammengefasst werden . Zum Unterschied von mittleren und groBen Organisationen
22 Studie des Marktforschungsinstitutes Intern ational Data Corp . (IDC) . Im Jahre 2000 waren folgende vier ASP-Dienstlei ster nach ihrem Umsatz fiihrend: Usinternetworking, TriZetto, Oracle und Interliant, zit aus www.computerwoche .de (24. 4. 2001) 23 SOHO = Small Office Home Office
5 Hosting Services im Bereich Electronic-Business
151
kommt fur die meisten SOHO's das Betreiben vieler Internetdienste und EDVAnwendungen aus Kosten- und Personalgrunden grundsatzlich nicht in Frage. Der ASP-Markt lasst sich insgesamt in vier grobe Segmente einteilen: (a) Endanwender, (b) Freiberufler und kleine Buros, (c) kleine und mittlere sowie (d) groBe Untemehmungen>'. Spezielle Application Service Provider bieten Office und Personal Information Manager (PIM) zur Nutzung tiber das Internet an. Dabei werden bei den Providern haufig Terminal-Server mit Standard-Office-Programmen eingesetzt. Ein spezielle Client-Software stellt die Programmoberflache des Office -Paketes am PC dar. Ein weiterer, eher spezieller Anwendungsbereich sind geografische Informationssysterne, wobei der Anwender z. B. mittels Web -Browser auf den Map-Server zugreift . Zu den Application Service Providern sind auch jene Dienstleister zu rechnen, die insbesondere fur die Segemente (c) und (d) grosere Anwendungen, zumeist Standardsoftwarepakete, zur Verfugung stellen . Als Beispiele sind hier SAP , Oracle, IBM, und Forte Software zu nennen. Oracle und andere Anbieter haben entsprechende Systemarchitekturen (Drei -Schicht-Modelle) entwickelt. Diese bestehen aus logischer Sicht aus (1) Clients (auch als "Thin Clients" bezeichnet), aus (2) Application-Servern und aus (3) Datenbank-Servern. Diese drei Teile, insbesondere aber (1) und (2) sind im Faile des Application Service Providings tiber das Internet oder Extranet verbunden. Die Application-Server konnen vom Anwender entweder mittels spezieller Anwendungssoftware oder auch mittel s WebBrowser angesprochen werden , wobei spezielle Plug-Ins erforderlich sein konnen. In der Regel nutzen mehrere Kunden dieselbe Anwendung. Beispiele fur Anforderungen, die an Application-Server gestellt werden, sind: Leichte Skalierbarkeit, Load Balancing, Automatic Failover Support, Daten-Cashing und ConnectionPooling. Die meisten Application Server unterstiitzen Sprachen wie C++ und Java und bieten ODBC25-Schnittstellen. Da es sich urn verteilte Systeme handelt, sind beim Appli cation Service Providing auch die Fragen der Sicherheit, insbesondere der Ausfallsicherheit sowie des Zugriffs- und Datenschutzes, von groBer Bedeutung. Es werden zwar aufwendige Firewalls mit Authentifizierungsmechanisamen und den ublichen Funktionen (z. B. Intrusion Detection) eingesetzt und Security Audits durchgefUhrt. Da dennoch Pannen nicht auszuschlieBen sind, besteht weiterhin ein gewisses Sicherheitsrisiko gegentiber den Application Service Providern und deren Mitarbeiter. In den USA sind Provider im Konkursfalle sogar verpflichtet, aile verbliebenen Werte (also auch die Daten der Kunden) zu verliuBern. Es sollte jedenfalls uberpruft werden , ob der Application Service Provider tiber eine entsprechende .J ntemet-Versicherung" und .Hacker-Polizzen" verfugt, durch die unter anderem auch Betriebsunterbrechungen abgedeckt sind. Daneben spielen
24
Vgl. zu diesem Abschn itt z. B. Bager/Kossel (2001) und Brors/SchtilerlBager (2001)
25 Open Database Connection Service
152
I Elemente einer Infrastruktur fOr E-Business
auch Fragen der Performance eine Rolle, die auch von der Anbindung des Unternehmens ans Internet abhangen. Umstritten sind auch die Einsparungspotenziale . Zu den Application Service Providern im weiteren Sinne zahlen auch die Provider fUr Mobile Business sowie die Anbieter kostenloser Dienste fur die Segmente (a) und (b). Ihnen sind die beiden folgenden Abschn itte gewidmet.
5.5 Provider fUr Mobile Business 1m Bereich des Mobile Business werden von Hosting-Providern auch neue Dienste angeboten. Bislang neue Formen des Providergeschaftes sind auch bei Mobilfunkbetreibern entstanden . Spezielles technisches Know-How und Verstandnis fur die Bedlirfnisse des Anwenders im Bereich des Mobile Business sind fur eine Akzeptanz dieser Dienste erforderlich. Provider fur das Mobile Business (Mobile-Commerce ASp26) bieten folgende Dienste an, wobei wegen der naheren Beschreibung auf den Abschnitt "Mobile Business" verwiesen wird : •
• • • • •
Versorgen von Unternehmungen mit der entsprechenden IT-Infrastruktur, darliber hinaus mit Anwendungen und Know-How, z. B. bei Errichtung, Betrieb und Verrechnung von Wireless LANs Personalisierung / Individualisierung (z. B. Anlegen individueller Linklisten am Mobiltelefon am WWW) Zugriff auf Anwendungen bei Application-Service-Providern mittels mobiler Gerate, z. B. Zugriff mittels PDA auf ein SAP-System. Verwaltung personlicher Informationen (z. B. Termine, Adressen, Telefonnummern, Passworter) Location Based Services (Anbieten lokaler Informationen) Diverse Gateways zwischen den Diensten des Mobile Business und den ubrigen Diensten des Internet, also zwischen SMS und WWW, SMS und E-Mail, WAP und E-Mail. Beispiel : Zugriff von WAP-tauglichen Geraten auf Outlook (Mails etc .)
5.6 Gratisdienste im WWW Von groBen WWW-Portaldiensten und von anderen Dienstleistern werden in zunehmendem AusmaB nicht nur Nachrichten, Web-Kataloge und Search Engines, sondern auch zusatzliche kostenlose Dienstleistungen angeboten . Beispiel fur derartige Dienste sind gratis Webspace, E-Mail-Accounts sowie Web -Shops fur eine kleine Anzahl von Produkten. Daruber hinaus sind Terminplaner, ReminderDienste, Faxdienste, Fuhren personlicher Bookmark-Manager, PC-Dienste (z. B. Virenscanner, Fileconverter, Online-Laufwerke) verfligbar. 26 Vgl. z. B. Rysavy 2001
5 Hosting Services im Bereich Electronic-Business
153
Die Nutzung dieser Grati sdienste ist aufgrund der Sensibilitat der in diesen Diensten verwendeten Daten prob1ematisch. Daher ist der Einsatz dieser Gratisdienste fur Unternehmungen und Verwa1tungen mit Vorsicht zu genieBen, da eine Hille unternehmens- und personenbezogener Daten an den Betreiber dieser Dienste uberrnittelt werden, die in weiterer Fo1ge insbesondere fur Werbezwecke eingesetzt werden. Zudem ist ein kontinuierlicher und zuverlassiger Betrieb nicht gewahrleistet; es bestehen auch erhebliche Sicherheitsrisiken. Durch Einscha1ten von Banners oder durch das Offnen von zusatzlichen Browser-Fernstern zu Werbezwecken ist eine kommerzieIle Nutzung der betreffenden Webseiten beeintrachtigt". 1m FaIle einer Verwendung von E-Mail-Adressen eines kostenlosen Mailproviders im Geschaftsverkehr kann es z. B. zu Missverstandnissen sowie zu erheb1ichen Imageverlusten eines Unternehmens kommen.
5.7 Trace Routing Urn feststeIlen zu konnen , tiber welche Rechner (Router) die Verbindung zu einem Host, z. B. zu einem Web-Server erfo1gt, konnen spezieIle Hilfsprogramme (Trace Routes) eingesetzt werden. Ftir die Verbindung zu einem Host ist nicht primar die geografische Entfernung maBgeblich, sondern die Qualitat der NetzwerkInfrastruktur. Dies wird an nachfo1gendem Beispiel erlautert. Angenommen, es solI der "Weg" von einem Rechner, der tiber ein Modem an einen Internet-Provider angeschlossenen ist, zum Web-Server mit dem URL http://www.its.at gefunden werden: Find route to: www.its.at. (207.158.200.172), Max 30 hops, 40 byte packets. Es ergibt sich fo1gende Route mit jeweils drei Zeitangaben , die von den verfugbaren Bandbreiten, den Kapazitaten der beteiligten Rechner sowie von der jeweiligen Belastung des Netzwerkes durch andere Benutzer abhangen (Zeiten in Millisekunden): 1 tsl-1inz.at.eu.net. (193.80.61.2): 160 ms 133 ms 130 ms 21inz.at.eu.net. (193.80.61.1): 212 ms 129 ms 148 ms 3 vienna.at.eu .net. (192.164.67.53): 173 ms 229 ms 170 ms 4 vienna5.at.eu.net. (192.92.138.61): 190 ms 203 ms 164 ms 5 amsterdam6.n1.eu.net. (134.222.26.1): 187 ms 184 ms 188 ms 6 amsterdam2.n1.eu.net. (134.222.228.69): 201 ms 203 ms 256 ms 7 vienna2.va.us.eu.net. (134.222.228.18): 432 ms 287 ms 266 ms 8 br2.tco1.alter .net. (192.41.177.249): 298 ms 268 ms 291 ms 9 432.atmlO-0.crl.tco1.alter.net. (137.39.13.22): 266 ms 333 ms 356 ms 10 189.hssi4-0.cr1.atll .alter.net. (137.39.69.70): 286 ms 290 ms 305 ms 11 109.hssi4-0.gw1.mia1.alter.net. (137.39.31.10): 363 ms 329 ms 444 ms
27
Es sind Falle bekannt, in denen der abgespeicherte HTML-Code vom Web-Provider durch dessen JavaScript-Routinen erweitert wird.
154
I Elemente einer Infrastruktur fUr E-Business
12 hway-gw.alter.net. (137.39.141.50): 361 ms 348 ms 351 ms 13 www.its.at. (207.158.200.172): 318 ms 315 ms 382 ms -Trace completedTrace-Routing-Programme beruhen auf dem folgendem Prinzip : Jedes IP-Datenpaket, das tiber das Internet von einem Rechner zu einem anderen verschickt wird, fuhrt ein Time -To-Live-Feld (TTL) in seinem Header , das normalerweise zu Beginn den Wert ,,255" aufweis t. 1m vorhergehenden Trace-Routing-Beispiel durchlauft ein Datenpaket 12 Router, urn bis zum Zielrechner ..www.its.at.. zu gelangen; es Iiegen also 12 "hops" vor. Jedesmal, wenn ein Datenpaket einen Router passiert, so wird der Inhalt des TTL urn 1 reduziert. Falls auf diese Weise irgendwann der Wert erreicht werden sollte, so wird das Datenpaket nicht mehr weiter geroutet und stirbt. Dieser Tatbestand wird dann vom betreffenden Router an den Sender des Datenpaketes (mittels eines ICMP-Pakets) gemeldet.
°
WWW-Client
Router
193.80.61.2
Router
Router
193.80.61.1 192.164.67.53
1. Durchlauf (3x), TTL = 1
WWW-Serv er
weitere 207.158.200.172 Router im Internet
) 2. Durchlauf (3x), TTL =2
..
)
3. Durchlauf (3x), TTL = 3
.. letzter Durchlauf (3x), TTL = 13
..
)
Abb. 1-5.2 Grundprinzip des Trace-Routings
Dieser - hier vereinfacht beschriebene und im Internet standardisierte - Vorgang wird nun ganz gezielt fur Trace Routings eingesetzt, indem vom absenden den Rechner zunachst ein Datenpaket, das den Wert " 1" im TTL aufweist, abgeschickt wird. Bereits der erste Router reduziert das TTL urn 1 auf ,,0" und meldet an den Absender des Datenpaketes, dass das Datenpaket nunmehr gestorben sei, und fugt seine IP-Adresse (im Beispiel 193.80.61.2) bei. Die IP-Adresse sowie der
5 Hosting Services im Bereich Electronic-Business
155
Domain-Name dieses Routers werden vom Trace-Route-Programm registriert , die Zeit zwischen dem Absenden des IP-Datenpakete s und dem Einlangen des ICMPPakets wird gemes sen . Dieser Vorgang wird im Beispiel dreimal pro Router durchgefuhrt und anschlieBend eine Zeile als Ergebnis dargestellt, wobei der TILWert jeweils zu Zeilenbeginn dargestellt wird. Danach wird der TTL-Wert urn 1 erhoht und der Vorgang mit dem zweiten Router (im Beispiel 193.80.61.1) wiederholt. Dies wird sinngemaf mit allen Routern solange fortgesetzt, bis der Zielrechner (im Beispiel 207.158.200 .172) erreicht ist. Die Abb. 1-5.2 zeigt das Grundprinzip des Trace-Routings. Man erkennt am Beispiel, dass ausgehend vom Client in Linz, tiber Wien und Amsterdam, bis zum Web-Server, der in den USA liegt, insgesamt 12 hops zu uberwinden sind. Jeweils drei Zeitangaben geben Aufschluss tiber die Qualitat der Verbindung zum Testzeitpunkt. Urn Aussagen tiber die Qualitat von Providern gewinnen zu konnen, sind mehrmals und zu unterschiedlichen Zeiten Trace Routes zu erstellen, wobei entweder der Access-Provider oder der Provider, der Hosting-Services zur Verfugung stellt, variiert werden kann. Von Interesse sind auch Trace Routes fur Verbindungen zwischen zwei Hosts innerhalb einer Stadt: In nachfolgendem Beispiel wurde zwischen einem Rechner der Uni versitat Linz und einem tiber Modem an einen Access-Provider in Linz angeschlossenen Client gemessen . 1 gw-et-intern .idv.uni-linz.ac.at. (140.78.50.31): 3ms 3ms 3ms 2 managementgebaeude.edvz.uni-linz (140.78.207.31) : 2ms 2ms 2ms 3 jkurtI01.edvz.uni-linz.ac.at. (140.78.1.1): 4ms 2ms 3ms 4 linz.aco.net. (193.171.22 .17): 3ms 2ms 3ms 5 cell.aco.net. (193.171.25.9) : 6ms 7ms lOms 6 vienna-rbs.aco.net. (193.171.23.81): 15ms 12ms 6ms 7 vienna8.at.eu .net. (193.203.0.4): llms 45ms 27ms 8 vienna4.at.eu.net. (192.164.246.141): 9ms 9ms 28ms 9 vienna1.at.eu .net. (193.83.150.1): 24ms 33ms llms 10 linz.at.eu.net. (192.164.67.58): 27ms 115ms 45ms II tsl-linz.at.eu.net. (193.80.61.2): 27ms 65ms 31ms 12 tsl-9.linz.at.eu.net. (193.81.169.9): 165ms 169ms 212ms -Trace completedAus dem Ergebnis sieht man, dass fur diese innerstadtische Internet-Verbindung bereits insgesamt 11 hops erforderlich sind (in die USA waren lediglich 12 hops erforderlich), da im gegebenen Beispiel der Ubergabepunkt zwischen den Providern Aconet und EUnet in Wien liegt. Auch die relativ hohen Zeitangaben lassen eine bessere Kooperation der europaischen Provider im Interesse der Unternehmungen und deren Kunden und Lieferanten als wunschenswert erscheinen. Trace Routes sind stets .A ugenblicksaufnahmen"; sie konnen dennoch helfen, optimale Standorte von Hosting-Service sfur bestimmte Zielgruppen, Markte bzw. Regionen zu ermitteln . Gegebenenfalls ist es empfehlenswert, in verschiedenen Weltregionen oder bei unterschiedlichen Providern einen oder mehrere Mirror-Server anzu-
156
I Elemente einer Infrastruktur fUr E-Business
anzulegen. Zu viele hops und zu lange Obertragungszeiten sind im Interesse der Akzeptanz des jeweiligen Dienstes zu vermeiden. SchlieBlich eignen sich Trace Routes auch fur die Bestimmung des Access-Providers, des sen Netzwerk-Infrastruktur fur die Obertragungsdauer und -wege maBgeblich verantwortlich ist. Urn Trace-Routes auf einen bestimmten Server von unterschiedlichen Standorten aus durchfuhren zu konnen, besteht die Moglichkeit, im WWW verftigbare Traceroute-Dienste zu nutzen ." Gelegentlich werden auch Performancetests fur Internet-Provider (insbesondere der Internet-Backbone-Betreiber) durchgefuhrt und in Zeitschriften veroffentlicht, Dabei werden Durchschnitte und Standardabweichungen fur die Ladezeiten von Dokumenten ermittelt.
5.8 Besonderheiten von lntranet-Losunqen Intranet-Anwendungen beziehen - soweit wie moglich - bestehende, konventionelle DV-Anwendungen mit ein . Eine vielfach gewahlte Moglichkeit besteht darin, fur diese Anwendungen einen Standard-Web-Browser am Benutzerarbeitsplatz als Client einzusetzen. Die Kommunikation mit der .Jclassischen" Anwendung erfolgt beispielsweise tiber einen Web-Server. Bei dieser klassischen Intranet-Losung ergibt sich eine Reihe von Vorteilen: Die Installation und Pflege der Benutzerarbeitsplatze vereinfacht sich entsprechend, die Verwendung mehrerer unterschiedlicher Betriebssystem-Plattformen sowie eine globale Nutzung der Anwendungen werden moglich. Es sind daher die erforderlichen Schnittstellen zu den konventionellen DV-Systemen zu konfigurieren und die jeweils erforderliche Hardware und Software zu planen, zu implementieren und zu pflegen. Es sind dies insbesondere Schnittstellen zu bereits bestehenden • • • • • •
Burokommunikationssystemen, innerbetrieblichen SQL-Datenbanken, Transaktionssystemen, Systemen des Computer Integrated Manufacturing, Systemen der Materialwirtschaft, der Beschaffung und des Marketings, Management-Informationssystemen.
Modernere Intranet-Losungen beziehen bei Systemplanung, Design und Programmierung die am Markt verfugbaren Standards (Techniken, Protokolle, Software) aus dem Bereich des Internets mit ein . Eine der Moglichkeiten besteht darin, World Wide Web-Anwendungen mit Java zu erganzen, Mittels Java konnen auch vollig neue Benutzeroberflachen und/oder Applikationen entwickelt werden, die zum Bedarfszeitpunkt tiber das Intranet angefordert und tibertragen werden. Haufig ist bei Intranet-Losungen die Installation eigener WWW-, Mail- und anderer Server innerhalb eines Unternehmens sinnvoll, also bei einer intensiven
28
VgI. dazu z. B. Muller/Schloter (1999) , S. 26ff
5 Hosting Services im Bereich Electronic-Business
157
internen Nutzung dieser Dienste oder auch bei der Kombination mit (konventionellen) Datenbanken. Hosting-Provider fur den Bereich Intranet gelangen primar in folgenden Situationen zum Einsatz: • Web-Server, die fur eine Nutzung sowohl durch das Internet oder Extranet , als auch fur das Intranet vorgesehen sind, werden vom Unternehmen nicht selbst betrieben, sondern an einen Provider vergeben (Outsourcing). Dabei kommen sinngemaf die zu Beginn dieses Abschnittes genannten Motive zum Tragen. • Server fur spezielle Dienste, die nur fur das Intranet vorgesehen sind, werden vom Unternehmen nicht selbst betrieben. Beispiele: Reflektoren fur Videokonferenz -Systeme, ReaIAudio-Dienste, Video-On-Demand-Dienste, MailingDienste. Dieses Outsourcing kann auch fur die genannten Dienste zweckmafsig sein, falls sie sowohl durch das Internet und das Extranet, als auch durch das Intranet genutzt werden sollen. • Das Intranet beschrankt sich nicht auf den Einsatz innerhalb eines Werksgelan des oder Gebaudes, sondern ist auf Intra-Subnets aufgeteilt, die tiber das Internet (also unter Einbeziehung von Internet Service Providern und beispielsweise unter Verwendung von Virtual-Private-Network-Techniken) verbunden sind. Dies kann bei Unternehmen mit raumlich verteilten Betriebsstatten, bei Telearbeit oder im FaIle des Einsatzes mobiler AuBendienstmitarbeiter zielfuhrend sein. • Intranet-Datenbanken • VirtueIle Btiros in Form von auf Servern beim Dienstleister bereitgesteIlten Applikationen, die die Mitarbeiter des Unternehmens unabhangig von ihrem Standort nutzen konnen. • Falls die Anbindung eines Intranets in das Internet erfolgen solI, besteht die Moglichkeit, die Errichtung und den Betrieb von Firewall- und/oder ProxyDienste an einen Provider zu vergeben. Daneben ergeben sich fur Hosting-Provider auch im Intranet weitere Betatigungsfelder, etwa fur Consulting , Web-Page-Design, cgi- und Java-Programmierung.
Literatur Bachfeld (2001), Daniel, Black Magic, in: c't 25/2001, S. 40 Bager/Kossel (2001), Bager, 10 und Kossel, Axel, Die Software-Verrnieter, in: c't 7/2001, S. 190-194 Brors/SchiilerlBager (2001) , Brors , Dieter, Schiiler, Peter und Bager, 10, Software aus der Ferne , ASP : Office und Personal Infromation Manager im Test, in: c't 7/2001, S. 198-205 Bottcher/Weiss (1997), Bottcher, Axel und Klaus Weiss , Bereitstellung von Internet-Diensten. Durch Know-How iiberzeugen, in: Gateway, 1/1997, S. 76-78
158
I Elemente einer Infrastruktur fUr E-Business
ChyllaIWelzel (1997) , Chylla , Peter und Thomas Welzel, Outsourcing von IT-Dienstleistungen. Intelligent delegieren, in: Gateway 1/1997, S. 98-102 Glemser (2002), Glemser, Tobias und Lorenz Reto, Offen wie Scheunentore, WebhosterSicherheitslUcken durch Skriptsprachen, in: ct 1412002, S. 72-73 Hansen (1996), Hans-Robert, Klare Sicht am Info-Highway. Geschafte via Internet & Co., Wien 1996 Hitzig (1998), Andreas, Schneller, schneller, Internet2, in: Internet World 12/1998, S.44-46 Huskes/Ehrmann (1997), Huskes, R. und St. Ehrmann, GroBer Auftritt . Internetprasenz fur Privatanwender und Firmen, in: c't 3/1997, S. 134-142 Kuri (1999) , Jurgen, Privatissimo, Virtual Private networks als Abhilfe gegen Lauschangriffe, in: c't4/1999, S. 190-194 Lux (1995), Harald, Der Internetmarkt in Deutschland . Provider und Dienstleister, Heidelberg 1995 MUlier/Schlater (1999), MUlier, Roman und Schloter, Martin, Tracerout-Server im praktischen Einsatz - Fahrtensuche. in: Gateway 1/1999, S. 26-31 Raepple (1999), Raepple, Martin, Virtuelle Private Netze - Transportsicherung, in: ix 1/1999, S. 118-122 Reichelt (2000), Reichelt, Dirk, Abgeschirmt, in: Internet Professionell 6/2000, S. 54-60 Rensmann (2000), Rensmann , Jorg, Police gegen Hacker, in: Internet Professionell 6/2000, S.38-40 Rysavy (2001), Peter, Mobile -commerce ASPs do the legwork, in: Network Computing, Jan22, 2001, Nr.2, S.71-79
6 Funktionale Anforderungen an Online-Shop Systeme Stefan Hinterholzer FH-Studiengang Software Engineering Hagenberg
6.1 Vorbemerkung Die Zahlen waren zunachst berauschend. Zuwachsraten von mehreren hundert Prozent versprachen dem Geschaft tiber das Internet goldene Zeiten. Marktforscher tiberboten einander in ihren Einschatzungen der Markte. Bei naherer Betrachtung allerdings relativiert sich das reale Bild dieses vermeintlichen E-Commerce-Booms etwas: Osterreichweit wurden im Jahre 2000422 Mio. umgesetzt'. Von 300 Unternehmen mit 80 bis 500 Mitarbeitern konnten nur 8 % mehr als 300 Bestellungen aufweisen. Alles in allem wurden maximal flinf Prozent der Umsatze tibers Internet erwirtschaftet.' Von einer ernsthaften Substitution traditioneller Absatzwege kann zumindest hierzulande somit noch keine Rede sein. Dartiber hinaus bestehen hinsichtlich der angebotenen Produkte groBe Unterschiede; so lehnen in einer anderen US-amerikanischen Studies 65% der insgesamt 800 befragten Privatpersonen den Online-Kauf eines Autos kategorisch ab, eben so verhalten sich die potenziellen Kunden beim Kauf von Mobeln bzw. Luxusartikeln aber auch bei Lebensmitteln und beratungsintensiven Produkten. AIle Studien bestatigen aber, dass die Initiative - trotz des eher schleppenden Starts - wohl vom Verkaufer ausgehen wird. Dies schlagt sich auch im Softwaremarkt fur E-Commerce nieder: Den Hauptanteil der Losungen fur E-Commerce stellen Sell-Side - Losungen d. h. Shop-Systeme dar. Shopsysteme fur das sogenannte B2C-Geschlift (Business-to-Consumer) werden als Einsteigerlosungen schon kostenlos oder als "Miet-Shops" angeboten. Gehen die Ansprtiche tiber den Small -Seale-Business - Bereich dartiber hinaus, sind professionelle Shoplosungen gefragt , die jedoch ein gewisses MaB an Funktionalitat, Komfort und Flexibilitat erfordern , urn die an sie gestellten Erwartungen zu erfullen. Im Folgenden sollen diese Anforderungen in einer am AufgabenI
Vgl. http ://www.c-quential.com (24. 1. 2001) Vgl. http://www.gallup.at (24. 1. 2001) Vgl. http://www.mercuri.com (24. 1. 2001)
160
I Elemente einer Infrastruktur fUr E-Business
system "Verkauf llber das Internet" orientierten Sichtweise einer etwas naheren Betrachtung unterzogen werden. Zunachst wird das Augenmerk dabei auf eine B2C-Single-Seller - Losung gelegt. Bei dieser Form der Softwareunterstutzung fur E-Shops wird davon ausgegangen, dass nur ein Verkaufer auftritt und der Shop in die Firmen-Web-Site integriert ist.
6.2 Was ist anders in Online-Shops? Worin unterscheidet sich zunachst das Einkaufen via Internet vom realen Shopping? Zunachst ist es hinsichtlich des Aufwandes urn vieles bequemer - oder anders ausgedruckt - okonomischer, ein Geschaft von einem x-beliebigen Ort aus virtuell zu besuchen als sich tatsachlich bzw. physisch dorthin zu begeben. Offnungszeiten, Verkehrssituation, Wegzeit, Parkplatzsuche usw. deuten darauf hin, dass die individuellen Transaktionskosten mit ins Kalkiil zu ziehen sind. Vorteile, die zwar in gewi sser Hinsicht schon seit langem im Versandhandel gultig waren, aber jetzt differenzierter und vor allem im Verbund mit weiteren "Added Values" zu Tage treten . Gleichzeitig sei jedoch angemerkt, dass gerade diese mit dem realen Einkauf verbundenen Zusatzaktivitaten fur manche Konsumenten nicht als Kosten sondern vielmehr als Nutzen ausgelegt werden, das Shopping selbst also in den Rahmen eines personlichen bzw. sozialen Erlebnisses einbettet ist und das fur sich betrachtet als durchaus erstrebenswert gehalten wird. •
•
•
4
Ein weiterer Vorteil besteht darin, das s samtliche Informationen zu einem Produkt bzw . zu einer Dienstleistung in einen direkten Konnex zu diesem selbst verfugbar gemacht werden konnen . Das betrifft vor allem Sekundarinformationen wie Testberichte, Rezen sionen , Empfehlungen, Referenzen usw. Der Umstand der leichten Erreichbarkeit bringt es mit sich, dass die .Konkurrenz einen Mausklick entfernt" ist, und folglich Preise und Konditionen in hohem MaBe vergleichbar sind. Zumindest fur standardisierte Waren erhoht sich damit die Markttransparenz betrachtlich. Ein weiteres Unterscheidungsmerkmal ist der Umstand, dass beim OnlineShopping die angebotenen Waren bzw . Leistungen vor dem eigentlichen Kauf keiner direkten Betrachtung bzw. Prufung unterzogen werden konnen. Guter, die in Qualitat, Art, Beschaffenheit und Preis mitunter stark variieren (heterogene Gtiter), haben da naturgemaf Nachteile gegenuber leicht spezifizierbaren homogenen Gtitem. Die Tat sache, dass BUcher, CDs und der Bereich "Computer Products and Services" derzeit die beiden graBten Marktsegmente darstellen,' untermauern diese Einschatzung.
Vgl. http :// www .mercuri -int.com (24. 1. 2001)
6 Funktionale Anforderungen an Online-Shop Systeme
•
161
Wahrend der reale Shop einen mehr oder weniger groBen geografisch bestimmten Einzugsbereich besitzt , fallt diese Einschrankung im Online-Shop prinzipiell weg. Voraus setzung daflir ist allerdings, dass die Sprachen- und Wahrungsproblernatik gelost ist. Grundsatzlich steht jeder Online-Shop aber einem weltweiten Kundenkreis offen.
Ublicherweise gliedert man Produkte in Hard- und Softgoods.' Wahrend Hardgoods physischen Charakter haben und als reales Objekt mit einem Transportmittel zum Kunden geliefert werden, sind Softgoods Guter bzw. Dienstleistungen, die "online" dem Kunden zur Verfugung gestellt, sozusagen "downgeloadet" werden . Paradebeispiele sind etwa die Software-Distribution, Audio- und VideoClips, Grafiken, Fotos, Schriften, Dokumente aber auch (dazugehorige) Rechte (z. B. Werknutzungsrecht). Hard- und Softgoods stoBen unterschiedliche Kemprozesse im Untemehmen an. 1m Faile von Hardgoods ist eine enge Integration der Shop-Systeme in die Waren- bzw. Materialwirtschaft erforderlich, da logistische Prozesse wie Lagerung und Auslieferung veranlasst werden mussen. FUr Softgoods fallen diese Versandaspekte im engeren Sinn zwar weitgehend weg, daflir ist hier einerseits eine umgehende Verknupfung mit der Zahlungskomponente (Autorisierung) erforderlich und andererseits ein abgesicherter Downloadbereich einzurichten.
6.3 Erfolgsfaktoren fur den Online-Shop Werden Konsumenten befragt, welche Art von Anwendungen sie sich unter "Electronic Commerce" vorstellen, so steht das Stichwort Online-Shop sieherlieh ganz oben auf der Liste. Stehen diese Softwaresysteme zumindest aus der Sieht der Benutzer doch an der Schnittstelle zwischen dem Kunden und dem Handler. Zwar ist der Shop selbst nieht der einzige kritische Erfolgsfaktor im E-Commerce, trotzdem wird ein Erfolg nicht unbetrachtlich davon abhangen : • • • • • • •
Wo sich dieser Shop befindet (Domain-Name, Links, Mall, usw.)? Wie dieser Shop eingerichtet ist (Design, Funktionalitat)? Ob der Shop bzw. dessen Betreiber dem Benutzer Vertrauen bzw. Seriositat vermittelt. Wie umfangreich bzw. ubersichtlich das Sortiment prasentiert wird? Wie kompetent der Benutzer beraten und untersttitzt wird? Wie sicher bzw. zeitgemaf die Bezahlung abgewickelt wird? Wie gut die Logistik hinter dem Online-Shop funktioniert?
In der Abhangigkeit dieser Faktoren wird es sich ergeben, ob der Benutzer tiberhaupt zum Kunden wird (den Laden findet und betritt), ob und wie viel er kauft,
5
Vgl. Merz 1999, S. 266. In Kap. 1.4 wurde der synonyme Ausdruck "digitale Gurer" verwendet.
162
I Elemente einer Infrastruktur fur E-Business
kaufsprozesses grob umrissen werden, urn diese im Folgenden als betriebswirtschaftlich veranlasste Anforderungen einer naheren Betrachtung zu unterziehen.
6.4 Die Funktionen im Oberblick Anhand dieses Verkaufsprozesses werden die wichtigsten funktionalen Anforderungen nun einer naheren Betrachtung unterzogen.
6.4.1 Prasentation Den inhaltlichen Kern jeder Shopping-Losung stellt natiirlich der Katalog bzw. Artikel stamm dar. Wenn man den Kunden erst einmal hierher gebracht hat, ist schon ein gutes Stiick an Marketingarbeit geleistet worden: Der (oft) lange Weg in den Shop 1m Pre-Sales-Bereich gilt es, den potenziellen Kunden iiberhaupt auf die FirmenSite, den Shop bzw. dessen Produkte aufmerksam zu machen . Dabei stellt die Tatsache, dass das Internet ein Medium darstellt, iiber das effizient, kostengiinstig und weltweit kommuniziert werden kann, einen signifikanten Mehrwert dar. Man kann Marketingstrategien und -maBnahmen also danach ausrichten, wo mittelbare Informationsbedarfe im Zusammenhang mit dem Produkt entstehen konnten. Beriihmt ist mittlerweile das Beispiel einer Zusammenarbeit von www.altavista.com mit www .amazon .com, wo neben einer Anzeige von Treffern zu einem Suchbegriff gleich auch passende Biicher zu diesem Suchbegriff anzeigt werden. Das Entscheidende dieser Phase, die hier nieht naher ausgefiihrt wird, ist es wohl, auf welche Weise der Kunde mit Hilfe assoziativer Information - dem Content - mehr oder weniger subtil an die Produkte selbst herangefiihrt wird. So bieten beispielsweise Heimwerker-Markte Do-it-yourself-Tipps in Form kurzer Videos an und verzweigen optional tiber eine eigene Einkaufsliste (was braucht man alles urn ...) auf den Online-Shop . Andererseits ist es durchaus vorstellbar, dass es Kunden wunschen, ohne Umwege zum Shop zu gelangen. Der Katalog 1m Grunde ist ein Online-Shop nichts anderes als ein Softwaresystem, das auf einem Internet-Server lauft und dessen Inhalte via Web-Browser jedem User zuganglich gemacht werden, mit dem Zweck bestimmte Leistungen an Kunden (=Benutzer) zu verkaufen. Legt man das Hauptaugenmerk zunachst auf die Funktionalitat, so muss dieses System in erster Linie in der Lage sein, die Produkte kundengerecht, d. h. geordnet zu prasentleren, Die Kernfunktionalitlit muss also die einer Datenbank sein, d. h. Objekte (insbesondere Produkte und Kunden) sind zu speichern und selektiv wiederzufinden urn zur weiteren Bearbeitung verfiigbar zu sein.
6 Funktionale Anforderungen an Online-Shop Systeme
163
Kunden) sind zu speichern und selektiv wiederzufinden urn zur weiteren Bearbeitung verftigbar zu sein. Interessiert sich ein Kunde bereits fur ein Produkt, so gilt es jetzt bestmoglich zu informieren. Gegebenenfalls gilt es, Gebrauchsanweisungen, zusatzliche Abbildungen, Prtifzertifikate, technische Beschreibungen, Datenblatter, Erfahrungsberichte usw. zu integrieren. Im weiteren Sinn betrifft das auch das Drumherum wie Zusendung von Newsletters, Diskussionsforen, Communities, usw. Selbstverstandlich gehort hierher auch die Information tiber die tatsachliche Verftigbarkeit und damit eine erste Anforderung, die die Integration in den Back-Office-Bereich notwendig macht. Die Shopping-Software sollte in der Lage sein, beliebig viele Produkte aufzunehmen sowie die Produktpalette zu gruppieren bzw. hierarchisch zu strukturiereno Analog zur Orientierung bzgl. der Warengruppen in einem Kaufhaus (ErdgeschoB = Gartenrnobel, Campingzubehor) werden auf dieser ersten Ebene meist die grundsatzlichen Produktgruppen prasentiert." Je nach Umfang des Sortiments sollte man aber bald auf die Produktebene gelangen, in der das Produkt zunachst einmal so zu beschreiben ist, dass der Kunde auswahlen kann urn sich fur ein Produkt naher zu interessieren. Sinnvollerweise ist hier neben der Produktbezeichnung, dem Preis auch eine grafische Abbildung einzubinden. Erst in einer nachsttieferen Gliederungsebene kann mit Detailinformationen, Technischen Daten, Empfehlungen, usw. aufgewartet werden. Wesentlich dabei ist, dass die Datenbank aber auch deren Inhalt flexibel und bequem verandert bzw. erweitert werden kann. Selbstverstandlich gehort auch eine flexible Suchmoglichkeit zu den BasisAnforderungen im Rahmen des Katalogs. Neben dieser strukturierten Information setzt sich ein Online-Shop System auch aus unstrukturierter Information zusammen: Vor allem sind dies redaktionelle Inhalte mit Unterhaltungs- und Informationscharakter. In der sinnvollen und effizienten Einbindung dieser Inhalte in wohlstrukturierte Daten liegt einer der entscheidenden Erfolgsfaktoren fur das Design eines erfolgreichen Shops. Platz filr Werbung Ein gut eingefUhrter Online-Shop bietet neben seinem eigentlichen Zweck als Vertriebsweg auch noch Potenzial fur die Platzierung von Werbebotschaften. Solange dies mit der Zielsetzung des Shops konform geht (schlieBlich mochte man ja, dass der Kunde im Shop bleibt), kann das Shop-System noch Funktionalitaten zur Einblendung von Werbebanner zur Verftigung stellen. Integration mit Artikelstamm Werden die Produkte neben der Vertriebsschiene Online-Shop auch noch tiber traditionelle Absatzwege vertrieben, stellt sich das Problem mehrfacher Datenbestande samt den nachteiligen Auswirkungen von deutlich erhohtem Pflegeaufwand (Preisanderungen), Redundanzen und Dateninkonsistenzen. Es ist vor die6
Vgl. http://www .global-action.de (24. 1. 2001)
164
I Elemente einer Infrastruktur fUr E-Business
sem Hintergrund sinnvoll, auf einen gemeinsamen Artikelstamm zuzugreifen bzw. einen bestehenden lediglich urn Online-Shop-relevante Zusatzinformationen zu erganzen und im Web zu prasentieren. Eine komfortable Schnittstelle zu gangigen kommerziellen Softwarepaketen bzw. ERP-Systemen oder zumindest eine Schnittstelle zu relationalen Datenbanken ist vor diesem Hintergrund ein wesentliches Kriterium. Grundsatzlich ist diese Form der Produktprasentation analog zu der im Versandhandel und somit nichts Neues. Der Mehrwert der Interaktivitat des Mediums Internet wird dabei nur wenig ausgereizt. Zudem ist es neben der Reprasentation der Produkte sinnvoll, dem Kunden wie beim realen Verkaufsprozess (etwa in einem Fachgeschaft) Beratung und Service zu bieten. Dabei konnte es fur einen Verbleib des Kunden im Shop durchaus forderlich sein, diesen nicht ziellos im Shop herumirren zu lassen , sondern seine Bedtirfnisse zu erkennen und ihm dadurch ein optimales MaB Service zu bieten. Verfiigbarkeit Hier gilt es, dem Kunden moglichst zeitnah den tatsachlichen Grad an Lieferbereitschaft anzuzeigen. Nichts ist peinlicher als zum Zeitpunkt der Bestellung Verftigbarkeit zu signalisieren und spater den Kunden vor vollendete Tatsachen stell en zu mtissen. Diese Funktionalitat benotigt einen Real-Time-Link zum aktuellen Bestand des betreffenden Produktes und somit zum produktiven Warenwirtschaftssystem. Personalisierung und ma8geschneiderte Angebote Fur groBe Online-Shops ergeben sich daher weitergehende Anforderungen, die auf das Verhalten der Kunden als Individuen bzw. als Gruppe abzielen . 1m einfachsten Fall werden Kunden etwa laufend tiber Bestseller informiert, indem direkt auf die operativen Verkaufszahlen zurtickgegriffen wird. Neben diesen Fakten aus der Vergangenheit liefern aber auch die - implizit oder explizit - vorliegenden Praferenzen, das Verhalten des Benutzers bzw. der Benutzer als groBe Menge wichtige Grundlagen zur Prasentation des Produktspektrums. Ein guter Verkaufer sammelt moglichst viel Information tiber seinen Kunden, die ihm die Beratung erleichtert und so den Verkaufserfolg steigert. Analog wird es in einem professionellen Online-Shop darum zu gehen, das Profil des Kunden bzw. das seiner potenziellen Bedarfe moglichst umfassend auszuarbeiten urn daraufhin ein maBgeschneidertes Angebot erstellen zu konnen. Die Firma Dell Computer? hat dies als sehr erfolgreicher Pionier schon vorgezeichnet. Vor diesem Hintergrund werden Informationen gespeichert, die vom Benutzer selbst (siehe weiter unten) bewusst bereitgestellt werden wie • • 7
Personliche Daten (Name, Adresse, Kontaktinformation im Internet, Geschlecht, Alter) Praferenzen (lnteressensgebiete, Vorlieben, ...) Vgl. http://www.dell.com (24. 1. 2001)
6 Funktionale Anforderungen an Online-Shop Systeme
165
Dass damit wertvolle Informationen flir das Marketing entstehen, liegt auf der Hand. Anders als im realen Verkauf an Endkunden (ausgenommen Versandhandel) erfolgt der Verkauf somit groBteils personalisiert. Mit jedem Besuch im Online-Shop, mit jedem Einkauf entsteht ein scharferes Bild des Kunden und ermoglicht ein entsprechend treffsicheres und personalisiertes Marketing (Customer Relation Management, 1:1 Marketing). Entsprechend machtig muss die .Kundenkartei" sein. Da das Ausflillen von Fragebogen dem Kunden nur bis zu einem gewissen Grad zumutbar ist, werden mehr und mehr Informationen zu einem Benutzerprofil ohne ausdrlickliche Bereitstellung eingeholt. Sie fallen implizit, d. h. "so nebenbei" beispielsweise aufgrund der getroffenen Seitenauswahl, der getatigten Online-Kaufe usw. an. Weitere Beispiele: • • • • • • •
Sitzungsdauer (Wie lange verweilt der Benutzer im Shop?) Transaktionsdaten (Was wurde gekauft bzw. in den Warenkorb gelegt? Daten mit besonders hoher Ausdruckskraft) Verwendung von Suchmaschinen Click-Stream-Analyse" Page Impressions, Click Streams Produktauswahl bzw. -kombination Technische Umgebung (HTTP-Request)
Durch sogenannte Business Rules? konnen diese Informationen fur Marketingstrategien wie cross-Selling und up-Selling.'? eingesetzt werden. Etwa folgendermaBen: Hat der Benutzer die Seiten a, d und e besucht, wird ihm Produkt xy als Angebot des Tages prasentiert. Solcherart personalisierte Sitzungen konnen nun Ansatzpunkt fur gezieltere Bannerwerbung als jene nach dem GieBkannenprinzip sein. In Shops, die Finanzprodukte anbieten, konnten dann verstarkt Banner von Finanzdienstleistem wie Banken, Versicherungen, usw. eingeblendet werden. Neben Informationen, die der Betreiber des Web-Servers selbst generieren kann, lassen sich weitere Informationen berlicksichtigen wie beispielsweise Bonitatsinformationen, Online-Telefonverzeichnisse oder auch demografische bzw. geografische Statistiken zu Einkommensniveau, Kaufkraft usw. Allerdings werden diese Art von Verknlipfungen zur Zeit noch Offline durchgeflihrt und beeinflussen die Auswahl bzw. Prasentation des Produktangebotes zum Zeitpunkt des Shop-Besuches (derzeit noch) nicht. Empfehlungen Ein weiteres Anforderungsgebiet flir professionelle Online-Shops ergibt sich aus Empfehlungen, die von anderen (zufriedenen) Kunden stammen. Rezensionen, Testberichte, Kritiken usw. spielen bekanntermaBen in der Kaufentscheidung eine 8
9 10
Vgl. Hallam-Baker 1996 Vgl. http://www.business-ru1es.com (24. 1. 2001) Vgl. Fraim 1998
166
I Elemente einer Infrastruktur fOr E-Business
diese Funktion in sogenannten Recommendation Engines implementiert, wobei www.amazon.com wiederum als Beispiel zu nennen ist.
Integratlonsmoglichkelten in Shopping Malls In den ersten Formen von E-Commerce stellten Single-Shop-Systeme den Hauptteil der Sell-Side-Solutions. Analog zur Entwicklung im realen Handel (Einkaufszentren bzw. -parks in den Ballungszentren) vollzog sich auch im Internet eine Veranderung dieses Bildes. Mehr und mehr Unternehmen entscheiden sich, den Einstieg in E-Business im Rahmen einer Shopping Mall vorzunehmen. Dabei iibernimmt eine iibergeordnete Institution aber auch Servicefunktionen wie Standortmarketing, Logistik, Abrechnung usw. Einheitlicher Warenkorb, einheitliches Bestellwesen, einheitliche Zahlung entbinden den Shop-Betreiber von .Nebentatigkeiten". Neben diesen typischen Overheads besteht der Zusatznutzen einer Mall vor allem auch in der Einbindung in einen Metakatalog bzw. ein iibergreifendes Anbieterverzeichnis. Fur die Anforderungen an Shoplosungen heiBt das, dass sie in Shopping Malls eingebunden werden konnen.
6.4.2 Auswahl
Hat der Kunde einen Artikel seiner Wahl gefunden, so tut er das gegeniiber dem Online-Shop kund, indem er die Ware in den Warenkorb (Shopping Basket, Shopping Card) - eine Metapher aus dem SB-Laden, die sich in samtlichen Implementierungen von Shops erhalten hat - legt. Hier legt der Kunde iiblicherweise die gewiinschte Menge des gewunschten Artikels fest. Urn den Dberblick tiber die bisher eingekauften Produkte zu bewahren, sollte der Warenkorb von sarntlichen Seiten des Online-Shops aus aufrufbar sein . Das Entfernen von Artikeln bzw . das Refreshing der Anzeige des Inhaltes sind ebenfalls Basisanforderungen an die Funktionalitat von Warenkorben, Es hat durchaus Sinn, dass die in den ShoppingBasket gelegten Artikel auch tiber den eigentlichen Shop-Besuch hinaus verfugbar bleiben . So etwa konnten mit einem .nur halb gefullten Warenkorb" ausgedehnte Ausfluge zu anderen Sites unternommen werden oder gar erst bis zur nachsten Sitzung gewartet werden , urn den Einkauf abzuschlieBen . Das Softwarepaket sollte diesbezuglich Persistenz aufweisen . Selbstverstandlich sollte daruber hinaus die Anzeige der Artikelpreise bzw. des Gesamtbetrages in mehreren Wahrungen moglich sein . Nettobetrag und Umsatzsteuer (Mehrwertsteuer, welcher %-Satz) sowie Bruttobetrag sollten getrennt prasentiert werden. Eventuell konnten - sofern sich der Kunde zuvor in irgendeiner Form identifiziert hat - hier Rabattstaffeln beriicksichtigt werden ; zumindest ist aber der Gesamtpreis aller Artikel plus Mehrwertsteuer und etwaiger Zusatzkosten anzuflihren. Es wird somit ein elektronisches Angebot unterbreitet. Nachdem der Kunde dieses gepruft und fur "in Ordnung" befunden hat, kann die Bestellung abgehen.
6 Funktionale Anforderungen an Online-Shop Systeme
167
Kunde dieses geprtift und fur "in Ordnung " befunden hat, kann die Bestellung abgehen.
6.4.3 Bestellung
Zur Komplettierung der Bestellung werden die notwendigen Information tiber die Liefer- und Zahlungsbedingungen (Name, Adresse, Zustelladresse, Versandarten usw.) einzugeben sein. Spatestens hier wird es im Interesse des Kunden sein, den Erfassungsaufwand moglichst gering zu halten und im Bedarfsfall auf bereits gespeicherte Kundenstammdaten zurtickzugreifen. Dazu ist es notwendig, dass sich der Kunde identifiziert. Da es sich urn personenbezogene Daten handelt, muss hier eine sichere Verbindung (z. B. SSL) geboten werden.
6.4.4 Bezahlung und Auftragsbestiitigung
Irgendwo zwischen Bestellung und Bezahlung wird ein .Point-of-no-Return "!' passiert, wobei der Kaufvorgang als solcher zunachst abgeschlossen wird. Fur die eigentliche Bezahlung existieren eine Reihe von verschiedensten Optionen, die von den .Jd assischen Methoden" (Nachnahme , Scheck, elektronisches Lastschriftverfahren, Kreditkarten) tiber Kombinationen mit Mobiltelefon-Diensten (Verrechnung erfolgt durch die Telekom-Anbieter oder durch Wertkarten) bis hin zu digitalem Geld reichen. Ftir die Funktionalitat des Online-Shops ist es wesentlich, hier Schnittstellen zu E-Payment-Anbietern bereitzuhalten. Welche Zahlungsarten letztlich Standard werden, lasst sich derzeit kaum abschatzen. Im ubrigen beruhrt dieser Punkt in sehr hohem MaBe Sicherheitsfragen, die in diesem Zusammenhang an anderer Stelle erortert werden. Nach dem Point-of-no-Return erhalt der Kunde - sinnvollerweise per E-Mail eine Auftragsbestiitigung, auf der aile relevanten Transaktionsdaten noch einmal zusammengefasst sind. Daruber hinaus mag es flir den Kunden einen gewissen Grad an Service bedeuten, noch tiber den Status seines Auftrages informiert zu werden (Order Tracking) bzw. sich tiber die getatigten Kaufe auch im Nachhinein jederzeit informieren zu konnen (Order History).
6.4.5 Auswertungen
Damit Top-Ten bzw. Ladenhuter ermittelt werden konnen , ist ein Statistik- bzw. Berichtsmodul tiber getatigte Verkaufe eine wichtige Anforderung. Liegen die entsprechenden Grunddaten vor, konnen die Funktionalitaten weiter tiber Verkaufshits hinausgehen. Die Informationen , die sich mit der Zeit aus den getatigten
II
Vgl. Merz 1999, S. 272. Zur (klaren) rechtlichen Trennung von Bestellung und Bezahlung vgI. Abschnitt III, Kap. 3.5.1
168
I Elemente einer Infrastruktur fUr E-Business
auch Zusammenhange an sich unabhangiger Geschaftstransaktionen aufsptiren. So werden oft nachgefragte Produktkombinationen transparent oder es konnen Erfolge durchgeflihrter Werbeaktionen (z. B. Banner in vielfrequentierten Seiten) unmittelbar festgestellt werden. Vor diesem Hintergrund stellen die solcherart empirisch erhobenen Daten eines Shop-Betreibers (dies gilt umso mehr fur einen Mall-Betreiber) einen eigenstandigen Wert in einer Qualitat dar, die bislang noch nicht zur Verfugung standen. Dies vor allem dann, wenn exteme Informationen wie regionale Kaufkraft, Konsumquote, demografische Rahmendaten mit den erhobenen Metadaten tiber Kaufe bzw. Verkaufe kombiniert werden . Es entstehen somit Informationen mit Produktqualitat. 1m Verbund mit den Erkenntnissen tiber OLAP (Online Analytical Processing) bzw. Data Mining konnen so rund urn den Web-Shop leistungsfahige Werkzeugpaletten entstehen, die in der Lage sind, fundierte Grundlagen fur differenzierte Marktstrategien, Geschaftsmodelle, Produktentwicklungen usw. zur Verftigung zu stellen.
Literatur Fraim (1998), John, Collaborative Filtering, Engage & Webmining ... The Internet Store Moves Closer to Reality, 1998 Hallam-Baker (1996), Phillip M., Extended Log File Format, 1996 Merz 1999; Merz, Michael, Electronic Commerce, Marktmodelle, Anwendungen und Technologien, Heidelberg 1999 http://www.c-quential.com http://www.gallup .at http://www.global-action .de/infomenue/hinweis_txtl.htm http://www.global-action .de/lnfomenue/hinweis_txtl .htm http://www.intershop.de http://www.mercuri.com
7 XML - Die Lingua Franca des E-Business Thomas Filsecker Institut fur Datenverarbeitung, Johann es Kepler Universitdt Lin:
7.1 Notwendigkeit einer Meta-Auszeichnungssprache 1m KapiteI4.5.2 wurden Tags in Zusammenhang mit HTML darge stellt. Bei Tags handelt es sich urn .Befehle", die aus zwei Teilen (dem Start- und dem Endtag) bestehen . Dazwischen befindet sich entweder normaler Text oder wieder ein Tag. 1m letzteren Fall spricht man von einer sogenannten Schachtelung von Tags . Da Tags ebenfalls aus Textzeichen bestehen, ist es notwend ig, diese vom .restlichen" Text unterscheiden zu konnen . Dazu dienen Trenn- bzw . Deliminatorzeich en. Ublicherweise werden daflir in Auszeichnungssprachen, wie in HTML das Grober- und Kleinerzeich en verwendet. Das Einbinden von derartigen Befehlen in eine konventionelle Textdatei nennt man Auszeichnen', Das Gegenteil einer Auszeichnungssprache sind Dateiformate, die ein spezific coding verwenden . Der Begriff Auszeichnung ("Markup") ist auch in der Bezeichnung HTML enthalten: Hypertext Markup Language. Aus dieser Bezeichnung ist weiters ersichtlich, dass mit die ser Sprache sogenannte Hypertexte, das sind nicht lineare Texte, ausgezeichnet werden. Die Verbindungen zwischen einzelnen Hypertexten, sogenannte Links , stellen einen Teil der Struktur eines Hypertextes dar. Das Auszeichnen von Texten ist in der betrieblichen Datenverarbeitung und auch im alltaglichen Gebrauch nichts Neues. Schon die Verwendung von GroB- und Kleinschreibung, Sperr- und Fettschrift ist eine Form der Auszeichnung. Genau genommen handelt es sich dabei urn eine einfache Form physischer Auszeichnung . Physische Auszeichnung bedeutet , den Dokumentinhalt mit bestimmten Attributen zur visuellen Darstellung zu beschreib en und gehort somit zur Layoutgestaltung. Beispielsweise kann man mit speziellen Tags in HTML einen Text mit einer bestimmten Schriftart, Farbe und Grobe versehen . Die physis che Auszeichnung kann sich aber auch auf das gesamte Dokument erstrecken. So gehoren etwa Tags fur die Angabe der Seitenbreite ebenfalls dazu . Davon unterscheidet sich die Genaugenommen handelt es sich hierbei urn ein beschreibendes Auszeichnen (descriptive markup), das im Gegensat z zum prozeduralen Auszeichnen (prozedural markup) steht. Darunter versteht man direkt in eine Datei geschriebene Formatierungsbefehle und Makro s. Das Gegenteil davon ist generic coding, das als der Vorlaufer modemer Auszeichnungssp rachen angesehen werden kann.
170
I Elemente einer Infrastruktur fur E-Business
logische Auszeichnung eines Textes, die die Struktur eines Dokuments (wozu auch Hypertexte gehoren) beschreibt. Diese umfasst beispielsweise Uberschriften, Aufzahlungen, Absatze, Rahmen, Listen und Verweise . Es ist natilrlich fur eine Rezeption durch den Menschen sinnvoll, diese Textelemente auch unterschiedlich optisch darzustellen. Ziel der logischen Auszeichnung ist neben der Strukturierung vor allem auch eine computergestiltzte Weiterverarbeitung des Hypertextes. FUr verschiedene Ausgabegerate wirken bestimmte physischc Darstellungen unterschiedlich. Aus diesem Grund ist auch eine Trennung von Strukturbeschreibung und optischer Darstellung sinnvoll. Dafur stehen in HTML die Cascading Style Sheets (siehe Kapitel 2.4.5 .3) zur Verfugung. Diese saubere Trennung von Layout und Struktur ist in der taglichen Praxis bei vielen HTML-Seiten nicht gegeben. Grund dafUr ist, dass alte Browserversionen CSS nicht unterstntzen und der Einsatz von StyleSheets noch immer nicht so verbreitet ist' , FUr einen moglichst flexiblen Einsatz ist eine Trennung" von Struktur, Inhalt und Format Voraussetzung. Die Vermischung von Struktur und Format in HTML wurde trotz der offensichtlichen Nachteile anfanglich als nicht weiter storend empfunden. Die Benutzung von Formatierungsbefehlen innerhalb eines Dokuments entsprach auch eher der gewohnten WYSIWYG5-Sichtweise und man dachte auch noch nicht an eine Aufbereitung fur verschiedene Ausgabegerate, In den Anfangszeiten des Internets war ein leicht zu erlernendes und einfach anzuwendendes Werkzeug auch wichtiger. Somit trugen diese .Designschwachen" von HTML wesentlich zur Verbreitung des WWW bei . Aber spatestens beim arbeitsteiligen Erstellen von Internetseiten, der Aufbereitung gleicher Inhaltsquellen fur unterschiedliche Ausgabegerate, der Anwendung von unternehmensweit geltenden Style Guides, Versionsverwaltung und ab bestimmten Projektgroben ist eine saubere Trennung von Struktur, Inhalt und Layout unabdingbar', Es erscheint etwas restriktiv, wenn immer von Texten bzw. von Hypertexten die Rede ist, handelt es sich doch bei Internetseiten heutzutage durchgehend urn multimediale Darstellungen. Der Begriff Hypertext lasst jedoch auf eine lediglich monomediale Darstellung schlieBen. Grund fur die weitere Verwendung des Begriffs "Text" ist, dass die Bcschrcibung multimedialer Internetseiten eben falls
Das Hardcodieren von Layoutinformationen ist nach wie vor im Amateurbereich ublich, wahrend in professionellen Umgebungen die Verwendung von Style Sheets mittlerweile gang und gabe ist. Es ist nicht Voraussetzung, dass diese Teile auch physisch, d. h. tiber mehrere Dateien getrennt werden, siehe dazu das Beispiel HTML und CSS in Kap. 2. Erforderlich ist fur eine solche Trennung, dass die entsprechenden Konzepte vom System unterstiitzt und vom Benutzer angewandt werden . WYSIWYG = What You See Is What You Get. Eine aus Textverarbeitungsprogrammen bekannte Funktionalitat, die den Text am Bildschirm nicht nur im fertigen Layout anzeigt , sondern auch ein direktes Editieren in dieser Ansicht errnoglicht. Diese Aufgaben werden unter dem Begriff des WCM (Web Content Management) zusammengefasst.
7 XML - Die Lingua Franca des E-Business
171
durch einfache Texte erfolgt. Dieses Textformat ist die Grundlage fur die Einbindung von Multimediaobjekten. Neben HTML gibt es noch andere Moglichkeiten, urn multimediale Dokumente zu strukturieren und zu speichern. Gemeinsam ist diesen Datenformaten, dass sie hauptsachlich auf eine physische Beschreibung eines Dokuments abzielen : • • •
Textbearbeitungsprogramme, die die Integration von Multimediaobjekten und Hyperlinks ermoglichen. Seitenbeschreibungssprachen, wie Postscript und PCL (fur den Druckbereich) Dokumentformate, wie beispielsweise PDF (Portable Document Format der Firma Adobe) , das auch Hyperlinks auf Stellen im Dokument und auf Internetressourcen integriert .
1m Unterschied zu HTML handelt es sich bei diesen Dateiformaten jedoch urn keine Auszeichnungssprachen und die Struktur, der Inhalt und die Daten werden in einer gemeinsamen Datei gespeichert (specific coding). Die Moglichkeiten zur physischen Auszeichnung in HTML haben mit den CSS 2.0 inzwischen einen Stand erreicht, der sogar Hoffnungen nahrt, dass HTML in naher Zukunft als universelle Seitenbeschreibungssprache und als universelles Dokumentformat eingesetzt werden wird. Ein mogliches Anzeichen dafur ist sicherlich auch, dass HTML mittlerweile von allen Office-Pakten als alternatives Exportdateiformat? angeboten wird . 1m Gegensatz zur Layoutgestaltung sind die Tags zur Inhaltsstrukturierung in HTML weniger weit fortgeschritten. Dies ist nicht unbedingt als Nachteil zu sehen, da die Einbindung von Tags zur physischen Prasentation und der geringe Sprachumfang mit ein Grund fur die leichte Erlernbarkeit von HTML gewesen sind. Dariiber hinaus kann HTML im Unterschied zu vielen Textverarbeitungsdateiformaten, zu Desktop-Publishing Dateiformaten und zu Dokumentformaten als ein plattformunabhangiges Dateiformat betrachtet werden. Will man jedoch all diese Vorteile fur andere Zwecke als zur Gestaltung von Internetseiten nutzen, sWBt man bald an die Grenzen des Machbaren bzw. des Praktikablen. Aufgrund der eingeschrankten Moglichkeiten zur Strukturierung von Inhalten ist der Einsatz von HTML zur Erstellung von Dokumenten" fur eine informationstechnische Weiterverarbeitung wenig sinnvoll. Die Befehle zur Strukturierung eines Dokuments sind auf Internet-Hypertexte ausgelegt und verbindlich definiert, ohne dass eigene Erweiterungen moglich sind. Fur das Publizieren von einfachen Dokumenten im Internet macht dies durchaus Sinn . Typische Internetdokumente stellen keine allzu groBen Anspriiche in Hinsicht auf Strukturierungsmoglichkeiten. Das Hinzufugen eigener Tags in HTML ist nicht wiinDavon zu unterscheiden ist das interne Speicherformat der Office-Suiten. Star Office 6.0 verwendet hiefur schon durchgehend XML. Mit dem Begriff Dokument sind hier nicht nur Textverarbeitungsdateien gemeint, sondern strukturierte und semistrukturierte Daten im Allgemeinen : Texte, Tabellen, Diagramme, technische Zeichnungen bis hin zu Transaktionen in ERP-Systemen und compound Documents.
172
I Elemente einer Infrastruktur fUr E-Business
schenswert bzw . nicht sinnvoll", da sich ja die Internetclients verschiedenster Hersteller auf einen definierten Standard der Sprache beziehen konnen mussen . Anders als bei diesen layoutorientierten Aufgaben sieht es jedoch bei datenzentrierten Aufgaben aus. Dabei handelt es sich urn Probleme, die hauptsachlich bei der Speicherung und Ubertragung von Daten entstehen, die im betrieblichen Alltag anfallen . Diese Daten besitzen eine komplexere innere Struktur und sollen nicht nur fur eine Prasentation im Internet aufbereitet, sondern auch moglichst einfach elektronisch weiterverarbeitet werden konnen. Ein moglichst komfortabler Austausch von Dokumenten und eine einfach zu handhabende informationstechnische Weiterverarbeitung (fur das Information Retrieval und zur Inhaltserschlieflung) ist aber auch fur layoutzentrierte Dokumente wUnschenswert . Davon sind vor allem Groupware- und WorkjlowlOsungeliO betroffen, wenn diese nicht mehr lediglich als isolierte Inhouse-Systeme eingesetzt werden sollen. Immer ofters besteht fur das betriebliche Tagesgeschaft die Notwendigkeit, dass soIche layoutorientierten Softwaresysteme innerhalb heterogener EDV -Infrastrukturen, aber auch zwischen den EDV-Landschaften kooperierender Organisationen" zusammenarbeiten sollen. Neue technische Anforderungen an soIche Systeme kommen auch aus den FUhrungsbereichen der Organisationen selbst: Es besteht ein vitales Interesse daran, daten- und dokumentzentrierte Quellen mit unterschiedlichen Formaten fur das Knowledge-Management und darauf aufbauende Systeme zusamrnenzufuhren und zu verarbeiten. Aber auch fur ein intelligenteres Information Retrieval im Internet, beispielsweise fur Suchmaschinen und Softwareagenten, ist HTML nicht der Weisheit letzter Schluss. FUrdiese Anwendungsbereiche ist nicht nur ein plattformubergreifendes Format erforderlich, sondern es muss zudem von einem Anwendungsbereich unabhangig sein und auch die Moglichkeit vorsehen, beliebige semantische Informationen in ein Dokument zu integrieren. In HTML existieren zwar Ansatze dazu, wie etwa Metatags zur Beschreibung eines Dokumentes, doch sind diese grundsatzlich nicht erweiterbar. WUnschenswert ist eine Auszeichnungssprache, die sich nicht auf eine vorgegebene Grammatik und ein nicht erweiterbares Voka bular beschrankt, sondern mit der es moglich ist, eigene Auszeichnungssprachen zu kreieren, mit denen sich belie big komplexe Dokumentstrukturen abbilden lassen. Eine Auszeichnungssprache, die diese wunschenswerten Eigenschaften erfullt, wird als Metasprache bezeichnet. Der bisher umfassendste Ansatz fur eine soIche Metasprache stellt SGML (Standard Generalized Markup Language) dar, 9 10
11
AuBer es handelt sich urn einen Softwarehersteller, der aus strategischen Grunden bewusst einen Standard .verwassem" mochte, In der betrieblichen Praxis werden Workflowlosungen nicht durch dezidiert dafUr entwickelte Produkte, sondern hauptsachlich durch die Mailboxen von Document Management-Systemen (DMS), durch Messaging Systeme oder mittels Transaktionsmonitore realisiert. Dies bezieht sich nicht nur auf eine Anwendungssystemintegration bei langfristigen Geschaftsbeziehungen, sondern auch auf ad-hoc Transaktionen via elektronischer Markte, Hinter elektronischen Marktplatzen stehen Organisationen, die u. a. die Infrastruktur fur diese Integration zur VerfUgung stellen .
7 XML - Die Lingua Franca des E-Business
173
die autbauend auf die Arbeiten zu GMU 2 (Generalized Markup Language) im Jahre 1986 standardisiert wurde. GML seinerseits geht bereits auf Arbeiten aus dem Jahre 1969 zuruck, als Charles Goldfarb fUr IBM eine Auszeichnungssprache fur komplexe juristische Dokumente entwarf. Damals schon stand die elektronische Weiterverarbeitung (hauptsachlich Information Retrieval Anwendungen) und nicht nur ein generic coding (im Unterschied zum specific coding) im Mittelpunkt der Arbeiten. 1m Jahre 1974 schlieBlich entwickelte Goldfarb SGML, das zwolf Jahre spater unter seiner Fuhrungsarbeit als ISO-Standard verabschiedet wurde . Das Konzept der generischen Auszeichnung war in der Druckindustrie schon seit den fruhen 60er Jahren bekannt. Das Revolutionare an diesen Arbeiten war die Ubertragung dieser Idee auf das elektronische Dokumentenmanagement. SGML wird in zahlreichen Industrien fur das Dokumentmanagement eingesetzt. Erwahnenswert sind vor aIlem die Automobil- und die Rustungsindustrie, die beide aufgrund der komplexen Natur der Dokumente (Versionsverwaltung, Multilingualitat, Interdependenzen, etc.) fruhzeitig SGML fur ihre Anwendungsbereiche adaptierten. Neben diesen Bereichen wird SGML vor aIlem aber auch zur Definition und Spezifikation von Standards eingesetzt. Der Nachteil von SGML ist, dass es als sehr komplex und schwierig gilt. Die Software ist sehr teuer und Experten, die diese einsetzen konnen, sind rar gesat, insbesonders, wenn sie zusatzlich auch noch Uber die benotigten Anwendungskenntnisse verfUgen. Abhilfe dafUr verspricht die Extensible Markup Language'? (XML), die mit Hilfe von SGML definiert wurde. Die Spezifikation von XML 1.0 umfasst lediglich einige wenige Seiten und gilt so wie HTML als leicht erlembar, was u. a. ein Grund dafur ist, dass XML in den vergangenen Jahren soviel Aufmerksamkeit zuteil wurde. Der wahre Grund liegt aber vor allem im Potenzial von XML als Integrationstechnologie fur aIle Bereiche der Informationsverarbeitung und Uberrnittlung strukturierter Daten.
7.2 Grundkonzepte von XML Wie in anderen (beschreibenden) Auszeichnungssprachen auch werden in XML Tags zur Kennzeichnung (Auszeichnung) von Textelementen verwendet. Dadurch ist es sowohl fur den Menschen!' lesbar als auch maschineIl einfach weiterzuverarbeiten. Ein typisches XML -Dokument 15 ist in Abb. 1-7.1 dargesteIlt. In diesem
12 13
14 15
.Zufalligerweise" kann man das Akronym GML auch aus den Anfangsbuchstaben der Familiennamen der Erfinder zusammengesetzt sehen: Golfarb, Mosher, Lorie Vg!. http://www .w3.orgrrR/1998/REC-xml-1998021O (28. 9. 2000). Zum Selbststudium besser geeignet ist die von Tim Bray kommenticrte Version http://www.xm!. comlaxmlltestaxml .htm Dieser Vorteil zeigt sich vor aHem beim Programmieren von Schnittstellen, wo Programmierer und Analytiker oftmals Originaldateien positionsweise lesen mussen. XML ist im Unterschied zu HTML case-sensitiv, d. h. es wird zwischen GroB- und Kleinschreibung unterschieden.
174
I Elemente einer Infrastruktur fUr E-Business
Beispiel werden Kundenauftragsdaten fur einen Web-Shop mittels XML codiert, mit der Absicht, diese vom e-MaIl Betreiber an den Handler zu ubertragen."
- - 1234 56789012 3456 Kredil kart e> - 123456
+ <Warengruppe>
Dlam ond Mako 1 Best ellmenge> 249 .00 Preis> ..
Abb. 1-7.1 Kundenauftragsdaten eines Webshops in XML dargestellt im MS Explorer 6.0
Der Quellcode des XML-Dokuments wird mit Hilfe eines Browsers'? dargestellt. Die Darstellung unterscheidet sich von der Darstellung in einem Texteditor dadurch, dass geschachtelte Tags aufgerissen werden konnen 18. Dies ist an den Minus- und Pluszeichen im Screenshot aus Abb. 1-7.1 ersichtlich. Diese Zeichen sind nicht Bestandteil des Quellcodes, sondem werden durch den Intemetclient hinzugefugt. Eine optisch ansprechendere Dokumentdarstellung in einem Internetbrowser kann man durch den Einsatz von Style-Sheets erreichen. In XML gibt
16
17
18
Yahoo bietet diese Moglichkeit auch fur kleine Handler an und offeriert dazu auch die verschlusselte Ubertragung sensibler Daten mittels s-http sowohl im Pull als auch im Push-Verfahren. Details dazu unter: http://store .yahoo.coml Daran ist ersichtlich, dass XML-Dokumente im Unterschied zu HTML nicht primar auf eine Prasentation im Internet abzielen. XML zielt nicht darauf ab, HTML als Sprache des Internetpublishing abzulosen . FUr die Prasentation im Internet werden XML Seiten auch in Zukunft in HTML transformiert werden. Ein weiterer, in der Abbildung erkennbarer Unterschied zur Darstellung in einem Texteditor besteht darin, dass der Verweis auf die externe DTD nicht angezeigt, sondern dafur auf den Quelltext verwiesen wird.
7 XML - Die Lingua Franca des E-Business
175
es dafur die Extensible Stylesheet Language (XSL), die gemeinsam mit der Stylesheet Erweiterung CSS (siehe Kap. 2.4.5.3) von HTML verwendet werden kann. Das Beispiel aus Abb . 1-7.1 ist fur den Menschen urn einiges einfacher zu lesen als ein konventionelles Text- oder gar Binarforrnat, Weiters kann man nach Bedarf eigene Tags, wie beispielsweise definieren. Dies bedeutet aber noch nicht, dass es dadurch auch automatisch in konkreten betrieblichen Anwendungsprogrammen weiterverarbeitet werden kann . Grund dafur sind die meist divergierenden Datenstrukturen zwischen den Zielformaten der betrieblichen Anwendungen und den Austauschformaten. Ein einfaches Beispiel dafur ist das Tag , das in diesem Fall die Zeichenkette ,,249.00" enthalt. Einem Menschen unseres Kulturraumes ist die Semantik des Wortes "Preis" bekannt, was aber fur den Begriff einer .Warengruppe" nicht mehr gelten muss . Ftir das Element Preis sind auch die moglichen Auspragungen des Inhalts im Dokument intuitiv (positive Dezimalzahlen, zwei Nachkommastellen) ersichtlich. Der Begriff der "Warengruppe'"? kann dagegen nicht als allgemein bekannt vorausgesetzt werden und auch die Bezeichnung ist nicht einheitlich. So kann etwa das Synonym "Materialgruppe" verwendet werden . Der mogliche Wertebereich fUr eine Warengruppe ist auch nicht per-se bekannt und es werden in den Firmen die verschiedensten Kategorisierungen verwendet. Genauso ist es notwendig, festzulegen, in welcher Reihenfolge die Informationen stehen dtirfen, d. h. den Kommunikationspartnern muss die Struktur der auszutauschenden Dokumente bekannt sein. Es muss also ein gemeinsames Verstandnis tiber die Semantik und die Struktur der verwendeten Dokumente geschaffen und in maschinen- und menschenlesbarer Form festgehalten werden: Dies ermoglicht die Document Type Definition (DTD). 1m Unterschied zu HTML und konventionellen Dateien'" existiert zu einem XML-Dokument zusatzlich ein optionaler Teil, in dem definiert wird, welche Tags und Attribute wie und an welcher Stelle im Dokument verwendet werden konnen : Die Document Type Definition (DTD). Eine DTD kann sich direkt am Anfang des XML-Dokuments befinden. In diesem Fall spricht man von einer internen DTD . In der DTD stehen die formalen Regeln , die Syntax zur korrekten Gestaltung von XML-Dokumenten. Die Syntax wird darin mit Hilfe der EBNfl l beschrieben. Mit deren Hilfe lassen sich die verwendeten Tags, die dazu erlaubten Attribute und auch die Reihenfolge bzw. erlaubte Verschachtelungen definieren. Neben der direkten Einbindung einer DTD in das XML-Dokument kann eine DTD auch getrennt als eigene Datei existieren. Die Verkntipfung zu einer exter-
19
20
21
Welcher Warengruppe ein Kunde einen Artikel zuordnet, ist fiir den Lieferanten in der Regel nicht von Bedeutung und wird deshalb auch normalerweise in einem Kundenauftrag, wie im Lehrbeispiel, nicht angefiihrt. Urn in konventionellen Dateien Strukturen mit einer variablen Anzahl an Elementen abbilden zu konnen, verwendet man Satztypen zur Identifikation von Elementen. Die Extended Backus Naur Form (EBNF) ist eine Erweiterung der Backus Naur Form (BNF), die von J. Backus und P. Naur zur Beschreibung der Programmiersprache Algol definiert wurde. Mithilfe der EBNF kann ganz allgemein die Syntax einer Sprache, also auch einer Auszeichnungssprache, beschrieben werden.
176
I Elemente einer Infrastruktur fUr E-Business
nen DTD wird mit Hilfe des Tags 22 am Beginn des Dokuments hergestellt. Die Einbindung des Verweises zu einer DTD fur eine Kundenauftragsliste eines Yahoo Intemetshops sieht beispielsweise so aus: .
Der Verweis erfoIgt durch eine http-URL. Genauso gut konnte es sich auch urn eine File-URL handeIn, die auf eine Datei in einem LAN oder auf demselben Rechner verweist. Abb. 1-7.2 zeigt einen Ausschnitt, der zum XM:t-Dokument (Abb. 1-7.1) gehorenden extemen DTD. In dieser DTD wird die Syntax der Kundenauftragsliste definiert..
Abb. 1-7.2 Ein Ausschnitt aus der DTD fur eine Kundenauftragsliste
22 In Abb. 1-2.8 steht dieses Tag am Beginn des HTML Dokuments . Genaugenommen 23 24
handelt es sich urn XHTML 1.0, das ein mithilfe von XML definiertes HTML 4.01 darstellt. Das erstdefinierte Element wird als Wurzel (root) bezeichnet. Dieses Beispiel fur das Element Land wurde bewusst aus der Yahoo DTD fur OnlineShop Betreiber tibernommen. Eleganter und vor allem richtig ware es naturlich, diese Struktur auch in der DTD zu definieren, etwa durch zwei Elemente CountryCode und CountryName als Subelement von Country.
7 XML - Die Lingua Franca des E-Business
177
So wird beispiel sweise festgel egt, dass ein dazugehorendes XML-Dokument fur eine Liste von Kundenauftragen aus beliebig vielen Auftragen bestehen kann. Ein einzelner Kundenauftrag besteht aus den Kundenstammdaten und beliebig vielen Auftragspositionen. Bei den Kundenstammdaten kann optional eine von der Rechnun gsadresse abweichende Lieferadresse angegeben werden . FUr die DTD stehen zur Beschreibung der logischen Struktur die Schlusselworter 25,26 , zur VerfUgung, mit denen eigene Tags und Attribute definiert werden konnen . Daneben konnen auch wie schon aus HTML bekannt, eingefugt werden. Mittels werden die sogenannten Elementtypen definiert, die im XML-Dokument dann als konkretes Element (Tags) in Erscheinung treten. Ein Elementtyp darf nur einmal definiert werden. Mit wird die Attributliste eines Elementtyps deklariert. 1m dargestellten Bei spiel wird fur die Kundenstammdaten der Elementtyp Kunde definiert. In der DTD werden die Elementtypen und deren Verwendungsregeln definiert. 1m XML-Dokument treten diese Elementtypen dann als konkrete Elemente in Form von Tags und deren umschlossene Inhalte auf. Mit Hilfe der DTD werden also nicht nur die im Dokument erlaubten Tags definiert, sondem auch deren mogliche Inhalte. Als Inhalt eines Elementes kommt nicht nur reiner Text, sondem auch ein anderes Element oder eine Gruppe von Elementen in Betracht. Diese Kindelemente konnen ein- oder mehrfach vorkommen. In der Elementtypdefinition kann man mit Hilfe von Sequenz, Alternative und Option den Inhalt eines Elementes beschranken, Am Beispiel aus Abb. 1-7.2 wird dies naher erlautert: Dem Kundennamen folgen in Klammem weitere Informationen, wie Adresse, Telefonnummer, E-Mail etc. Dabei handelt es sich urn sogenannte Kindelemente von Kunde, fur die es in der DTD eben falls eine Elementtypdeklaration gibt. Die als Inhalt von Kunde erlaubten Kindelemente werden durch Beistrich voneinander getrennt und ergeben so die Reihenfolge (Sequenz) ihrer Verwendung . Diese Reihenfolge gilt dann im XML-Dokument fur die Verwendung der entsprechenden Tags im XML Dokument. So muss beispielsweise das Element Nam en vor dem Element Land verwendet werden . Die Kindelemente werden als Elementtype definiert, wie an Hand der Elementtypdefinitionen fur das Land und die Kreditkartennummer im Beispiel ersichtlich ist. Ein Fragezeichen hinter einem Element bedeutet, dass dieses optional ist (Option), wie z. B. die E-Mail Adresse. Im Beispiel der Adres sangabe sind die Elemente fur StraBe und Postfach zusatz lich geklammert und voneinander durch einen vertikalen Strich "I" getrennt. Diese
25
26
Man spricht von Schlusselwortern und nicht von Tags , auch wenn diese mit den Deliminatorzeichen so ahnlich aussehen. Grund dafUrist, dass die DTD selbst nicht mit einer Auszeichnungssprache, sondern mittels einer EBNF-lihnlichen Notation definiert wird. Daneben gibt es noch zur Beschreibung der physi schen Struktur die Schlusselworter und , die jedoch im Rahmen dieses propadeuti schen Textes nicht weiter behandelt werden. Der interessierte Leser sei auf die XML Spezifikation verwiesen (siehe FuBnote 13).
178
I Elemente einer Infrastruktur fOr E-Business
Schreibweise steht fur Alternative und bedeutet, dass genau eines der Elemente verwendet werden kann und muss. Man kann durch Hinzufugen eines Fragezeichens eine optionale Alternative daraus machen. Das bedeutet, dass genau ein Element aus der Aufzahlung verwendet werden kann, aber nicht verwendet werden muss . Eine andere Funktion erfllllt das Asterisk-Zeichen *, das fur "beliebig viele" Elemente steht. 1m Beispiel kommt dieses Zeichen hinter den Elementen Kundenauftrag und Vorname VOL Dies bedeutet, dass das XML-Dokument aus beliebig vielen (auch null) Kundenauftragen bestehen und ein Kunde beliebig viele Vornamen haben kann. Das Pluszeiehen hinter dem Kindelement Artikel hat eine ahnliche Funktion. Es bewirkt in diesem Fall, dass ein Kundenauftrag belie big viele Artikel umfassen kann, aber im Unterschied zum Asterisk muss mindestens ein Element enthalten sein. Dies sind Beispiele fur die Strukturierung von Elementen, die wiederum aus Elementen bestehen. 1m "Nutzdatenteil" des XML-Dokuments (siehe Abb. 1-7.1) erkennt man dies an den geschachtelten Tags, die sich aus dieser Elementdefinition ableiten. Bei nieht weiter verschachtelten Tags bzw . auf der untersten Ebene der Elementtypdefinition besteht der Inhalt eines Elementes aus einer Zeiehenkette (String) . Dafur existiert das Schltisselwort PCDATA, das fur einen beliebig langen String steht. Daruber hinaus kann eine Elementtypdefinition auch einen gemischten Inhalt zulassen, bei dem Elemente dieses Typs Zeichenketten enthalten konnen, die optional mit Kindelementen gemischt werden konnen . Ebenfalls fur eine beliebige Zeichenkette steht das Schliisselwort CDATN7, allerdings wird dieses im Zusammenhang mit Attributen verwendet. Attribute sind Zusatze zu Elementen, die diese naher beschreiben. 1m dargestellten Beispiel werden fur das Element Kreditkarte die beiden Attribute type und gueltigBis definiert. Der Zusatz #REQUIRED zu type bedeutet, dass das Attribut erforderlieh ist, wahrend #IMPLIED besagt, dass das .Ablaufdatum" der Kreditkarte nicht unbedingt erforderlich ist. Weiters unterscheiden sich die beiden Attribute in der Art der erlaubten Inhalte. Fur das Attribut type wurde eine Aufzahlung mit erlaubten Werten angegeben, aus denen genau eine der angegebenen Zeichenketten ausgewahlt werden darf. Im Gegensatz dazu steht das CDATA fur einen beliebigen String. Ahnlich einem Identifikationsschlussel in einer Datenbank wirkt bei einem Attribut der Zusatz 10. Damit erzwingt man, dass ein String nur einmal im gesamten XML-Dokument fur das zugehorende Element verwendet werden darf. In der Attributliste zum Element Kundenauftrag wird ein Attribut KaNr 28 definiert und diesem der Typ ID zugewiesen. Dadurch wird erreicht, dass ein bestimmter Inhalt eines Elementes (z. B. der Kundenauftrag mit der Nummer SD20010001) im gesamten Dokument einzigartig ist und keine Kundenauftragsnummer mehrfach vergeben werden kann.
27
28
PCDATA steht fur Parsed Chraracter Data, das sind vom Parser zu analysierende und zu verarbeitende Zeichenketten, wahrend CDATA direkt an die folgende Anwendung ohne Zwischenverarbeitung durch den Parser weitergereicht werden . Als sprechende Abkiirzung fur Kundenauftragsnummer.
7 XML - Die Lingua Franca des E-Business
179
7.3 Erweiterungen von XML Einer der viel gepriesenen Vorteile von XML ist seine kurze und pragnante Definition und eine damit einhergehende leichte Erlembarkeit; ganz im Gegensatz zum umfangreichen und schwer erlembaren SGML. In der Definition von XML 1.029 .fehlen" einige wichtige Konzepte , urn es als allgemeine Integrationstechnologie auch fur den Bereich der klassischen'? betrieblichen Informationsverarbeitung zu nutzen. Gegenstand dieses Kapitels sind XML-Erweiterungen zu Namensraumen, Verweisen, Schemata (bzw. Schemasprachen), Sytle Sheets und deren Anwendung aus Sicht der betrieblichen Informationsverarbeitung und des E-Business. Bei diesen Spracherweiterungen handelt es sich aber keineswegs urn die nachtragliche Bereinigung von Versaumnissen oder Unzulanglichkeiten der Sprachdefinition. Man wollte die Definition moglichst kompakt halten und hatte schon von Anbeginn die Erweiterung urn fundamentale Konzepte, wie beispielsweise die im Folgenden besprochenen Narnensraume, im Hinterkopf.
7.3.1 Namensraume Zu Problemen , fur die ein XML-Dokument verarbeitenden Programme bezuglich der Eindeutigkeit von Elementen , kann es kommen, wenn sich ein XLM-Dokument auf mehrere DTDs bezieht oder verschiedene XML-Dokumente zusammengefuhrt" werden sollen . Dabei handelt es sich nicht etwa urn einen Sonderfall, sondem dieses Problem steht beim Datenaustausch im Bereich B2B und beim Zusamrnenfuhren von Dokumenten an der Tagesordnung. In unserem Lehrbeispiel konnte es der Fall sein, dass ein Kundenauftrag derart erweitert wird, dass zu einem Auftrag ein Spediteur erfasst werden solI. Die dazugehorenden Definitionen konnten aus einer weiteren extemen DTD stammen, die die Stammdaten eines Frachters definieren. Da diese Stammdaten in vielen verschiedenen Geschaftsdokumenten (Frachtbrief, Lieferavis, Zollformulare, etc.) verwendet werden, macht eine eigene DTD fur eine Wiederverwendung Sinn. In dieser DTD konnen jedoch Elemente und Attribute mit derselben Bezeichnung wie in der Kundenauftragsliste definiert sein. Wahrscheinliche Kandidaten dafur sind etwa PLZ, Bundesland, StraBe usw. Eine Losung fur dieses Problem besteht im Konzept der sogenannten Namensraume (Namespaces)", die vom W3C zusatzlich zum XML-Standard definiert wurden. Narnensraume sind frei wahlbare Bezeichner, die u. a. im einleitenden Teil, dem sogenannten Prolog, eines XML-Dokuments definiert werden
29 Vgl. http://www.w3.orgffRl2000fREC-xml-20001006 (28. 3. 2001) 301m Sinne einer transaktionsorientierten Informationsverarbeitungsinfrastruktur 31 DTD stellen aber selbst noch keine Losung fur das Zusammenflihren von Dokumenten unterschiedlicher DTD-Zugehorigkeit dar. Sie konnen und werden aber fur XML-Schemasprachen oder in Zugriffsmechanismen wie XPath und XQuery verwendet. 32 Vgl. http://www.w3.orgffRlREC-xml-names/(31. 3. 2001)
180
I Elemente einer Infrastruktur fUr E-Business
konnen oder aber auch vor einem einzelnen Tag. Durch die Zuordnung eines Namensraumes wird jedes Tag eindeutig gemacht. Damit konnen z. B. gleiehnamige Tags aus verschiedenen Dokumenten mit unterschiedlicher DTD in einem zusammengefuhrten Dokument verwendet werden. Konfusion erzeugt immer wieder die Verwendung von URLs bzw. - genauer gesagt - von URIs fur Namensraume, Urn Namensraume global eindeutig zu machen, bedient man sieh fur die Benennung von Namensraumen des Konzepts der URIs. FQ.r URIs gilt, dass diese eindeutig sind. Dies ist der einzige Grund dafur, dass die Namensraume wie URLs "aussehen". Die URLs werden also lediglich zur Bildung von eindeutigen Namen verwendet und nieht als Zeiger auf Intemetressourcen. Diese URLs zeigen daher auf kein Verzeichnis und auch auf keine Datei, die ein Schema, eine DTD, irgendeine Erklarung oder sonst etwas beinhalten wurde'" 34. Wenn imXML-Dokument Tags durch Hinzufugung eines solchen Namensraumes qualifiziert werden, werden die Dokumente fur den Menschen schnell unlesbar. Es besteht daher die Moglichkeit, einem Namensraum ein sogenanntes Prafix zuzuordnen. Das Prafix identifiziert ein Element (oder ein Attribut) eindeutig. Das Element wird dabei durch einen Doppelpunkt von der Namensraumbezeiehnung getrennt geschrieben. Durch dieses Qualifizieren wird die Zugehorigkeit eines Elementes bzw. Attributes zu einer DTD eindeutig festgelegt. In einem XMLDokument kann dies fur das beschriebene Beispiel dann wie in Abbildung 1-7.3 aussehen:
Abb, 1-7.3 Beispiel fur die Anwendung von Namensraumen 33 34
35
Die URIs brauchen daher auch nicht wirklich zu existieren. Die Verwendung von URLs fur Bezeichner hat natiirlich dazu geflihrt, diese fur praktische Zwecke bei der Verarbeitung der Dokumente einzusetzen. Nach intensiver Diskussion in der Entwicklergemeinde herrscht die verbreitete Ansicht, dass, wenn sich schon dahinter Inhalte verbergen, es sich um Verzeichnisse handeln sell . Die Definition eines Namensraumes kann auch innerhalb eines Tags erfolgen, es ist aber iibliche Praxis, alle Namensraume am Beginn des Dokuments zu definieren .
7 XML - Die Lingua Franca des E-Business
181
Das im Tag geschachtelte Tag <art> gehort zum Namensraum .Klient", wahrend das nachste Tag <art> im dargestelIten Dokument zum Namensraum .Lieferant" gehort. In beiden Fallen ist es nicht notwendig, das Tag zu qualifizieren, da es sich im jeweiligen Gtiltigkeitsbereich des Namensraumes befindet. Das Konzept der Namensraume ist nicht Umfang der XML Spezifikation, sondern wurde knapp ein Jahr nach der Spezifikation von XML 1.0 vom W3C hinzugefugt" .
7.3.2 XML-Schemasprachen Eine andere Losung, die ebenfalIs diese Probleme beseitigt, stelIen XLM-Schemasprachen dar. XML-Schemasprachen eliminieren dabei noch eine weitere Unzulanglichkeit von XML, die besonders beim Einsatz als Austauschformat schmerzlich zu Tage tritt: Alle Elementinhalte gehoren (sofern es sich nicht urn Kindelemente handelt) zum einfachen Datentyp der Zeichenketten. Es mangelt an einer Typisierung von Elementinhalten, d. h., es stehen keine grundlegenden Datentypen zur Verftigung, wie man sie aus Datenbanken und Programmiersprachen kennt. Weiters mangeIt es auch an einem Mechanismus zur individuelIen Definition einfacher und komplexer Daten strukturen. So wird etwa in Abb. 1-7.1 der Preis eines georderten Artikels als 249.00 dargestellt. Dass damit eine Dezimalzahl mit 2 Nachkommastellen beschrieben wird und der Punkt als Seperatorzeichen Verwendung findet , ist daraus nicht ersichtlich. Mit Datentypen und dazugehorenden Forrnatinformationen'? konnte die Validitat auszutauschender Daten schon vor Ubernahme in die operativen betriebswirtschaftlichen Zielanwendungen festgestellt" werden. Aber auch in umgekehrter Richtung konnen so Daten aus den Systemen flir eine anwendungsneutrale Weiterverarbeitung zur Verftigung gestellt werden . Beim Datenaustausch ist die Reihenfolge der ausgetauschten Informationen wichtig. Bei der Verwendung von gemis chten Inhalten in DTDs konnen die Anzahl und die Reihenfolge von Kindknoten nicht definiert werden . Auch dieses Problem losen XML-Schemasprachen. Dartiber hinaus stellen Schemasprachen auch Mechanismen zur Modularisierung und Wiederverwendung von Schemata bereit und erlauben die Definition der Schemata in XML selbst. Ein Kritikpunkt an XML ist namlich, dass DTDs in einer Notation wie in
36 37
38
Vgl. http://www.w3.orgfTRlREC-xml-names/(31. 3. 2001) Die Definition der Textrepriisentation eines Elemente s erfolgte ebenfalls iihnlich wie in Programmi ersprachen. Das ist ein wesentlicher Unterschied yon XML-basiertem Business Vokabular im Vergleich zu EDI Normformaten, wie in UNIEDIFACT oder ANSI X.12. Bei Verwendung dieser Formate werden umfangreichere Abhiingigkeiten in einem Implementation Guide dokument iert. Die Einhaltung dieser Regeln muss entweder mittels vorgeschalteter EDI-Tools (Validator) oder direkt durch die Anwendungsprogramme ent sprechend dem Implementation Guide kontrolliert werden.
I Elemente einer Infrastruktur fur E-Business
182
SGML formuliert werden mUssen und nicht selbst in XML darstellbar sind". 1m Unterschied zu XML gibt es fur Schemata aber keinen von allen Anwendem und Entwicklem akzeptierten Standard. Die Anwendung eines Schemas auf ein dazugehorendes XML-Dokument (bezeichnet als Instanz bzw. Auspragung des Schemas) validiert" dieses ahnlich dem validierenden Parsens eines XML-Dokuments gegen eine DTD. Das Ergebnis ist im einfachsten Fall eine Aussage, ob das entsprechende Dokument val ide isr" . Generell kann man zwischen vier Stuferr? der Validierung eines XML-Dokument s gegen ein Schema unterscheiden: 1. 2. 3.
4.
Die Validierung der Auszeichnungen: Uberprufung der Wohlgeformtheit der Struktur eines Dokuments. Validierung des Inhaltes der einzelnen Blattknoten: Uberprufen ob die Elementinhalte auch den Datentypen des Schemas entsprechen. Validierung der Integritat: Dies bezieht sich auf die Verweise innerhalb und zwischen den Dokumenten. Validierung von sog . "Business Rules".
FUr die Realisierung von Schemata existieren unterschiedliche Sprachdefinitionen. Der Beitrag des W3C, genannt XML-Schema , gilt als kompliziert und Uberladen . DemgegenUber steht das schlanke und modulare Relax NG43 der OASIS44. Neben diesen herstellerunabhangigen Schemasprachen der beiden groBen Standardisierungsgesellschaften im XML-Bereich sind vor allem die Firmenentwicklungen XDR von Microsoft und SOX von CommerceOne verbreitet. Wahrend Microsofts XDR als Schemasprache der Biztalk Initiative vor allem in Bereich der Anwendungssystemintegration FuB fassen konnte, wird SOX vorwiegend im Dokumentenaustausch im Rahmen elektronischer Marktplatze der Firma Commerce One eingesetzt. Durch die Erklarung dieser fUr das E-Business wesentlichen Softwarelieferanten, fur zukUnftige Entwicklungen ebenfalls auf den XML-Schema Vorschlag des W3C zu setzen, scheint etwas Durchblick in das Dickicht der XML Schemasprachen zu gelangen. Es verbleiben in naher Zukunft nur mehr Relax NG und XML-Schema. Angesichts der massiven Konkurrenz von OASIS ist es fraglich, ob sich der Beitrag des W3C im Bereich der Schemasprachen als einziger Standard durchsetzen wird konnen. Das Monopol des W3C zur informellen Stan-
Wobei dieser Kritikpunkt weniger gerechtfertigt ist, da es ja eine initiale Definition geben muss, bevor man XML Anwendungen erstellen kann. Auch Schemata liegen DTDs zugrunde. 40 Zu den Begriffen .P arsen", "Parser" und .validierendes Parsen" siehe Kap. 7.5. 41 Es wird optional auch ein sogenanntes Post Schema Validation lnfoset (PSVI) generiert, das einen umfangreichen Parsing Bericht umfasst. 42 Vgl. van der Vlist (2001) 43 Relax NG umfasst die bisher getrennten Schemasprachen TREX und Relax. Yom Standpunkt der formalen Sprachen aus betrachtet ist XML-Schema weniger machtig als Relax NG. 44 0 rganization for the Advancement of Structured Information Standards (vgI. http://www.oasis-open.org). 39
7 XML - Die Lingua Franca des E-Business
183
dardisierung scheint zumindest in diesem Bereich in Frage gestellt. Ein Blick auf aktuelle Softwareprodukte bzw. Sprachdefinitionen, welche Schemata verwenden, wie beispielsweise xCBL45, zeigt, dass XML-Schema und Relax NG gleichermaBen unterstlitzt werden. Die Konkurrenz urn einen Schemastandard scheint also letztendlich ex aeqo zugunsten der beiden herstellemeutralen Initiativen entschieden zu sein. Die angesprochenen Schwachen von DTDs lassen sich nunmehr durch Schemata Uberwinden. FUr das Lehrbeispiel .Kundenauftragsliste" werden nun in einem ersten Schritt die Elemente und deren Zusammenhang definiert. Es empfiehlt sich jedoch, bei der Erstellung von Schemata eine grafische Notation ahnlich der logischen Datenmodellierung zu verwenden. Der Grund dafUr ist, dass die grafische Darstellung selbst simpler Modelle fur den Menschen einfacher und schneller zu verstehen ist und dadurch neue Schemata schneller und weniger fehlerhaft erstellt bzw. bestehende uberarbeitet werden konnen. Besonders hilfreich ist eine grafische Darstellung fur die Wiederverwendbarkeit und Modularisierung, wenn ein entsprechendes Entwicklungswerkzeug Verwendung findet (siehe Kap . 7.5) . Die grafische Darstellung beruht auf wenigen Symbolen fur Elemente und fur die Beziehung zwischen den Elementen.
Abb. 1-7.4 Erster Modellierungschritt der Kundenauftragsliste fur ein XML-Schema46
In Abb . 1.-7.4 ist die Struktur der Kundenauftragsliste wiedergegeben. Anders als beispielsweise den Entitaten in einem Datenmodell, kommt jedoch hier der raumlichen Anordnung der Bildelemente eine Bedeutung zu. Das Diagramm wird von links nach rechts und von oben nach unten gelesen. Die Leserichtung von links nacht rechts gibt die hierarchische Anordnung der Elemente zueinander wieder. Aus diesem Beispiel geht hervor, dass .Kundenauftrag" ein Kindelement von .Kundenauftragliste" ist. Ein Element, dasKindelemente hat, wird als komplexes Element bezeichnet. Zwischen diesen beiden Elementen steht das Symbol 45 xCBL unterstlitzte ursprunglich nur die Schemasprache SOX, die eigens fur cCBL von
46
Commerce One entwickelt wurde. In den aktuellsten Releases unterstiitzt es neben Relax NG und XML-Schema auch XDR von Microsoft. Fur die Modellierung wurde XMLSpy und dessen Schemanotation verwendet. Siehe Kap.7.5.
184
I Elemente einer Infrastruktur fUr E-Business
fur Sequenz. Genauso wie in der DTD findet sich die Sequenz auch hier wieder zwischen dem Element Kundenauftrag und des sen Kindelement. Die Reihenfolge Oben-Unten gibt die vorgeschriebene Verwendung der Kindelemente wieder. Optionale Elemente und deren Verbindungen zu anderen Elementen werden in dieser Notation als strichlierte Linien dargestellt. Das schon in DTDs verwendbare Konstrukt der Alternative (Synonym: Option) wird in dieser Schemanotation anhand der Sequenz der Kindelemente des Elementes Kunde in Abb.)-7.5 dargestellt, in demdie Elemente .Postfach" und "Strasse" eineAlternativedarstellen. d. h. genau ein Element ist verpflichtend. Zusatzliche Modellierungsmoglichkeiten ergeben sich durch die im XML-Schema vorgesehene Moglichkeit, die Kardinalitat eines Elementes explizit anzugeben, d. h. wie oft ein Element mindestens vorkommen muss und wie oft es max imal auftreten darf. Im Beispiel aus Abb. 1-7.5 ist dies am Element .Vornamen" ersiehtlich, das beliebig oft (O..n mal) auftreten darf.
Abb. 1-7.5 Verfeinerung des komplexen Elementes "Kunde" in XML-Schema
Im Unterschied zu einer DTD ist es in einem Schema nunmehr moglich, Elemen ten Datentypen zuzuordnen. Fur Elemente, die selbst keine Kindelemente haben, sind dies einfache Datentypen fur Texte, Zahlen, Datumsangaben und Zeitspannen. 1m Beispiel aus Abb. 1-7.2 aus Kap. 7.2 wird das Element "Datum" in der DTD in Ermangelung von Datentypen durch einen String beschrieben. Dass dieser String der Bildungsregel "YYYYYMMDDHHMMSS"47 folgen muss, ist mithilfe der eingeschrankten Moglichkeiten der DTD nieht darstellbar. Mit einem XML-Schema ist es hingegen moglich, einen passenden vordefinierten Datentyp wie "dateTime''48 zu verwenden und die XML-Dokumente dagegen zu validieren. Ein wesentlicher Vorteil von XML-Schema besteht in d~r Moglichkeit, eigene
47 Dieses kryptische Kurzel steht fur die Schreibweise Jahr, Monat, Tag, Stunde, Minute. 48 Der Datentyp dateTime orientiert sich an der ISO-8601 und beinhaltet demnach auch eine Angabe der Zeitzone.
7 XML - Die Lin gu a Franca des E-Bus iness
185
komplexe Da ten ty pen fur die Modu larisierung und W ied erverwend ung zu erze ugen .
r KundenAuflragTyp:'- Ze~
-
l
Kunde
..
"' ,
1 ,,
~. !K~~d·lik~rt~j
, '-
l""Y~r~d;;; ~ ___ ~~ --"~
-
-I I I I I I I I I I
I J
Ab b. 1-7.6 Bildung von komplexen Datentypen aus komple xen Elementen
1m Beispiel aus Abb. 1-7.6 werden die komplexen Elemente .Kundenauftrag'', " Kunde" und .Artike l" aus den vorangegangenen Mod ellen zu den komplexen benutzerdefinierten Datentypen .Kundenauttrag''. .Kundentyp'' und ..Art ik eltyp" zusa mmengefasst. Wahrend fur einen Kundenauft rag und ei nen Kunden eine Wiederverwendung nicht so offensic htlich ist, ist diese fur eine n Artikel unmittelbar ersic htlic h, da Art ikelinfo nnationen entla ng der gesamten logistischen Kette benotigt werden. Ein wei teres Mittel zu Stru kturierung und wied erverwen dung von Codeteilen ist die Grupp ieru ng , mit der Elemente ode r Att ribute zusamme ngefasst we rde n ko nnen , urn etwa komp lexe Daten typen zu be schreibe n. Dad urch ist ei ne Wiederverwendung schon "unterhalb" von kom ple xen Datentypen rnoglich. 1m dargestellten Beispiel konnte man beispielsweise die Ele mentc .Kredltk arte" und .Versandart'' zu einer Gruppe zusam menfass en , urn sie auch fur ei ne Ve rwendu ng auBerha lb die ses Sc he mas zu be nutzen. Auf dem nlichstniedrigeren Le vel, dem der Attri bute , er laubt XML-Sc hema bei den einfachen Datentypen benutzerdefinierte Einscbrankun gen bzw. Bildu ngsrege ln, z. B. urn festlegen zu kdn nen, dass e ine Postleitzahl mit einem Buch staben begm nt, gefolgt von Ziffe m und mindestens vie r, max imal je doch fll nf Ste llen lang sein darf .
186
I Elemente einer Infrastruktur fur E-Business
7.3.3 XLink und XPointer Neben Schema fehlen in XML selbst noch Konstrukte, urn Links innerhalb und zwischen Dokumenten realisieren zu konnen. Urn die Metasprache und deren Definition kompakt zu halten, werden Links als XML-Erweiterung umgesetzt. Die Namen dieser Erweiterungen sind XLlink und XPointer. Wahrend in HTML fur Links innerhalb und zwischen Dokumenten dasselbe Tag verwendet wird, wird bei XML ein Unterschied zwischen diesen Verkntipfungen gemacht: Mittels XLink wird die Verkntipfung zwischen Dokumenten und mittels XPointer innerhalb von Dokumenten realisiert . Das gesamte Potenzial kommt aber erst in einem kombinierten Einsatz zum Tragen. Mit XLink lassen sich im Gegensatz zu HTML eigene Linkelemente mit eigener Bedeutung definieren. Ein weiterer Unterschied zu HTML besteht darin, dass Verweise bidirektional sind, d. h. sie zeigen auch auf die QueUe der Verknupfung zuruck und verfugen , auBer dem Verweisziel, tiber zusatzliche Eigenschaften. Ftir diese Eigenschaften gibt es die folgenden Attribute:
• • •
•
Title (semantisches Attribut): Lesbarere Bezeichnung des Verweises. Role (semantisches Attribut): Damit kann das ausftihrende Programm Verweise unterschiedlich behandeln. Show (Verhaltensattribut) : bestimmt beispielsweise, ob der Inhalt des referenzierten Dokuments in das Ausgangselement eingebunden wird, zusatzlich dargesteUt wird, das Ausgangsdokument durch das referenzierte Dokument ersetzt wird, etc. Actuate (Verhaltensattribut): Legt den Zeitpunkt fest, wann der Link traversiert (uberschritten, d. h. aktiviert) werden solI. Moglich ist eine Ausftihrung durch den Benutzer (z. B. durch einen Mausklick) oder das Dokument wird von einer Anwendung (beispielsweise einem Browser) ausgeftihrt.
Bei den Verweisen unterscheidet man folgende Kategorien :
• • • •
Inline: Der Verweis ist Teil eines der verbundenen Dokumente. Out-of-Line: Der Verweis kann sich in einem eigenen Dokument (Link-Database) befinden . Simple: ein einfacher Link, der zwei Dokumente verbindet, ist im NormalfaU "Inline". Extended: Mehrfachverweise fur eine beliebige Anzahl verbundener Dokumente.
Das innovativste Konzept steUen die Out-of-Line Mehrfachverweise dar. 1m Unterschied zu herkommlichen Verweisen sind diese nicht Bestandteil der verkntipften Dokumente, sondern existieren davon unabhangig in einem eigenen Dokument. Mit herkommlichen Links, wie etwa in HTML konnen Verweise auf SteUen in Dokumenten nur erzeugt werden, wenn bereits Anker definiert sind oder wenn man die Berechtigung zum Editieren des betreffenden Dokumentes hat, urn Sprungmarken anbringen zu konnen. Die Starke von XLinks kommt im Zusam -
7 XML - Die Lingua Franca des E-Business
187
menspiel mit der Xl'ointer-Sprache'" zur vollen Geltung und besteht nicht nur aus robusteren Verweisen: Mit dem Konzept der erweiterten Out-of-Line Mehrfachverweise und XPointer konnen Dokumentteile selbst dann referenziert werden, wenn der konkrete Elementinhalt gar nicht bekannt ist und man auch tiber keine Editierberechtigung'" fur das referenzierte Dokument verfugt. Walrend sich in HTML ein interner Link auf zuvor codierte Stellen mit Tags beschrankt, bezieht man sich in XLink nicht auf solche Sprungmarken, sondern auf Teile des Dokuments. Die Lokalisierung des Dokumentteils bzw . der Dokumentteile kann absolut oder relativ durch die Angabe von kombinierbaren Ausdrucken erfolgen. FUr die relative Lokalisierung stehen dazu Ausdrucke wie Child (Kind), Descendent (Nachkomme), Ancestor (Vorfahre), etc. zur Verfugung. Durch Anwendung dieser Ausdrucke wird der Weg innerhalb des Dokumentbaumes" beschrieben. Es konnen dafur aber nicht nur Knoten in diesem Baum angegeben werden, sondern es ist auch eine Adressierung nach InhaIten moglich". Diese Formen des Verlinkens bringen nicht nur neue, bisher ungeahnte Moglichkeiten mit sich . Auf den ersten Blick nicht erkennbar ist dies aber auch ein Grund mit dafur, dass HTML weiterhin fur das Webpublishing eingesetzt werden wird, obwohl XML, XLST und CSS clientseitig mit aktuellen Browsern verarbeitbar ist bzw. in absehbarer Zeit sein wird. Das eigentliche Wissen kann namlich in den Verweisen -' en thaIten sein, aus denen Dokumente generiert werden konnen. So spricht man in diesem Zusammenhang auch von einer .semanttschen Firewall" und meint damit, dass semantisch reiche Dokumente nur an Berechtigte im Intraund Extranet zur Verfugung gestellt werden, wahrend an AuBenstehende .abgespeckte" HTML-Dokumente weitergegeben werden. Die Darstellung eines XML-Dokuments sieht auch in einem Internetbrowser nicht sehr viel anders aus als in einem Texteditor, was auch naheliegend ist, da ja XML ein textbasiertes Format ist. Die einzelnen Tags erhalten, auch wenn sie wie z. B. teilweise selbsterklarend sind, erst in Zusammenhang mit Anwendungen eine konkrete Bedeutung. Ein typisches Beispiel fur ein solches Programm ist ein Internetbrowser. HTML ist eine mit XML definierte Auszeichnungssprache (eine "Anwendung"54 von XML) und ein lnternetbrowser ist ein In der offiziellen W3C Definition ist von einer "XPointer-Language" die Rede . XPointer stellen aber keine Sprache z. B. im Sinne einer XML-Anwendung wie XHTML dar, sondern sind vielmehr ein Bestandteil des XML-Vokabulars. 50 Ein ausgezeichnetes und umfangreiches Beispiel fur den Einsatz und die Realisierung von Out-of-Line Links auf Read-Only Dokumente stellt die dokumentierte XML-Version dar: Vgl. http://www.xml.com!axmVtestaxml.htm 51 Der in XPointer sogenannte "Virtual Abstract Structure Tree" (VAST) 52 Der interessierte Leser sei dazu auf die Definition der Lokalisierungsausdrticke Span, Attr und String in der Sprachdefinition verwiesen. 53 Den Informationsgehalt von Links kann man unter anderem daran erkennen, dass oftmals Zitatstrukturen und Verweise der eigentliche Teil in wissenschaftlichen Arbeiten sind. 54 Nicht zu verwechseln mit dem gelaufigerem Verstandnis des Bergriffs .Anwendung" im Sinne eines Anwendungsprogramms wie z. B. eine Textverarbeitung oder eine FIBU .
49
188
I Elemente einer Infrastruktur fur E-Business
Programm, das die Tags in eine entsprechende (z . B. optische) Ausgabe umwandeln kann . Bei XML sind die Anspruche etwas umfangreicher. Kommen wir wieder auf das Beispiel der Kundenauftragsliste eines Webshops aus dem einflihrenden Kapitel zuruck, Nachdem ein Webshopbetreiber diese via Internet erhalten hat , mochte Er bzw . Sie die Daten auch auf verschiedenste Weise weiterverarbeiten: Die Kundenauftragsdaten soIlen in HTML fur das Internetpublishing aufbereitet werden, damit sich ein Kunde seine Bestellungen online anschauen kann. Daneben ist es fur die logistische Durchflihrung des Auftrages erforderlich, diese Daten in einem proprietaren textbasierten Format ins operative Warenwirtschaftssystem zu ubernehmen. Da einige der Auftrage als Streckengeschaft durchgeflihrt werden, mUssen die Auftragsdaten an einen Lieferanten wietergeleitet werden. Dieser Lieferant setzt zwar ebenfalls auf XML, das Originaldokument ist fur ihn aber nicht ohne wei teres verwendbar. 1m einfachsten Fall deshalb, weil der Lieferant die darin verwendete Deutsche Sprache und somit Tags wie «Bundesland» nicht versteht oder Felder fur ihn eine andere Bedeutung haben konnen, Realistisch ist auch, dass im Datenaustausch mit diesem Lieferanten Informationen in einer anderen Struktur tibertragen werden mussen. Es besteht also generell gesprochen die Notwendigkeit, aus dem XML-Dokument andere Dokumente zu generieren, wobei das Zielformat wie beschrieben wiederum XML, HTML oder irgendein anderes beliebiges Format" sein kann. Am haufigsten ist die Transformation zwischen XML basierten Formaten, beispielsweise wenn Geschaftspartner unterschiedliche Markup Grammatiken wie ebXML und xCBL verwenden. Aber auch bei Verwendung desselben Standards konnen Transformationen notwendig werden, wenn unterschiedliche Schemasprachen verwendet werden, etwa SOX und XML Schema fur cXBL. Der konventionelle Weg solche .Austauschprobleme" zu losen, wurde darin bestehen, in einer Programmiersprache die entsprechenden Konvertierungen zu programmieren. Eleganter, effizienter und vor all em auch fur den Endbenutzer" leichter erlernbar ist es, wenn man daftlr die Moglichkeiten der XML Technologiefamilie einsetzt. FUr die Umsetzung dieser Vielzahl an Anforderungen an den Austausch und das Publizieren von XML-Dokumenten gibt es die drei zusatzlichen XML-Erweiterungen: XSL, Xpath und XSL-FO.
7.3.4 Die Extensible Style Sheet Language (XSL) Die Extensible Sytesheet Language (XSL)57 besteht aus zwei Teilen, der Extensible Stylesheet Language Transformations" (XSTL) und den sogenannten XSL Formattting Objects (XSL-FO). Mit den Befehlen der XSLT kann ein XML-Dokument in ein anderes Dokument transformiert werden. XSLT ist eine deklarative 55 Also auch Sound, Video, Braille etc. Als Endbenutzer wird hier ein ED! Mitarbeiter verstanden, der zwar tiber Kenntnisse des Business Domains verfugt aber kein Anwendungsprogrammierer ist. 57 Vgl. http://www .w3.orgffR/2001/REC-xsl-20011015/# (27. 1. 2002) 58 Vgl. http://www .w3.orgffR/xslt 56
7 XML - Die Lingua Franca des E-Business
189
Sprache, d. h. der Zugriff auf die Knoten des Quelldokuments und das Erzeugen der Knoten des Zieldokuments erfolgt deskriptiv. 1m Unterschied dazu wurde ein .Ausprogrammieren" ein Handling des Dokuments auf Ebene des Textfile erfordem". XSL T enthalt aber nicht nur rein deklarati ve Sprachelemente, wie beispielsweise zur Filterung, Sortierung und Stringverarbeitung, sondem beinhaltet auch Konstrukte zur Formulierung von Verarbeitungsschrittenv, Urn selektiv auf einzelne Elemente des Dokuments zuzugreifen, verwendet man die Befehle von XPath. Die Bedeutung von XSLT und XPath ist mit der Bedeutung von SQL fur (relationale) Datenbanken vergleichbar. Es ermoglicht den (deklarativen) Zugriff auf strukturierte Daten und erspart dem Anwender und Entwickler das Ausprogrammieren von algorithmischen Zugriffen, die meist tiefergehende Systemkenntnisse voraussetzen. Bei den XSL-FO handelt es sich wiederum urn eine in XML definierte Auszeichnungssprache, speziell zur Paginierung, Layoutierung und Formgestaltung. Auch wenn man mit XSLT ein XML-Dokument grundsatzlich in jedes beliebige Zielformat transformieren kann, ist der primare Einsatzzweck die Transformation des Dokuments in ein Dokument, das ein anderes Markup-Vokabular verwendet, beispielsweise ein XSL-FO basiertes Dokument. Stylesheets ermoglichen aber nicht nur die Transformation eines Dokuments, sondem beinhalten auch ein XML-Vokabular zur Formatierung. Mit der Extensible Style Sheets Language" (XSL) lassen sich Dokumente ahnlich wie mit CSS formatieren.
7.4 XML-Werkzeuge Nachdem XML ein rein textbasiertes Format ist, wurde im Prinzip ein simpler Texteditor zur Bearbeitung ausreichen. Aber viel mehr als einfache Lehrbeispiele wird man damit nicht erstellen konnen bzw. wollen. Fur den profession ellen Einsatz bedarf es entsprechender Werkzeuge. Einfache Editoren verfugen zumindest tiber Funktionen zum Ausschneiden, Kopieren und Verschieben von Eintragen . In Editoren wird auf ein XML-Dokument baumbasiert zugegriffen. Die durch die Schachtelung der Elemente entstehende Baumstruktur wird grafisch im Editor dargestellt. Eine Suchfunktion, Blatterfunktion und die Anzeige der DTD gehoren zu den grundlegenden Funktionen. Bessere Editoren verfugen tiber kontextabhangige Auswahlhilfen, d. h. sie verwenden die DTD dazu, urn dem Anwender eine Auswahlliste der momentan erlaubten Elemente und Attribute darzustellen. Solche Editoren uberprufen nicht nur die Wohlgeformtheif2 (einfaches Parsing)
59
60 61
62
Bzw. man benutzt vorhandene APIs. XSLT ist "Turing vollstandig"; vgl. http://www .xml.comlpub/a/2000/08/ holman/sl.html?page=2 (28. 3. 2001) Vgl. http://www.w3.org/StyleIXSLI (28.3.2001) Wahl geformt kann ein XML-Dokument auch ohne DTD sein, wenn es bestimmte syntaktische "Mindestanforderungen" erfullt, wie z. B., dass Attribute in Anftihrungsstri-
190
I Elemente einer Infrastruktur fOr E-Business
eines XML Dokuments, sondem auch dessen Validitiit (Gultigkeir"} (validierendes Parsing). Unter Parsen versteht man allgemein das Erkennen und Weiterverarbeiten von syntaktischen Strukturen. In Zusammenhang mit XML-Dokumenten versteht man darunter aber meistens das Erzeugen der Baumstruktur, die die Grundlage fur die weitere Be- und Verarbeitung ist. Ausgereifte Entwicklungsumgebungen wie z. B.XML Spy 4.2 verfugen daruber noch tiber weitere (grafische) Editierfunktionalitaten fur XLM-Schemata und die XSL.
w~~hr~n~~-:-Tn~~j~~~~;;J!Ez~it··· M ,1234 5676 :210956 19012 34.56 ....
. ··· ..
L
Abb. 1-7.7 Baumstruktur des Lehrbei spiels dargestellt in einem XML-Editor
Weiters ermoglichen solche Editoren die Validierung von Schemata und auch die Transformierung mittels XSL. Derartige Werkzeuge werden nicht nur von Software-Spezialisten eingesetzt, sondem finden auch als Werkzeuge der individuellen Datenverarbeitung bei Endbenutzem Verwendung . Dezidiert fur den Gebrauch von Softwareentwicklem sind hingegen sogenannte API 's (Application Program Interfaces). Diese ermogl ichen es Anwendungsentwicklem auf XMLDokumente, DTD 's und Schemata lesend und schreibend zuzugreifen und neue Dokumente zu erstellen. Der Zugriff auf ein Dokument kann dabei tiber eine
63
che gesetzt werden mu ssen , Ein Dokument kann wohl geformt und nicht gultig sein, aber niemals gultig und nicht wohl geformt. Ein XML -Dokument ist "gUltig", wenn es sich auf eine DTD bezieht und darin definierte syntaktische Regeln genau einhalt,
7 XML - Die Lingua Franca des E-Business
191
Baumstruktur wie in einem XML-Editor erfolgen. Ein Beispiel fur ein solches tree-processing API ist das Document Object Model'" (DOM) des W3C. Eine andere Form des Parsings eines XML Dokuments mit Hilfe eines API's ist das sogenannte event-processing, wie es z. B mit Hilfe von SAX65 bzw. SAX266 moglich ist. Hier erfolgt der Zugriff nicht uber eine Baumstruktur, sondern seriell, indem ein Element urn das andere abgearbeitet wird. Die Kommunikation mit den Anwendungsprogrammen erfolgt dabei tiber ein ereignisgesteuertes Protokoll. Neben diesem grundlegenden Unterschied erlauben aber sowohl das Tree- als auch das Documentprocessing das Einlesen externer Referenzen, gemischte Inhalte und auch den Zugriff auf (nicht zu parsende) binare Inhalte. Der baumorientierte Zugriff ist komfortabler und intuitiver, aber speicher- und rechenzeitaufwendiger als der ereignisgesteuerte Zugriff. Beide Zugriffsarten sind fur .xlokumentorientiertes" XML geeignet. FUr betriebwirtschaftliche XML-Dokumente, die in Datenbanken gespeichert werden, bietet sich ein datensatzorientierter Zugriff (record processing) wie in RAX67 an. Die Auswahl des konkreten Parser hangt von der Komplexitat und Menge der zu verarbeitenden Dokumente und auch von den zur Verfugung stehenden Systemressourcen abo 1m Normalfall werden XML-Dokumente vor allem serverseitig verarbeitet. SolI ein XML-Dokument am Internet-Client mit unterschiedlichen Ansichten dargestellt werden , ohne dieses jedes Mal neu vom Server nach HTML aufbereiten und ubertragen zu mussen, kann eine lokale Verarbeitung im Sinne eines einfachen Client-Server Computing erfolgen. Fur diesen Anwendungsfall bietet beispielsweise die Firma Microsoft fur ihre Betriebssystemfamilie Windows mit MSXML 4.0 einen clientseitigen Parser an, der sowohl die W3C XML-Schemata unterstiitzt als auch tiber DOM und SAX Interfaces verfugt. 1m Unterschied zu einer lediglich einfachen Prasentation des Sourcecode eines XML-Dokuments in einem InternetBrowser (wie in Abb . 1.-7.1 gezeigt), ist mit dem MS Explorer und MSXML nunmehr eine clientseitige Verarbeitung des Dokuments moglich. In Abb. 1-7.7 ist das Beispiel der Kundenauftrage aus Abb . 1.7-2 dargestellt. In getrennten Fensterbereichen werden in diesem Beispiel die von einem Internet-Mall Betreiber in XML codierten Kundenauftrage dargestellt. Die Realisierung der Fenstertechnik erfolgt mittels sogenannter .Jntemer Rahmen" (iFrames), die Bestandteil des HTML-Sprachumfanges sind. 1m linken Rahmen werden die Auftragsnummern nach Auftragsdatum oder Kundennummer sortiert dargestellt. Das Sortierkriterium kann durch Buttons geandert werden. Zu einem in diesem Rahmen selektierten Kundenauftrag werden im rechten Rahmen die Details dargestellt. Eine Suchfunktion ermoglicht eine Volltextsuche tiber aIle Kundenauftrage im rechten Fenster. Realisiert wurde dieses einfache Beispiel mit XSL, Xpath und der Einbindung von JavaScript. FUr Anwendungsfelder, die ein Mehr an Funktionalitat auf Seite des Clients erfordern, ist die Verwendung von Java 54
Vgl. http ://www.w3.orgIDOM/ (28. 3. 2001)
65 Vgl. http ://www.megginson.comlSAXI (28.3.2001) 66 Vgl. http://www.saxproject.org/ (27. 1. 2002) 67 Vgl. http://www.xml.comlpub/a/2000/04/26/raxlindex.html?page=1 (28.3.2001)
192
I Elemente einer Infrastruktur fur E-Business
empfehlenswert. Als Alternative daflir empfiehlt sich auch die Programmiersprache Cur168, die mittels eines Plug-Ins auf dem Browser ausgeflihrt wird. Curl versteht sich selbst als eine "Content Language", womit die besondere Eignung fur das Content Management und Delivery gemeint ist, die auf der harmonischen Integration der W3C Standards in eine clientseitige Programmiersprache beruht. Es bleibt jedoch abzuwarten, ob Curl tatsachlich einen Stellenwert erhalt, der tiber einen akademischen Beitrag hinausgeht und sich neben Java, JavgScript und ActiveX etablieren wird konnen.
WWWIDVEDU
Webshop Kundenauftragsliste ali clientseitige interaktive Anwendung (XML, XSL. JavaScript)
i'\\WJf I':::JI,.
;...'
Kundennummer 11035 KAmirNr. SD200010001 KAmirNr. SD200010003 KAmir Nr.~
KAmirNr. SD200010098 KAmirNr. SD200010246
Kundennummer 11036 KAmirNr. SD200010297
Kundennummer: 11035 Franz Sepp Maier Postfach 11568 4600Wels
:!€ Auftragsnumrner:
SD2COIOOOl
Auftragswaluung:
USD 5.5.2001 Uhrzeit 19:45
Autlragsd.tum:
~..
Versandart: Luftpost Krdukaru r AMEX1234 5678 9012 345
OueWgSis: 06/03 MatNumme,. Be:.eichnung 123456 Diamond Mako Netzteil fur Psion Revo 454384
432423 243434.
IrDAModemfurPsionRevo Routenplaner QuebecEPOe
Menge 1 1 3 5
KAmirNr. SD200010336
u.gI. Usl 20% KAmirNr. SD200010045 ';Qj
'"
Preis 249.00 148.50 139.00 545.00
._- --
1.081.50 216,30
....
_..........
I '07M
Abb.I-7.8 XML-codierte Kundenauftrag sdaten in einer clientseitigen Anwendung
68
Vgl. http://www.curl.org (28.1. 2002)
7 XML - Die Lingua Franca des E-Business
193
7.5 Bedeutung und Anwendung von XML im E-Business 7.5.1 Unternehmensweite Anwendungssystem- und Geschaftsprozessintegration Wie schon im einfuhrenden Kapitel angeklungen, sind die Einsatzbereiche von XML mannigfaltig. In einer ersten (didaktischen) Einteilung wurde in daten- und layoutzentrierte Aufgaben unterschieden. Diese Gliederung erscheint aber etwas zu restriktiv, wenn man sich vor Augen halt, dass XML in der betrieblichen Datenverarbeitung in allen Bereichen eingesetzt werden kann bzw. wird, in denen Daten erfasst, gespeichert und ausgetauscht werden . So gesehen handelt es sieh bei XML urn eine Basistechnologie und es stellt sich die Frage nach dem Grund fur den "Hype" der vergangenen Jahre urn XML. Die Ursache dafUr ist sicherlich nicht in den strukturtragenden - sprieh semantischen - Eigenschaften dieser textuellen Sprache zu suchen, auch wenn diese selbsterkldrende Eigenschaft von XML das Tagesgeschaft in der Anwendungsentwicklung und Schnittstellenprogrammierung komfortabler gestal tet. Urn das Potenzial von XML abschatzen zu konnen, ist es sinnvoll in einer ersten Unterscheidung zwischen inner- und zwischenbetrieblichen Aufgaben zu differenzieren . In diesen beiden Bereichen kommt es bereits durch einen substitutiven Einsatz von XML zur Umsetzung des E-Business-Potenzials von XML. 1m intraorganisatorischen Einsatz dient XML vor allem als Enabler fur die "Enterprise Application Integration" (EAI). In vielen auch kleinen Untemehmen wurde das Y2K-Problem und die Euroumstellung als Anlass genommen, urn die alten, oftmals proprietaren Inhouse Systeme (soge nannte Legacyv-Systeme), durch zeitgemafie ERP-Systeme zu ersetzen. Dadurch verfugen die meisten Untemehmen zumindest auf dem operativen Level tiber eine angemessene, d. h. effektive informationstechnische Versorgung. Es stellt sieh jedoch die Frage , ob sie auch zeitgemaf in Hinsicht auf die Flexibilitat ist. Die Anbindung von operativen Satellitensystemen, dokumentorientierten Retrievalund Archivierungssystemen sowie die Verdichtung und Analyse von Geschaftsdaten in Ftihrungsinformationssystemen war und ist betrieblicher Alltag in der IT, nieht nur bei Untemehmenszusammenschltissen7o ,7 1 und Integrationsprojekten. Neu hingegen ist, dass es sich dabei nicht mehr urn eine einmalige statische Anbindung handelt, sondem bedingt durch verktirzte Produktlebenszyklen und anhaltende Reorganisationsprojekte sich zu einer stdndigen Aufgabe entwickelt hat,
69 70
71
Mit dem Begriff Legacy (Altlast) wird sehr deutlich umschrieben , dass diese Systeme als Hemmschuh verstanden wurden, die es nicht zu sanieren, sondem zu ersetzen galt. Diese betrifft vorrangig das Reporting, das, generell gesagt, einfacher zu integrieren ist als Geschaftsprozesse. Es sind Untemehmenszusammenschltisse bekannt, bei denen von einer neuen und qualitativ hoherwertigen ERP-Lasung auf eine konzemweite migriert wurde , da die Anwendungsintegration zu aufwendig bzw , zu teuer geworden ware.
194
I Elemente einer Infrastruktur fur E-Business
bei der es vor allem darum geht, Geschaftsprozesse sich kontinuierlich andemden Gegebenheiten anzupassen. Dieselben Anforderungen an die Adaptionsfahigkeit kommen auch aus dem Business Process Management (BPM), das mittels Leistungsbeurteilung auf eine kontinuierliche Pro zessverbesserung abzielt. Wahrend die Adaption bestehender Geschaftsprozesse bei ausschlieBlicher Verwendung eines der groBen monolithischen ERP-Systeme ein vergleichsweise leichtes Unterfangen ist, erhalt die Integrationsproblematik durch die anzubindenden Umsysterne eine schnell wachsende Komplexitat. Dartiber hinaus existiert das Bedtirfnis , aIle Transaktionen des ERP-Systems, unabhangig vom EinlAusgabegerat durchfuhren zu konnen und gleichzeitig mit den existierenden Um72 - bzw. Altsystemen zu integrieren. Urn dies bewerkstelligen zu konnen, gibt es verschiedene Integrationsstrategien'", die auch schon bisher ohne XML Unterstlitzung umgesetzt werden konnten . Die Vorteile von XML ergeben sich im Bereich der Systemintegation aufgrund der komfortablen Einbindung vorhandener Datenbestande aus Filesystemen und aus relationalen Datenbanksystemen. Diesen Einsatzbereich von XML kann man als "semantische Middleware" verstehen, da hauptsachlich von der strukturtragenden und selbsterklarenden Eigenschaft von XML Gebrauch gemacht wird. Die Machtigkeit der XML-Technologiefamile kommt hingegen erst bei den anderen Integrationsstrategien zum Tragen. Neben der Anwendungssystemsintegration tiber Datenbanken besteht ein wei teres Paradigma in der Integration durch die Kommunikation der Applikationen untereinander. Diese Kommunikation kann in zwei grundsatzlich verschiedenen Formen erfolgen. Zum einen durch den Austausch von Nachrichten in Form von standardisierten Dokumenten (EDI) und zum anderen als Interprocess Communication (IPe), d. h. der direkten Anwendung-zuAnwendung Kommunikation . Dieses auch als Messaging bekannte Verfahren wurde von mehreren Herstellem in verschiedenen Middlewareprodukten realisiert". Mit der Verbreitung des Intemets verfugte man zwar mit TCP/Ip75 tiber einen breit akzeptierten Standard fur Client-Server Architekturen in einem offenen Netz, aber tiber keinen allgemein akzeptierten Standard fur eine verteilte Anwendung-zu-Anwendung Kommunikation! Erst mit dem Erscheinen von SOAP76, das initial von Microsoft entwickelt und von IBM unterstlitzt wurde, konnte ein industrieweit akzeptierter Standard geschaffen werden. In Zusammenhang mit SOAP wurde auch erstmalig der Begriff der "Web-Services" gepragt, Bei Satellitensystemen muss es sich nicht automatisch urn Altlasten handeln, die wegen des Investitionsschutzes weitergefuhrt werden. Es ist durchaus gangige Praxis, einzelne Systeme , z. B. im Bereich PPS, CRM und HRM von spezialisierten Drittanbietern in die IT-Landschaft einzubinden. 73 Vgl. Alam (2001) 74 Die bekanntesten sind ohne Anspruch auf Vollstandigkeit: Named Pipes von IBM fur OS/2 und Windows NT, RPC fur Unix, Sockets unter BSD Unix und die komponentenbasierten Technologien wie CORBA der OMG, DCOM von Microsoft und Java RMI von Sun. 75 Siehe Kap. 2.2 76 Simple Object Access Protocol, Vgl. http://www.w3.org/2002/ws/ (2.2.2002) 72
7 XML - Die Lingua Franca des E-Business
195
der urspriinglich SOAP basiertes IPC bezeichnete. Mit Hilfe von SOAP und der dazugehorenden WSDL77.78 wurde letztendlich die Basis fur ein internetbasiertes EAI verteilter und heterogener IT-Landschaften gelegt. Moderne XML fahige Middleware?? setzt auf diesen Technologien auf und unterstiitzt auch die nahtlose Integration von komponentenbasierten Services wie EJB und CORBA80. Dies ist ein Beispiel fur einen substitutiven Einsatzbereich, in dem das Innovationspotenzial von XML durch einen Leverage-Effekt zum Tragen kommt. Die erforderlichen Technologien waren in ihren Grundsatzen schon seit lahrzehnten in der Informatik bekannt, aber erst im Zusammenspiel im Rahmen der inner- und zwischenbetrieblichen Informationsverarbeitung konnte mit diesen Technologien die Fundierung fur eine plattformunabhangige Anwendungsintegration geschaffen werden. Mit dem Einsatz von XML-Middleware fur die EAI vermeidet man zum einen eine unerwiinschte strategische Lock-in Situation und ist zum anderen auch fur zukiinftige Anforderungen geriistet, die der Geschaftsprozessintegatioti (BPI) enstpringen. 1m Bereich der internetbasierten IPC ermoglicht moderne XMLMiddleware die Integration verteilter Anwendungen iiber offene Netze (wie dem Internet) auf Basis von z. B. EJB- undloder CORBA Objekten mit ERP-Systemen. In diesem Bereich kommt bereits das Innovationspotenzial von XML zum Tragen, da solche bestehenden Mechanismen fur verteilte Anwendungen von zentral verwalteten Serverfarmen ausgehen und nicht explizit auf offene interoperable Netze wie das Internet ausgelegt sind. Das gesamte Innovationspotenzial der XML Technologiefamilie kommt vor allern im Bereicht der B2B-Integration zum Tragen. 1m nachsten Kapitel wird dargesteIlt, wie auch hier wiederum Web Services als informationstechnische Basistechnologie zum Einsatz gelangen.
7.5.2 Von EDI uber Web Services zu einem globalen E-Business Neben dem innerbetrieblichen Einsatz in der Integration 81 von ERP-Systemen, Legacy-Anwendungen, Datenbanken und dazu erforderlicher Middleware kommt XML vor allem im Bereich des zwischenbetrieblichen elektronischen Datenaustausches eine Schlusselrolle als Integrationstechnologie zu. Es war und ist nach wie vor iiblich, aIle moglichen Geschaftsformulare (Kundenauftrage, Bestellungen, Rechnungen, etc .) per Post oder Fax zu verschicken und diese dann manuell in die operativen Systeme einzugeben. Neben dem Problem einer fehlerhaften Erfassung und Weiterleitung ist dies auch noch sehr zeit- und personalaufwendig. Der automatisierte, batch-orientierte und idealerweise medienbruchlose Austausch 77
Web Service Description Language; vgl. http://www.w3.orgfTRlwsdl (2. 2. 2002)
78 Die WSDL, das als der Standard zur Beschreibung von Web Services gilt, beschreibt XML basierte Web Services und deren Implementierungseigenschaften. Ein Beispiel fur eine derartige Middleware ist BizTalk Orchestration von Microsoft. das verschiedenste IPe Formen und XML Schemasprachen gleichzeitig unterstiitzt. 80 Vgl. Kap. 4.1.1 81 Man spricht in diesem Zusammenhang auch von EAI (Enterprise Applikation Integration). 79
196
I Elemente einer Infrastruktur fUr E-Business
soleh strukturierter Geschaftsdaten zwischen Anwendungssystemen ist unter dem Namen EDJ82 (Electronic Data Interchange) schon seit Beginn der 70er bekannt und moglich. EDI konnte sich aber nicht im erhofften MaBe durchsetzen. Lediglich groBe bzw . potente Anwender konnten sich EDI leisten. ED! Projekte sind wegen der notwendigen Experten, Software und Leitungen (Value Added Networks) relativ zeitaufwendig und kostspielig. Kleinere Firmen setzen EDI fast immer nur dann ein, wenn es von einem verhandlungsstarken Kunden vorausgesetzt wird oder ein unabdingbares Kooperationserfordernis ist. Das "Internet" selbst stellt keine Alternative zu ED! dar , doch kann es als ED!Enabler dienen . Die Nutzung des Internets als Transportmedium kann und wird zwar zu einer Verbreitung des geschaftlichen elektronischen Dokumentaustausches flihren, stellt aber fur sich alleine noch keine neue Qualitat dar. Die einfachste Moglichkeit der Internet-Nutzung fur diesen Einsatzzweck besteht darin, EMails als kostengtinstiges Ubertragungsmedium fur textorientierte Nachrichten einzusetzen. Dies andert jedoch nichts am Prinzip der manuellen Datentibernahme -' und die Fehlerhaftigkeit ist bei einem copy & paste ebenfalls gegeben. Eine andere, vor allem fur kleinere Firmen praktikable und kostengtinstige, Realisierungsmoglichkeit elektronischen Datenaustausches ist es, bestehende Dateiformate, wie z. B. ASCII-Text, Datenbankformate wie MS-Access-Dateien oder Formate von Standardsoftwareprodukten zu verwenden. Diese Dateien werden via Internet ausgetauscht und konnen tiber einen eingeplanten Job in die operativen betriebswirtschaftlichen Systeme tibernommen werden . Dies ermoglicht schon ein EDI gemaB seiner Definition, weshalb man diese (einfache) Form des Datenaustausches auch als Internet-Elrl" bezeichnen kann. Beispielhafte Realisierungen daflir bietet Yahoo fur seine Shopbetreiber an. Dabei muss man die .Jclassischen" Nachteile wie Plattformabhangigkeit und aufwendige (algorithmisch orientierte) Schnittstellenprogrammierung in Kauf nehmen. Das Programmieren von Schnittstellen ist in der Praxis eine weitverbreitete und ungeliebte Tatigkeit, die dartiber hinaus ohnedies knappe und begehrte Personalressourcen bindet. Weiters sind Schnittstellen zu reinen Textformaten im betrieblichen Alltag fehleranfallig und wartungsintensiv". Die komfortabelste "einfache" Losung fur Internet-EDI be-
82
83 84
85
Oftmals wird EDIFACT als Synonym fur EDI verwendet, was nieht ganz richtig ist, da EDI allgemein fur den Austausch strukturierter Geschaftsdaten steht, wahrend EDIFACAT ein konkretes Austausehformat ist. Bei EDIFACT handelt es sieh urn einen von der UNO gesehaffenen internationalen und branchenlibergrei fenden Standard fur das Format von EDI Nachriehten. Im Untersehied dazu gibt es auch regionale und branehenspezifische Datenformate, wie das nieht mehr ilbliche SEDAS in der Konsumgliterindustrie des deutschsprachigen Raums und ANSI X.12 als EDIF ACT Pendant in Nordamerika. Der Datenaustausch soli ja automatisiert erfolgen. Internet EDI umfasst aber auch bestehende EDI-Systeme, wenn das Internet als kostenglinstiges Transportmedium verwendet wird. Flache Textdateien werden in der betrieblichen Praxis fast aussehlieBlich zur erstmaligen Ubernahme von Stamm - und Bewegungsdaten aus einem Altsystem verwendet wie z. B. das Batch-Input Format von SAP. Ftlr den laufenden Betrieb hingegen
7 XML - Die Lingua Franca des E-Business
197
steht darin, die Daten direkt im proprietaren Format des Inhouse-Systems auszutausehen. Mit minimalem Aufwand konnen so Transaktionen elektroniseh abgewiekelt werden . Yahoo bietet dazu beispielsweise die Form ate dreier gangiger nordamerikaniseh er PC-Warenwirtsehaftssysteme an. Dies funktioniert aber nur im Bereich kleiner und kleinster Untemehmen (KKU), die mit nur einem Geschaftspartner Daten austausehen und dieser Willens und in der Lage ist, Daten in einem solchen Format zu liefem. 1m Regelfall trifft man in betriebliehen ITLandsehaften Systeme mit komplexen individuellen Datenstrukturen an, die man nieht einfaeh fur den Datenaustauseh verwenden kann und es bestehen in der betriebliehen Praxis aueh wichtige Zusatzanforderungen" an eine EDI-Infrastruktur, die dureh ein simples Intemet-EDI nieht abgedeekt werden. In diesem professionelleren Bereich werden spezielle EDI-Datenformate und Servieedienstleister eingesetzt. Aber selbst wenn branchenunabhangige Datenformate wie UNIEDIFACT eingesetzt werden , erfordem diese vor dem Produktivbetrieb aufwendige individuelle Abspraehen. Der Grund dafur sind die eingeschrankte pragmatisehe und semantisehe Standardisierung aller EDI-Datenformate. Eine andere Moglichkeit, das Internet fur den Dokumentaustauseh zu nutzen, stellt das sogenannte Web-EDI dar. Ein (meist) kleiner Kommunikationspartner verwendet dazu einen simplen Web browser als (sieheren) Client zu fur ihn bestimmte EDI-Naehrichten. Die medienbruehlose Kommunikation gilt in diesem Falle jedoeh nur fur den "groBen" Kommunikationspartner, der seine Naehriehten wie gewohnt versehickt. Fur den .Jdeinen" Kommunikationspartner werden die EDI-Naehriehten dazu mittels layoutorientierter Auszeiehnungsspraehen (wie etwa xHTML und XML in Kombination mit Style Sheets) visualisiert'". Die Kommunikation (z. B. eine Auftragsbestatigung) funktioniert ahnlich, indem der Lieferant die Daten manuell in ein Webformular eingibt. Diese Daten gelangen so ebenfalls mit Hilfe des Intemets in das operative System des Kommunikations partners. Genaugenommen handelt es sieh hierbei urn kein EDI, da lediglieh einer der beiden Teilnehmer tiber eine automatisehe und medienbruehlose Kommunikation verfugt, Fur Web-EDI kann man entweder selbst einen entspreehenden Server" betreiben oder auf die Dienste eines Value Added Network Anbieters zurtiekgreifen. Web-EDI stellt eine Moglichkeit fur groBe Untemehmen dar, kleine Zulieferer zu integrieren, die nieht tiber die fur einen wirtsehaftliehen Betrieb einer Voll-EDI Losung notwendige eigene Transferrate an EDI Naehriehten verfugen, Typisehe Anwender solcher Losungen " sind Einzelhandelsketten. Ak-
86
87
88
89
werden herstellerspezifische Formate wie SAP iDoc, EDI-Normformate (EDIFACT und Subsets, ANSI X.12, ODETIE, etc.) und auch EDI-Freifonnate verwendet. Diese Zusatz anforderungen bestehen sowohl an die Infonnationstechnik (z. B. Datenclearing), Sicherheit als auch an die Organisation (z. B. Helpdesk) . Neben diesem Pull-Verfahren sind auch Push-Verfahren moglich; etwa via E-Mail (wie das Seeburger XMLmail) oder durch den serverseitigen Aufbau einer https-Verbindung (z. B. Yahoo-Store s). Z. B. TrustedLink von Peregrine Systems In anderen Branchen, wie z. B. der Automobilindustrie kann die primare strategische Ausrichtun g von EDI wieder anders Iiegen, z. B. in einer Reduktion der Fertigungstiefe
198
I Elemente einer Infrastruktur fUr E-Business
tuelle Web-EDI Losungen verwenden XML sowohl als Schnittstellenformat zu den operativen Anwendungen als auch als Datenformat zum Client. Zusatzlich untersttitzen solche Losungen wegen des Investitionsschutzes auch EDIFACT und andere gangige EDI Formate . Einen ahnlichen Einsatzbereich haben Losungen, die XML und XSL dazu verwenden, urn einem Geschaftspartner ausftillbare Dokumente per E-Mail zukommen zu lassen. Die Server-Software fur Web-EDI untersttitzt idealerweise die gangigsten EDI-Formate und deren Aufbereitung fur das Webpublishing. Zusatzliche Features sind das Versenden von Nachrichten als Mail-Formulare mittels HTML oder XML und auch Funktionalitaten zur Konvertierung in die Inhouse-Formate der verbreitetesten ERP-Systeme. Mittels ED! werden typischerweise aIle Dokumente ausgetauscht, die den physischen Materialfltissen vorausgehen, sie begleiten oder ihnen folgen. Dazu gehort auch die Beschaffungsseite. In diesem Zusammenhang stellt sich die Frage nach der Abgrenzung von EDI zu einem anderen Bereich des E-Business: EProcurement. Dieses unterscheidet sich wie Web-EDI von EDI darin, dass es nicht vollautomatisch ablauft, sondern menschlichen Zutuns bedarf. E-Procurement ist auf die beschaffungsseitigen Aufgaben gerichtet. 1m Unterschied zu ED! geht es bei E-Procurement9O aber urn die Beschaffung von C-Gtitern (bzw. von MROGutern'") durch den (menschlichen) Bedarfstrager selbst. Dies ist ein Bereich, in dem EDI tiblicherweise nicht in Frage kommt. Beschaffungsseitig wird EDI typischerweise im Bereich langfristiger Kunden-Lieferanten Beziehungen (bzw. auch organisationsintern) eingesetzt und hier tiblicherweise fur automatisch disponierte und bestandsgeftihrte Materialien und Transportbehalter. E-Procurement hingegen zielt auch auf ad-hoc Transaktionen auf horizontalen" elektronischen Marktplatzen abo Ein weiterer wesentlicher Unterschied ist, dass EProcurement nicht nur auf die Automatisierung bestehender Prozesse gerichtet ist, sondern im Sinne eines Business-Reengineerings die Ablauforganisation gezielt transformiert. Neben diesem organisatorisch internen Aspekt ist ein weiteres wesentliches Charakteristikum von E-Procurement Systemen, dass sie auch als Front-Ends zu elektronischen Marktplatzen eingesetzt werden. Vom Standpunkt der Informationstechnik aus gesehen handelt es sich bei E-Procurement und EDI urn ahnlich gelagerte Probiemstellungen und in beiden Anwendungsbereichen" findet XML als Schltisseltechnologie Einsatz. Der Unterschied zu EDI besteht
90
91
92
93
und Reduktion der Lieferantenanzahl. Aber auch in dieser Branche wird Web-EDI eingesetzt. Im Vergleich zu ED! stehen bei E-Procurement derzeit noch weniger strategische Uber legungen, sondem vor allem mittelfristig wirkende Kosteneffekte im Vordergrund. Maintenance, Repa ir and Operations (MRO) D. h. elektronische Marktplatze fur den Handel nicht wirtschaftszweigspezifischer Gurer und Dienstleistungen . Das Gegenteil sind vertikale (=branchenspezifische) Marktplatze, Dies gilt aber nicht nur fur EDI und E-Business Buy-Side Solutions, sondem auch fur Sell-Side Solutions und den elektronischen Marktplatzen zugrundeliegenden Anwendungssystemen .
7 XML - Die Lingua Franca des E-Business
199
darin, dass E-Procurement ein typisches Anwendungsgebiet fur Web-Servicef4 darstellt, in dem es auf eine Echtzeitkommunikation von Anwendungssystem zu Anwendungssystem bzw. von Anwendung ssystem zu elektronischem Marktplatz ankommt. Aus betriebswirtschaftlicher Sicht hingegen liegen zwei diametrale Koordinationsmechanismen zur kooperativen Leistungserstellung zugrunde, die einen wesentlichen Einfluss auf die Formulierung der E-Business Strategie haben. Eine Form der Koordination erfolgt durch mittel- bis langfristige Partnerschaften: Dem typischen Einsatzbereich von ED!. Eine andere Form der Koordination erfolgt durch Markte . In diesem Bereich finden sich kundenseitig E-Procurement Systeme und auf der Anbieterseite Software fur Marktplattformen'". In der Fachliteratur finden sich zahlreiche Beitrage, die untersuchen, welchen generellen Einfluss die Informationstechnik auf die Koordination der Leistungserstellung haben wird. Das Spektrum der Meinungen reicht dabei von Vertretem der "Move to the Market" Hyopthese bis hin zur "Move-to-the Middle" - Hypothese. In einem von T.W. Malone genannten "E-Lance Economy" Szenario geht dieser sogar so weit, dass Klein- und Kleinstuntemehmen als die dominierende Organisations form im postindustriellen Zeitalter gesehen werden. Auch wenn es sich dabei urn theoretische Modelle handelt und die Entwicklung von der jeweiligen betriebsindividuellen Situation abhangt, sind diese Szenarien dennoch der Ableitung der E-Business Strategie zweckdienlich. Die E-Business Strategie ist eng mit der ITStrategie verflochten und es gelten im E-Business vor allem fur KKUs andere Pramissen als in den restlichen betriebswirtschaftlichen Querschnittsfunktionen. FUr diese trifft oft der Grundsatz "A small business is not a little big business" aufgrund der qualitativen Merkmale (insbesonders die Begrenztheit an Ressourcen) von KKUs zu, doch im B2B ahnelt die Kornplexitat der Geschaftsprozesse und Logistik jener von GroBuntemehmen und dies wird durch die Moglichkeit zur Bildung temporarer und dynamischer Supply Chains zusatzlich komplexer. Wahrend GroBuntemehmen jedoch Iiber ausreichende Ressourcen verfugen, kann sich eine kleine Organisation keine "strategischen Projekte und Experimente" im Sinne eines Trial & Errors leisten. Eine sorgfaltige E-Business Strategieplanung ist daher notwendig, urn eine unerwunschte" technologische Lock-In Situation zu vermeiden. Diese grundsatzlichen strategischen Uberlegungen schlagen sich auch unmittelbar im Technologiemanagement fur E-Business nieder. Es stellt sich nicht so sehr die Frage, ob XML97 grundsatzlich eingesetzt wird, da XML als allgemeine Integrationstechnologie fur den inner- und zwischenbetrieblichen Bereich mittlerweile von allen Herstellem eingesetzt wird; so gesehen handelt es
94
95 96
97
FUreine umfassende Definition des Terminus "Web Service" vgl. http://www.stencilgroup .comlideas_scope_2001 06wsdefined .html (27. 6. 2001) Die Marktftihrer dieser Branche sind Ariba und Commerce One. Ein anderes Szenario, das es rechtzeitig zu berucksichtigen gilt, ist eine "winner takes all" Situation, die den Kooperationspartner mit einer unerwunscht groBen Verhandlungsmacht ausstatten kann. Hier geht es vielmehr urn die Entscheidung, ob eigenes Wissen aufgebaut oder bei Bedarf zugekauft werden soli.
200
I Elemente einer Infrastruktur fUr E-Business
sich bei XML tatsachlich urn die Lingua Franca des E-Business. Vielmehr gilt es Anbetracht der strategischen Bedeutung und der Ressourcenrestriktionen zu entscheiden, in welcher Form E-Business betrieben werden solI und welche Projekte ins Projektportfolio aufgenommen werden sollten. Unmittelbar damit hangen die verschiedensten Initiativen von Standardisierungsgremien, Unternehmensverbanden, Einzelunternehmen, Konsortien und Non-Profit Organisationen zusammen, die aIle XML und das Internet als Basistechnologien fur E-Business einsetzen und ihre jeweiligen Losungen als Standard durchsetzen mochten. Erwahnenswert sind in diesem Zusammenhang vor allem ebXMV8 (Electronic Business XML) und UDDf99 • Diesen Initiativen und Technologien ist gemeinsam, die technischen und organisatorischen Grundlagen fur ein offenes und interoperables EBusiness legen zu wollen. Damit ist gemeint, dass die zu schaffende Infrastrukur branchenunabhangig ist, nicht an einen konkreten elektronischen Marktplatz gebunden und auch herstellerneutral ausgelegt ist. Ein weitereres Ziel dieser Initiativen, im Unterschied zu auf konventionellem EDI basierenden (eher statischen) interorganisationalen Informationssystemen, besteht in der Ermoglichung von globalen Web Services als dem vorgeblichen Kernstiick allen zukiinftigen EBusiness. Die verschiedensten Produkte und Initiativen setzen dafur aIle auf XML als Integrationsplattform. Wenn es nach optimistischen Einschatzungen geht, werden auch die abschreckenden Projektgrolsen konventioneller EDI-Projekte schon bald der Vergangenheit angehoren. Ob mit diesen Technologien tatsachlich auch eine Anhebung der Bedeutung und eine Erhohung der Marktchancen kleiner und kleinster Unternehmen einhergehen wird, ist derzeit nicht absehbar. Ein vielzitiertes Szenario der weiteren E-Business Entwicklung ist der angekiindigte Paradigmenwechsel von (langfristigen) kooperativen Unternehmensnetzwerken hin zu ad-hoc Beziehungen. Diese kurzfristig anbahnbaren und mittelfristig andauernden Beziehungen stellen aber nicht (wie jetzt schon moglich) nur auf physische Giiterstrome ab, sondern auf die verteilte, temporare und kooperative Erstellung von Dienstleistungen in Unternehmensnetzwerken. Um solche webbasierte Dienstleistungen zu realisieren, bedarf es einer weitergehenden Unterstiitzung der einzelnen Phasen wirtschaftlicher Transaktionen: So ist es fur die Geschaftsanbahnung etwa notwendig, in (verteilten) Datenbanken Details uber die angebotenen Produkte und Dienstleistungen eines Unternehmens, logistische Details und Geschaftsusancen (Business Rules) recherchieren zu konnen. In dieser Informationsphase, die den eigentlichen Transaktionen von Giltern und Dienstleistungen vorausgeht, ist es auch notwenig, tiber die genauen technischen E-Business Fahigkeiten des potenziellen Partners Bescheid zu wissen. Diese Informationen sollen ebenfalls in Datenbanken abrufbar sein. Die dafur notwendigen Technologien fur E-Business gehen dabei tiber die bisher eingesetzten hinaus. Neben Austauschformaten, die die Semantik konventioneller EDI-Nachrichten umfassen, ist 98 99
Vgl. http://www.ebxml.org/ Universal Description, Discovery and Integration of Business for the Web, vgl. http://ww.uddLcom
7 XML - Die Lingua Franca des E-Business
201
es fur E-Business und E-Services auch notwendig, interoperable Workfows und Marktplatzfunktionalitaten, aber auch low-Level Details wie z. B. das Rollback zusammengesetzter Transaktionen'?' zu unterstiltzen. Vor allem in ebXML und UDDI sieht man die kon zeptionellen Rahmenwerke (Frameworks), ahnlich Protokollen, fur ein derartiges frikt ionsloses, globales (und noch fiktives) E-Business auf der ope rativen Basis von Web Services. Diese Initiativen erganzen sich teilweise und unterscheiden sich in Details der Ziel setzung. UDDI verfolgt einen zentralistischeren Ansatz und ist vor allem fur GroBuntemehmen und fur deren unuberschaubare Netze an Lieferanten und Kunden gedacht. 1m Gegensatz da zu steht ebXML, dessen erklarte Absicht die Schaffung eines globalen E-Business Marktplatzes ist, in dem Klein- und Mittelbetriebe und auch Entwicklungslander von E-Busine ss Technologien profitieren konnen lOl , 102. Abgesehen davon, ob die VerheiBungen eines globalen und friktionslosen E-Business Realitat werden oder nicht, stehen mit Web Services und den verschiedenen Interfaces die grundlegenden Technologien fur eine B2B Integration zur Verfligung. Die Bedeutung dieser Technologien ist mindestens der Bedeutung der ERP Systeme der 80er Jahre vergleichbar. 1m Unterschied dazu handelt es sich jedoch dabei urn Technologien, die aufgrund ihres Schnittstellencharakters'P' mittelbarer als ERP Systeme tiber die Kooperationsfahigkeit und dam it verbunden tiber die Wettbewerbsfahigkeit entscheiden konnen.
Literatur Alam (200 I), Hisham, Understanding Integration Strategies, in Enterprise Application Integration Journal, November 2001 Clark (1993) R., ED! Is But One Element of Electronic Commerce, in: http://www.anu.edu.au/people/Roger.ClarkeIEClBled93 .html Bosak (1997), John : XML, Java, and the Future of the Web, in: http://www.xml.com/pub/a/w3j/s3.bosak.html 100
101
102
103
1m Sinne einer, aus mehreren Komponenten bestehenden Transaktion, etwa einem Kauf mit einer damit verbundenen Finanzdienstleistung eines anderen Partners . Kommt beispielsweise die Finanzierung nicht zustande, soli auch der Kauf nicht wirksam werden. UDDI und ebXML sind keine konkurrierenden Technologien sondern erganzen sich. Die Zielsetzung von UDDI ist es, zu allen Web Service Interfaces (als solches kann auch ebXML gesehen werden) offen zu sein. Inwieweit es sich hierbei urn eine noble Oeste oder ein Wunschdenken handelt , sei dahingestellt. Der Autor vertritt die Ansicht, dass globale Ungleichgewichte nicht alleine durch Technolog ien als das Panacea tiberbrtickt werden konnen . Die gleiche Meinung gilt sinngemaf fur die "Information Divide" Diskussion. Es sei hier auf die Definition des Begriffes "E-Business" aus dem Kap. 1 verwiesen, in der auf die Gestaltung der AuBenbeziehungen als zentrales Merkmal abgestellt wird. Diese neuen Technologien haben aber auch direkte Auswirkungen auf das organisationsinterne Geschehen , was sich nicht zuletzt an den veranderten Projektrahmenbedingungen (personelle Zusammensetzung, Anforderungen, etc.) und einer Intensivierung der abteilungstibergreifenden Kommunikation zwischen Fachbereichen und mit extemen Know-How Tragern auBert.
202
I Elemente einer Infrastruktur fUr E-Business
Bosak (1999), John und Tim Bray : XML and the Second-Generation Web in: Scientific American, Mai 1999 KaplanIMohanbir (1999), Kaplan, S., Mohanbir, S., B2B E-Commerce Hubs: Towards a Taxonomy of Business Models, Veroffentlicht im Internet, in: http://gsbwww .uchicago.edu/fac/steven.kaplanlresearch/taxonomy.pdf Kubler (1999) , Jean, Capacity building for SMEs, developing and transition countries through Electronic Business and Internet? The UN/CEFACT and OASIS ebXML initiative, in: http://www.ebxmI.org/documents/contributions/unxmll.pdf Malone (1998), T.W., Laubacher, RJ ., The Dawn of the E-Lance Economy, Harvard Business Reviews, Sept./Okt. 1998, S. 145-149 Murata (2001), Makoto, Lee Dongwon , Mani, MuraliTaxonomy of XML Schema Languages Using Formal Language Theory, Presented at eXtreme Markup Language 2001, in: http://www.cobase.cs.ucla.edu/tech-docs/dongwonlmura0619.pdf Nelson (1981), Ted: Literary Machines, Swathmore 1981 Nielsen (1990), Jakob, Hypertext and Hypermedia, London 1990 Quirchmayr (1999), Gerald : Die Network Computing Architecture, in: Holler , Pils, Zlabinger (Hrsg), Internet und Intranet. Auf dem Weg zum Electronic Business, 2. Auflage, Verlag Springer, S. 36ff Roberts (1999),Michale J. und Shripriya Mahesh, Hotmail , Harvard Business School Case Study 899165, HBSP Smith (1999) M.D., Baily J., Brynjolfson, Understanding Digital Markets: Review and Assessment, July 1999 (Revised September 29, 1999), in: http ://ecommerce.mit.edu/ papers/ude/ude.pdf Van der List (2000), Eric, Using W3C XML Sschema, Onlinemagazin XML.com, http://www.xmI.com/lpt/a/2000/11I29/schemas/partl .html Van der List (2001), Eric Comparing XML Schema Languages, in: http ://www .xml.com/ pub/a/200 1/12/12/schemacompare.html Welsh (1980), J.A., White, J.F., A small business is not a little big business , Harvard Business Review 59, 1980, S. 18-32
Die zahlreichen Quellen aus dem WWW werden jeweils nur in den FuBnoten angegeben .
II Anwendungsbeispiele
1 Intranetanwendungen im Einkauf Robert Zlabinger Institut fur Datenverarbeitung, Johannes Kepler Universitiit Lin:
1.1 Warum Intranet? Intranetanwendungen haben sich aufgrund der vielfaltigen Vorteile durchgesetztdoch wie sieht die Situation im Einkauf aus? Zweifelsohne hat das rasante Vordringen des Intranet auf der Unternehmensebene viele Fachexperten iiberrascht. Betrachtet man die Probleme, die durch den Einsatz computergestiitzter Informationssysteme in mittleren und groberen Unternehmen entstanden sind, so versteht man Nutzen und Vorteile, die das Intranet bringen kann, besser. Damit ist das rasche Vordringen von Intranetanwendungen nicht mehr verwunderlich . 1.1.1 Problembereiche bestehender Informationssysteme im Einkauf von Produ ktionsunternehmen 1
1.1.1.1 Heterogene System- und Anwendungsplattformen
Die bestehenden Informationslandschaften in grolseren Produktionsunternehmen sind sehr vielfaltig und vor allem dadurch gekennzeichnet, dass unterschiedliche System- und Anwendungsplattformen zum Einsatz kommen. Die EDV-Unterstiitzung operativer Einkaufsaufgaben, wie z. B. die Bestellabwicklung, ist in der Regel als Modul einer integrierten betriebswirtschaftlichen Standardsoftware (z. B. Materialwirtschaftsmodul von SAP R/3) verwirklicht, die auf einem mittleren Rechnersystem (z. B. IBM AS/400) oder in einer Client-Server-Umgebung implementiert ist. In groberen Unternehmen gibt es zusatzlich Softwarelosungen fur spezielle Aufgaben im Einkauf und manchmal Workflow- und/oder Groupwareanwendungen. Groupware- und Workflowanwendungen setzen oft noch auf proprietaren LAN-Losungen auf, vereinzelt tauchen auch schon auf Internet-Standards basierende Losungen auf. Office-Anwendungen mit einer Fiille an Standardsoftware auf dem PC oder im LAN erganzen die groBe Vielfalt bestehender Betriebssystem- und Softwareplattformen. Derartige Informationslandschaften erfordern eine aufwendige Bedienung mehrerer Anwendungen mit unterschiedlichen I
Vgl. Ziabinger 1997, S. 147
206
II Anwendungsbeispiele
Oberflachen, was zusatzlichen Schulungsaufwand bedeutet. Die Verteilung von Informationen ist kostenintensiv, weiters ist die Aggregation und Aufbereitung der lnformationen aus unterschiedlichsten Quellen schwierig und aufwandig .
1.1.1.2 Starke Defizite bei Management Support Systemen im Einkauf
Wahrend die EDV-Durchdringung im Bereich administrativer Einkaufsaufgaben bereits sehr weit fortgeschritten ist, sieht die Situation fur die Unterstiitzungssysteme der Einkaufsleitung ganz anders aus. Sieht man von einfachen Berichtssystemen, die Z. B. auf Basis eines Berichtsmoduls im Rahmen einer integrierten betriebswirtschaftlichen Einkaufssoftware oder einer PC-Standardsoftware, wie Z. B. MS-Excel oder MS-Access, erstellt wurden, ab, so findet man Losungsansatze fur Management Support Systeme im Einkauf fast nur in sehr groBen Unternehmungen und in speziellen Branchen (z. B. Automobilindustrie) .
1.1.1.3 Heterogene Repriisentationsformen von Information (Digital/Papier/Gediichtnis)
Die groBe Vielfalt vorgefundener Losungen fuhrt zu unterschiedlichsten Datenformaten , die den Informationsaustausch erschweren . Vielfach sind Informationen in Papierform in einer Dokumentenablage und/oder in elektronischer Form in der EDV vorhanden. AuBerdem verwenden Mitarbeiter und Fuhrungskrafte viele zusatzliche Informationen, die in ihren Kopfen gespeichert und/oder in vollig unstrukturierter Form auf Papier (z. B. Post-it Notes) vorhanden sind. Informationen, die aus externen Quellen kommen, wie allgemeine Beschaffungsmarktinformationen oder Produktkataloge, sind meist entweder in Papierform in Ablagen, in Bookmarklisten aus dem Internet oder in den Kopfen der Mitarbeiter im Einkauf vorhanden . Die dadurch entstehenden Medienbrtiche fuhren zu einem Mehraufwand in der Abwicklung von Geschafts vorgangen im Einkauf, langere Durchlaufzeiten sind die Folge. Die Verteilung und Verwaltung von aktueller Informtion ist bei papiergebundenen Informationen immer ein Problem. Oft wird Information im "GieBkannenprinzip" verteilt, Zugriffs- und Ablageprobleme erschweren einen reibungslosen InformationsfIuss.
1.1.1.4 Proprietiire Client-Software ist kostenintensiv und wartungsaufwiindig
Client/Server-Losungen setzen oft auf proprietaren Netzwerken auf. Die ClientKomponenten sind an das entsprechende Betriebssystem anzupassen. Unterschiedliche Softwareversionen verursachen zusatzlichen Aufwand in Bezug auf ihre plattformspezifische Administration und Wartung.
1 Intranetanwendungen im Einkauf
207
1.1.1.5 EDI-Anwendungen fiir den iiberbetrieblichen Datenaustausch findet man nur in speziellen Branchen und in groBen Unternehmen Die Kommunikation mit wichtigen externen Partnern im Eink auf, wie z. B. Lieferanten, ist im Einkauf von besonderer Bedeutung. Hierbei ist festzustellen, dass heute bereits E-Mail zur Kommunikation mit Lieferanten intensiv genutzt wird, sie erganzt die personliche externe Kommunikation mit herkornmlichen Medien wie Telefon, Fax und Briefform. Allgemeine Standards, wie EDI (Electronic Data Interchange) kommen nur in spezi ellen Branchen und wiederum bei eher grolseren Unternehmen zur Anwendung.
1.1.1.6 Fehlende Einbindung geografisch entfernter Beschaffungsmarkte Das Beschaffungsmarketing gewinnt im Einkauf einen immer hoheren Stellenwert. Global Sourcing-Strategien und aktive Beschaffungswerbung sind fur welt weit tatige Unternehmen eine neue Herausforderung . Die bestehenden proprietaren EDV-Technologien , die in den Unternehmungen heute noch eingesetzt werden , machen es nur mit einem rie sigen Aufwand moglich, potenzielle Lieferanten in die bestehende technische Kommunikationsinfrastruktur einzubinden. Neue Ansatze mit einem Extranet konnen hier groBe Vorteile bringen.
1.1.2 Vorteile und Nutzenpotenziale von lntranetlosunqen Internet-Technologien bieten eine offene, einheitliche Kommunikationsinfrastruktur und Anwendungsplattform, unabhangig davon, ob es sich urn unternehmensinterne, unternehmenstibergreifende oder externe Anwendungen handelt. Die Vorteile sind vielfaltig, die wichtigsten werden hier nachfolgend aufgefilhrt: • • • • • •
Offene Standards (z.B. TCP/lP, HTTP, IIOP, ....) Plattforrnunabhangigkeit Skalierbarkeit (LAN-WAN Eignung) Interoperabilitat Leichtere Integrationsmoglichkeit multimedialer Daten ein universeller und einfacher Client, dadurch geringere Hardware-Voraussetzungen und somit niedrigere Anschaffungskosten (niedrige Lizenzkosten fUr Internet-Technologien) • in vielen Fallen niedrigere Schulungskosten (Browser als universeller Client bietet einheitliche Benutzeroberflache tiber aile Anwendungen) • Ford erung der user-pull-Mentalitat • Interaktivitat (starkere Betonung der Kommunikation- in den Anwendungen , dadurch verbesserte Kommunikation und Innovation)
2
Vgl. Zlabinger 1997, S. 150
208
II Anwendungsbeispiele
• dynami sche Interaktion von Arbeitsgruppen (effiziente Zu sammenarbeit im Teamwork) • Intr anetanwendungen haben wesentlich hohere ROI- Werte als vergleichbare Technologieinve stitionen. In einer interessanten Studi e der Intern ation al Data Corporation (IDC) 3 wurde versucht, die Rentabilitat eines erfolgreichen Intranetprojektes zu ermitteln. Der Lowenanteil der erzielten Einsparungen wurde vor allem durch ein gleichzeitiges Business Process Reengineering erzi elt. Neue Ablaufe mit weniger Vorgangen und ein durchgangiger Informationsfluss unter Einbezug der Lieferanten ohne Medienbrtiche fuhren zu groBen Einsparungen .' Es ist daher nicht verwunderlich , dass dem Intranetmarkt groBe Wach stumschancen eingeraumt werden .
1.2 Was ist ein Intranet? 1.2.1 Der Begriff Intranet
Unter einem Intranet wollen wir, wie in Abschn . I Kap. 2.3 bereits festgelegt, firmeninterne Netze verstehen , die Internet-Technologien verwenden. Weiters wurden zur Differenzierung zwischen Internet und Intranet neben den genannten technischen Kriterien weitere Gesich tspunkte, z. B. aufgabenspezifische, organisatorische und rechtliche Gesichtspunkte herausgearbeitet. Die Spannbreite einer Intranetlosung reich t von einfachen abteilungsspezifischen Losungen als Intra-Web, die aus einem Web-Browser am Client und aus einem Web Server, der Web-Dokumente verwaltet , bestehen, bis zu weltum spannenden Losungen in einem Virtual Private Network mit ent sprechenden Siche rheitssystemen (Firewalls und Tunneling-Verfahren). "Die physikalische Architektur des Intranet schlieBt die Gesamtheit der unternehmensinternen Netzwerke ein. Aile Teilnetze, von der Unternehmenszentrale tiber Geschaftsstellen und Telearbeitern, bis hin zu Weitverkehrsverbindungen, werden im Rahmen des Intranet zu einem virtuellen Gesamtnetz integriert.'" Dabei reichen die Anwendungskonzepte fur das Intranet vom klassischen Web Publishing tiber die Einbindung bestehender betrieblicher Informationssysteme durch Datenbankzugriffe bis zur Einbettung vollstandiger Applikationen (z. B. mit Java erstellt) und komplexen Groupware- und Workflowanwendungen.
3 4
5
VgI. Campell 1996, S. 1 Konzepte , die auch die Informationsflussc mit Liefer anten , Kunden oder ande ren externen Partnern auf Basis von Internet -Techn ologien einbe ziehen , fasst man unter dem Begriff Extranet zusammen (vgI. Abschn itt T, Kap . 1.3). Kyas1997,S.45
209
1 Intranetanwendungen im Einkauf
1.2.2 Elemente eines Intranet
.
Leitung zum Intemetprovider
WWW-Server Catalog Server (Search Engines) Public-Key/Security-Server Proxy-Server Directory Server Mail-Server News-Server Applikationsserver
~
.
M"~oJV;dOO)
Intranet-Clients (PCs , Terminals, Netzwerkcomputer)
Intranet
Router
Intranet Datenbankgateway
IntranetFirewall
TelearbeitAuBendienst Mainframe
Intranet-Server mit Zugangsbeschrankung (Private Intranet Server)
Abb. II-I.I Intranet-Elemente''
Ausgehend von zentralen Funktionseinheiten fur Benutzer, wie z. B. Informationsverteilung, Informationssuche, Kommunikation, Applikationszugriff und Verwaltungsfunktionen wie z. B. Sicherheit, Replikation, Management und Verzeichnisdienste, sollen die wichtigen Elemente bzw. Komponenten einer Intranetlosung dargestellt werden. 6
Kyas 1997, S. 48
210
II Anwendungsbeispiele
Neben den schon aus dem Internet bekannten Kommunikationsdiensten wie WWW-Server, Mail-S erv er, FTP-Server und News-Server (siehe Abb. II-I .I) sind spezielle Applikationsserver und Public-Key/Security-Server erwahnenswert. Auf der Client-Seite konnen so wie im Internet diese Dienste mit einem WWWBrowser in Anspruch genommen werden . Intranet-Losungen beschranken sich nicht nur auf die Anwendung klassischer Internet-Technologien. Beginnt man heute mit dem Aufbau von Intranets, so stellt sich sehr bald die Frage , wie man die Vielfalt an bereits vorhandenen Inforrnationssystemen in die Intranet-Architektur einbindet. Der GroBteil der bestehenden betrieblichen lnformationssysteme in mittleren und grolseren Unternehmen baut auf relationalen Daten banken auf. Die Anbindung dieser Datenbanken erfolgt tiber Intranet-Datenbank-Gateways. Verschiedene standardisierte Verfahren bieten sich hierzu an, z. B. Anbindung mit CGI , durch Server Side Inc ludes oder IDBC . "Uber die CGI-Schnittstelle (Common Gateway Interface) konnen tiber Hypertext-Links beliebige Programme auf dem Web-Server aufgerufen werden, die als Ergebnis ihrer Ausfilhrung ein fertiges HTML-Dokument zurtickliefern . Ahnlich funktioniert die Integration von Anwendungen tiber die API -Schnittstelle (Application Programming Interface) des Web-Servers."? Eine andere Form der Einbindung sind sog enannte Intranet-Host-Gateways. .Jst kein TCP/IP auf dem Host vorha nden , bedient man sich eines Gateway-Rechners, der auf der einen Seite ein Terminal em ulieren kann und auf der anderen Seite eine TCP/IP-Schnittstelle ins LAN aufweist. Die genannten Gateways sind auch notig, wenn der GroBrechner bereits tiber TCP/IP und ein Basis-Anwendungsprotokoll, in der Regel ftp , verfugt. TCP/IP und dessen Anwendungen auf dem GroBrechner sind noch immer sehr kostspielig . Bei einer ftp-Anbindung ist zwar die Ubertragung von Dateien ohne weiteres moglich, die Dialogkomponente, also die Terminalemulation , muss jedoch weiterhin tiber die proprietare Schnittstelle realisiert werden . Einige GroBrechner-Betriebssysteme bieten aber auch die Terminalemulation auf TCP/IP- Basis ." 8 Weitere zentrale Elemente in einer Intranetarchitektur sind die Internet-Firewallsysteme als Sicherheitssystem zwischen internen und externen Ressourcen. Im Abschnitt III, Kap . 2.2.5 .2 wird ausfilhrlich auf das wichtige Thema Firewall eingegangen, daher solI an dieser Stelle diese Thematik nicht naher erlautert werden . Abb . II-I .I zeigt den schematischen Aufbau der Elemente eines Intranet. In groferen Unternehmen sind bereits heute anspruchsvolle Kommunikationsdienste wie Internet-Telefonie und Videoconferencing im Einsatz. GroBe Unternehmen (z. B. Siemens) verftigen im Intranet tiber eigene Netzinfrastrukturen mit entsprechender Bandbreite. Dadurch sind diese neuen anspruchsvollen Dienste in weltweit verteilten Infrastrukturen sinnvoll anwendbar, Telefonkosten konnen eingespart werden.
7
8
Perez et al 1998, S. 60 Schatzler/Eilingsfeld 1997, S. 261
1 Intranetanwendungen im Einkauf
211
1.3 Anwend ungskonzepte Grundsatzlich sind viele Anwendungen und Einsatzfelder fur Intranetlosungen denkbar. Zum leichteren Verstandnis wollen wir die vielfaltigen Anwendungen in vier wichtige Applikation stypen zusammenfassen und erlautern: • • • •
Web-Publishing Data Warehousing Kommunikation und Kooperation Workflow-Anwendungen
1.3.1 Web-Publishing Unter Publishing solI die Veroffentlichung von Informationen verstanden werden. Dabei erfolgt die Verarbeitung und Verwaltung von Dokumenten im HTML-Format. Publishing ist aus dem Internet bekannt, spricht aber im Intranet andere Zielgruppen und Anwenderkreise an. 1m Intranet werden im Gegensatz zum Internet firmeninterne Publikationen (z. B. Unternehmenszeitung), Organisationsdiagramme, Selbstdarstellungen der Geschaftsbereiche, Who is Who, Listen von Ansprechpartnern, Telefonverzeichnisse, Fax- und E-Mail-Adressen der Mitarbeiter, Handbucher, technische Dokumente, Fahrplane, Seminarkataloge und Veranstaltungskalender publiziert. Diese Dokumente und Unterlagen, die einen breiteren Anwenderkreis ansprechen sollen, wurden bisher umstandlich und schwerfallig mit traditionellen Medien verteilt. ("GieBkannenprinzip") Nun ist es moglich, diese Information auf Abruf nach dem .Pull-Prinzip" zu organisieren. Mitarbeiter konnen sich mit Informationen selbst versorgen, indem sie sie bei Bedarf mit einem Browser abrufen . Dieses Paradigma ist der Gegensatz zum GieBkannenprinzip ("Information fur aile Falle"). Dieses neue Prinzip wird zu organisatorischen Veranderungen, zu einer neuen Informationskultur fuhren. Dabei ist zu beachten, dass die Verwaltung und Pflege der Inhalte, aber auch die Inforrnationsrecherche sehr aufwandig werden konnen, vor allem dann, wenn die Planung, Implementierung und Wartung derartiger Systeme nicht sorgfaltig (z. B. ohne Projektplanung) und undiszipliniert (z. B. keine klare Regelung von Zustandigkeiten) durchgefuhrt wird. 1.3.2 Data Warehousing Data Warehousing ist allgemein gesprochen ein Konzept, Informationen aus unterschiedlichsten, meist heterogenen Informationssystemen zusammenzufUhren und entsprechend aufzubereiten. Es beinhaltet auch eine Form des Web-Publishing, der Schwerpunkt liegt bei Data Warehousing aber im Bereich des Zugriffs auf Informationen, die sich in unterschiedlichsten Systemen und Plattformen befinden . Besonders fur Management Support Systeme im Einkauf ist der Zugriff
212
II Anwendungsbeispiele
auf erfolgskritische Daten aus unternehmensinternen und -externen Quellen ein wesentlicher Grundbaustein. Fur derartige Systeme bietet das Intranet eine ideale Integrationsplattform. 1m Gegensatz zum Web-Publishing liegt der GroBteil dieser Informationen nicht im HTML-Format vor, es ware auch nicht sinnvoll, diese riesigen Datenmengen im HTML-Format abzuspeichern, vielmehr werden Informationen dieser Art durch spezielle Mechanismen dynamisch aus den proprietaren Informationsquellen erzeugt und fur einen universellen Client darstellbar gemacht. Der Web Browser am Arbeitsplatz tibernimmt die Prasentation der Daten in einer grafischen Oberflache, Besonders interessant sind Softwareprodukte, die Webanbindungen an OLAP-Server ermoglichen. OLAP-Server steIlen fur die Datenaufbereitung und Datenhaltung in multidimensionalen Datenbanken besondere Techniken bereit.? 1.3.3 Kommunikation und Groupware
Kommunikation und kooperatives Arbeiten sind ein zentraler Punkt in der Arbeit eines Einkaufsleiters.'? Groupware ist kein neuer Begriff in der EDV. Mit dem Intranet werden neue Nutzungspotenziale fur derartige Anwendungsformen erschlossen. Groupwareanwendungen sind integrierte Softwareanwendungen, auf deren Basis computergestlitzte Teamarbeit ermoglicht wird. Damit solI eine effiziente Zusammenarbeit zwischen Mitarbeitern, Abteilungen und Arbeitsgruppen ermoglicht werden . Wichtige Funktionsbereiche sind dabei Kommunikation, Kollaboration und Koordination . Technische Basiselemente eines jeden Groupwaresystems sind ein Messagingsystem zum Versenden von Nachrichten und zur Abwicklung von Diskussionen und ein Dokumentenserver mit speziellen Fahigkeiten (z. B. Replikation). Anwendungen dieser Art waren bisher nur mit Hilfe aufwandiger proprietarer Losungen (z. B. Lotus Notes) mit eigens daflir entwickelten Protokollen und Dateiformaten realisierbar. Fur Internet- und Intranetanwendungen gibt es heute auf Basis vorhandener Kommunikationsdienste (z. B. Internet News) und entsprechender Erweiterungen (Funktionen fur die Verschltisselung und Authentifikation, Terminkalenderanwendungen fur Arbeitsgruppen, Dokument-Sharing-Applikationen, Replikationsfunktionen) vollstandige, auf offenen Standards basierende Groupwarelosungen, Strub zeigt fur Groupwareanwendungen neue Wege der Zusammenarbeit fur den Einkauf innerhalb und tiber Unternehmens grenzen hinweg fur verschiedenste Aufgaben auf. I I
9 10
11
OLAP ist eine Abktirzung fur On-Line Analytical Processing. OLAP-Regeln wurden von Codd aufgestellt. Vgl. CoddlCoddlSalley 1993 Vgl. Ziabinger 1997, S. 155 Vgl. Strub 1999, S. 81
1 Intranetanwendungen im Einkauf
213
1.3.4 Workflow-Anwendungen
Der Workflow soli als die Gesamtheit der Ubergangsregeln, die die Aktivitaten innerhalb eines Geschaftsprozesses steuern, verstanden werden. Auch fur Workflowanw endungen ist das Intranet eine interessante Plattform, weil damit auf durchgangige kompatible Datenformat- und Transportmechanismen aufgesetzt werden kann. Workflow-Anwendungen stehen in engem Bezug zu Business Process Reengineering Projekten im Einkauf. Die grundsatzliche Analyse der wichtigen Geschaftsprozesse und falls notwendig die Modifikation der Einkaufsprozesse im Einkauf, sind meist der Ausgangspunkt fur Workflow-Anwendungen im Einkauf. Aus der permanenten Optimierung dieser Ablaufe und der Integration von externen und internen Informationsfltissen im Intranet lassen sich groBe Einsparungen erzielen (vgI. dazu das Fallbeispiel in Kap. 2.3).
1.4 Fallbeispiel Siemens AG: Intranetanwendungen im Einkauf - Weltweiter Informationsaustausch der Einkaufsabteilungen im Siemens Konzernv Diese Fallstudie zeigt interessante Anwendungskonzepte fur Web-Publishing, Data Warehousing und ein Konzept fur E-Procurement auf. Die Siemens AG ist ein groBer, weltweit tatiger Konzern und erzielte im Geschaftsjahr 1998/99 einen Jahresumsatz von 134 Mrd. DM. Siemens beschaftigte in diesem Zeitraum weltweit 440.000 Mitarbeiter. 1.4.1 Die Siemens Einkaufsorganisation
Das Einkaufsvolumen der Siemens AG betrug im Geschaftsjahr 1998/99 insgesamt 68,7 Mrd. OM, dies entspricht rund 51 % vom Verkaufsums atz. Ftir dieses Einkaufsvolumen sind im Haus Siemens rund 3500 Mitarbeiter in tiber 600 Einkaufsabteilungen weltweit tatig. Die Einkaufsabteilungen, die sogenannten Bereichseinkaufe, sind dezentral organisiert. Das Tatigkeitsfeld dieser Abteilungen ist hauptsachlich der operative sowie strategische Einkauf fur die 16 operativen Geschaftseinheiten des Konzerns. 12
Die Inhalte der folgenden Ausfiihrungen stammen aus einem Vortrag zum Thema "Globales Einkaufs-Informations- und Kommun ikations-System tiber Intranet und Internet am Beispiel der Siemens AG", gehalten von Herrn Dipl.-Wirtschaftsing. Berr-Sorokin auf der Konferenz Internet- und Intranet im Einkauf am 4. Februar 1997 in Frankfurt, sowie aus einem Meeting, das anlasslich eines Besuches des Autors beim Zentraleinkauf der Siemens AG in Munchen gemeinsam mit Herrn Dipl.-Wirtschaftsing. Berr-Sorokin und Herrn Thorsten Scholver am 29. April 1997 stattgefunden hat. Irn Dezember 1998 wurden die Daten zur Fallstudie nochmal s aktualis iert. Herr Matthias Krause hat dazu speziell im Kap. 1.4.4 die Aktualisierung vorgenommen .
214
II Anwendungsbeispiele
Der Zentraleinkauf ist organisatorisch in der Zentralstelle Einkauf und Logistik (EL) eingebettet, urn konzernweite Synergiepotenziale auszuschopfen. Fi.ir die Durchflihrung der konzernweiten Einkaufsaktivitaten ist ein Global-ProcurementOffice (GPO) zustandig. Es ist ein von EL geflihrtes Projektteam, in das Mitarbeiter von den Bereichen, Regionen und EL delegiert werden . Das GPO stellt unter anderem die benotigte Infrastruktur fur die konzernweiten Einkaufsaktivitaten bereit. Die weltweit operierende Einkaufsorganisation ist in allen wichtigen Beschaffungsmarkten vertreten. Dartiber hinaus gehort zur EL die global agierende Siemens Procurement und Logistik Services, kurz SPLS. Die SPLS erbringt weltweit Einkaufs- und Logistikdienstleistungen im Konzern. 1.4.2 Das Global-Procurement-Web (GPW)
Der Informationsaustausch der verschiedenen Einkaufsabteilungen ist liuBerst komplex und gekennzeichnet durch eine Vielzahl von Informationen, die ausgetauscht werden mi.issen. Vor der neuen Losung mussten diese Informationen in Papierform verteilt werden . Das verursachte hohe Kosten, die Existenz von bestimmten Informationen (z. B. Rahmenvertrage) war oft nicht bekannt und die Suche nach speziellen Informationen war sehr zeitaufwandig, Das Global-Procurement-Web ist eine Intranetlosung, ein Knowledgepool fur Siemens Einkaufsabteilungen. Die neue Losung gewahrleistet Einkaufern der Bereiche und Regionen via Intranet weltweit Zugriff auf einkaufsrelevante Informationen, die sowohl fur strategische Uberlegungen, als auch fur das tagliche Geschaft hilfreich sind. Grunde fur den Einsatz der WWW-Technologie bei Siemens waren vor aHem • • • • • •
sehr geringe Lizenzkosten der Clientsoftware, geringe Hardware-Voraussetzungen (Client), ein geringer Installationsaufwand, konzemweite Verftigbarkeit, Plattformunabhangigkeit, bewahrte Technik aus dem Internet.
Die Funktionalitat des Global-Procurement-Web beinhaltet die bekannten Technologien aus dem Internet, zum Einsatz kommen WWW-Server, Diskussionsforen, E-Mail Service, Suchmaschinen, Datenbankanwendungen und Moglichkeiten fur den Download. Das Global-Procurement-Web wird auf einer Multiprozessor-Maschine unter Windows NT mit einem Microsoft Intemet-InformationServer betrieben . Anfang 1996 wurde mit dem Aufbau des Systems begonnen . Nach drei Monaten begann man mit der internen Bekanntmachung des Systems durch Vorstellung in den dezentralen Einkaufen, durch Rundschreiben und durch einen Artikel in der intemen Zeitung (Siemens-Welt) . Ein Erfolgsfaktor war zweifelsohne, dass es gelang, schnell ni.itzliche Informationen fur die Einkaufer in das System einzubringen. 1m Global-Procurement-Web sind ca. 10 000 Dokumente hinterIegt.
1 Intranetanwendungen im Einkauf
215
Folgende fachliche Inhalte werden im Global-Procurement-Web themati siert: Global Sourcing, Marktlibersichten Btindelungsinformationen Reporting, Controlling, Kennzahlen Rechtsfragen und Standardvertrage Weiterbildungsangebote Einkaufsrelevante Informationen aus dem Internet Einkaufsorganisation, Arbeitsplane Informationen der Bereiche und Regionen etc. Auch die Bereichseinkaufe stell en Informationen in dieses System, z. B. zum Thema Einkaufsvereinbarungen. Damit ist es gelungen, eine Informationsdrehscheibe unter den Einkaufern in Schwung zu bringen . Ftir das Global-Procurement-Web gibt es ein wichtiges Gremium, den GPW Nutzerkreis. Dort konnen Bereichsvertreter hinsichtlich Funktionalitat, Inhalte und kontinuierlicher Verbesserungen des Systems Anregungen geben. Damit wird die Kommunikation zu den Anwendern gefordert, Nutzenpotenziale konnen besser herausgearbeitet werden .
1.4.3 Das Einkaufs-Informations-System (EIS) Bereits 1970 wurde auf BS2000 Rechnern ein proprietares Einkaufsinformationssystem konzipiert. Bei der Neuentwicklung auf der Basis eines Intranetkonzeptes wurden im Rahmen eines kompletten Reengineerings folgende Zielsetzungen definiert: • • • •
Internationalitat Verbesserung der Datenqualitat Erhohung der Datenaktualitat Erhohung der Benutzerfreundlichkeit
Die Internationalitat konnte durch die Einbindung internationaIer Standorte erreicht werden. Weiters steht jetzt ein System mit variabler Wahrung und Sprache zur Verfligung. Die Datenqualitat wurde durch den Zukauf von Wirtschaftsinformationen und der Neuorganisation des Dateninputs verbessert. Die Datenaktualitat erhoht sich durch die monatliche bzw. vierteljahrliche Aktualisierung der Geschaftsdaten. Manuell gepflegte Daten sind tagesaktuell. Die Benutzerfreundlichkeit konnte durch grafische Benutzeroberflachen, WWW-Technologie und flexible Auswertungsmoglichkeiten verbessert werden . Das neue Einkaufs-Informations-System bringt folgende Vorteile: • Transparenz tiber das konzernweite Einkaufsgeschehen • Starkung der Verhandlungsmacht gegentiber Geschaftspartnern • Kostensenkung durch Nutzung von Synergiepotenzialen
216
II Anwendungsbeispiele
Das Einkaufsinformationssystem beantwortet vier wichtige Fragen : • • • •
Wer kauft ? (Siemens Einkaufs abteilungen) Was wird eingekauft? (Einkaufsschlu sselnummern) Bei wem? (Lieferant) Fur wieviel? (Eink aufsvolumen)
Zusatzlich werden Einkaufs-, Qualit atssicherungs-, Bonusvereinbarungen, Konditionen, QS-Beurteilungen, NE-Metallnotierungen und Einkauferdaten abgespeichert. Die Daten kommen aus 300 Vorv erfahren (z. B. SAP R/3) . Diese liefern die operativen Geschaftsdaten aus dem Einkauf. Dieser Umstand erhoht die Komplcxitat dramatisch . Die Materialien werden mit Einkaufsschltisselnummern klassifiziert. Da es in den Vorverfahren keine einheitlichen Licferantennummern gibt , findet eine eindeutige Identifizierung tiber die Stammdaten wie Firrnenname, Adresse, Telefon, etc. statt. Zusatzlich werden Wirtschaftsinformationen, z. B. Umsatzdaten, Anzahl Mitarbeiter, zugekauft. Eine zusatzliche manuelle Datenpflege ist bei Einkaufsvereinbarungen und Bonusvereinbarungen notwendig. Das Eink aufs -Informations-System eElS) wurde technisch wie folgt realisiert: • • • • •
Sun Enterprise Center 5000 Oracle-Datenbank mit WWW-Anwendung am Client Dynamische Abfragesystematik mehr-dimensionaler Datenwtirfel 10 GB Datenvolumen
Nachfolgend noch einiges zu den EIS-Dateninhalten : 270 .000 1.200 400 3.000 1.200 950 3600 1600 9000
Lieferanten Organisationseinheiten Regionen Einkaufer Einkaufsvereinbarungen QS-Vereinbarungen QS-Beurteilungen Einkaufs-Schl tissel-Nummern Lieferantenbewertungen
Ftir die fachliche Definition der Anforderungen benotigte man etwa ein halbes Jahr , die techni sche Umsetzung konnte in einem dreiviertel Jahr bewaltigt werden, derzeit werden die Daten in das System eingebunden. Die Migration der Deutsch land-, Europa-, USA- und Asien-Daten wird schrittweise vollzogcn.
1.4.4 Siemens Procurement Network Gatecenter (SPN-GC) Das Siemens Procurement Network Gatecenter ist das internetbasierte Medium, mit dem das Einkaufs-Nctzwcrk der Sicmens-Bcreiche und -Regionen ab Anfang
1 Intranetanwendungen im Einkauf
217
des Geschaftsjahres 2000/2001 die Kernprozesse des Einkaufs mit seinen Lieferanten und Partnern abwickeln wird . Den Lieferanten, Geschaftspartnern und Mitarbeitern wird ein gemeinsames, elektroni sches Portal zur virtuellen SiemensEinkaufswelt zur Verfiigung stehen. SPN-GC bildet dieses Portal ab und ist die Kommunikations- und Informationsplattform fur aIle Beteiligten. Sowohl siemenseigene Beschaffungsprozesse als auch die Prozesse der Lieferanten und Partner werden so optimal unterstiitzt. Das SPN-GC-Konzept beinhaltet die elektronische, medienbruchfreie Abwicklung des gesamten Beschaffungsprozesses, in erster Linie auf Basis der WWW-Technologie. Ziel von SPN-GC ist eine deutliche Produktivitatserhohung im Einkauf durch : • • •
Schaffung eines innovativen Beschaffungsmarketings Effizienzsteigerung in der Beschaffungslogistik Unterstiitzung von Unternehmens- und Einkaufsstrategien
Die Gesamtheit des elektronischen Beschaffungsprozesses umfas st die Anbahnungs-, Vereinbarungs- und Abwicklungsphase und wird von SPN-GC in die zwei genannten Hauptbestandteile, Beschaffungsmarketing und Beschaffungslogistik eingeteilt. Ersteres beschreibt eine Optimierung der Informationsgewinnung, -verarbeitung und -verteilung durch Nutzung des Internet und Siemens-Intranet. 1m Rahmen eines einheitlichen Siemens-Auftritts gegeniiber seinen bestehenden und potenziellen Lieferanten (via Internet) sind die Schaffung eines einheitlichen Lieferantenauskunftsystems (selbstgepflegtes Unternehmensprofil), die Darstellung der Siemens-spezifischen Produktkataloge der Lieferanten sowie ein Angebotsund Ausschreibungsmodul vorgesehen . Fiir eine konzernweit einheitliche Lieferantenselbstauskunft, vorrangig nicht nur fur Siemens- Vorzugslieferanten, bietet sich die Infrastruktur des Internets an. Die Lieferanten bekommen via Kennung und Passwort Zugang zur spezifischen Eingabemaske und konnen iiber das Internet aIle Informationen eingeben und jederzeit aktualisieren. Die dadurch gewonnenen Informationen stehen dem Einkauf zur Verfiigung. Die Vorteile, die sich daraus ergeben sind: • • • •
Einheitliche, bereichsiibergreifende Lieferantenselbstauskunft Vergleichbarkeit der Lieferanten Stetige Aktualisierung durch Lieferanten Zentrale Datenhaltung mit leistungsfahigen Suchfunktionen
Die Ausgabe der Lieferantendaten erfolgt entweder in Kurzform in alphabetischer bzw. chronologischer Reihenfolge, eventuell durch Suchkriterien eingeschrankt, oder als VoIlausgabe. Hierbei findet eine Anbindung an bestehende Lieferantenbewertungs-Tools, das Einkaufs-Informations-System (EIS) sowie an Warenwirtschaftssysteme (SAP) statt. Das Angebots- und Ausschreibungsmodul errnoglicht es den Einkaufsabteilungen des Konzerns, ihren aktuellen Bedarf kurzfristig auszuschreiben sowie den Lieferanten im Gegenzug kurzfristig ihre Angebote online zu iibermitteln.
218
II Anwendungsbeispiele
Insbesondere fur die Suche und Beurteilung von aktuellen Marktdaten fur die Beschaffung von A- und B-GUtern sowie zur UnterstUtzung des Global Sourcing durch den strategischen Einkauf birgt die Nutzung der WWW-Technologie ein erhebliches Potenzial. Unter einer Effizienzsteigerung der Beschaffungslogistik wird eine Optimierung des Beschaffungsprozesses durch weitestgehende Standardisierung und Automatisierung der Einzelschritte verstanden. Insbesondere bei der Beschaffung von Waren und Dienstleistungen geringeren Wertes (C-GUter) unterstutzt der Einsatz elektronischer Medien wie Internet die Senkung der bisher hohen Prozesskosten. Der Verzicht auf mehrfache, manuelle Datcncingaben und teils manuelle Versendung und Bearbeitung von Anfragen, Bestellungen, Bestellanderungen und -bestatigungen sowie auf Rechnungen und Zahlungen fuhrt zu erheblichen Transaktionskosten-Einsparungen. Dieser Umstellungsprozess steht in engem Zusarnmenhang mit einer notwendigen Reorganisation und Straffung bisheriger Prozesse im Unternehmen, was v.a. den logistischen Teil des SPN-GC-Ansatzes zu eine r echten Herausforderung werden lasst, Im Sinne von 'One Face to the Supplier' wird fur den dezentral organisierten Einkauf der Siemens AG konzernweite Transparenz geschaffen - Ubergreifend vom Fertigungsmaterial bis hin zu Sach- und Dienstleistungen. Das Siemens Procurement Network Gatecenter wird noch im Laufe des Geschaftsjahres 200012001 zu einem Buy-Side-Marktplatz weiterentwickelt.
1.5 SchIussbetrachtun9 Die Ausarbeitung zeigte Intranetanwendungen im Einkauf auf. Vor dem Hintergrund der Problembereiche bestehender lnformationssysteme im Einkauf von Produktionsunternehmen wurden die Vorteile und Nutzenpotenziale von Intranetlosungen herausgearbeitet. Besonders solI auf die im Vergleich zu herkommlichen Tcchnologieinvcstitionen hohen ROI-Werte hingewiesen werden . Das Fallbeispiel der Siemens AG aus der Praxis veranschaulicht die Anwendungskonzepte fur Intranet im Einkauf. FUr die Implementierung einer Intranetlosung empfiehlt sich ein schrittweises Vorgehen. In Abhangigkeit der Komplexitat von Intranetfunktionen beginnt man meist mit Grundlagen und Publishing, also der Einfuhrung von WWW-Technologien . Im nachsten Schritt kann der Datenbankzugriff auf unternehmensinterne Informationssysteme und eine eventuelle Unternehmensanbindung an das offentliche Internet in Angriff genommen werden. Erst in den folgenden Phasen beginnt man mit Groupwareanwendungen und der weiteren Integration der Unternehmensanwendungen bzw . der Ablosung bestehender Anwendungen durch neue Applikationen auf Basis offener Standards und Architekturen . Daruberhinaus gilt es auch die Intranetlosungen von Lieferanten oder Kunden zu Extranetlosungen zu erweitern. Durch die Hinzunahme neuer Funktionalitat steigt die Komplexitat von Intranetprojekten sehr schnell an, diese sind damit
1 Intranetanwendungen im Einkauf
219
grolseren EDV-Projekten gieichzustell en. Einer soliden Planung und einem professionellen Projektmanagement kommt dabei herausragende Bedeutung zu.
Literatur Campell (1996), Ian, The Intranet, Slashing the Cost of Business, Internat ional Data Corporation, Framingham 1996 Codd/Codd/Salley (1993) , Codd, E.F., S. B. Codd und C.T. Salley , Providing OLAP (OnLine Analytical Processing) to User-Analysts: An IT Mandate, Codd & Date Inc., 1993 Droge (1997), Michael , Intranet, Einsatzmoglichkeiten, Planung, Fallstudien, Koln 1997 Hamm (1997) , Volker, Informati onstechnik-basierte Referenzprozesse: Eine Technik zur prozessorien tierten Gestaltung des industriellen Einkaufs, Dissertation, TU Bergak ademie Freiberg, 1997 Kyas (1997), Othmar, Corporate Intranets, Bonn 1997 Perez et al (1998), Perez, Mario, Alexander Hildenbrand , Bernd Matzke und Peter Zencke, Geschaftspro zesse im Internet mit SAP R/3 : Chanc e zur Neug estaltung betriebswirtschaftlicher Informationswege, Bonn 1998 Schatzler/Ei lingsfeld (1997), Schat zler, Daniel und Fabian Eiling sfeld, Intranets : firmeninterne Informationssysteme mit Internett echnologie, Heidelberg 1997 Strub (1999), Manfred, Der Einkaufsprozess und sein Internet-/Intranet-Potential, in: Strub, Manfred (Hrsg.), Der Internet-Guide fur Einkaufs- und Beschaffungsmanager, LandsberglLech, 1999 Zlab inger (1997), Robe rt, Intranetanwendungen im Einkauf, in: Holler/Pil s/Zl abin ger (Hrsg.), Internet und Intran et: Betri ebli che Anwendungen und Auswirkungen 1997
2 E-Procurement Robert Zlabinger Institut fur Datenverarbeitung, Johannes Kepler Universitdt Linz
2.1 Ausgangssituation Die Internet-Nutzung im Einkauf hat in den letzten Jahren stark zugenommen. Das Internet ist heute in allen Einkaufsabteilungen mittlerer und groflerer Unternehmen verfugbar und als Werkzeug fur Informationssuche und Kommunikation bereits unverzichtbar geworden. Die am haufigsten genutzten Kommunikationsdienste im Einkauf sind WWW und E-Mail.
100% 90%
r-- - -- - - - -- - +--~~~~~~~~-
80%
-I--~~~~~~~~~
70%
-I--~~~~~~~~
60%
+-~~~~~~
50%
-I--~~~~~~
IJ!iI Einkaufsabteilungeri
40%
-I--~~~~~~
mit Internetzugang
30% -1-- - - 20%
-I-~
10% 0% 1995 1996 1997 1998 1999 2000 Abb. 11-2.1 Internetzugang der Einkaufsabteilungen in osterreichischen Unternehmungen (Ergebnisse aus den Fallstudien in 55 Unternehmungen) 1
Auf Basis der neuen Internet-Technik entstand rasch eine Ftille neuer Anwendungen wie z. B. das Desktop Purchasing. Darunter soll die elektronische Beschaffung von indirekten Gtltern meist C-Giltern verstanden werden. Der Bedarfstrager wahlt tiber seinen Web-Browser in einem elektronischen Katalog direkt seine
1
Vgl. Kap . 3.2
222
II Anwendungsbeispiele
benotigten Guter und lost eine Bestellung aus. Damit werden Beschaffungsprozesse drastisch vereinfacht und hohe Prozesskosten eingespart. Die Einteilung solcher Anwendungen erfolgt nach dem Ort, an dem das elektronische Bestell system mit dem Produktkatalog verfugbar gemacht wird, namlich in Sell-Side, Buy-Side und neutrale Losungen, die von Vermittlem (meist Marktplatzanbieter) angeboten werden.
Traditionelle OfflineBestellun
Abb. 11-2.2 The B2B Buyer 's View?
Sell-Side-Losungem In der einfach sten Form stellt bereits der Lieferant ein elektronisches Bestellsystem in seinem Web-Shop zur Verfugung. Fur den Einkauf entstehen keine Investitionskosten. Die Integration dieser neuen Bausteine in bestehende betriebliche Informationssysteme' des Einkaufs ist in der Regel nicht moglich Dies ist der groBte Nachteil solcher Losungen . In einfachen Fallen lassen sich Bestellungen bewusst am zentralen System vorbeifuhren. Buy-Slde-Losungen: Urn denNachteil der fehlenden Integration zu iiberwinden, haben groBe Untemehmen Buy-Side-Losungen geschaffen. 1m eigenen Intranet wird ein elektronisches Bestellsystem fur den Bedarfstrager mit den entsprechenden Produktkatalogen zur Verfugung gestellt. In der Anfangszeit wurden eigenentwickelte Losungen erstellt.' Viele ERP-Hersteller bieten heute ebenfalls derartige Losungen an (z. B. mySAP Supplier Relationship Management).
4
Vgl. Philips/Me eker 2000 Einkaufsabteilungen mittlerer und grofserer Unternehmen nutzen zum Bestellen Einkaufssoftware, die meist Teil eines integrierten betrieblichen Informationssy stems ist. Vgl. dazu Kap. 2.3
2 E-Procurement
223
Neutrale Losungem Derartige Losungen werden in der Regel von Dritten, sogenannten Intermediaren im Internet angeboten. Meist handelt es sich dabei urn Marktplatzanbieter.
2.2 Was ist E-Procurement? 2.2.1 Grundsatzllche Oberlegungen
E-P rocurement umfasst im Sinne unserer Definition von E-Business jene Bereiche der Geschaftstatigkeiten im Einkauf, wo AuBenbeziehungen mit elektronischen Medien und dementsprechenden Methoden gestaltet werden ." Versteht man den Einkauf als das Management externer Ressourcen, im engeren Sinne als das Management der Ressource Sachgiiter, so sieht man sofort den hohen strategischen Stellenwert von E -Procurement. Ganzlich neuartig gestaltete Prozesse im Einkauf bringen einerseits hohe Rationalisierungspotenziale, schaffen andererseits vollig neue Mogl ichkeiten, den Beschaffungsmarkt zu analysieren und mit potenziellen Lieferanten im Beschaffungsmarkt zu kommunizieren. Der klassische Beschaffungsprozess umfasst die Anbahnungs-, Vereinbarungs- und Abwicklungsphase. Betrachtet man den Beschaffungsprozess in vereinfachter Form so ergibt sich folgendes Schema:
strategischer Einkauf
Operativer Einkauf
Informationsfluss Gaterfluss Geldfluss Abb. 11-2.3 Beschaffungsprozess in vereinfachter Form"
VgI. dazu Abschnitt I, Kap. 1.1 VgI. Wheele, 1995, S. 18
224
II Anwendungsbeispiele
E-Procurement hat vor allem in der Abwicklungsphase von unproblematischen Giitern, die in einem Produktkatalog abgebildet werden konnen, zu revolutionaren Anderungen geflihrt. Die Anbahnungs- und Vereinbarungsphase von komplexen Giitern stellt noch eine sehr groBe Herausforderung fur E-Procurement dar. Die Neugestaltung von Einkaufsprozessen ist ein wichtiges strategisches Handlungsfeld und eine zutiefst bedeutsame Managementaufgabe. E-Procurement ermoglicht sowohl die Entwicklung neuer Einkaufsstrategien als auch die Gestaltung besonders effizienter Einkaufsprozesse, daher kann sich das Einkaufsmanagement dieser Aufgabe nicht entziehen. Die Informations- und Kommunikationstechnik als reines Rationalisierungsinstrument zu begreifen , ware hier zu kurz gegriffen. Viele Fragen zur Entwicklung neuer Geschaftsstrategien fur E-Procurement drangen sich auf: • Wie konnen erfolgreiche Lieferanten kunftig im digitalen Markt gefunden, gewonnen und gebunden werden? • Wie verandern sich Handelsbeziehungen und Branchen? (Wegfall alter Zwischenhandelsstufen. Entstehungneuer elektronischer Dienstleistungen, wie z. B. elektronische Marktplatze und catalog content business) • Wo gibt es Chancen, mit Hilfe von E-Procurement neue Kommunikationskonzepte fur die Lieferantenkommunikation aufzubauen, urn damit den proaktiven Einkauf zu fordern? • Welche Geschaftsmodelle und -prozesse im Einkauf versprechen groBe Rationalisierungspotenziale, da sie mit Hilfe von E-Procurement vereinfacht, das heiBt mit weniger Ablaufschritten und der Vermeidung von Medienbruchen effizienter abgewickelt werden konnen? 2.2.2 Vorgehen zur Umsetzung einer E-Procurement-Strategie Die zunehmende strategische Bedeutung des Einkaufs ist ein weiterer wichtiger Ausgangspunkt fur E-Procurement. FUr das Top-Management sind hohe Einsparungspotenziale sowohl auf der Seite der Prozesskosten als auch bei den Einkaufspreisen, kurzere Durchlaufzeiten und die Verbesserung des Service und der Qualitat der gelieferten Produkte attraktive Nutzenpotenziale fur E-Procurement-Projekte. Am Beginn eines Projektes steht die Entwicklung von E-Procurement-Strategien. Diese sind im Einklang mit den Unternehmens- bzw. E-Business-Strategien gemeinsam mit dem Top-Management zu formulieren. Die externe Analyse umfasst vor aHem eine Marktanalyse, eine Konkurrenzanalyse und eine Technologieanalyse. Die interne Analyse umfasst die Bereiche Bedarfsanalyse, Prozessanalyse und IT-Analyse. 1m Rahmen der Bedarfsanalyse werden die fur einzelne E-Procurement-Bausteine relevanten Bedarfssegmente herausgearbeitet. Die komrnerzielle Entwicklung des Internets zeigt uns, dass vor allem einfache, stark standardisierbare Produkte bereits heute von einer Vielzahl von Anbietern im Internet zum Verkauf angeboten werden. Besonders gefragt sind informationsintensive Gurer und Dienstleistungen, z. B. Software, BUcher oder CDs, da fur
2 E-Procurement
225
derartige Produkte auch die Beschaffungslogistik im Internet dramatisch vereinfacht werden kann. Vielfach werden diese Produkte, insbesondere Software , bereits in elektronischer Form tiber das Internet nicht nur eingekauft, sondern auch ausgeliefert. Die Versorgungsunsicherheit ist bei einfachen und stark standardisierten Produkten in der Regel niedrig, da eine Vielzahl von Anbietern am Beschaffungsmarkt vorhanden ist.
Initiierung
Strategische Planung
Projektplanung Prototyping
Implementierung
Abb. 11-2.4 Vorgehensmodell zur Umsetzung einer E-Procurement-Strategie 7
Aus strategischer Sicht ist im Einkauf neben der Versorgungssicherheit die Wertigkeit des Produktes,das ist in der Regel der Gewinneinfluss, eine wichtige Einflussgrofse. Die beiden Groben Wertigkeit und Versorgungssicherheit erlauben eine Einteilung der Beschaffungsobjekte in vier Kategorien : Unkritische Guter, Engpassguter, Hebelprodukte und Schlusselprodukte. Ftir jede Kategorie lassen sich aus der Portfolioanalyse Normstrategien herleiten:"
Vgl. Zamekow 2001, S. 2 Vgl. Kraljic 1988
226
II Anwendungsbeispiele
HebelProdukte
Unkritische
Gurer
Schlii sselProduktc
Engpaf GUter
Verso rg ungsrisi ko
lI ebellieferanten
Kern lieferanten
Abschiipfung
Kooperation
Unkri tische Liefcran ten
Kritischc Lieferanten
Effizienz
Substitution
Versorgungsrisiko
A b b. 11-2 .S Materialportfolio u nd Normstrategien
Hebelpr o d u kt e
Schlusselproduk te
Abschiipfung
Kooperation
Unkriti sche P rod u k tc
Engpafl p r o d u k te
Effizienz
Substitution
Versorgun gsrislko
Procuremen t-Portal OnlineAusschreibung Reverse-Auction
eSupply ChainManagement Koppe lung von ERP-Systcmcn
Marktplatze !Desktop Purchasing putsourcing Lieferan t, !Dicnstleister) Marktp latze
Versorgu ngsrisiko
A b b . 11-2 .6 Normstrategien u nd E-Procurement-Toois
C-Artikel finden sich in der Regel in der Kategorie .Unkritische Gilter" . Typische Beis piele fUr C-Artike l sind Btiro material, Werkze uge und EDV-Zubehor. In dieser Kategorie ist effiziente Abwicklung angesagt. Empirisc he Unters uchungen zeige n immer wieder, dass der Aufwan d fur die Beschaffung von C-Artikel n in vielen Fir men in Relation zum Beschaffun gswert? viel zu hoch ist. Das Konzept der dezentralen Beschaffung, d. h. der Ver lage rung der Beschaffungsabwicklung zum Bed arfstrager bietet sich hier in idea ler For m an. Zur Besc haffungsoptimierung von C-Gtitern existiere n heute erste vielvers prechende Losungen . Ein hoher "Ret urn on Investme nt" dur ch Einsparu nge n in der Bes chaffungsabwic klung weckt das Interesse bei Unterne hmen und Beho rden. Aus dem brei ten Spektrum von E-Procure ment greife n wir einen interessanten Ansatz fur die dezentrale Beschaffung von C-Ar tikel heraus, der bereits in vielen Praxisprojekten in Angriff genommen wird. Auf erste erfo lgreic h abgeschlosse ne Praxisprojekte kann hingewiesen werden. Neben der Unters tlitzu ng der Bcschaffun gslogistik du rch effiziente Beschaffungsprozesse gibt es ein breites Feld von Unterstutz ungs moglic hkei ten im Bereich strategischer Besch affungsaufgaben . E-So urci ng umfasst jc nc Bereiche von 9
V gl. Kap . 2 .3 .1
2 E-Procurement
227
E-Procurement, die die Untersti.itzung strategischer Aufgaben im Einkauf betreffen. E-Sourcing unterstlitzt vor allem den Anbahnungs- und Vereinbarungsprozess. Wichtige E-Sourcing-Tools sind elektronische Ausschreibungssysteme, Reverse-Auction, Marktplatze und Procurement-Portale. Ein Teilausschnitt daraus ist das Thema Beschaffungs marketing im Internet. Dieses Thema wird in einem eigenen Kapitel (siehe Kap. 3) behandelt.
2.2.3 Desktop Purchasing fUr die dezentrale Beschaffung von C-GLitern Diese Form der Beschaffung ist im Rahmen von E-Procurement als Direct Electronic-Purchasing'? bzw. als Desktop-Purchasing bekannt geworden. "DesktopPurchasing-Systeme (DPS) konsolidieren Produkt- und Anbieterinformationen in einem Multi-Lieferanten-Produktkatalog und integrieren gleichzeitig den Zugriff auf die entsprechenden Daten in hauseigenen Legacy- oder ERP -System."11 Der Bedarfstrager erhalt liber ein webbasiertes user-interface einen benutzerfreundlichen Zugang zum elektronischen Produktkatalog, der meist im Intranet zur Verfligung gestellt wird. Fur derartige Aufgaben gibt es am Markt bereits einige spezielle Softwareanbieter'", auch bekannte Anbieter betriebswirtschaftlicher Standardsoftware wie z. B. SAP (mit Business to Business Procurement) und JBA (mit e-purchasing) bieten ebenfalls Softwarelosungen fur diese Aufgabenstellung an. Dem Einkauf verbleibt die Aufgabe, entsprechende Lieferanten auszuwahlen und Rahmenvertrage abzuschlieBen. Die Bereitstellung der Katalogdaten erfolgt haufig mit Unterstlitzung extemer Dienstleister". Derzeit fehlen noch Standards fur elektronische Produktkataloge. In einem Expertenkreis des Bundesverbandes Materialwirtschaft, Einkauf und Logistik e.V. (BME) wird zur Zeit an der Schaffung eines einheitlichen Katalogstandards fur C-Artikel gearbeitet. Ein konkretes Praxisbeispiel zum Thema Desktop-Purchasing wird in der Fallstudie Flughafen Frankfurt AG diskutiert."
2.3 Fallbeispiel Flughafen Frankfurt Main AG: C-Artikelmanagement im Intranet/Internet Die Flughafen Frankfurt Main AG (FAG) betreibt den grofsten Flughafen der Bundesrepublik Deutschland und beschaftigt etwa 12.700 Mitarbeiter. Der Jahresumsatz betrug 1997 knapp 2,4 Mrd. DM, das Einkaufsvolumen flir Gurer und Dienstleistungen etwa 300 Mio . DM, das der Bauvergabe etwa 500 Mio . DM .
10 II 12
13 14
VgI. BrennerlHamm 1999, S. 135 Do1metsch 1999, S. 60 VgI. Do1metsch 1999 Sogenannte third-party Integratoren fur Kata1oge, wie z. B. die Firmen Harbinger, Requisite. TPN Register und Commerce One VgI. unten Kap . 2.3
" Anwendungsbeispiele
228
In dieser Fallstudie" wird ein C-Artikelmanagement-Konzept der Flughafen Frankfurt Main AG im Intranet/Internet vorgestellt. Dieses Projekt war ein Pionierprojekt und wurde mit dem Deutschen Materialwirtschaftspreis'" 1998 ausgezeichnet. Diesem Konzept liegt ein Verfahren zur dezentralen Beschaffung von CArtikel mit zentralen Steuerungsfunktionen zur Vereinfachung der Bestellabwicklung zugrunde, gleichzeitig konnten aufwandige Genehmigungs- und Rechnungsprtifungsverfahren auf ein Minimum reduziert werden . Die neue Losung ist seit April 1998 produktiv im Einsatz.
2.3.1 Istzustandsanalyse C-Artikel-Beschaffung C-Teile lassen sich dadurch charakterisieren, dass sie einem geringen Beschaffungsrisiko unterliegen und einen geringen Beschaffungswert reprasentieren, aber mengenmabig mit einer hohen Bestellaktivitat den GroBteil der Bestellungen ausmachen. Dadurch verursachen sie trotz ihrer geringen Wertigkeit hohe Prozesskosten im Einkauf. Der konventionelle Beschaffungsprozess des typischen C-Artikelbedarfs als Einzelbestellung durchlief bei der FAG folgende Stationen: • • • • • • • • • • • • • • • • • • •
Bedarfsidentifikation durch den Kunden, Vorab-Marktsondierung durch den Kunden, Erstellen einer Bestellanforderung, Genehmigungsverfahren, Budget- und Mittelkontrolle durch Controllingabteilung, Prufung auf Anlagenkontierungspflicht, Freigabe der Bestellanforderung, Ubermittlung an den Einkauf, Angebotseinholung, Angebotsanalyse und Vergabevorschlag, Bestellschreiben, Warenlieferung an Warenannahme, Erstellung einer Wareneingangsmeldung, Transport zum Besteller, Rechnungseingang, Rechnungsprtifung durch Kreditorenbuchhaltung, Preisprtifung durch Einkauf, Technische und sachliche Prtlfung durch den Besteller, Zahlungsanweisung/Zahlung.
Dieser komplizierte Ablauf war mit langen Durchlaufzeiten verbunden (ca. 30 Tage) . Die reinen Prozesskosten lagen bei etwa 280 DM pro Bestellung (SAP-Ko15 16
Vgl. Konhauser 1999, S. 38-42 Der Deutsche Materia1wirtschaftspreis wird jahrlich fur Spitzen1eistungen in Einkauf und Logistik vom Bundesverband Materia1wirtschaft, Einkauf und Logistik e. V. (BME) verliehen.
2 E-Procurement
229
sten sind hier schon einbezogen). 85% der verfugbaren Ressourcen im Einkauf (Zeit und Personal) wurden eingesetzt urn 10 % des Beschaffungs volumens abzuwickeln. Dieses krasse Missverhaltnis war der Ausloser, neue organisatori sche Losungen zu suchen , die mit modemer Internet -Technologie zu einer innovativen Losung im Einkauf gefuhrt hat.
2.3.2 C-Artikelmanagement im Intranet/Internet Die wicht igsten Ziel setzun gen , die mit der neuen Systemlo sung angestrebt wurden, sind : 17 1.
2. 3. 4. 5. 6.
Reduktion der Beschaffungskosten durch schlanke Prozessablaufe (z. B. durch vereinfachtes Genehmigungsverfah ren, Verlagerung der Bestellabwicklung auf den Kunden) Verkurzung des Beschaffungsz eitraums und Minimierung der Kapitalbindung durch Abbau von Lagerfunktionen Lieferantenreduktion und Bedarfsbundelung Vereinfachte und zeitnahe Rahmenvertragspositionspflege, Ubertragung der Rahmenvertragspositionspflege an Lieferanten Vereinfachtes Kataloghandling und Systemadministration Forderung von Einkaufskooperationen, Basis fur zukunftig externe Geschaftstatigkeit (Handelsgesellschaft)
Die neue Systernlosung soli insbesondere errnoglichen : 1. 2. 3. 4.
Kostengunstige und schnelle Realisierung , geringe Betriebskosten Kostengunstige Kommunikationsanbindung an Lieferanten, EDI Schnittstelle zur betriebswirtschaftlichen Standardsoftware SAP R/2 Einfache Bedienbarkeit, hoher Durchdringungsgrad und durchgangige Verftigbarkeit
Vor der techni schen Losung wurde der Beschaffungsprozess fur C-Artikel vollig neu organisiert. Durch die Umorg anisation kann jeder autorisierte Bedarfstrager mit dem neuen System bis zu einer Wertgrenze von 3.000 DM je Einzelbestellung und 100.000 DM fur Abrufe aus bestehenden Rahmenvertragen samtliche operative Einkaufstatigkeiten tibernehmen. Die Ums etzung erfolgte in Koop eration mit einem regional ansassigen Softwarehaus und nicht mit SAP. SAP konnte fur diesen Aufgabenschwerpunkt im Frtihjahr 1997 keine produktive Losung anbieten. Dabei legte man graBen Wert darauf, das s die Losung auf Intemettechnologien aufbaut, da Internettechnologien flexibel , skalierbar und kostengunstig sind. Die Anwendung wurde fur das eigene Intranet konzipiert. Grundlage fur die Systemlosung ist eine relationale SQL-Datenbank der Firm a Oracl e. Vier modulare Teilsysteme setzen auf die Datenbank auf: 18 17 18
Vgl. Konhauser 1999, S. 39 Konhau ser 1999, S. 40
230
1.
2.
3.
4.
II Anwendungsbeispiele
PN-Manager: Verwaltungstool zur Administration von Benutzern, Budgets, Artikelkatalogen, Bestellungen, Beschwerden und Stammdaten. Importer: Mit diesem Programm konnen Artikelkatalogimporte aus Fremdsystemen einfach durchgeflihrt werden . Communicator: Serverseitiges Kommunikationsmodul zur Ubermittlung von Bestellfaxen, E-Mail, EDI-Formaten an den Lieferanten. Frontend einer RFC-basierenden Schnittstelle zum Hostsystem SAP R/2. procureCA: Serverseitige Internetapplikation. Spezielle E-Commerce-Lasung zur Beschaffung von C-Artikeln. Diese Losung lauft unter WindowsNT 4.0 auf einem IIS-Web-Server 4.0 von Microsoft mit einer ODBC-Schnittstelle zum relationalen Datenbanksystem.
, ..' . ,.
.. ..... ····. . ... .. .... . '
'
C-ArtikEH.05ung
RAS • ., •••
""'...".
..... ..../
AS
liefer.mten
Abb. 11-2.7 Ube rblick zur Systemlosung 19
19
Konhauser 1998, S. 16
Inte rnet
••
2 E-Procurement
231
A: Anwendung der FAG im Intranet , Administration der Software und der Kataloge erfolgt Inhouse . Bestellungen werden an das SAP-System iibertragen. B: Internet-Server der FAG, Nutzung der Kataloge wird auch externen Kunden angeboten (virtuelles Handelshaus) . C: FAG-Katalogpflege erfolgt im Internet durch die Lieferanten. Uber Replikationsmechanismen wird die Katalogdatenbank der FAG aktuell gehalten. D und E: Die FAG bietet Kunden mit eigener Systemlosung fur C-Artikel tiber ihren Internet-Server www.airport-services.de, Katalogdienstleistungen an. Uber diesen Internet-Zugang hat der Kunde Zugriff auf einen .virtuellen Markt " verschiedener C-Artikelanbieter.
Urn allen Lieferanten den Zugang zu Ihren Katalogen zu ermoglichen (z. B. zur Pflege der Katalogdaten), wurde erganzend ein Katalog-Server irn Internet unter der Adresse www.airport-services.de eingerichtet. Taglich werden die aktuellen Daten in das FAG-Intranet geholt.
2.3.3 Besonderheiten der neuen Losunq
Der neue Ablauf lasst sich uberblicksmaliig wie folgt darstellen:
Abb. 11-2.8 Neuer Ablaut?"
20
Konhauser 1998, S. 9
232
II Anwendungsbeispiele
Aufgaben des Einkaufs im Vorfeld: Der Einkauf schlieBt einen Rahmenvertrag (ein- oder mehrjahrig) tiber ein definiertes Produktsegment mit jeweils einem Lieferanten. Dabei muss sich jeder Lieferant in einer Zusatzvereinbarung verpflich ten, seine Artikeldaten gemaf einer Datenaustausch-Richtlinie zu ubergeben. Existieren zu den angebotenen Produkten Abbildungen oder technische Zeichnungen , konnen diese integriert werden. "Die Datenbestande werden in der ersten Phase in ihrer kompletten Form von einem autorisierten Mitarbeiter des Einkaufs in eine dafur vorgesehene Datenbank ubernommen . AIle weiteren Datenpflegearbeiten werden tiber das Internet (www.airport-services.de) yom Lieferanten vorgenommen , protokoIliert und am Ende des Tages tiber eine RAS-Verbindung in das Intranet der FAG repliziert.'?' Somit ist eine manipulationssichere Lieferantenkommunikation gewahrleistet.
!\Idy~~,~hpR;
~
tlhrond ~ Ablag,m itlel
WeitereInfcrmetionenzurArtikelgruppeBiiromaterlal erheltenSiebei;
~ BOro-ZubehQr ~ BOroausstattung ~ BOromaschinen
@Computer·Zubehor
@) Folo- undFolozubehQr
f!l Heften I Klemmen I Perforieren ~ Klebebander I Lelm I
Gummiringe
@PapisTund Schreibblocks ~ PrasenlatlonlKommunlkalion
~ Schrelbgerile
@)~
@ Toner I Tintenpatronen J Farbbander
@,v eors ahd 'l ;er~ ~,CkUng {[J ZeichenbedarfI Technjsche Paplere ~ Zeichengerale
Abb. 11-2.9 Beisp iel Produktgruppenauswahl des Biiroartikelkatalogs vonprocuref'A'?
21 22
Konhauser 1999, S. 40 Konhauser 1998, S. 8
2 E-Procurement
233
Budgetgrenzwerte einer C-Artikelbestellung werden in der Regel am Jahresanfang von den Kostenstellenverantwortlichen der einzelnen strategischen Geschaftsbereiche (SGB) und der Unterstiltzungsbereiche (UB) der FAG mit ihren Mitarbeitem fur die jeweiligen Rahmenvertrage (Shops) vereinbart. Es werden Hochstgrenzen pro Bestellung, Bestellsumme pro Monat oder pro Jahr festgelegt, die vom Systemadministrator mit Hilfe des Programms verwaltet werden . 1m Rahmen der vereinbarten Budgets konnen nun beliebige Bestellungen aus bestehenden Rahmenvertragen erstellt werden . Die Software kontrolliert bei jeder Bestellung die Einhaltung dieser Werte . Kommt es zu einer Budgettiberschreitung, wird der Auftrag abgewiesen. Uber die Segmentierung eines Artikelspektrums ist es moglich fur bestimmte Funktionsbereiche (z. B. Sekretariat oder Werkstatt) eigene Shops aus dem Gesamtsortiment zu definieren, urn somit unterschiedlichen Bedarfs- und Bestellprofilen gerecht zu werden .
Prozessunterstiazung bei der Produktsuche: In der ersten Phase wird der Kunde bei der Produktsuche durch eine integrierte Suchmaschine untersttitzt. Zusatzliche lnformationen zu den angebotenen Produkten in Form von technischen Zeichnungen oder Produktfotos helfen dem Besteller seinen Bedarf zu identifizieren. Ein Beispiel fur die Produktgruppenauswahl des Btiroartikelkatalogs finden Sie in Abb . 11-2.9. Prozessunterstiltzung bei der Bestellung: Der Bedarfstrager fasst die identifizierten Produkte in einer Bestellung zusammen. Ein Genehmigungsworkflow ist in diesem System aus Grunden der Vereinfachung nicht vorgesehen. Zusatzlich zur Bestellung muss der Kunde u. a. Angaben zum Lieferort und der zu belastenden Kostenstelle oder Projektnummer bestatigen . Erst nach vollstandiger Beantwortung gibt das System die Bestellung frei und tibermittelt die Daten an den Lieferanten. Prozessunterstiitzung bei der Dateniibermittlung: Bestelldaten werden gesammelt und einmal taglich mit E-Mail an den Lieferanten tibermittelt. Es besteht auch die Moglichkeit, Bestelldaten sofort als Eilbestellung an den Lieferanten zu tibertragen. Zur Integration der Bestelldaten in das Warenwirtschaftssystem des Lieferanten wurde ein einfaches Datenaustauschformat entwickelt; auf das kompiizierte und aufwendige EDIFACT-Format wurde ganz verzichtet. 1m Bereich der C-Artikelbeschaffung hat sich diese Methode des Datenaustauschs als wenig effizient erwiesen. Es besteht auch die Moglichkeit eine automatische Fax-Bestellung auszulosen . Prozessunterstiazung beim Wareneingang und Beschwerdemanagement: Neue Wege wurden auch beim Wareneingang beschritten. Da von einer groBen Verlasslichkeit des Lieferanten ausgegangen wird, wurde auf die Wareneingangsbuchung im klassischen Sinne verzichtet. Nur bei Fehl- oder Falschlieferungen meldet der Besteller dies tiber ein separates Programmmodul in der Intranetanwendung dem Einkauf. Diese .Beschwerden" werden am Monatsende ausgewertet,
234
II Anwendungsbeispiele
sie beeinflussen direkt den nachfolgenden Zahlungsprozess. Der durchschnittliche Sch aden , der im Bereich der Btiromateri alversorgung durch Fehl-, Falsch- , Unt erund Uberlieferungen der FAG jahrlich entsteht, liegt unter einem Prozent des Be schaffungsvolumens. Mit dem Tool .Beschwerdemanagement" konnen nutzliche Informationen fur eine automa tische Liefe rantenbeurteilung und eine Aussage tiber die Kunden zufriedenheiten als standiges Barometer der Funktion sttichtigkeit des gesamten Verfahren s gewonnen werden .
Prozessunterstiazung bei der Bezahlung: Ein e weitere Besonderheit ist der Verzicht auf eine Rechnungslegung . Die Bezahlung erfolgt tiber ein Gutschriftsverfahren . Dabei flieBt als Korrektur das Ergebnis der obigen Beschwerdebewertung ein .
Unterstiitzung des Einkaufs im Einkaufscontrolling: Da s neue System unte rsttitzt den Einkauf durch monatliche Reports, Kenn zahl en zur Budgetauslastung, Abweichungen vom VormonatNorjahr und ABC-Analysen. Dadurch wird Transparen z geschaffen , die frtiher nicht vorhanden war. Schnittstelle zu SAP: Besonders wichtig ist es , die Datenintegritat zum zentralen DV-System SAP R/2 zu gewahrleisten . Aile Bestelldaten milssen zu r ltickenlosen Dokumentation in da s DV -Sy stem SAP R/2 eingestellt werden, daher wird jede Bestellung als Abrufbestellung (TE30) mit ihren Kopfinformationen und Po sitionen in die betriebswirtschaftliche Standardsoftware SAP tibertragen .
2.3.4 Ergebnisse und Kosteneinsparungen Was wurde mit der neuen Losung tatsachl ich erreicht? Bezugnehmend auf die wichtigsten Zielsetzungen des Projektes kann festgestellt werden, da ss aile Ziele erreicht wurden. Mit der neuen Losung konnten Durchl aufzeiten dramatisch ge senkt werden . Durch d ie Vereinfachung des Bestellprozesses verktirzt sich die Durchlaufzeit von 30 Tagen auf 2 Tage. Benutzerfreundliche Intranet-/InternetLosungen ermoglichten neue organisatorische Losungen (Verlagerung von Verantwortung im Bestellprozess zum Bedarfstrager), die mit konventionellen Systemen nicht realisiert werden konnten . Mit dem neuen System kam es eb en falls zu einer drastischen Lieferantenreduktion, etwa 180 Lieferanten wurden abgebaut. Die Akzeptanz auf Seite der Lieferanten war trotzdem von Anfang an sehr hoch , erkannten doch viele erfolgreiche Lieferanten die Chance, mit Hilfe dieser neuen Medien verstarkt Kundenbindung zu betreiben und zu einem hoheren Umsatzvolumen zu kommen . Die Prozesskosten pro Beschaffungsvorgang konnten urn 125 Euro gesenkt werden, sie fiele n urn 87 % von 143 Euro auf 18 Euro. Bei 18000 C-Artikel-Bestellungen pro Jahr ergibt das ein gesamtes Ein sparungsvolumen von 2,25 Millionen Euro. Dies setzt voraus, dass sofort die entsprechende Personalreduzierung durchgefuhrt wird . In der Praxis zeigt sich, dass dieser Prozess tiber den naturlichen Personalabbau und durch Verteilung der Mitarbeiter in den kreativen/ stra-
2 E-Procurement
235
tegischen Einkauf oder in andere Bereiche stufenweise durchgeflihrt wird. Die eingesparte Zeit wird nun fur die zusatzliche Qualifizierung der Mitarbeiter im Einkauf genutzt. Der materialwirtschaftliche Erfolgsnachweis der FAG zeigt nach einem Jahr bereits groBe Einsparungen. Diese Einsparungen kommen zustande , da nun die Mitarbei ter mehr Zeit haben, sich mit den Kernaufgaben des Einkaufs, der intensiven Beschaffungsmarktanalyse und -beobachtung der A- und B-Themen und der grtindlichen Verhandlungsvorbereitung zu beschaftigen. Dabei sind Preisvorteile von I - 2 % des Beschaffungsvolumens durchaus realistisch. Dieses Projekt bot die Grundlage fur weitere zukunftstrachtige Aktivitaten im Bereich von E-Procurement. Besonders interessante Ansatzpunkte fanden sich im Bereich der Forderung von Einkaufskooperationen als Basis fur zuktinftige externe Geschaftstatigkeiten. Erste Schritte in Richtung von Katalogdienstleistungen wurden mit dem Aufbau eines Internet-Servers getan . Dber diesen InternetZugang wird dem Kunden ein Zugang zu einem .virtuellen Markt" verschiedener C-Artikelanbieter geboten . Daraus entstand ein neues Dienstleistungsunternehmen. Seit Anfang 2001 gibt es bereits eine neue Systementscheidung flir SAP BBP. Damit soli die E-Procurement-Losung auch auf A und B-Materialien ausgedehnt werden. Ein entsprechender Umsetzungsplan wurde erstellt. Mit Anfang April 2001 fiel die Entscheidung auf den Katalog-Content-Provider Wallmedien .
2.4 Schlussbetrachtung Die Ausarbeitung zeigte erste Konzepte fur E-Procurement auf. Der hohe strategische Stellenwert von E-Procurement fur den Einkauf wurde erlautert. Ein Pionierprojekt aus der Praxis veranschaulicht das Anwendungskonzept Desktop Purchasing. Die Anbindung von E-Procurement-Systemen an die vorhandenen ERP-Systeme, die Schaffung von Schnittstellen und Standards ist derzeit noch eine Herausforderung und ein beherrschendes Thema. Aus der Ftille von Standards wollen wir einige Beispiele kurz erlautern. Ftir den Austausch elektronischer Produktdaten zwischen Lieferanten und beschaffenden Organisationen wurde ein Austauschformat, der BMEcat geschaffen. Dieses Katalogdokument errnoglicht auch die Einbindung multimedialer Produktdaten, beispielsweise Bilder, Grafiken, Technische Dokumente oder Videodaten. Das BMEcat-Format errnoglicht dem Lieferanten bei einem Produktdatenaustausch nicht nur eine Ubertragung der kompletten Produktdaten sondern beispielsweise auch eine Aktualisierung von Preisdaten. Der Bundesverband Materialwirtschaft, Einkauf und Logistik e. V. (BME) , Frankfurt a.M., hat diese Initiative zur Entwicklung eines Standards zurelektronischen Datentibertragung fur Artikelkataloge gestartet-' Der
23
Eine Arbeitsgruppe, bestehend aus Vertretern des Frauenhofer Instituts fur Arbeitswissenschaft und Organisation des Bundesverbandes Einkauf und Logistik der Universitat Essen und des Instituts fur Datenverarbeitung der Universitat Linz sowie eine
236
II Anwendungsbeispiele
BMEcat ist ein Vorschlag, der sich vor allem im deutschsprachigen Raum durchgesetzt hat. 1m intemationalen Umfeld sind Beispiele zu nennen, die von Softwareherstellem entwickelt wurden . Dazu gehoren cXML von Ariba und xCBL von Commerce One. Als Weiterentwicklung des BMEcat wurde OpenTrans entwickelt. 1m OpenTrans geht es urn die Definition wciterer Geschaftsdokumente, wie z. B. Angebot, Angebotsanforderung, Auftrag oder Rechnung. 24 E-Procurement wird sich von unproblematischen, stark standardisicrbaren Giltern in Richtung komplexer konfigurierbarer Produkte, Investitionsguter und Dienstieistungen weiterentwickcln, weiters wird die Funktionalitat hinsichtiich Integration von Systemen und Prozessen stark erweitert werden . Durch die Forderung der Integration mit den bcstehenden betrieblichen Informationssystemen steigt die Komplexitat sehr schnell an. Einer soIiden Planung und einem professionellen Projektmanagement kommt dabei herausragende Bedeutung zu. Diese Aussage trifft insbesondere fur neue Losungen im Feld von E-Procurement zu. Nur durch den Einbezug strategischer Uberlegungen kann der Erfolg des Projektes abgesichert werden . Entwickeln Sie im ersten Schritt klare E-Procurement-Strategien. Die betriebswirtschaftliche Ebene soli die technische Ebene bestimmen . Starten Sie sinnvoll abgegrenzte Projekte mit klarer Zielsetzung. Gleichzeitig sind organisatorische Veranderungen, die durch E-Procurement entstehen werden, zu berucksichtigen. Die strateg ische Bedeutung von E-Procurement liegt darin, dass der Einkauf sich durch den Wegfall von operativen Tatigkeiten immer mehr strategischen Aufgaben widmen kann. Der zukunftige Beitrag des Einkaufs zur Wertschopfung wird stark durch die Bildung von wertgenerierenden Netzwerkstrukturen bestimmt sein.
Literatur Brenner/Hamm (1999) , Brenner, Walter und Volker Hamm, Potentiale des Internet zur Untersttitzung des Beschaffungsprozesses, in: Strub, Manfred (Hrsg .), Der InternetGuide fur Einkaufs- und Beschaffungsmanager, LandsberglLech, 1999 Dolmetsch (I999), Ralph, Desktop Purchasing Internet-Technologien in der Beschaffung, in Beschaffung aktueIl4/99, S. 60-65 Droge (1997), Michael , Intranet, Einsatzmoglichkeiten, Planung , Fallstudien, KOIn 1997 Hamm (1997), Volker, Inforrnationstechnik-basierte Referenzprozesse: Eine Technik zur prozeBorientierten Gestaltung des industriellen Einkaufs , Bergakademie Freiberg, 1997 Konhau ser (1998) Christian , C-Artikel-Management im Intranet/Internet: Konzeption der Flughafen Frankfurt Main AG, Bewe rbung zur Erlangung des Materialwirtschaftspreises 1998 des BME, Juli 1998
24
Reihe namhafter Unternehmen aus Deutschland begann 1998 diesen Standard zu entwickeln. 1m November 1999 wurde die erste Version vorgestellt. VgI. auch www .bmecat.org (5. 7. 2002) Nahere Informationen finden Sie unter www .opentrans.de (5. 7. 2002)
2 E-Procurement
237
Konhauser (1999) Christian, C-Artikel-Management: Starkung strateg ischer Funkt ionen, in Beschaffung aktuell 1/99, S. 38 - 42 Kraljic (1988), Peter, Zukunftsorientierte Be schaffungs- und Ver sorgungsstrategie als Element der Unternehmensstrategie, in: Henzler, H.: Handbuch Strategische Fuhrung, Wie sbaden , 1988 Perez et al (1998), Perez, Mario , Alexander Hildenbrand, Bernd Matzke und Peter Zencke, Geschaftsprozesse im Internet mit SAP R/3 : Chance zur Neugestaltung betriebswirtschaftlicher lnforrnationswege, Bonn 1998 Philips/Meeker (2000), Phillips, Charles und Mary Meeker, The B2B Internet Report Collaborative Commerce, Morgan Stanley , in: http://www.msdw .comlmrchuck Strub (1999), Manfred, Der EinkaufsprozeB und sein Internet-/lntranet-Potential, in: Strub, Manfred (Hrsg .), Der Internet-Guide fur Einkaufs- und Beschaffungsmanager, Landsberg/Lech, 1999 Wheele (1995) , Arjan J. van, The nature of purchasing, in: Farmer, David und Arjan J. van Weele, Handbook of Purch asing Management. 2. Auflage, Vermont 1995 Zarnekow (2001), RUdiger, Electronic-Procurement-Strategien, in: http ://www.itmcgmbh .de/itmc_eprocurement.pdf (3.7.2002)
3 Beschaffungsmarketing im Internet Robert Zlabinger Institut fir Datenverarbeitung, Johannes Kepler Universitiit Linz
Unbestritten erzielen bereits heute Unternehmen bei der unternehmensubergreifenden Abwicklung yon Beschaffungsvorgangen mit internetbasierten Beschaffungsinformationssystemen groBe Einsparungen.' Es stellt sich die Frage, ob das Internet auch strategische Funktionen der Beschaffung starken kann. Die wichtigsten strategischen Aufgabenfelder in der Beschaffung finden sich im .Haus der Beschaffung" in nachfolgender Abbildung.
J:
e
.~
C)
~
en
>
~
(1)
Co
o
Abb. 11-3.1 .Das Haus der Beschaffung"
1
Vgl. dazu Kap. 2.3
240
II Anwendungsbeispiele
In einer empirischen Studie des Autors wurde fur osterreichische Untemehmungen untersucht, ob und wie Informationssysteme zur Unterstlitzung strategischer Aufgaben im Einkauf eingesetzt werden . FUr die Beschaffungsmarktforschung und die Beschaffungswerbung werden anschlieBend erste Ansatze in Praxisprojekten dargestellt und diskutiert.
3.1 Grundgedanken zum Beschaffungsmarketing Die Beschaffung hat sowohl in der Praxis als auch in der Wissenschaft in den letzten Jahren eine starke Aufwertung erfahren. In vielen groBen Unternehmungen, allen voran in der Automobilindustrie, erkennt die obe re Geschaftsfuhrung diesen Funktionalbereich als Quelle zur Erzielung strategischer Wettbewerbsvorteile und schenkt daher der Beschaffung eine starkere Beachtung. GrUnde dafur liegen darin, dass der starke Wettbewerbsdruck zu der Notwendigkeit fuhrt, sich auf Kemkompetenzen zu konzentrieren. Der Beschaffungsumfang nimmt somit mengenmabig zu, Materialkosten steigen standig an. Der Materialanteil hat in vielen Branchen heute schon 50 % der Gesamtkosten uberschritten, wobei die Tendenz weiter steigend ist. 2 Kurzere Innovationszyklen, standige technische Neuerungen bei den Einsatzstoffen, die zunehmende Integration von Lieferanten in die eigenen Unternehmensablaufe und die weltweite Beschaffung fuhren zu hoherer Komplexitat und sind weitere Argumente fur die Aufwertung der Beschaffung. Die Beschaffung ist nunmehr nicht langer eine operativ ausgerichtete Ausfuhrungsfunktion. Es treten vielmehr strategische Uberlegungen in das Blickfeld der Betrachtung. Die Zukunft der Beschaffung liegt daher im strategischen Beschaffung smanagement. Galweiler weist darauf hin, dass die Aufgabe der strategischen FUhrung die Suche, der Aufbau und die Erhaltung hinreichend hoher und sicherer Erfolgspotenziale ist.' FUr die Beschaffung liegen besonders wichtige Erfolgspotenz iale im Beschaffungsmarkt. Ein interessanter Denkansatz ist das Beschaffungsmarketing. Der Grundgedanke einer modernen Marketingkonzeption zielt auf eine optimale Gestaltung der Austauschprozesse zwischen Organisationen. Neben den eigenen Zielen und Erfolgspotenzialen sollen vor allem die Wunsche und Nutzenerwartungen der Marktpartner in den Mittelpunkt gerUckt werden. Nur so kann eine Partnerschaft mit Lieferanten Erfolg haben. Man verwendet in diesem Zusammenhang sehr oft den plakativen Ausdruck "win-win -Situation". Die Zielvorstellungen der Beschaffung in Bezug auf Lieferanten liegen einerseits in der storungsfreien Versorgung, andererseits in der standigen Verbesserung des Preis-Leistungsverhaltnisses und der beschaffungsseitigen Wettbewerbsvorteile gegenUber Mitbewerbem. Nutzenpotenztiale fur den Lieferanten bestehen in einer Vgl. Hochwarter 1999, S. 2 Vgl. Galweiler 1990, S. 28
3 Beschaffungsmarketing im Internet
241
besserten Kommunikation, der Chance zur Kundenbindung und einer besseren Vorausplanung.' Bei strategischen Partnerschaften wird durch die starkere Bindung vor allem die Kommunikation ein besonders wichtiger Gestaltungsfaktor. Unter Beschaffungsmarketing sind folgende Aktivitaten zu verstehen: 5 • Integration der Zielvorstellungen des beschaffenden Unternehmens mit den Nutzenerwartungen der Lieferanten (Partnerschaft) • Motivation und Entwicklung potenzieller und aktueller Lieferanten (Kommunikation, Kooperation) • Systematische Analyse der Beschaffungsmarkte weltweit und Auswahl geeigneter Lieferanten (Beschaffungsmarktforschung, Markt- und Lieferantenwahl) • Einbettung in die strategische Unternehmensfuhrung, urn in allen Phasen die Bedurfnisse, Interessen und Anforderungen der Absatzmarkte und deren Urnfeld zu berticksichtigen.
3.1.2 Beschaffungsmarktforschung als Instrument zur systematischen Analyse des Beschaffungsmarktes .Llnter Beschaffungsmarktforschung mussen aIle diejenigen betrieblichen MaBnahmen der Sammlung und Aufbereitung von Informationen verstanden werden, die dazu dienen, die Transparenz der Beschaffungsmarkte zu erhohen und zu erhalten.?" Dabei stellt sich sowohl ein Quantitatsproblem, ein Qualitatsproblem als auch das Aktualtitatsproblem. • Quantitatsproblem: Urn eine moglichst vollstandige Ubersicht tiber aIle entscheidungsrelevanten Merkmale des Beschaffungsmarktes, der derzeitigen Produkte und Anbieter zu gewinnen, ist eine Vielzahl an Informationen zu ermitteln. • Qualitatsproblem: Die Beschaffungsmarktforschung muss sich strategisch ausrichten. Der Entscheidungstrager benotigt hochaggregierte und komplexe Informationen, urn die Zielbeitrage seiner Beschaffungsmarketinginstrumente zu erkennen. • Aktualitatsproblem: Die standige Aktualisierung der Daten ist muhselig und verursacht einen hohen Zeitaufwand. Das Informationsspektrum der Beschaffungsmarktforschung lasst sich grob in drei groBe Kategorien einteilen: • politische und wirtschaftliche Umwelt • das Angebot • die Nachfrage 4
VgI. Menze 1993, S. 29 f VgI. Menze 1993, S. 33 f Arnolds/Heege/Tussing 1996, S. 117
242
II Anwendungsbeispiele
Empi rische Untersuchungen haben gezeigt', dass vor allem Informationen, die das Angebot betreffen, wie z. B. Informationen zu Lieferanten, (Produkte, Preise, allgemeines wirtschaftliches Erscheinungsbild der Lieferanten, Produktionskapazitaten des Lieferanten und Vertriebspolitik) vom Einkauf erhoben werden. Auf der Seite der Nachfrage bemtiht man sich, Informationen tiber Beschaffungskonkurrenten zu erhalten. Die Beschaffungsmarktforschung erfilllt die Aufgabe, forderungswurdige Leistungsanbieter im Markt zu finden und soli in weiterer Foige Moglichkeiten aufzeigen, wie diese Untemehmen zieladaquat gefordert werden konnen. Eine weitere wichtige Aufgabe der Beschaffungsmarktforschung ist die Prognose der Entwicklung auf den Beschaffungsmarkten. Dabei sind die diesbeztiglich wirkenden Umweltfunktionen zu erfa ssen und zu analysieren. Das Problem der Beschaffungsmarktforschung liegt nicht in einem Mangel an geeigneten Erh ebungs- und Analysetechniken, sondem in Umfang und Auswahl der notwendigen bzw . als notwendig erachteten Informationen, den relevanten Marktdaten und den sie beeinflussenden sonstigen Umweltdaten," Die PortfolioAnalyse zeigt uns unter Einbezug strategischer Uberlegungen, welche Produktgruppen bei der Auswahl der Beschaffungsobjekte besonders attraktiv sind," 3.1.3 Beschaffungswerbung und Beschaffungsforderung als Instrumente fUr das proaktive Vorgehen im Beschaffungsmarketing Die Beschaffungsmarktforschung bewirkt systematisch einen Informationsfluss vom Markt zum beschaffenden Untemehmen. Bei der Werbung erfolgt der Informationsfluss in umgekehrter Richtung. .Ziel der Beschaffungswerbung ist es, moglichst viele Anbieter als potentielle Lieferanten der benotigten Objekte anzusprechen. Sie dient der Verbesserung der Markt- und Machtposition des beschaffenden Untemehmens, da dadurch der Kreis der potentiellen Anbieter vergrolsert und damit die Konkurrenz der Anbieter untereinander intensiviert wird und grolsere Auswahlmoglichkeiten unter den geeigneten Lieferanten existieren."" Die Zielgruppe ist die Menge der poten ziellen Anbieter. Mit der Beschaffungswerbung werden die Marktforschungs- und Werbeaktivitaten der Anbieter erganzt und unterstutzt." .Eine aktive Beschaffungswerbung dient ebenso der Sicherstellung des Informationsbedarfs der Untemehmung. Aufgabe der Beschaffungswerbung ist es nun, den potentiellen Lieferanten mitzuteilen, daB die beschaffende Unternehmung einen ganz speziellen Informationsbedarf hat, der von den Anbietem zu befriedi-
7
8 9
10 II
Vgl. Lohrberg 1978, S. 106 Vgl. Grochla/Schonbohm 1980, S. 64 Vgl. Kap. 2.2.1 Grochla/Schonbohm 1980, S. 87 Vgl. Grochla/Schonbohm 1980, S. 87
3 Beschaffungsmarketing im Internet
243
gen ist, wenn sie mit der beschaffenden Untemehmung Transaktionsbeziehungen aufnehmen wollen ."12 Die Ausgestaltung der Beschaffungswerbung ergibt sich vor allem aus dem Grad der Komplexitat und Anonymitat des Beschaffungsmarktes. Je komplexer, undurchschaubarer und anonymer der Markt ist, urn so eher ist an den Einsatz der Werbung als beschaffungspolitisches Instrument zu denken. Die Beschaffungswerbung kann also mithelfen , Beschaffungsmarktunsicherheit zu reduzieren . Das Instrument der Beschaffungsforderung hat die Aufgabe, die Kontakte zu den Marktpartnem aufzubauen und zu erhalten sowie Imagepflege auf den Beschaffungsmarkten zu betreiben, die die Untemehmung als fairen und begehrenswerten Beschaffer darstellt.
3.2 Informationssysteme im Einkauf zur Unterstutzung des strategischen Einkaufs Das Thema Informationssysteme im Einkauf wird vom Autor dieser Arbeit in vielschichtiger Weise behandelt. 1m Rahmen von Forschungsprojekten werden Praxisprojekte und Fallstudien in der Wirtschaft durchgeftihrt. 1m Rahmen von Fallstudien wurden bereits tiber filnfzig Untemehmen in Osterreich jeweils vor Ort mittels umfangreicher empirischer Untersuchungen analysiert ." Fur die Analyse bestehender Informationslandschaften im Einkauf wahlten wir die Methode der mtindlichen Befragung und Archivanalysen. Die bestehenden Informationssysteme konnten vor Ort kennengelemt und begutachtet werden . Die Form des Intensivinterviews bringt den Vorteil , eine strukturierte Flexibilitat in der Erhebung zu erhalten ." 1m ersten Schritt wurden Auskunfte tiber das Untemehmen im Allgemeinen, dem Aufgabensystem im Einkauf im Besonderen und die EDV -Landschaft generell erhoben. 1m Anschluss daran standen die verschiedenen EDV-Anwendungen im Einkauf im Mittelpunkt der Betrachtung, auch das organisatorische Umfeld zur Betreuung (Benutzerservice und Schulung) wurde beleuchtet. Die Untemehmen verteilen sich nach Unternehmensgrobe und Branche wie in den Abbildungen 11-6.1 bis 11-6.3 ersichtlich ist.
12
13
14
Grochla/Schonbohrn 1980, S. 88 Die Fallstudien wurden vom Autor mit teilweiser Unterstlitzung von Studenten durchgeflihrt. Dadurch gewinnen die Studenten fruhzeitig einen Einblick in die Praxis . Nahere Informationen zu den Fallstudienpartnern finden Sie unter http://beschaffung.atl fpartner.htm . Vgl. Lachnit 1989, S. 60
244
II Anwendungsbeispiele
UnternehmensgriiBe nach Mltarbelter
Abb. 11-3.2 Untemehmensgrolie nach Mitarbeiter Wlrtschaftssektoren
Gewerbe
Olenstlelstungen
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0010
Abb. 11-3.3 Wirtschaftssektoren
FUr administrative Aufgaben im Einkauf wird die Informations- und Kommunikationstechnik in allen mittelstandischen Unternehmen und GroBbetrieben intensiv genutzt. In allen mittelstandischen Produktionsunternehmen setzt man fur die Bestellabwicklung Einkaufssoftware, meist betriebswirtschaftliche Standardsoftware oder eigenentwickelte Software ein. Diese Softwarelosungen sind meist Teil einer integrierten Losung. Erganzend verwendet man den PC fUr Angebotsvergleiche, individuelle Kalkulationen, Berichte und die Korrespondenz im Einkauf. Das Internet wird ebenfalls fUr administrative Aufgaben genutzt, sei es in der Anfragephase bei der Suche nach potenziellen Lieferanten oder in der Kommunikation mit Lieferanten durch Verschicken von E-Mails. Wie schon im 2. Kap . beschrieben, verfUgen bereits aIle mittelstandischen und groBen Unternehmen, die in den Fallstudien untersucht wurden, Uber einen
3 Beschaffungsmarketing im Internet
245
Intemetzugang im Einkauf." Dabei ist zu beachten, dass in unserer Untersuchung mittelstandische und groBe Untemehmen tlberproportional stark berucksichtigt sind.
Branchen 1m Wlrtschaftssektor Indust rle Nahrungs- und
GenuBmlttel Gas-und
3%
Wirmeversorgung
Eisenerzeugung 3%
7%
Baulndustr le 5%
Holzvorarbollung
10%
Kunststo~~=:.arbeiIUng-{;~~~
Papiererzeugung 3%
Anlagenbau
11%
Fahrzouglndus!rio 10%
Maschlnon- und 5lahlbau 16%
Abb. 11-3.4Branchen im Wirtschaftssektor Industrie
Ganz anders sieht die EDV-Unterstlitzung im Bereich Management Support aus. Nur vereinzelt findet man Losungen. Meist gibt es vorgefertigte Auswertungen aus dem Hostsystem und individuelle Berichte mit PC-Standardsoftware. Das Beschaffungsmanagement nutzt erst vereinzelt den Computer zur Unterstiitzung ihrer Aufgaben. Fur die Beschaffungsmarktforschung ist der Einsatz der EDV sehr stark von der Unternehmensgrobe abhangig . Wahrend in GroBbetrieben die Mehrzahl der Untemehmen dieses Instrument einsetzt, findet man in Mittelbetrieben nur wenige Untemehmen, die systematisch Beschaffungsmarktforschung mit EDV-Unterstiitzung" betreiben.
15 16
Den Anstieg der Intemetnutzung im Einkauf seit 1995 zeigt Abb. II-2.1. Zur EDV-Untersttitzung wollen wir CD-ROM-Anwendungen, wie "Wer Iiefert was" nicht zahlen ; diese Anwendungen sind in den meisten Unternehmen vorgefertigt vorhanden.
246
II Anwendungsbeispiele
Die Zusammenhange sehen Sie in folgender Abbildung:
cBeschaffung sm arktfo rschun g in Abhangigkeit von der Betri eb sgrolle 100%
r-~~~~~~~~--~~~~~~~~~~~~~~~~,
77,778 %
75%
t--~~~~~~--~~~~~~~~~~~~~-
50 %
t--~~~~~~~~~~~~~~~~~~~~-
25 %
t--~~~~~~~~--'---~~~~-,
0%
0,000 %
t--~~~~~-.-~-
Kleinbetriebe
Mittelbetriebe
groBe Mittelbetriebe
GroBbetriebe
Abb. 11-3.5 Beschaffungsmarktforschung mit EDV-Untersttitzun g in Abh angigkeit von der Betriebsgrofie
Die EDV -Untersttitzung fur die Beschaffungsmarktforschung beschrankt sich meist auf lokale PC-Datenbanken. Der zeit gibt es kaum strukturierte Beschaffungsinformations systeme, die auf Internet-Anwendungen aufbauen. Man verwendet das Internet zwar im Einzelfall zur Informationssuche, einzelne Intern etQuell en werden in der Regel in individuellen Bookmark-Listen abgelegt, aber meist nicht systematisch im Intranet mit Datenbankunterstiitzung verwaltet. Beschaffungswerbung im Internet wird in Osterreich erst in Ansatzen betrieben.' ? Grundsatzlich bietet das Internet neben den allgemein bekannten Vorteilen (Informationsbesch affung und -verteilung ist wesentlich einfacher, Einsparung von Kommunikationskosten, schnellere Kommunikation, orts- und zeitunabhangige Kommunikation 18) viele besondere Vorteile fur die Beschaffung:
171m Rahmen einer Studie zum Thema Beschaffungswerbung im Internet (Juli 1999) stellten wir fest, dass in den 100 grofsten Unternehmen in Osterreich nur ca. 6 % tiber eine Einkaufshomepage verfiigen. 18 Vgl. Kap . 1.1.2
3 Beschaffungsmarketing im Internet
247
• Verbesserung der C-GUter-Beschaffung durch effiziente Einkaufsprozesse im Intranet und Extranet (Vermeidung von Medienbruchen)'? • Interessante Quellen fur die Beschaffungsmarktforschung • Unterstlitzung der proaktiven Beschaffung durch Beschaffungswerbung im Internet • Unterstlitzung der Pflege der Lieferantenbeziehungen • Neue Formen der Zusammenarbeit in der Beschaffung werden moglich ("Virtuelle Communities" im Einkauf) Im Folgenden werden erste Ansatze fur die Beschaffungsmarktforschung und die Beschaffungswerbung im Internet vorgestellt.
3.3 Beschaffungsmarktforschung im Internet 3.3.1 Aligemeines In der Beschaffungsmarktforschung unterscheidet man die Primarforschung und die Sekundarforschung. Wahrend es in der Primarforschung urn die Analyse neuer, bisher unbekannter Informationen geht, greift die Sekundarforschung auf bereits vorhandene Informationen zu . Sekundarstatistische Informationsquellen gibt es in vielfaltiger Form. Bei Katalogen, Preislisten, Werbematerial, Geschaftsberichten und Hauszeitschriften handelt es sich urn Veroffentlichungen von Anbietern und Nachfragewettbewerbern. Zusatzlich gibt es interessante Informationen auf Messen und Fachtagungen. Vielfaltige Veroffentlichungen werden von Dritten erstellt, z. B. Fachzeitschriften und -bucher, Tageszeitungen, Adressbucher, Branchenhandbucher, Bezugsquellenverzeichnisse, amtliche Statistiken, Informationsdienste von Banken, Wirtschaftsverbanden, Industrie- und Handelskammern. FUr sekundarstatistische Quellen wird das Internet eine besondere Bedeutung erlangen, da eine Vielzahl von Informaionen bereits heute im Internet verfugbar ist.
3.3.2 Ausqewahltes Fallbeispiel aus der Praxis: Greiner Bio-One Die Firma Greiner Bio-One erzeugt Produkte fur Labors und Krankenhauser, wie das B1utentnahmesystem Vacuette, Pipettenspitzen und ReagenzgefaBe und Erzeugnisse fur Biotechnologie und Forschung, z. B. Spezialgefalie fur Gewebekulturen, Platten und Rohrchen fur die Immunologie. Produktionsstatten gibt es in Osterreich, Deutschland, England, Ungarn und Spanien. Die Labortechnik ist weltweit in mehr als 80 Landern am Markt prasent. Die Firma ist derzeit noch in einer starken Wachstumsphase mit einem durchschnittlichen Wachstum von ca . 20 - 30 % jahrlich. Greiner Bio-One ist Teil der Greiner-Holding. 19
Vgl. Kap. 2.3
248
II Anwendungsbeispiele
Ausgangspunkt fur das Internet-Proj ekt ist ein Forschungsprojekt des Autors zum Thema Management Support fur die Beschaffung mittel standi scher Produktionsunternehmen.P Zur Erweiterung des bestehenden Filhrungsinformationssy stems wurde ein neues Projekt von Greiner Bio -One mit dem Institut fUr Datenverarbeitung der Universitat Lin z gestartet. Dabei gab es folgende Zielsetzungen : I. 2. 3.
Nutzenpotenzial des Internets fur das Beschaffungsmarketing in der Kunststoffverarbeitung demonstriert am Beispiel Greiner Bio-One. Evaluierung der im Internet angebotenen Informationen aus der Sieht der Einkaufsleitung. Wie lasst sich das Internet als Information smed ium in das bestehende Ftihrungsinformationssystem integrieren ?
Unser Vorgehen im Projekt begann mit einer grundlichen Istanalyse der bestehenden Informationsquellen fur den Einkauf im Internet. Dazu wurde im Rahmen eines IDV-Fallstudienseminars am Institut fur Datenverarbeitung ein Linkboard als Prototyp entwickelt. Unter einem Linkboard soll eine strukturierte Sammlung und Aufbereitung der Links, die im WWW fur den Einkauf von Interesse sind bzw. benotigt werden , verstanden werden . Im letzten Schritt erfolgte eine Bewertung der einzelnen Quellen mit den Einkaufsleitem." Die Informationen wurden nach folgenden Hauptgebieten strukturiert: I. 2. 3. 4. 5. 6. 7. 8. 9.
Lieferanten Material (insbesondere Rohstoffe) Marktinformationen Mitbewerber Messen Institutionen Travel-Management Medien Allgemeine Einkaufsinforrnationen
In den Anfangen der Internet-Nutzung im Einkauf von Greiner-Labortechnik war es ublich, vorgefundene Informationsquellen in individuellen "Bookmark-Listen" zu verwalten. Mit der strukturierten Aufbereitung der Informationen wird ein schneller und benutzerfreundlicher Zugriff uber eine gemeinsame Plattform gewahrlei stet . Diese Informationen werden im Intranet bereitgestellt und auch anderen Abteilungen im Unternehmen (z. B. Produktmanagement und Qualitatssicherung) zugangig gemacht.
20
21
Die Zusammenarbeit mit Firmen wird durch spezielle Forschungsvertrage geregelt. Nahere Infonnationen zu den Projekten und Intemet-D ienstleistungen im Einkauf finden Sie unter http://einkauf.oesterreich.com Diese Phase wurde durch eine Diplomarbeit mit dem Titel "Nutzenpotentiale des Internet fur das Beschaffungsmarketing in der Kunststoffverarbeitung dargestellt am Fallbeispiel von Greiner Labortechn ik" von Herrn Christian Schreiberhuber begleitet.
3 Beschaffungsmarketing im Internet
249
Evaluierung der Informationen aus der Sieht der Einkaufsleitung: Durch die Informationsstrukturierung im Linkboard ergeben sich bereits groBe Vorteile, da ein schneller und benutzerfreundlicher Zugriff auf die relevanten Informationen gewahrleistet ist. Besonders ntitzliche Informationen finden sich aus der Sicht des Einkaufsleiters bei Rohstofflieferanten, die interessante neue Produktinformationen und technische Datenblatter fur spezielle Rohstoffe auf ihren Web-Server stellen 22, weiters im Hauptgebiet Kunststoffplattforrnen-' und in der Kategorie Messen und Travel-Management. Urn jene Produktbereiche zu identifizieren, fur die der Internet-Einsatz im Sinne der Beschaffungsmarktforschung sinnvoll erscheint, wurden strategische Oberlegungen miteinbezogen und Portfolioanalysen durchgefuhrt, Das bestehende Linkboard erfordert einen standigen Pflegeaufwand. Wenn auch die Unterstiltzungstools zur Pflege und Administration standig erweitert und verfeinert werden, bleibt die letztendliche Evaluierung der Information den Fachkraften im Einkauf vorbehalten.
Fazit Das Internet ist fur den Einkauf von Greiner Bio-One bereits unumganglich notwendig und als allgemeines Werkzeug zur Informationsbeschaffung und -suche nicht mehr wegzudenken, da die Aktualitat und der schnelle Zugriff jedem anderen Medium tiberlegen ist. Viele wichtige Zusatzinformationen tiber Normen und Vorschriften sind nur mehr tiber das Internet sinnvoll abfragbar. In einem weiteren Forschungsprojekt des Instituts fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Universitat Linz wurde fur ein Maschi nenbauunternehmen ein individueller Webkatalog fur den Einkauf aufgebaut. In diesem Katalog befinden sich derzeit mehr als 500 einkaufsrelevante Links, mehr als 40 Einkaufer arbeiten mit diesem Katalog.
3.4 Beschaffungswerbung im Internet 3.4.1 Allgemeines
Einkaufsabteilungen entdecken vermehrt die Vorteile des Internets, vor allem bei der Suche nach neuen Lieferanten und in der Kommunikation mit extern en Part nern wird das Internet schon haufig genutzt. Eher selten findet man Einkaufsabteilungen, die das World-Wide-Web als Prasentationsplattform fur die gezielte Bearbeitung des Beschaffungsmarktes zum Verteilen von Information an potenzi22
23
Die Qualitat der Informationen einzelner Rohstofflieferanten im WWW ist sehr unterschiedlich. 1m einfachsten Fall finden sich nur allgemeine Unternehmensinforrnationen, die fur den Einkauf von sekundarem Interesse sind. Die Kunststoffplattformen wurden in der Diplomarbeit detaillierter dargestellt und diskutiert .
250
II Anwendungsbeispiele
elle Lieferanten nutzen . Diese neue Art potenzielle Lieferanten anzusprechen soil in der Foige anhand von Fallbeispielen aus der Praxis diskutiert werden. Wahrend in Osterreich kaum Ansatze in diese Richtung erkennbar sind>, findet man im intemationalen Umfeld, vor allem in den USA und Japan, bereits mehrere interessante Beispiele." Eine Pionieranwendung auf diesem Gebiet in Deutschland war die Procurement-Homepage von Mannesmann VDO. Dieses Projekt wurde bereits in Fachzeitschnften" und auf Einkaufertagungen" vorgestellt. Bekannte Beispiele zu diesem Thema sind die Einkaufshomepage von ZF-Sachs und Bosch sowie in Osterreich die Einkaufsportale der Firmen Intemorm Fenster AG und Team7 Nattirlich Wohnen."
3.4.2 Ausgewahlte Fallbeispiele aus der Praxis: Internorm Fenster AG
FUr die Intemorm Fenster AG wurde zum Thema Procurement-Portal ein sehr erfolgreiches Projekt mit dem Institut fur Datenverarbeitung durchgefuhrt. Die Intemorm Fenster AG ist Osterreichs grofster Fensterproduzent und gehort mit einem Umsatz von 160 Millionen Euro im Jahr 2000 zu den drei grolsten Fensterherstellem in Europa. Die Produktion belief sich 2000 auf 786000 Einheiten. Es werden Fenster aus Kunststoff, Holz und Aluminium sowie Hausttiren aus Aluminium und Holz produziert. Das Einkaufsvolumen betrug 2000 88 Millionen Euro. Der strategische Einkauf von Intemorm ist verantwortlich fur die Auswahl aller Lieferanten im Konzem. Im strategischen Einkauf von Intemorm arbeiten sieben Leadbuyer und drei Assistenten. Die Bestellabwicklung erfolgt dezentral in den jeweiligen Produktionsstandorten bzw. Niederiassungen. Im Rahmen des gemeinsamen Projektes Procurement-Homepage wurde mit dem neuen Ansatz die Procurement-Homepage urn eine Workflow-Komponente fur elektronische Ausschreibungen zu einem Procurement-Portal erweitert. Damit konnte die Effektivitat des Ansatzes durch Prozesskosteneinsparungen in der Anbahnungsphase wesentlich verbessert werden. 24
25 26 27
28
Vgl. Kap. 3.2. Das Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Universitat Linz fuhrte Mitte des Jahres 1999 (Juni/Juli) eine empirische Erhebung zum Thema .Beschaffungswerbung im Internet" durch. Ziel der Befragung war es, festzustellen , inwieweit die groflten osterreichischen Unternehmen bereits Beschaffungswerbung im Internet betreiben und eine Procurement-Homepage aufgebaut haben. Zielgruppe der Erhebung waren die 100 grotiten Unternehmen in Osterreich , Eine Rlicklaufquote von 35 %, die fur eine Befragung einen sehr hohen Wert darstellt, zeigt, dass der Thematik vonseiten des Einkaufs eine hohe Bedeutung zugesprochen wurde. Vgl. http//einkauf.oesterreich.com/info/start.asp: Der Einkaufsleuchtturm im Internet ; Rubrik Procurement-Homepages und Beschaffungswerbung Vgl. Mohr 1998a Vgl. Mohr 1998b Vgl. http//einkauf.oesterreich.com/info/start.asp: Der Einkaufsleuchtturm im Internet ; Rubrik Procurement-Homepages und Beschaffungswerbung, Untergruppe PH-Osterreich
3 Beschaffungsmarketing im Internet
251
Ausgangssituation: Im Wintersemes ter 2000 wurde mit dem Projekt begonnen. Die Zusammenarbeit des Instituts fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Universitat Linz mit der Firma Internorm war durch einen Forschungsvertrag geregelt. Die Erstellung des Procurement-Prototypen erfolgte mit Unterstiitzung von Studenten." Zu dieser Zeit verfugte man im strategischen Einkauf von Internorm tiber Internetanschlusse, die Verwendung beschrankte sich auf die Kommunikationsdienste WWW und E-Mail. Die Beschaffungsmarktforschung wurde vor allem mit bekannten Einkaufsdatenb anken (z. B. Wer liefert was ? oder ABC der Deutschen Wirtschaft) betrieben, spezielle Kenntnisse zu elektronischen Marktplatzen, Ausschreibungsplattformen und reverse auction fehlten . In der Schwachstellenanalyse kam zu Tage, dass der Einkauf noch keine Webprasenz im Internet hatte . Es gab viele Medienbrtiche in der Anbahnungsphase durch die Nutzung unterschiedlicher Medien, wie Telefon, Fax und E-Mail. Bestehende EDV-Anwendungen, wie z. B. das ERP-System und verschiedene PC-Anwendungen, waren nicht integriert. Gleich zeitig existierten noch viele schriftliche Aufzeichnungen auf Papier. Dadurch kam es bei der Bearbeitung von Dokumenten zu relativ langen Durchlaufzeiten. Fur die strukturierte Bearbeitung der Beschaffungsinformationen fehlte eine Marktforschungsdatenbank, seitens des Einkaufs bestand immer eine Holschuld fur die Informationsbeschaffung. Urn die bestehenden Schwachstellen auszumerzen , wurde das Projekt Procurement-Homepage gestartet.
Istzustandsanalyse: 1m Vorgehen konzentrierten wir uns vorerst in einer grtindlichen Istanalyse auf die Analy se der bestehenden Anbahnungsprozesse und die Uberlegung, fur welche Produktgruppen die Procurement-Homepage geeignet ist. Dazu wurde das Materialportfolio von Kraljic eingesetzt (vgl. Abb. II-2 .6). Ftir eine Procurement-Homepage eignen sich besonders Hebelprodukte. Zusatzlich analysierten wir bestehende Procurement-Homepages im Internet. Konzept und Umsetzung: Die Einkaufshomepage im Internet ist grundsatzlich ein guter Ansatz , von der Holschuld des Einkaufs in der Informationsbeschaffung zu einer Bringschuld der Information durch den Lieferanten zu kommen. Mit einem proaktiven Ansatz prasentiert sich der Einkauf im Internet und wirbt urn neue Lieferanten. Im ersten Schritt kann sich der potenzielle Lieferant auf der zweisprachigen Einkaufshomepage einen Oberblick tiber den Internorm-Einkauf verschaffen. Der strategische Einkauf prasentiert seine Einkaufsphilosofie und seine Mitarbeiter mit der Moglichkeit zur personlichen Kontaktaufnahme. Mit der Bedarfstibersicht werden die konkreten Bedarfe an Produkten und Dienstleistungen publiziert. Damit kommt der potenzielle Lieferant bereits zu einer ersten Einschatzung, ob er als Lieferant fur Internorm in Frage kommt und kann sich mittels Fr agebogen fur eine Produktgruppe bewerben . Mit der Bewerbung des
29
Der erste Prototyp wurde im Rahmen eines Projektstudiums ABWL des Instituts fur Datenverarbe itung im Wintersemester 2002 erstellt.
252
II Anwendungsbeispiele
Lieferanten gelangen automatisch die Daten des ausgefullten Fragebogens in die Marktforschungsdatenbank von Intemorm, und konnen nun vom Einkauf gepruft werden. Der neue Anbahnungsprozess stellt sich wie folgt dar: Um bel uns Lieferant zu werden, mussen folgende Verfahrensschritte eingehalten werden:
Abb. 11-3.6 Neuer Anbahnungsprozess
Die Gestaltung des Fragebogens ist mit groBer Sorgfalt vorzunehmen. 1m Fragebogen soIlten aIle wichtigen Fragen beinhaltet sein, die es dem Einkauf ermoglichen, abzuschatzen inwieweit der Lieferant geeignet ist an einer Ausschreibung teilzunehmen. Neben der Firmenadresse, der Ansprechperson und allgemeinen Firmendaten sind Fragen zum Qualitatsmanagernent, zu Fertigungsmoglichkeiten bzw. -technologien oder Kundenreferenzen von groBer Bedeutung. Nach Absenden des Fragebogens erhalt der potenzielle Lieferant eine kurze Mitteilung mit einer E-Mail. AIle Bewerbungen stehen nun dem Leadbuyer im Einkauf zur Priifung zur Verfugung. Nach Prufung auf Eignung fur die jeweilige Produktgruppe wird der potenzielle Lieferant fur die jeweilige Produktgruppe entweder freigegeben, gesperrt oder verworfen. Die gepriiften und freigegebenen Lieferanten erhalten die Logindaten mit personlichem Passwort und stehen damit automatisch
3 Beschaffungsmarketing im Internet
253
fur zuklinftige Ausschreibungen zur Verfligung. Mit den Logindaten kann der registrierte Lieferant jederzeit seine Daten pflegen. Die Startseite des Procurement-Portal s ist aus folgender Abbildung ersichtlich.
Into I
Generelle Sew
istrierung aktualisieren
Abb . 11-3.7Procurement-Portal von Intemonn (http://purchasing.intemonn.at)
In der Folge wird das fur Internorm maBgeschneiderte Ausschreibungstool kurz beschrieben. Die Ausschreibungslibersicht wird dynamisch aus einer Datenbank generiert und in Form eines Bedarfsbaumes mit der Anzahl der gerade aktuellen Ausschreibungen dargestellt." Auf einer Ebene tiefer sieht der Lieferant die produktgruppenspezifische Ausschreibungslibersicht. Die einzelnen Ausschreibungen sind untereinander aufgelistet. Jede einzelne Ausschreibung wird kurz beschrieben . AuBerdem hat der Lieferant die Moglichkeit, sich in der Positionsubersicht samtliche Positionen der Ausschre ibung anzusehen . Dabei werden wiederum alle Ausschreibungsdaten aus der Datenbank generiert, nachdem der Leadbuyer die Ausschreibung eingegeben hat. Nahere Informationen zur Ausschreibung wie z. B. Detailzeichnungen und zusatzliche Informationen werden auf der allgemein zuganglichen Ausschreibungsseite nicht publiziert. Diese Informationen konnen zwar vom Leadbuyer bei der Erstellung einzelner Positionen als Linkdateien angefugt werden, stehen aber nur freigegebenen Lieferanten zur Verfligung. Fur jede Ausschreibung wird ein Internet-Formular mit den Ausschreibungs- und Positionsdaten aus der Datenbank erzeugt. Die freigegebenen Lieferanten erhalten in einem E-Mail einen Link auf dieses Formular. In diesem Formular stehen die Dateien als Link zur Verfligung. Ein neuer potenzieller Lieferant kann nur an einer Ausschreibung teilnehmen, wenn er sich vorher registriert hat und vom Leadbuyer
30
Vgl. http://purchasing.intemonn.at/a_line3.asp(2.Mai2002)
254
II Anwendungsbeispiele
freigeschalten wurde. Der Lieferant hat nun die Moglichkeit, seine Angebotsdaten nach Einwahl mit Passwort online in der Datenbank zu hinterlegen . In der Foige gibt es fur die Leadbuyer von Intemorm einen elektronischen Angebotsvergleich. Das Ergebnis des Angebotsvergleichs kann in einer Excel-Vergleichstabelle abgerufen werden. Dabei ist es moglich eine Gesamtansicht Lieferanten mit der Gesamtsumme (unter Beriicksichtigung von Bonus und Skonto) tiber aile Lieferanten aber auch einen positionsweisen Lieferantenvergleich zu erstellen. Zusat zlich kann man in einer Detailansicht pro Lieferanten aile Positionen auflisten. In einer eigenen Einkauferseite konnen aile wichtigen Stammdaten, die den Bedarfsbaum , den Teilekatalog, die Lieferanten, den Lead-Buyer, die Wahrung , die Ausschreibung und den Angebotsvergleich betreffen, gewartet werden. Die Freischaltung der Procurement-Homepage erfolgte Anfang Mai 2001, gleichzeitig wurde mit der Bewerbung der Procurement-Homepage in Suchmaschinen begonnen . Bestehende Lieferanten wurden angeschrieben und aufgefordert sich zu registrieren. Derzeit haben sich bereits 250 Lieferanten selbst registriert, auch neue Lieferanten sind dabei . 1m Juli wurde mit den ersten Ausschre ibungen begonnen.
Erfahrungen mit dem Einsatz des Procurement-Portals: Mit dem Procurement-Portal konnten bereits neue Lieferanten gefunden werden . 1m Produktbereich Chemikalien gibt es derzeit 17 registrierte Lieferanten , davon sind fUnf Lieferanten neu durch das Procurement-Portal "generiert" worden. Die Begleitung der Lieferanten ("customer care") in der Anfangsphase ist besonders wichtig. Fur viele potenzielle Lieferanten ist die Nutzung neuer Medien noch relativ ungewohnt. Die Erprobung und der Einsatz des Procurement-Portals brachten aber auch fur die eigenen Mitarbeiter wertvolle Erfahrungen . Bereits heute gibt es viele Anregungen und neue Ideen zur Verbesserung des be stehenden Ansatzes, die in eine Weiterentwicklung einflieBen werden. Erste Anforderungen fur den weiteren Ausbau des Portals liegen bereits vor. Damit konnte die Medienkompetenz der Mitarbeiter im strategischen Einkauf wesentlich gestarkt werden und ein wesentlicher Beitrag zum "Change Management" geleistet werden.
3.5 Schlussbetrachtung Das Internet bietet interessante Unterstutzungsmoglichkeiten fur das Beschaffungsmarketing. Die Beschaffungsmarktforschung und die Beschaffungswerbung wurden anhand konkreter Praxisprojekte in diesem Beitrag diskutiert. Das Internet bietet der Beschaffung aus strategischer Sicht viele Ansatzpunkte, Erfolgspositionen abzusichern und neue Erfolgspositionen aufzubauen. Neben einer kostengtinstigeren Beschaffung starkt die Internet-Technologie in gleicher Weise die Wettbewerbsfaktoren Service, Zeit und Flexibilitat."
31
Vgl. Bogaschewsky 1999, S. 41
3 Beschaffungsmarketing im Internet
255
Wenn auch beide Konzepte in der Praxis vor allem in kleineren und mittel standischen Firmen erst in Ansatzen zu finden sind, ist es abzusehen, dass in naher Zukunft viele Firmen diese interessanten Moglichkeiten nutzen werden . In einem neuen Forschungsprojekt des Instituts mit dem Titel "Gemeinsam erfolgreich einkaufen im Netz" wird die Idee der Beschaffungswerbung im Internet auf eine grobere Plattform gestellt. Es bleibt zu wtinschen, dass der Einkauf die groBen strategischen Nutzenpotenziale erkennt und zum Wohle des Unternehmens moglichst fruhzeitig ausschopft.
Literatur Arnolds/HeegelTussing (1996), Arnolds, Hans, Heege, Franz und Werner Tussing , Materialwirtschaft und Einkauf, 9. Auflage, Wiesbaden, 1996 Bogaschewsky (1999), Ronald, Internet-Technologien scharfen die strategischen Waffen, in Beschaffung aktuell, 3/99, S. 40-43 Dastani (1998), Parsis, Online Mining , in: Link, Jorg (Hrsg.), Wettbewerbsvorteile durch Online Marketing : Die strategische Perspektiven elektronischer Markte , Berlin, 1998 Galweiler (1990), Aloys, Strategische Unternehmensfuhrung, Frankfurt, New York, 1990 Grochla/Schonbohm (1980), Grochla, Erwin und Peter Schonbohm, Beschaffung in der Unternehmung : Einfiihrung in eine umfassende Beschaffungslehre, Stuttgart , 1980 Hochwarter (1999), Karl, Durch Lieferantenreduktion zu mehr Effizienz im Einkauf, Vortrag auf der IIR-Fachkonferenz Mehr Kosteneffizienz im Einkauf, Wien, 1999 Lachnit (1989) , L., EDV-gestlitzte Unternehmensfiihrung in mittelstandischen Unternehmen, Munchen 1989 Lohrberg (1980), Werner, Grundzuge der Beschaffungsmarktforschung, Bochum, 1978 Menze (1993), Thomas, Strategisches Internationales Beschaffungsmarketing, Stuttgart 1993 Mohr (1998a), Dagmar, Purchasing goes online: Neue Instrumente des Einkaufsmarketing, in Beschaffung aktuell, 7/98, S. 50-53 Mohr (1998b), Dagmar, Die Einkaufshomepage als innovative Methode des Beschaffungsmarketing, Vortrag anlablich des .Neuen Osterreichischen Einkaufsleiter-Forums" am 19.11.1998 in Krems Minahan (1998), Tim A., Buying on the Internet , in: Purchasing Magazine, Newton, MA, 1998
4 Die Prasentatlon oberosterreichischer Kleinverlage mit integriertem Webshop Johann Holler Institut fii r Daten verarbeitung, Johann es Kepler Universitdt Lin:
Das hier dokumentierte Projekt ist in mehrfacher Hinsicht untypisch im Vergleich zu tiblichen E-Business Projekten. Es handelt sich nicht urn ein groBes Unternehmen, sondern urn eine Vielz ahl von kleinen und kleinsten Verlagen, die in der Verlagsland schaft Oberosterreich zusammengeschlossen sind. Die Schwierigkeiten einer komplexen Struktur und das ganz unterschiedliche Verstandnis und Engagement fur die Bedeutung des Internet haben letztendlich auch dazu gefuhrt, dass der Auftritt von einem der beteiligten Veriage "in die Hand genommen" wurde ; das Projekt ist seit Mitte des Jahres 2000 im Internet abrufbar unter dem Namen ..www.eurojournaI.at...
4.1 Aufgabenstellung Die zentrale AufgabensteUung war es, eine Plattform fur Informationen tiber die oberosterreichischen Autoren und die regionale Literaturszene ins Internet zu bringen . Neben der unmittelbaren Prasentation der Produkte soUte auch ein Veranstaltungskalender angeboten werden, der tiber themenverwandte Kultur- bzw. Literaturevents informiert. Das Projekt wurde in Zusammenarbeit mit dem Verlag Kultur-Plus realis iert, der selbst die Zeitschrift EuroJourn al herausgibt und bereit war, fur die anderen interessierten Partner der Verlagslandsch aft Oberosterreich gegen geringes Entgelt die Wartung der Informationen zu tibernehmen. Wenngleich es moglich sein soUte, die prasentierte Information auch zu besteUen, war von vorneherein klar, dass der zu erzielende Umsatz keine Finanzierung des Projekts einspielen wurde. Die Erstentwicklung des Projekts wurde durch Kulturforderungen untersttitzt und eine dominierende Pramisse fur die Entwicklung war die Minimierung von Kosten im laufenden Betrieb.
258
II Anwendungsbeispiele
4.2 Content-Management-System Basis der geplanten Inhalte waren wie in vielen Hillen sonst auch gedruckte Materialien. Es gab periodisch aktualisierte Prospekte der Verlagslandschaft Oberosterreich, in denen jeweils ein Auszug des aktuellen Produktspektrums dargestellt wurde. Die Anforderung an das Internet-Angebot bestand natiirlich in hoherer Aktualitat, d. h. es sollte moglich sein , beim Neuerscheinen eines Buches dieses sofort auch im Internet zu prasentieren. Da ein literarisches Werk tiber sehr viele Wege gefunden werden kann (Name des Verlags, Name des Autors, Titel des Werkes, Schlagworte), ware es sehr aufwendig gewesen, solche Inhalte auf statischen Webseiten darzustellen. Aufgrund dies es Ergebnisses der Aufgabenanalyse ergab sich die Anforderung, den Content in einer Datenbank abzulegen und die Seiten dynamisch zu generieren. Damit konnte gleichzeitig der Wunsch des Auftraggebers realisiert werden, die Pflege der Inhalte mit einer grafischen Benutzeroberflache zu errnoglichen und keine Kenntnisse in HTML vorauszusetzen .
4.3 Rahmenbedingungen fur die Realisierung Die Entscheidungen, die zu der konkret dann damals gewahlten Form der Realisierung gefiihrt haben, waren von verschiedenen Parametern gepragt, die heute teilweise langst uberholt sind - und daher bei einer Wiederholung der Entscheidung wahrscheinlich zu ganz anderen Ergebnissen fuhren wurden . Man sollte bei derartigen Restriktionen, die im Moment unuberwindlich scheinen, immer daran denken, wie lange diese Beschrankungen wohl dauern werden. 4.3.1 Vorhandene Infrastruktur
Der Verlag verfugte beim Projektstart nur tiber einen Rechner yom Typ Macintosh. Das Projekt sollte daher mit Macintosh gepflegt werden konnen, da die Anschaffung eines eigenen Rechners ausgeschlossen wurde. 4.3.2 Internet-Anbi ndung
Eine ganz wesentliche Forderung war, die (damals noch sehr hohen) Onlinekosten zu minimieren. Die Wartung sollte daher nicht online durchgefiihrt werden, sondern dezentral moglich sein. Das ist zwar bei statischen Seiten problemlos - doch bei einem datenbankgestiitzen System, bei dem auch Kunden Bestellungen und sonstiges Feedback hinterlassen, ist die Synchronisation asynchron veranderter Daten eine nicht triviale Aufgabenstellung. Sie hat daher auch erheblichen Aufwand bei der Realisierung gefordert. Im Nachhinein war dieser Aufwand verge-
4 Web·Prasentation mit integriertem Webshop
259
bens, denn nur wenige Monate nach Inbetriebnahme konnte der Auftraggeber seinen Kabel-Internetanschluss zum Festpreis in Betrieb nehmen. Das System ist zwar immer noch vorteilhaft, wei I es nach der Aktualisierung stets eine Sicherung auf einem getrennten Rechner gibt und das System daher in gewisser Weise der Ausfallsicherheit dient - aber den Entwicklungsaufwand hatte diese Funktion allein nicht gelohnt.
4.4 th 4 Dimension als Realisierungsplattform Aufgrund der Rahmenbedingungen - Datenbank, Apple und Internet - waren die Moglichkeiten ohnedies schon stark beschrankt: die Anschaffung fertiger CMS bzw. Webshop-Losungen schied aus preislichen Grunden aus, so dass gar nicht versucht wurde, ein System zu finden, dass die Funktionen von CMS und Web shop im geforderten MaB verbunden hatte, 4D ist Rapid-Application Development tool, das ursprtmglich von der MacWelt kommt, aber inzwischen auch unter Windows verfligbar ist. Es ist gleichzeitig Entwicklungsumgebung, Datenbankserver und Web-Server. Aufgrund der .All-in-One" Losung gibt es keinerlei Schnittstellenprobleme zu berucksichtigen - und der Lernaufwand fur das System war relativ gering.'
1
Das Projekt wurde im Rahmen einer Diplomarbeit realisiert; der Bearbeiter kannte 4 th Dimension vorher nicht. Vgl. Woisetschlager , H., Elektronische Warenpr asentation mittel s asynchroner, dezentraler Datenwartung am Beispiel eines Kleinverl ages, Linz 2000.
260
II Anwendungsbeispiele
4.5 Das Informationsangebot
(VLO)
MOhlviertel -
Bohmerwald Pyhrn • Eisenwurzen
Herzlich Willkommen! Uteralur aus Oberosterreid1. Eine Vielfalt an
Publikalonen. die QuaJilal verspncnt Die oberoslerreichischen Ver1eger publizieren rn Rahmen der Venagslandschaft
Oberosterreid1 die Weil<e ihrer Autoren in
den Gebieten Uleratur, Lynk, Zeilgeschichle, Landeskunde, Voikskunde, SachoOcher und Esolenk. Das EuroJoumaJ prasentert die aktuellen BOcher und Neuerscheinungen auf dem oberoslerrelchischen BuchmaJ1<1.
• HeimatbOcher Impressum
BucherGewinnspiel
Abb. 11-4.1 Homepage
Abgesehen von der Homepage, die einen eigenen Aufbau hat, aber mit Ausnahme von Header und den fixen Hauptpunkten ebenfalls dynamisch generiert wird, haben die Seiten einen fixen Aufbau. AIle Teile auBer dem jeweiligen Header werden aus der Datenbank generiert. So werden etwa unter dem Punkt "Neuerscheinungen" automatisch aIle Publikationen ausgewahlt, deren Erscheinungsdatum in einem definierten Zeitraum liegt. .A lt" gewordene Bucher fallen daher automatisch aus dieser Liste heraus, ohne dass es irgendeiner Aktion des Verlages bedarf. Jedem Werk wird bei der . Eingabe ein Verlag, ein oder mehrere Autoren sowie Rubriken zugeordnet. Uber aIle diese Wege ist dann ein Werk natnrlich wieder auffindbar - ebenso tiber eine frei definierte Suche, die in zwei Formen angeboten wird. Gefundene Werke werden immer so angezeigt, dass aIle moglichen Begriffe durch Links hinterlegt sind: tiber den Titel kommt man zu einer ausflihrlicheren Beschreibung des Werkes , tiber den Namen zu einer Seite des Autors (mit allfalligen weiteren Werken), mit dem Verlag zur Seite des Verlages usw. Diese voll vemetzte Darstellung ware bei statischer Prasentation nur mit unwirtschaftlichem Aufwand erreichbar.
4 Web-Prasentation mit integriertem Webshop
261
Ole Verlagslandscnan 00
Vorwort Die V erlaqeazene in Oberosterreich entwickelte sich im Laufe der letzton Jahre nicht nur zu einer dor diebteston im cstorroichischan Bundesgebiet. sondern auch zu einer Oberaus produktiven und sehr engagierten.
Abb. 11-4.2 Einstiegsseite Verlagslandschaft Oberosterreich, dynamisch generiert
Naturlich kann jedes gefundene Werk auch bestellt werden ; zu diesem Zweck kann es der ublichen Metapher entsprechend in den Warenkorb gelegt werden. ~ Wa(enl;:{tt b
t>Inr AttoUni
"'·l i!serbl'ief·e , Hill.
77···
VON EINEM, DER AUSZOG Er2ahlungen
"
Autor: Hans Dieter Aigne r Verlag : Edition oro Mente ISBN: 3-901409-29-7 84 Seiten Preis : 120,00 ce (6,72 Euro)
H. D. Aigner, Linzer Autodidakt (Lite ratur, Malerei, Musik ), legt rnit den vier in diesern Band enthaltenen Erzahlungen seine erste Einzelpublikation vor. Vor allem in der langeren ,Titelstory" beschaftigt sich Aigner auf unverwechselbar
Abb. 11-4.3 Suchergebnis mit Bestellmoglichkeit
262
II Anwendungsbeispiele
Klickt man diesen Link an, wird das Werk in den Warenkorb gelegt und dieser angezeigt und es kann die Anzahl eingegeben werden. Im Folgenden werden die Allgemeinen Geschaftsbedingungen angezeigt, die der Bestellung zugrundegelegt werden. Im Sinne des .Llnterschreibens" steht die Scha ltflache zur tatsachlich Absendung der Bestellung erst unter diesen AGB, damit diese nieht leiehtfertigerweise iibersehen werden konnen.
_Journal
;' Wat en kt<m
*' lbr Account
.. Ulsll'rbrid e ~ H i l f.
Bestellung absenden Es stehen Ihnen zwei Mbglichkeiten zum Absenden Ihrer Sestellung zur Verfugung :
1)
Sie besitzen bereits einen Account aus frClheren Einkaufen
Siite gebenSie Username und PaBwort ein!
username :I~~~~~
PaBwort:
IAbsenden II Abb. 11-4.4 Bestellvarianten
AnschlieBend muss dann der Erstbesteller seine Stammdaten eingeben, damit die Zustellung moglich ist. Allenfalls kann er sieh dabei auch einen eigenen Use rnamen und damit einen Account anlegen, urn sieh bei wiederholten Bestellungen diese Dateneingabe zu ersparen. Uber den entsprechenden Menupunkt .Jhr Account", der ebenso wie der Warenkorb immer verftigbar bleibt, konnen diese Daten auch jederzeit geandert werden.
4 Web-Prasentation mit integriertem Webs hop
263
Leserbriefe Leserbrief verfassen
Rheinische Adalbert-Stifter-Gemeinschaft 20.09.2000, von Dr. ArthurBrande Lust auls Lesen 10.07.2000, yon Ulla Reuttner Abb. 11-4.5 Leserbriefe
Wie in einer Zeitschrift ublich, findet sich auch in der elektronischen Ausgabe ein Punkt .Leserbriefe", Die Funktion ist ahnlich einem Leserbrief - die Frei schaltung erfolgtjedoch erst nach Korrektur. Der Verlag entscheidet, ob er Leserbriefe freischaltet und/oder beantwortet - oder sie auch einfach loscht,
4.6 Datenwartung Die Pflege der gesamten Daten - und som it auch die der Bestellungen und Leserbriefe erfolgt im Rahmen einer 4 th Dimension-Anwendung und nicht tiber Internet. Die Grunde fur diese Entscheidung wurden bereits in Kap . 4.3.2. erlautert, Die Datenbankanwendung bietet zweifeIlos einen hoheren Komfort als die Moglichkeiten tiber das HTTP-ProtokoIl - insb . die Moglichkeiten der Unterstiitzung bei den Eingaben. Dennoch ware aus aktueller Sicht die Wartung tiber das WEB wohl als sinn voller anzusehen, weiI dann solche Aufgaben ohne speziellen Client vorgenommen und beispielsweise Informationen tiber Veranstaltungen direkt am Veranstaltungsort noch aktualisiert werden konnten, sofern dort eine InternetVerbindung verfugbar ist. Das Angebot wird laufend gewartet und hat somit seine grundsatzliche Eignung erwiesen; die dahinterliegenden Programme sind im Wesentlichen unverandert seit nahezu zwei Jahren in Betrieb.
5 Electronic Government in der oberosterrelchischen Landesverwaltung Manfred Pils Institut fiir Datenverarbeitung, Johannes Kepler Universitdt Lin;
5.1 Ausgangspunkt BUrger, Untcrnehmungen und Regionen benotigen fur ihre erfolgreiche Weiterentwicklung unter anderem effizient arbeitende offentliche Verwaltungen. Dies gilt in besonderem AusmaB fUr die Potenziale des Electronic Business, die noch besser zum Tragen gelangen konnen, wenn modernes Electronic Government die Kommunikation zu Amtern und Behorden erleichtert und die Ablaufe beschleunigt. Am Beispiel der oberosterreichischen Landesverwaltung wird nachfolgend der bisherige Weg zu einem Electronic Government beschrieben. Der erste offizielle Internetauftritt des Landes Oberosterreich I fand im Juni 1997 statt und war Abschluss der Startphase eines mehrjahrigen Internet-Projektes, das sich (langer als ursprUnglich geplant) mit einzelnen Teilprojekten bis ins Jahr 2000 erstreckte. Vor dieser Zeit gab es keine umfassende, offizielle Prasen z des Landes Oberosterreich im World Wide Web, sieht man von folgenden Ausnahmen ab: Im Jahre 1995 fand eine Berichterstattung tiber dieses Medium anlasslich der osterreichischen Nationalratswahl statt . Diese erfolgte in Kooperation zwischen dem Amt der oberosterreichischen Landesregierung (genauer gesagt mit der Systemgruppe DORIS und der Abteilung Statistischer Dienst) und dem Institut fUr Datenverarbeitung-. Im Jahre 1995 wurden allgemeine Informationen zur Europaischen Union sowie die osterreichischen Ergebnisse der damaligen EUWahl vom Digitalen Oberosterreichischen Raum-Informations-System DORIS und dem Institut fUr Datenverarbeitung prasentiert, Abb . II-5 .1 zeigt die aktuelle Homepage des Landes Oberosterreich; Abb. II-5.2 zeigt die altere Fassung, wic sie sich im Janner 1999 prasentierte. Es folgten zahlreiche weitere Schritte in Richtung Electronic Government, etwa durch eine starke Ausweitung der am World Wide Web angebotenen Inhalte sowie durch EinfUhrung eines Intranets. Das Land Oberosterreich kann damit nicht nur die Servicequalitat fUr seine BUrger weiter anheben, sondern signalisiert auch dem internationalen Publikum entsprechende technische Kompetenz. Erkennbar 1
2
Entspricht im Wesentlichen dem Amt der oberosterreichischen Landesregierung Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Johan nes Kepler Universitat Linz
266
II Anwendungsbeispiele
ist jedoch auch die Fulle der in der nach sten Zukunft noch zu be waltigcnden Aufgaben. Es gilt in diesem Zu samm enh ang, organisatorische und rechtliche Rahmenbedingungen anzupassen , urn die eingeleitete Entwicklung weiterfUhren zu konnen.
Vorsicht beim PilzeSammeln Pilze haben derzeit Hochsaison. FOr Laien ist as j edoch schwierig zu besti mmen , ob ein Pilz giftig ist oder nicht. Die koste nlose Pilzberatung des
Landes06 . hilft dabei. 1m Yorjahr wurden insgesamt 1028 Pilze
untersucht und 227 als giftig befunden. Telefonische InfDS unter 0732177201 14260. Lese" Sie mehr .
it beim Gewinns iell ~
la ndesfamilien1ag in
W. ld h.usen Der Bruckenschlag zw ischen den Generat ionen und des Miteinander cer
Familienmitglieder stenoen beimLendesVideoc lip MOV I Vt,lMV f amilientag in Wa ldhausen im Mittelpunkl .
OO..Familienkarte
IX 2 0 0 Z
Landesausstellung 2002
htlp:IIMIW.
pldschplatsch.at
Abb, 11-5.1 Homepage des Landes Oberosterreich (hup .z/www .ooe.gv.at, 17. 7.2002)
Es kam im Jahre 2001 zu einer Umge staltung der Navigation sowie auch des Inhaltes des Hauptframes, der nunmehr Hinweise auf jeweils aktuelle Ereignisse (z. B. Landesausstellung, Gewinnspiele) enthalt, Zusatzlich wurden Links auf fremdsprachige Seiten eingefUgt. Nachfolgend werden die wichtigsten Rahmenbedingungen und die in den ersten Jahren der Internetprasen z durchlaufenen Aktivitaten im Sinn e einer konti nuierlichen Weiterentwicklung des Electronic Gov ernments bei der oberosterreichischen Landesverwaltung dargestellt.
5 Das Land Oberosterreich im Internet
267
Landtag, R egierung, Ve rwaltung !mil
El.. ,I(htungen
Bilc11U1g, Kultur, Erholung, Soziales !mil
f.·
13ft'}!
Landeskorre sp ond enz, Unser Ob eros terreich,
1~mt1.fWtt) Allgemeines, EU , Gesellscheft,
Personalausschreibungen, Lebensraum, V er anstaltungen u \Virtschaft,
Flitdl!tlllog
EU, Gesellschaft, Lebensraum,
Re(ht
Lande sgesetz e, Suche via IDS rm
WiItsc haft !mil
Publikationen !mil
Abb. 11-5.2 Altere Fassung der Homepage des Landes Oberosterreich (Stand : 29, 1. 1998)
5.2 Ziele und Rahmenbedingungen fur das Internet-Projekt Flir die Prasenz des Lande s Oberosterreich im Internet gab es folgende Ziele und Rahmenbedingungen, die teilwei se erst im Verlaufe des Projektes formuliert oder prazisiert wurden : • • • •
3
Es handelt sich urn ein Service primar fur die Burger des Landes Oberosterreich. Es gibt eine Fokusierung auf die Aufgaben des Landes Oberosterreich. AlS Basis dient der vom Land ausgearbeitete Produktkatalog. Es werden hohe Ansprliche auf die inhaltliche Richtigkeit, die Aktual itat und die Darstellung der Information en gelegt. Einheitliches Auftreten des Landes Oberosterreich bezliglich Informationsdarstellung, zwingendes Verwenden eines einheitlichen Styleguides. In diesem sind das Layout der Seiten und der Seitenelemente, die Farben und die Navigationselemente vorgeschrieben. Uberflus siger HTML-Code ist zu vermeiden. In Abb. 11-5.3 ist das damalige Design anhand einer Menliseite aus dem Umweltbereich zu sehen.'
Wie fur das Medium WWW typisch, unterliegen Inhalt und Layout von WWW-Seiten einer permanenten Ver anderung, so dass die hier darge stellten Abbildungen teilwe ise nicht mehr dem j eweils aktuellen Stand entsprechen.
268
• • • • • • •
II Anwendungsbeispiele
Im Vordergrund stehen Themenbereiche anstelle von Abteilungen und Perso- ' nen Verwenden nur eines einzigen Domainnamens fur World Wide Web (www.ooe.gv.at) und E-Mail-Dienste(ooe.gv.at) E-Mail-Adressen sollen nicht auf Personen, sondem auf Themenbereiche oder Abteilungen verweisen . Links sind nur zu offiziellen Organisationen vorgesehen, es gibt grundsatzlich keine Links zu Firmen . Dezentrale Wartung durch die Fachabteilungen Einsatz einheitlicher Werkzeuge (HTML-Editoren usw.) Das Informationsangebot darf in hochstens funf Navigationsebenen stiukturiert sein.
Luft t)
ZiBle
i;;I
LuftscJl,.'\ilstoffe - Quellen, Wirku;gg,!"iIessur!8:
cO· Abfr{lg.e von D&.ren de! einze1nen Luftmenstellen
U
Belil:htB ilber difJ Luftgi!lt.
0J
SondenneBplQgrarnrne
fEI
SaurerReg§!
i;;I
UV·Strahly;oo:
"
Globale z KJim,~ und TreibhJ;l!ilg~ile
Zwn Thema Innenraumluf( 31e1!(die Gruppe BaubioIogie nliJlere Informationen our Verfiigung.
- - - - - - - - - - - .:il!k - - - - - - - S e i l . ; : n a nfang A Abb. 11-5.3 Standard-Menus eite, gezeigt am Beispiel aus dem Umweltbereich. Der linke Frame ist mit den Landesfarben weiB-rot unterlegt
Zu den technischen Rahmenbedingungen zahlten insbesondere: •
•
4
1m Bereich des Amtes der Oberosterreichischen Landesregierung sind Tausende Endgerate im Einsatz, die eine Nutzung des Intemets und des Intranets ermoglichen. Ein mehrjahriger Umstellungsprozess auf modeme pes mit Windows NT wurde im Jahre 1999 abgeschlosserr', Eingesetzt als Web server-Software wird MS-IIS, je ein Web-Server innerhalb und auBerhalb der Firewall des Landes. Vorher war das Betriebssy stem OS/2 im Einsatz
5 Das Land Oberosterreich im Internet
• • •
• •
269
Als HTML-Entwicklungswerkzeug ist MS Frontpage im Einsatz. Prozedural anspruchsvollere Aufgaben mit Entwicklungssystemen auf Basis von Java oder Java script sind nicht realisiert. Da auch bei der Landesverwaltung relevante Daten in Dat enbanken organ isiert sind, stellte auch die Web-Datenbank-Integration eine Herausforderung fur das Intern et-Proj ekt dar . Es geh t darum, aus Datenbanken heraus dyn am ische Web-Seiten zu gen erieren bzw . Datenbanken via Web -Interface s zu pflegen. FUr die Datenbank-Einbindungen wurden bisher MS Access mit ASP eingesetzt. Es existiert beim Land eine Viel zahl von Anwendungssystemen, die jedoch noch keine Schnittstellen zum WWW aufweisen. Verschltisselungsverfahren werd en bei internen oder externen Mails nicht eingesetzt.
Die rechtlichen Rahmenbedingungen sind bei jeder Aktivitat im Bereich Electronic Government zu beachten . Mangels entsprechender Rechtssicherheit ist vorlaufig der Ein satz aus dem Bereich Electronic Business bekannter Methoden noch nicht moglich . Beispiele dafur sind die Antr agstellung und Bescheidausfert igung via E-Mail oder die Verwendung elektronischer Formulare. In das vom Prasidium des Landes Oberosterreich geleitete Proj ekt waren von Beginn an das Rechenzentrum des Landes , die DTP-/Poststelle sowi e auch Abteilungen, die sich fur einen Internet-Auftritt des Landes Oberosterreich in einen besonders hohen AusmaB engagierten, eingebunden. Das Institut fur Datenverarbeitung begleitete das Projekt aus wissenschaftlicher Sicht und konnte seine mit anderen Internet-Projekten gewonnenen Kenntnisse und Erfahrungen einbringen. FUr die an diesem Projekt beteiligten Mitarbeiter und Mitarbeiterinnen der Landesverwaltung war dies es Projekt insofern eine Herausforderung, als binnen kur zer Zeit neue Ablaufe, Verantwortlichkeiten und Regelungen entw ickelt werden mussten, die einerseits ein einheitliches Auftreten des Landes nach auBen, andererseits ein moglichst hohe s AusmaB an Mitverantwortung und -mitarbeit der zahlreichen Abteilungen und Einrichtungen des Landes errnoglichen soliten . Eine wesentliche Rolle des Instituts fur Datenverarbeitung bestand unter anderem auch darin , beizutragen, dass sich mit fort schreitendem Projekt ein leistungsstarkes Int ernet-Team etabl ieren konnte. Da derartige Projekte die AuBen- und Innenkommunikation des Amtes qualitativ verandern sollten, war es zwe ifellos von Vorteil , dass im Projektteam Personen ihre unterschiedlichen Sichtweisen einbringen konnten . Last not least waren - insbesondere an der Aufbereitung des Informationsmaterials und der Entwicklung von WWW-Seiten - Dutzende von Studenten der Stud ienrichtungen Betriebswirtschaft und Wirt schaftsinformatik der Univ ersitat Lin z aktiv an der Implementierung dieses Projektes beteiligt. Dadurch war es moglich, die in den ersten Phasen bestehenden personellen Engpasse zu mildern.
270
II Anwendungsbeispiele
5.3 Die Phasen der lnternet-Prasenz 5.3.1 Erste Phase: Basisinformationen
Ziel der ersten Phase war es, im ersten Halbjahr 1997 Basisinformationen der oberosterreichischen Landesverwaltung im World Wide Web zu publizieren. Es gab dabei von Anfang an eine klare Strukturierung des Informationsangebotes in die Bereiche Politik/Verwaltung, Recht, Forderung, Beratung/Service sowie Einrichtungen . Unter dem Punkt .A ktuell" werden nicht nur neue Informationsangebote angektindigt, sondern auch laufend die neuesten Informationen des Lan despressedienstes sowie Personalausschreibungen des Landes, der EU-Institutionen und des Europarates veroffentlicht. Zusatzlich wird tiber neue Gesetzesvorhaben (z. B. tiber die beabsichtigte Anderung des Jugendschutzgesetzes), tiber Bauprojekte (z. B. tiber geplante Ortsumfahrungen), wciter tiber Landesausstellungcn und wichtige Veranstaltungen informiert. Zusatzlich wurde in die Bcreiche Geografie, Gcschichte und Statistik gegliedert. Obwohl bei den daftir zustandigen Abteilungen ein groBcs Engagement in Richtung einer umfassenden Prasenz im Internet bestand, musste man sich in Anbetracht der damals knappen zcitlichcn und personellcn Ressourcen zunachst auf ein geringeres Informationsangebot beschranken. Die Bereiche Gcografie und Statistik wurden jedoch in den folgenden Phasen schrittweise ausgebaut. Der Bereich Tourismus, der in den ersten Phasen durch ein Linkboard vertreten war, wurde in weiterer Folge eliminiert.' Die Vorbereitung auf die Anforderungen des Internets war cine dcr wichtigsten Aufgaben der ersten Phase, sowohl was die einzusetzende Technik und Werkzeuge als auch die zu entwickelnden Fahigkeiten und die Motivation der im neuen Aufgabenfeld eingesetzten Mitarbeiter betrifft. Zu den wesentlichsten Aufgaben zahlte weiter die Entwicklung eines Styleguides. Urn die Informationen leichter verwalten und auch zu den Btirgcrn bringen zu konnen, wurde davon ausgegangen, dass die Web-Seiten in einem Format erstellt werden, das ein Ausdrucken in DIN-A4 erleichtert. Es besteht daher fur Gemeindeamter, Banken, Schulen usw . die Moglichkeit, den Btirgern aktuelle Informationen in der gewohnten Papierform mitzugeben. In diesem Zusammenhang sei darauf verwiesen, dass in den Besprechungen des Projektteams immer wieder das Thema aufgegriffen wurde , inwieweit und unter Einsatz welcher Techniken man Merkblatter und Formulare auf dem World Wide Web anbieten und damit das Formularwesen vcrbessern konne, Ein weiteres wichtiges Thema war der effiziente und der aus rechtlicher Sicht korrekte Einsatz von E-Mails . Insbesondere ging es darum, Regcln zu erstcllcn, 5
Erst anlasslich der Neugestaltung der WWW-Seiten im Jahre 2001 wurde eine Tourismusseite wieder in das Angebot aufgenommen, die allerdings nur einen einzigen Link zu www .oberoesterreich.at enthalt,
5 Das Land Oberosterreich im Internet
• • •
271
wie die Mitarbeiter des Landes auf eingegangene E-Mails reagieren sollen, welche E-Mail-Adressen im World Wide Web publiziert werden, ob und in welchen Hillen personliche oder abteilungsbezogene E-Mail-Adressen zu verwenden seien.
Uberlegungen, wie die Akzeptanz des Informat ionsang ebotes des Landes Oberosterreich am World Wide Web insgesamt erhoht werden konnte , waren ein weiteres Thema. SchlieBlich ging es urn die fristgerechte Implementierung des ersten Auftrittes.
- - - - - - - S e ltellallfangA;
Abb. 11-5.4 Startseite von .Zahlen und Fakten"
5.3.2 Zweite Phase: Wahlberichterstattung sowie Zahlen und Fakten
Die zweite Phase umfasste den Zeitraum im Anschlu ss an die erfolgreiche Startphase bis Mitte 1998. Es wurde tiber die Landtags- und Gemeinderatswahlen, die 1997 in Oberosterreich stattfanden, berichtet. Die Wahlergebnisse wurden bis auf die Gemeindeebene in einer ubersichtlichen Weise aufbereitet. In weiterer Folge musste die Projektorganisation und insbesondere auch der Styleguide eine Bewahrungsprobe insofem bestehen , als es urn die Aufbereitung
272
II Anwendungsbeispiele
von Zahlen und Fakten tiber Oberosterreich durch den Statistischen Dienst (Arbeitstitel: .Befund Oberosterreich") ging . Es galt beispielsweise folgende anspruchsvolle Zielvorstellungen umzusetzen : • •
• • •
Wichtige statistische Daten tiber Oberosterreich sollen im World Wide Web auf eine ansprechende Weise dargestellt werden. Die statistischen Daten sollen methodisch einwandfrei und dennoch allgemein verstandlich dargeboten werden. GroBe Tabellen sind in dem dafiir relativ schmalen Hauptframe unterzubringen, gegebenenfalls sind diese Tabellen umzugestalten. Die im Styleguide vorgesehenen Farben sind zu verwenden. Die Arbeitsbelastung der Mitarbeiter des Statistischen Dienstes bei der Datenpflege ist in einem ertraglichen Rahmen zu halten.
Abb. 11-5.4 zeigt die Startseite von .Zahlen und Fakten" . Es werden Eckdaten und Regionalinformationen aus dem Bundesland angeboten, zudem konnen Berichte des Statistischen Dienstes angefordert werden.
ZAHLENUNDFAKTEN W~"siKhei1I)Niiue;ammver'I'eiiiimi lnfiJ1IIilw ~~I ..
" LAND OBEROSTERREICH
Bevolkerungsbewegung 1981 ~1.
1991 R
1996 ~I.
/will
LebeJl.dgllbOrtn.e: guamt Leben.dg'doren.e: weiblich.
17,448 8 ,499
AusliMorgthrt•• (L.b.odgeb. ....)
Dvrehseh . KiIl.del'talLl je Frau (Gesm.tfettilitil::s:nJ:e)
Durehseh. Aher d.er Frau bei der G.hrt
Gestorben.e gesam.t
26,4
13.238
Abb. 11-5.5 Ausschnitt aus einer Seite des Bereiches .Zahlen und Fakten ". Rechts sind die Links zu den betreffenden Zeitreihen und Landervergleichen angeordnet
5 Cas Land Oberosterreich im Internet
273
FUrdiesen Bereich wurde am Institut fur Datenverarbeitung in enger Kooperation mit dem Statistischen Dienst ein Spezialprojekt zum Thema "Visualisierung von Daten im WWW"6 durchgefuhrt. Beim Statistischen Dienst des Landes Oberosterreich liegen umfangreiche statistische Daten in Form von Excel-Tabellen vor. Speichert man Excel-Tabellen als HTML-Tabellen ab, so entstehen unerwunschte Nebeneffekte, wie ein aufgeblahter HTML-Code sowie Abweichungen von den Anforderungen des Styleguides bezuglich Farben, Tabellenbreite usw. Ziel dieses Spezialprojektes war es somit, ein moglichst einfaches Werkzeug zur Umwandlung von Excel-Tabellen in HTML-Dateien zu erstellen . Als Losung wurde ein VBN-Modul entwickelt, mittels dessen der Inhalt der Excel-Tabelle ausgelesen und als moglichst schlanker HTML-Code gespeichert wird. Abb. II-5.5 zeigt am Beispiel das Layout einer derartig entstandenen Web-Seite mit einer Tabelle, in die bei den Einzelpositionen (z. B. .Lebendgeborene gesamt") Links zu Diagrammen (Zeitreihe und Landervergleich) eingearbeitet sind. Da sich die Zeitreihen und Landervergleiche nur bei Bedarf offnen, konnte die Tabelle sowohl ubersichtlich gestaltet, als auch eine tiefergehende Auswertung ermoglicht werden. Bei der Pflege einer derartigen Web-Seite durch den Statistischen Dienst soll in drei automatisierten Schritten vorgegangen werden:" •
• •
Zunachst wird die Haupttabelle vom Excel-Format ins HTML-Format konvertiert, wobei die erforderlichen Erganzungen im Sinne des Styleguides (z. B. die Navigationselemente) erfolgen. Die Linien- und Balkendiagramme werden vorbereitet und im GIF-Format gespeichert. Die von der Haupttabelle mittels Links erreichbaren Diagramme werden erstellt.
Die Zweckmalligkeit des vorliegenden Styleguides wurde insbesondere in der zweiten Phase hinterfragt. Zu Beginn dieser Phase war nicht abzusehen, dass er von Details abgesehen - beibehalten werden konnte . Gewunscht wurde anfangs die Moglichkeit, den linken Frame entfallen zu lassen und somit mehr Platz fur breite Tabellen zu schaffen. Der Diskussionsprozess fuhrte schlieBlich zu der derzeitigen Losung , wobei die Tabellen gestrafft und in ein neues, dem Internet gerecht werdendes Layout gebracht wurden, ohne dass Informationsverluste auftreten. Als wichtige Erkenntnis ergab sich, dass das Medium World Wide Web spezielle Erfordernisse an die Aufbereitung statistischer Daten stellt, denen Rechnung zu tragen ist. Unubersichtliche Tabellen ("Datenfriedhofe") haben - als Angebot fur die Landesburger - in diesem Medium nichts verloren.
Vgl. Grundnig 1998 Visual Basic for Applications Vgl. Grundnig 1998, S. 46 ff
274
II Anwendungsbeispiele
Regionaldaten S""hen"""h
@ Gemeinden
eac c azs u i
1 Kl.M.
li2EQ.F;fiITJ.YYLE.Y1: Q Bezirke Q Sonderregionen Q Oberosterreich
- - - - - - - - - - - fA- - - - - - -
Sellenanlang
X
Abb. 11-5.6 Suchseite fur Regi onaldaten
1m Teilb ereich .Regionaldaten" kann nach Gemeinden, Bezirken oder Sonderregionen selektiert werden. Abb. 11-5.6 zeigt die entsprechende Suchseite. Als Ergebn is erhalt man beispie lsweise eine Gemeinde (im Beispiel ist dies die Gemeinde Tragwein, vgl. Abb. 11-5.7) mit statistischen Daten. 1m linken Frame werden Links zu den jeweiligen Nachbargemeinden angeboten. Es sind dies im Beispiel Gutau, Pregarten, Bad Zell usw., so dass ein unmittelbarer Vergleich der gemeindebezogenen Statistiken moglich wird . Die Regionaldaten werden direk t aus einer Datenbank zur Verfiigung gestellt.
5.3.3 Zweite Phase: Weitere Entwicklungen
Parallel zum Bereich .Zahlen und Fakten " entstanden laufend neue Anwendungsbereiche. Auch der Bereich .A ktuelles" hat permanent eine Ausweitung erfahren wie z. B. die Information tiber Projekte des StraBenbaues, tiber die aktuellen Baustellen sowie den StraBenzustand im Bundesland Oberosterreich, 1m ersten Jahr wurden ca. 3,5 Mill ionen Zugriffe auf die WWW -Seiten des Landes Oberosterreich verzeichnet, wobei ca. 70% aus Osterreich und 30% aus insgesamt 60 Landern kamen . Der Styleguide wurde urn einen gut durchd achten und mit allen beteiligten Organisationseinheiten der Landesverwaltung sorgfaltig abgesprochenen Organisationsguide erganzt. Dieser legt die Vorgang sweise fur die Prasentation im Internet fest. Hierh er zahlen etwa Regelungen, wie und durch welche Organisationseinheiten die Konzepterstellung erfolgt. Zur Hilfestellung fur einzelne Organisationseinheiten bei Internet-Projekten wurde eine Arbeitsgruppe vorgesehen. Die Um-
5 Das Land Oberosterreich im Internet
275
setzung, Wartung und Dokumentation von sich haufig andemden Inhalten im Internet wurde zu einer, von den einzelnen Organisationseinheiten (z. B. von den Abteilungen) wahrzunehmenden Aufgabe. Vcrausset zung dafiir sind allerdings eine entsprechende technische Infrastruktur sowie die Aus- und Weiterbildung der Mitarbeiter im Bereich bisher neuer Techn iken, etwa im Umgang mit HTMLEdito ren. Die Verantwor tung fiir Inhalt und Qualitat ihrer Internet-Prasentation und eventuell bestehender Rechtsfragen wird in die Verantwortung der einzeln en Organisationseinheiten gelegt.
ZAHLEN UND FAKTfN
[IT@)fM3jrrsiTche.ll' Neues amserver I ex~elne:lnfo f
r"
I B€w1k e ~ I Bml[~ I FamilliJI Gebih!JV: 1
Q"'U,: OBTAT
1981
1991
Wohnbevii1ke1llDg Wohnbevillkerung V01k32ahlung (An2aJl1) Wohnbe villkerung je qkm Ketesterfleche (An2aJl1)
VeriindelllDg der Wohnbevii1ke1llDg insgesemt(%) Geburtenbilan2 (Geborene minus Ge.lOroene in %) Warulerung.oilan2 ( Soldo Zuzug und Weg2ug in %)
Antone der Wohnbevii1ke1llDg Altersgruppen unter 15 jiihrige Bevillkerung (%) 15 0;" 59 jiihrige Bsvolkerung (%) 60 jiihrige u. OltereBevillkerung (%) S02iookonomiscbe Stellung de. Erbelters Selo.fuldigelMitbelfende in Larul-IForstwt. (%) Sonstig e Selo.fuldige und Mitbelfend e (%) ~e.tell~.!. Beamte (%)
Abb. 11-5.7 Ausschnitt aus einer Seite des Bereiche s .Regionaldaten"
Weitere wichtige Themenbereiche des Organisationsguides sind: • • • •
Anwenderschulungen Analysen und Weiterentwicklungen Kommunikation mittels E-Mail Spezielle Regelungen, etwa bei Einmal-Ereignissen
Der Organisationsguide legte somit fest, welche der beteiligten Stellen oder Arbeitsgruppen welche Aufgaben im Rahmen der Internet-Prasenz zu erfiillen hat; schlieBlich wurden wichtige Abschnitte des Workflows (z. B. von der Konzepterstellung bis hin zur technischen Freigabe) festgelegt.
276
II Anwendungsbeispiele
5.3.4 Dritte Phase: Umweltinformationen und Intranet-Start
Als anspruchs voll erwies sich auch die im Jahre 1998 erfolgte erstmalige Gestaltung des Bereiches Umwelt, der seit Ende dieses Jahres mit einer Hille von Informationen am World Wide Web prasent ist. Die Herausforderung lag nicht nur in der Breite und in der Tiefe des Dargebotenen, sondern auch in der Losung der techni schen Details , mittels derer die Aktualitat des Angebotes sichergestellt werden konnte.
- - - - - - - - - - - ~ - - - - - - - - Seilen afll angX
Abb. 11-5.8 Einstiegsseite des Umweltbereiches des Landes Oberosterreich
Abb. II-5.8 zeigt die Einstiegsseite des Umweltbereiches des Landes Oberosterreich mit Inforrnationen zu den Sachgebieten Abfall, Baubiologie , Larm / Schall, Luft, Strahlen, Warmeschutz und Wasser. Analog zur Vorgehensweise im Statistischen Diens t wurden am Institut fur Datenverarbeitung auch fur den Einsatz im Umweltb ereich VBA-Module zur automatisierten Erstellung von HTML-Dateien aus Excel-Tabellen entwickelt? und fur einen Einsatz im Bereich der Luftguteinformationen vorbereitet. Es handelt sich dabei urn eine Anwendung, bei der sich 9
Vgl. Grundni g 1998, S. 64 ff
5 Das Land Oberosterreich im Internet
277
Daten taglich andern . Aus diesem Grund wurde zusatzlich eine ASPIO-Anwendung erstellt,!' die dynamische HTML-Seiten bereitstellt und unter anderem Eigenschaften des jeweils eingesetzten Web-Browsers beriicksichtigt. In weiterer Folge wurden statistische Daten versuchsweise auch mittels VRML visualisiert. Die entstehenden, dreidimensionalen virtuellen Welten wurden jedoch derzeit (noch) nicht am WWW-Server des Landes irnplementiert." In Abb. 11-5.9 ist die Abfrageseite dargestellt, mit der fur eine ausgewahlte Messstation unterschiedliche Messwerte in mehreren Darstellungsvarianten zur Verftigung gestellt werden. Zusatzlich war es dem Land Oberosterreich moglich, bereits im Veriauf des Jahres 1998 ein Informationsangebot in Form eines Intranets zu implementieren, da die hierfur erforderlichen Gestaltungsregelungen, Techniken, Werkzeuge und das Know-How in einem hohen AusmaB erfolgreich aus den bisherigen Phasen des Intemet-Projekts tibernommen werden konnten . Das neue Intranet kann sich einer groBen Akzeptanz von Seiten der Mitarbeiter und Mitarbeiterinnen der Landesdienststellen erfreuen.
UMWELT !ZJ ~ Mall I sliChenT Neue·,
am~rveITeifer"elrifor
;';
Wiihlen Sie die geviinschte Darstellung Slation
ORF-Zentrom
Mittelven
I·Kohlenmonoxid I HMW i T )
Zei13panne
[Tog
Anzeigefonn
@ als Grefik
Schad.lOff
b l
o als Tabelle
10 K . I Hinveis: E. ve rden auch ungesichteteDatenangezeigt
-------Seilenanfnng ji
Abb. 11-5.9 Abfragesei te fur Luftmesswerte aus dem Umweltbereich
10
II
12
Active-Server-Pages Vgl. Grundnig 1998, S. 85 ff Zur Darstellung wird ein VRML-Browser bzw . ein entsprechendes Plug-In am WebBrowser benotigt .
II Anwendungsbeispiele
278
5.3.5 Spezialbereiche des Electronic Government Mit Beendigung der dritten Phase ging die Pflege der Inhalte im Prinzip auf das Land Oberosterreich tiber. Die nachfolgernd beschriebenen Teilprojekte Landesarchiv sowie das Reengineering der Fotodatenbank durchbrachen dieses Prinzip und beide Faile hatten damit zu tun, dass es um mehr als bloB statische HTMLSeiten ging . Es handelte sich um Spe zialbereiche der Landesverwaltung, aus denen die groBe Bandbreite des Electronic Governments in der oberosterreichischen Landesverwaltung ersichtlich ist.
5.3.5.1 Landesarchiv Das Oberosterreichische Landesarchiv (OaLA) soli zunachst kurz vorgestellt werden. Im Archivspeicher sind "oo . derze it rund 27.000 Regalmeter Archivalien untergebracht; darunter befinden sich etwa 21.000 Urkunden, 67.000 Handschriften , 40 .000 Schachteln, 10.000 Schuberbande und 34 .000 Aktenfaszikel. Die Kartensammlung umfasst tiber 7.500 Karten und Plane; wenn man die Katasterplane und die in anderen Bestanden verwahrten Karten hinzurechnet, kommt man sogar auf ein Vielfaches. Weiters verwahrt das Landesarchiv auch eine groBe Anzahl von Plakaten, Flugschriften und Fotos sowie eine kleinere Sammlung von Tontragern und Filmen. Die landeskundlich ausgerichtete Prasenzbibliothek, die in erster Linie zur Untersttitzung der archivarischen Forschung dient, zahlt derzeit rund 70.000 Bande ."13 Die Bestande reichen bis in die Zeit um das Jahr 800 zurtick . Mit der Beschreibung seiner Archivbestande sollte Forschern, Archivbentitzern sowie der interessierten Offentlichkeit eine knappe, aber dennoch informative Ubersicht tiber die vom Landesarchiv verwahrten Bestande zur Verftigung gestellt werden. 1m Marz 1999 wurden die Arbeiten am Internet-Konzept begonnen und die Umsetzung des Konzeptes im Janner 2000 abgeschlossen .!" Ziel war die Prasentation des Landesarchivs auf der bestehenden Homepage des Landes. Zunachst umfasste die Aufgabenstellung folgende Bereiche: • • •
Highlights des Landesarchivs (virtueller Rundgang anhand reprasentativer Objekte) Haus der Geschichte Datenbanken (Ortsgemeinden , Realien und Biografien) zur interaktiven Abfrage
Neben dem Zugang tiber eine alphabetische Liste der Archivbestande wird auch ein themenbezogener Einstieg ermoglicht. Bei dem im WWW veroffentlichen 13 14
Heilingsetzer 2000, in: http://www. ooe.gv .at/geschichte/Landesarchiv/Bestaende/einleitung.htm (14. 7. 2000) Das Projekt wurde von Seiten des idv von Berthold Kerschbaumer betreut und von Klaus Fellner, Dietmar Nebdal und Gerald Petz bearbeitet.
5 Das Land Oberosterreich im Internet
279
Informationen handelt es sich in der Regel um Metadaten. Im einzelnen werden jeweils Informationen gegeben uber : • • • • •
Geschichte des betreffenden Bestandes Zeit der Erwerbung durch das Oberosterreichische Landesarchiv Beschreibung des Inhalts, des Umfangs und der wichtigsten Betreffe des Bestandes Hinweise auf Verzeichnisse und Findbehelfe Literatur
Die Gestaltung der Seiten sollte dem Styleguide des Landes entsprechen; der Satzspiegel wurde mit einer Breite von 466 eingegrenzt. Die Datenbankabfragen sollten mittels Active Server Pages bzw. VB -Script umgesetzt werden. Dazu war es erforderlich, die bereits bestehende Open-Access Datenbank in eine AccessDatenbank zu konvertieren . Es wurden fehlende Primarschlussel hinzugefligt und die Beziehungen zwischen den Datenbanken definiert und Indices angelegt. Fur die Abfragen aus dem Internet wurden jeweils nur Teile der Datenbanken zur Verfligung gestellt. Ausgangspunkt war die aus drei Frames bestehende Indexseite mit dem Titel "Geschichte Oberosterreichs", wobei der Header-Frame auf allen Seiten unverandert bleibt. 1m Wesentlichen wurden zwei groBe Bereiche bearbeitet: • •
Rundgang (statische Seiten) Ortsindex, Blirgermeister, Vereine, Bestande (dynamische Seiten)
Mit dem Link .Rundgang" gelangt man auf Seiten", die die Highlights des Landesarchivs vom 20 . Jahrhundert bis ins Mittelalter enthalten. Es sind dies unter anderem: • • • • • • • •
Flugzettel fur ein Preisausschreiben aus der Zeit des osterreichischen .Wirtschaftswunders" (ca. 1963) Alliierte Reiseerlaubnis (1947 - 1953) Lagerausweis fur einen tschechischen Fremdarbeiter (1944) Lebensmittelkarte (1942) Werbeblatt des "Jung-Vaterland" (1930) Plakat der Sozialdemokratischen Partei zur Nationalratswahl 1930 Notgeld (ca. 1920) 100-Kronen-Schein der Osterreichisch-Ungarischen Bank aus dem Jahre 1912
Auf dynamisch erzeugten Seiten konnen Daten tiber die Burgermeister aller Gemeinden, die Vereine vor 1918 sowie die Beschreibung des Wappens uber Links erreicht werden . Es werden zudem aile Vereinsgruppen der jeweils ausgewahlten Gemeinde bis einschlieBlich 1918 dargestellt. Nach der Auswahl einer Vereinsgruppe in der Liste erhalt man eine Zusammenstellung der Vereine mit Angabe der Namen und
15
Mit dem Hauptframe http://www .ooc.gv.at!geschichte/LandesarchivlRundgang/frmRundgang.htm
280
II Anwendungsbeispiele
des Grtindungsdatums. Die Daten werden aus der Datenbank generiert. Abb. II5.10 zeigt dies am Beispiel der Gemeinde Steyr und anhand der Vereinsgruppe "Bildung".
Gemeinde Stcyr Ausvahlder Vereinsgroppe:
Angeatellte Arbeite r
'
:~te :_ B11d
-
-
-
-
~ 0
-
-
-
-
-
~ - - - - --Sellenanfang.
Abb. 11-5.10 Beispiel aus dem Oberosterreichischen Landesarchiv: Vereinsgruppen der jeweils ausgewahlten Gemeinde bis einschlieBlich 1918, gezeigt am Beispiel der Gemeinde Steyr
SchlieBlich kann auch tiber Realienobergruppen und einem Suchmuster nach Realien gesucht werden. Im Abschnitt .Publikationen" wird ein Verzeichnis des Eigenverlages des Landesarchives mit folgenden Inhalten zur Verfugung gestellt: • • • • • • •
Sonderpublikationen, Forschungen zur Geschichte Oberosterreichs, Mitteilungen des Landesarchives, Quellen zur Geschichte Oberosterreichs, Beitrage zur Zeitgeschichte Oberosterreichs, Oberosterreicher (Lebensbilder), Bibliografie zur Geschichte Oberosterreichs.
5.3.6 Foto-Datenbank Reengineering im Bereich der Genisys Datenbank
Die Genisys-Datenbank enthalt wichtige Informationen zu den zahlreichen oberosterreichischen N aturschutzobjekten. Uberlegungen tiber eine eventuelle spatere Veroffentlichung im Internet waren der Ausgangspunkt zu diesem Projekt, das im Zeitraum von Oktober 1999 bis Janner 2000 stattfand. Es wurde von vier Studenten und Studentinneri" bearbeitet. 16
Christopher Csenar, Marc Federspiel, Peter Furchtlehner und Petra Riebl, Leitung : Manfred Pils.
5 Das Land Oberosterreich im Internet
281
Zunachst wurde die beim Land Oberosterreich bestehende Genisys-Datenbank analysiert und Vorschlage zu einer Neugestaltung gemacht. Dabei wurde ein Hauptaugenmerk auf das Reengineering der Foto-Datenbank gelegt. SchlieBlich gehorte es zur Aufgabenstellung in diesem Projekt, Uberlegungen zur DBMSAuswahl anzustellen. Die oberosterreichischen Naturschutzobjekte werden in dieser Datenbank beschrieben durch Karten sowie durch die Angabe wichtiger Eigenschaften (z. B. Biotoptyp, Seltenheit, Ersetzbarkeit, aktuelle Gefahrdung). Informationen tiber die vorkomm enden Tier- und Pflanzenarten (Gattungen), z. B. Wuchsform, Schutz , sind in einem .A rtenpool" zusammengefasst. Zusatzlich gibt es in der Genisys-Datenbank Verweise auf die einzelnen Gemeinden, auf die im digitalen oberosterreichischen Rauminformationssystem DORIS jeweils verfUgbaren Karten sowie auf Kontaktpersonen. Einen wichtigen Teil stellt die Foto-Datenbank mit den jeweils erforderlichen Informationen zu den einzelnen Aufnahmen (z. B. Aufnahmedatum, Fotonachweis, genaue Ortsangabe) dar. 1m Intranet des Landes war die Datenbank MS Access im Einsatz . Eine strategische Entscheidung in Richtung auf eine leistungsfahigere Datenbank (etwa auf Basis Oracle , DB2 , SQL-Server) und deren Betreuung durch einen eigenen Daten bank-Administrator wurde empfohlen, da in einem eventuellen Angebot im Internet eine Reihe neuer Funktionen uberlegt bzw. geplant werden . Dabei waren die hohere Leistungsfahigkeit, die Sicherheit und die Bewaltigung groBer Datenmengen wichtige Argumente fur eine derartige Losung.
5.4 Weitere Aktivitaten in Richtung Electronic Government 5.4.1 Oberblick
Als ein Beispiel fur weitere Aktivitaten in Richtung Electronic Government sei hier das Angebot des Landes Oberosterreich fur Gemeinden genannt, die Digitale Katastralmappe - soweit bereits verfugbar - zu nutzen'", Das Land erwirbt die Digitale Katastralmappe beim Bundesamt fur Eich- und Vermessungswesen und stellt diese einschlielslich der Updates einer Gemeinde gegen einen geringen Kostenbeitrag zur Verfligung. Dies ist eine wichtige Initiative des Landes in Richtung auf den Ausbau der elektronisch unterstutzten Kooperation mit den Gemeinden. Zweifellos bestehen noch weitere, erhebliche Nutzenpotenziale einer starkeren Einbindung der Gemeinden in den Bereich Electronic Government. Ein weiteres Beispiel ist die Entwicklung des NALA-Projektes I8, in dem es urn die Leitbilder aus dem Bereich Natur und Landschaft fur die ca . 40 Raumeinheiten Oberosterreichs und urn die Kommunikation mit den davon
17
18
Vgl. http://www.ooe.gv.atlgeographie/geoinfo/gem/index.htm (10. 3. 1999) Vgl. http://www.ooe.gv.atlnatur/nalal (17.7.2002)
282
II Anwendungsbeispiele
betroffenen Burgern geht. Das Institut fUr Datenverarbeitung war im Rahmen der technischen Umsetzung im Jahre 2001 in dieses Projekt eingebunden.'? FUr die nahe Zukunft ist zu erwarten, dass eine FUlIe weiterer Dienste und Information en angeboten, sowie neue Kooperationspartner aus Wirtschaft und Verwaltung einbezogen werden . Urn neue Methoden und Techniken in Richtung Electronic Government umzusetzen zu konnen, mUssen neue und hohe Anforderungen an die Aus- und Weiterbildung der Mitarbeiter des Landes Oberosterreich bewaltigt werden. Ohne Anspruch auf Vollstandigkeit seien hierzu genannt: • • • •
Neue organisatorische Formen kUndigen sich an, z. B. in den Bereichen Dokumenten-Management, Workflow, Telearbeit Intranet der oberosterreichischen Behorden Einbeziehen detaillierter technischer Informationen tiber Bauprojekte Verstarkte Interaktion mit den Burgern, z. B. Antragstellung mittels elektronischer Formulare oder uber E-Mail.
Vorarbeiten fur eine Verwendung von "intelligenten Formularen" (implementiert mittels JavaScript) wurden in den Jahren 1997 und 1998 am Institut fUr Datenverarbeitung begonnen. Derzeit stehen fUr die Bereiche Bildung, Jugend, Katastrophenfonds, Land- und Forstwirtschaft, Sport, Soziales, Technologie, Umwelt, Verkehr, Wirtschaft, Arbeitsmarkt, Regionalentwicklung, Tourismus sowie Woh nen bzw . Wohnbau zahlreiche elektronische Formulare zur Verfugung." Den GroBteil stellen "Standard-Formulare" im pdf-Format dar, die nach dem Download auf dem PC gespeichert, ausgefUlIt und ausgedruckt werden konnen . Sie enthalten teilweise interaktive AusfUllhilfen und werden auf konventonellem Weg (also per Post) an die Landesverwaltung uberrnittelt, da in der Regel weitere , nicht elektronische Dokumente vom Antragsteller beizubringen sind ." Eine elektronische Ubertragung ist nur bei .Dnline-Portnularen" moglich, deren Eingang jeweils durch ein E-Mail bestatigt wird." Die altbewahrte 80:20-Regel ist auch im Bereich des E-Government ein durchaus sinnvolles Prinzip. Dies bedeutet, dass bei rund 80% der Geschaftsfalle, die unproblematische Routinefalle darstellen, mit dem BUrger elektronisch kommuniziert werden sollte, auch wenn durchaus noch technische und rechtliche Schwachstellen bestehen. Durch diese pragmatische Vorgehensweise wird eine allmahliche Abstimmung technischer, organisatorischer und rechtlicher Gesichtspunkte erreicht und kann ein beachtliches Nutzenpotenzial durch Steigerung der Servicequalitat und Rationalisierung aktiviert werden . Die restlichen 20% der anspruchsvolleren Geschaftsfalle werden noch bis auf weiteres mit den herkornrnlichen, nicht-elektronischen Verfahren bearbeitet. SchlieBlich werden in der nahen Zukunft Fragen der Sicherheit eine noch starkere Rolle als bisher spielen. VerschlUsselung, Fragen der Zertifizierung sowie die 19 20
21 22
Vgl. Giretzlehner/Kuttner 2001 Vgl. http://www.ooe.gv.at/formulare/(17 . 7. 2002) Ein Beispiel dafur ist das .Ansuchen um Wohnbeihilfe ". Ein Beispiel dafur ist ein .Antrag bzw. Anderungsformular fur die 06 Familienkarte".
5 Das Land Oberosterreich im Internet
283
Behandlung sensibler Daten der BUrger sind Beispiele fur die zu bewaltigenden neuen Herausforderungen im Bereich Electronic Government. Nachfolgend behandelte, wichtige Bereiche sollten beim Ausbau der weiteren WWW-Di enste im Bereich Electronic Government verstarkt beachtet werden: Es sind dies der Ausbau der Portalfunktion, zielgruppenspezifische Einstiege und Individualisierung, die BerUcksichtigung der Zielgruppe der Sehbehinderten, der Ausbau der Mittlerfunktion sowie die permanente Herausforderung durch neue Anwendungen.
5.4.2 Ausbau der Portalfunktion Es sollte in einer modernen E-Government-Planung auch eine Portalfunktion im Sinne der One-Stop-Shop-Philosophie realisiert werden . Die Portalfunktion bietet dem Benutzer einen seinen BedUrfnissen moglichst angepassten Einstieg ahnlich den im Internet im Bereich des Electronic Business Ublichen horizontalen und vertikalen Portalen. Dabei soliten nicht nur die grob abgesteckten Benutzerkategorien BUrger (im Sinne des B2P) sowie auch Business (im Sinne von B2B), sondern auch weitere Benutzerkategorien bis hin zur Moglichkeit der Individualisierung ins Auge gefasst werden (siehe unten). One-Stop-Shop bedeutet, dass der Benutzer zur Deckung seines Informationsbedarfes bzw. zur Losung seines Problems nur eine Station als Anlaufstelle benotigt. Dieses Prinzip gilt sowohl im realen Amt als auch im virtuellen (E-Government) . Bei einer realen One-Stop-Shop-Losung kommt der BUrger zu einem einzigen Mitarbeiter bzw. zu einer Mitarbeiterin, der bzw. die ihm hilft, sein Problem zu losen . Aile erforderlichen amtsinternen Kontakte und Aktivitaten, die im klassischen Amt auf mehrere Personen bzw. Dienststellen aufgeteilt sein konnen, werden vom One-Stop-Shop koordiniert bzw. dort zusammengefasst. Sinngemaf ist dies auch auf virtuelle One-Stop-Shops anzuwenden. Seit Juli 2002 ist unter der Bezeichnung "E-Government Land 00" ein eigener Einstieg zum "virtuellen Amt" verfugbar." FUr die meisten Dienste ist eine Registrierung erforderlich, bei der personliche Daten sowie ein Benutzername und ein Kennwort anzugeben sind . Das Land hat eigene Allgemeine Bedingungen fUr die Nutzung dieser Dienste erlassen. Wichtig zu wissen ist dabei, dass das nicht auszuschlieBende Risiko eines Datenmissbrauches (etwa beim Abhoren oder Verfal schen von E-Mails) durch Dritte zur Ganze yom Antragsteller zu tragen ist. Nachfolgend kurze Ausschnitte aus diesen Bedingungen>: .Beirn jeweiligen E-Gov-Service stimmt der Benutzer zu, dass die Benut zerkennung in den E-Govemment-Applikationen der 00. Landcsverwaltung gcspeichert werden kann , sowie, dass Erledigungen der 00. Landesverwaltung an die angegebene E-Mail-Adresse wirksam iibermittelt bzw. zugestellt werden dUrfen. Dcm ist auch die Verstandigung an diese Adresse, dass an einer bestimmten bekanntgegebenen Adresse (Zustellserver) ein Schrift-
23 24
Vgl. http://www.ooe.gv.atJe-gov/INDEX.HTM (I. 8.2002) Vgl. https:lle-gov.ooe.gv .atJsrsrlNutzungsBedingungenDE.html (I. 8. 2002)
284
II Anwendungsbeispiele
stuck fur den Benutzer bereit liegt, gleich zuhalten . Das Schrift stlick gilt damit als zugestellt und zwar unabhangig davon, ob eine Abholung tatsachlich erfolgt. Erleidet die Benutzerin oder der Benutzer Nachteile (etwa auf Grund von allfalligem Missbrauch durch Dritte), so ubemimmt das Land Oberosterreich dafur keinerlei Haftung . Das Land Oberosterreich kann aus technischen Grunden keinen Anspruch auf einen zeitlich uneingeschrankten Zugriff zu den E-Government-Scrviccs gewahrleisten, bemuht sich jedoch urn eine technisch bestmogliche Verfugbarkeit."
Mit der Registrierung stimmt der BUrger den Allgemeinen Bedingungen sowie folgendem Passus ZU2 5: .Beim jeweiligen E-Gov-Service stimmt der Bcnutzer zu, dass die Benutzerkennung in den E-Government-Applikationen der 00 . Landesverwaltung gcspeichert werden kann, sowie, dass Erledigungen der 00. Landesverwaltung an die angegebene E-Mail-Adresse wirksam ubermittelt bzw. zuge stellt werden durfen . Oem ist auch die Verstandigung an diese Adresse, das s an einer bestimmten bekanntgegebenen Adresse (Zustellserver) ein Schriftstuck fur den Benutzcr bereit liegt, gleichzuhalten; und zwar unabhangig davon, ob eine Abholung tatsachlich erfolgt. "
5.4.3 Zielgruppenspezifische Einstiege und Individualisierung Die Qualitat und die Akzeptanz von E-Government sind unter anderem davon abhangig, ob es gelingt, die wirklichen Anliegen und Bedurfnisse der BUrger rasch zu erkennen und erfolgreich bearbeiten zu konnen . Wenig zweckmalsig erscheint es, den BUrger lediglich mit der (Ober- )FUlIe an Informationen und Dienstleistungen des Landes zu konfrontieren und ihn damit alleine zu lassen . Die derzeitige Struktur der Informationen erscheint zwar auf den ersten Blick als gut durchdacht und als logisch einwandfrei, entspricht aber eher dem Einstieg eines uberdurchschnittlich informierten Benutzers, der wissen will, was das Land grundsatzlich an Informationen anbietet. Wunschenswert ist es, kunftig nicht nur die jeweils aktuellen Themen auf der Homepage des Landes 00 besser zu positionieren, sondern vermehrt auch zielgruppenspezifische Einstiege und damit auch konkrete Hilfestellungen fur Personen anzubieten, die die Struktur des Informationsangebotes, die einschlagigen Verwal tungsvorschriften sowie den Workflow im Amt nicht oder nur kaum kennen . Zielgruppenspezifische Einstiege sind im Bereich des Electronic Business erfolgreicher Unternehmungen nicht nur ilblich, sondern man bemuht sich intensiv, die BedUrfnisse der Kunden zwecks erfolgreicher Vermarktung der Produkte kennenzulernen (Stichwort: Selektives Marketing). Bewahrt haben sich eigene Einstiege fur Kunden, fur Lieferanten, fur potenzielle Mitarbeiter, fur Touristen, fur EDV-Spezialisten, fur Shareholders usw. Diesen Einstiegen folgen dann jeweils unterschiedlich aufbereitete Informationen und angepasste lnteraktionsmoglichkeiten. Die einzelnen Zielgruppen stehen ja in unterschiedlichen Lebens- und 25
Vgl. https://e-gov .ooe.gv .at/srsr/Start.jsp (I. 8. 2002)
5 Cas Land Oberosterreich im Internet
285
Arbeitssituationcn und wciscn unterschiedliche Kcnntnissc tiber Informationsstruktur und Technik auf. Gegebenenfalls ist auch ein differenziertes Design anzuraten . Ein weiterer Schritt ist es dann , dem einzelnen Benutzer eine Individualisierung des Informationsangebotes und der Interaktionsmoglichkeiten zu ermoglichen. Personen, die haufiger mit dem Amt kommunizieren und dessen Dienstleistungen in Anspruch nchmen, wollen dies effizient und in einer eher knappen Form tun konnen. Spezielle Zielgruppen, die zu berucksichtigen sind , lassen sich auch nach der vom Benutzer verwcndeten Technik unterscheiden, z. B. WAP-Browser, InternetBenutzer mit hoher Bandbrcite, zeichenorientierte Web-Browser. Die Benutzerkategorien soil ten auch nach Lebenssituationen, Alterskategorien, Problcmbereichen (z. B. Unternehmensgrundung, Wohnbau, Schule, Filhrerschein) oder nach Regionen unterschieden werden . Weniger von Interesse fur die Strukturierung der Information ist etwa, ob es sich bei einer Forderung um eine EUForderung handelt. Zusatzlich ware es zweckmallig, vermehrt Einstiegspunktc zu definieren, die es ermoglichen, dass auf fremden Web sites (auf anderen Portalen, in RegionalInformationssystemen, in help .gv usw.) vermehrt Links zum Website des Amtes zu bestimmten Themen (z. B. in die Bereichen Statistik, Geografie) angelegt werden konnen,
5.4.4 Zielgruppe Sehbehinderte Last not least gilt es, der Zielgruppe der Sehbehinderten einen dem Stand der Technik entsprechenden Zugang zum E-Government zu errnoglichen. Hierzu sind spezielle Webseiten anzubieten, die eine hohe Accessibility gestatten. Aufgrund der Nutzung der Blindenschrift sind eigene Gestaltungsprinzipien anzuwenden; ein spezielles Design der entsprechenden Seiten ist daher unumganglich.
5.4.5 Ausbau der Mittlerfunktion Wahrend des Projektes war mehrmals davon die Rede, dass sogenannte Mittler einzubeziehen waren , Als Mittler kommen Organisationen, meist Dienstleister, wie beispielsweise Banken, Schulen oder Gerneindeamter, in Frage, die der BUrger oder ein Unternehmen aufsucht. Falls in weiterer Folge auch Dienste des Landes (z. B. eine Forderung) beansprucht werden, kann nicht nur das jeweils ncueste Angebot an Informationen des Landes einbezogen werden, sondern es konnen auch weitere E-Government-Dienstleistungen durch den einzelnen BUrger uber diese Mittler genutzt werden . So konnen die erforderlichen Antrage gleich auf elektronischem Wege beim Mittler gestellt werden . Es ist zu erwarten, dass Ablaufe beschleunigt werden und weitere Rationalisierungsreserven zum Tragen kommen (etwa durch Vcrmeidung von Fehlern, mehrfaches Beantragen und Er-
286
II Anwendungsbeispiele
fassen von Daten bzw . Medienbruchen, Verwenden von unaktuellen Informationen und Formularen). Zusatzlich wird die Verbreitung des E-Government in der Bevolkerung entsprechend beschleunigt.
5.4.6 Neue Anwendungen Es liegt im Wesen von E-Business und E-Government, dass Infromationsstrukturen, Med ien sowie die dem BUrger und der Wirtschaft angebotenen Dienstleistungen einer permanenten Neubewertung und -gestaltung unterliegen . Auch die Einstellung zu E-Government und dessen Akzeptanz andern sich allmahlich mit der Verbreitung der neuen Medien. War die Nutzung in den letzten Jahren eher auf Informationsnachfragen beschrankt, so ist mit verstarkten Interaktionen und in weiterer Folge mit einer Steigerung des Datenvolumens (z. B. durch vermehrte Antragstellung, Ubermittlung von Daten des Antragstellers auf elektronischem Wege) zu rechnen. Neue Anwendungen entstehen insbesondere auch durch den allrnahlichen Einsatz von Methoden des E-Learnings innerhalb der Landesverwaltung. All dies hat direkte Auswirkungen auf die im Amt eingesetzte Technik, sowie auf Personal und Organisation (verstarkte Sicherheit, Performanz, hohe Bandbreiten usw.) . Es gibt jedoch keine Alternative, als die dadurch entstchendc enorme Herausforderung fur Politik und Verwaltung anzunehmen .
Literatur Grundnig, Franz, Visualisierung von Daten im WWW , Diplomarbeit angefertigt am Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Johannes Kepler Universitat, Linz 1998 Giretzlehner/Kuttner (2001) , Giret zlehner, Michael und Peter Christian Kuttner, Natur und Landsch aft. Entwicklung und Implementierung eines webbasierten Informations- und Klassifizierungssystems, Diplorrnrbeiten angefertigt am Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Johannes Kepler Universitat, Linz 2001 PiIs, Manfred (Hrsg .): Abschlus sbericht Land Oberosterreich, Linz 2000
6 Web-Based Administration - am Beispiel der Anmeldung zu Lehrveranstaltungen Johann Holler Institut fiir Datenverarbeitung, Johannes Kepler Universitdt Lin;
Die WWW-Anmeldung an der Sozial- und Wirtschaftswissenschaftlichen Fakultat der Johannes Kepler Universitat Linz ist eine IntranetlExtranet-Anwendung und umfasst vom Konzept nicht nur die Anmeldung, sondem den gesamten Lebenszyklus einer Lehrveranstaltung. Die Nutzung der WWW -Anmeldung ist nur jenen Stud ierenden moglich, die bereits an der Johannes Kepler Universitat Linz gemeldet sind (Extranet)', aber das inzwischen weltweit. 2 Andere Teile sind nur den Lehrveranstaltungsleitem bzw. Entscheidungstragern innerhalb der Organi sation zuganglich (Intranet) . AIle Studierenden, die die betreffenden Lehrveranstaltungen besuchen wollen, mussen diesen Weg nutzen - es gibt keinen anderen. Betroffen waren davon im letzten Semester 5.250 Studierende, die mehr als 30.000 Anmeldetransaktionen durchgeflihrt haben. ' Da es bei der Anmeldung urn termingebundene Aktivitaten geht und zudem ihre korrekte Durchflihrung den Studienfortschritt beeinflusst, handelt es sich dabei urn eine Anwendung, die einen hoheren Grad an Sicherheit und Zuverlassigkeit verlangt als bloBe "Web-VisitenkartenlOsungen". Wenn auch Universitaten in Osterreich fur die Bestellung ihrer Leistungen keine Preise verrechnen (durfen), so liegt die Ahnlichkeit zu betrieblichen Losungen wie z. B. fur die Anmeldung zu Seminaren oder sonstigen Veranstaltungen sehr nahe.
I
2
3
Es wurde aber inzwischen die Moglichkeit geschaffen, diese Meldung des Studiums online vorzubere iten. Es wird dabei bereits eine Matrikelnummer vergeben und damit die Nutzung des Anmeldesystems ermoglicht; die endgiiltige Zulassung erfordertjedoch das personliche Erscheinen, wobei auch ein Studentenausweis auf Chipkartenbasis ausgestellt wird (KeplerCard). Mit der Keplercard stehen Studierenden eine Vielzahl von Funktionen nahezu rund urn die Uhr zur Verfligung. Die friiheren rechtlichen Hindernisse flir die weltweite Zuganglichkeit sind mit dem DSG 2000 weggefallen. Siehe auch Abschnitt III, Kap. 3.3.2.6 Stand WS 2001/02
288
II Anwendungsbeispiele
6.1 Betriebliche Rahmenbedingungen Die Sozial- und Wirtschaftswissenschaftliche Fakultat betreut derzeit etwa 12.700 Studierende", wovon 4000 Betrieb swirtschaft und 2400 Handelswissenschaft belegen . Mit Beginn des WS 2001/02 wurden diese Studienrichtungen eingestellt und in die neue Studienrichtung .Wirtschaftswissenschaften'' integriert. Insbesondere in den Lehrveranstaltungen fur diese Studienrichtungen, die z. T. auch von Horern anderer Studienrichtungen mitbelegt werden, sind jedes Semester mehrere Parallellehrveranstaltungen notwendig , urn den Bedarf abzudecken . Die Studierenden entsche iden sich daher nicht fur eine einzelne Lehrveranstaltung, die Sie besuchen mochten, sondem sie geben fur aile gleichartigen Lehrveranstaltungen, die jeweils in einer Gruppe zusammengefasst werden (=Parallellehrveranstaltungen), eine Reihung bekannt. Mit Prioritat 1 wird jene Lehrveranstaltung bedacht, die der Studierende am liebsten besuchen mochte, mit 2 die zweitbeste usw. Gereiht werden immer nur jene, die grundsatzlich besucht werden konnen - mindestens eine und hochstens aile angebotenen Lehrveranstaltungen einer Gruppe . Je mehr Rangzahlen vergeben werden und umso unbeliebter die gewahlten Lehrveranstaltungen bei anderen Studierenden sind, umso hoher ist die Chance auf einen .slcheren" Platz. Die Verteilung der Platze verfolgt dann primar das Ziel , die angebotenen Kapazitaten vollstandig auszulasten, wobei dabei die Wtinsche der Studierenden weitestmoglich berticksichtigt werden. Aus der Dokumentation dieses Verteilungsverfahrens ergeben sich dann auch die (Zusatz-)Bedarfe in der jeweiligen Gruppe, die in die Planung fur das nachste Semester miteinbezogen werden mtissen. Naturlich gibt es auch Lehrveranstaltungen, bei denen diese Engpasssituation nicht auft ritt und die im Semester einmalig abgehalten werden. Fur derartige Lehrveranstaltungen ist die Option der Reihenfolge-Anmeldung entwickelt worden . Seit WS 2001/02 werden aile anmeldepflichtigen Lehrveranstaltungen ausschlieBlich tiber das Intemetbasierte Lehrveranstaltungs-Anmelde-System (ILAS) abgewickelt.
6.2 Warum Internet-Technologie? In den Jahren vor dem PC wurden Anmeldungen bei derartigen Lehrveranstaltungen regelmasig tiber ausgehangte Listen abgewickelt. Schon lange vor der Verbreitung des Intemets wurde am Institut fur Datenverarbeitung ein am LAN installiertes Programm zum Sammeln der Anmeldungen angewendet. Dieses Programm wurde standig weiterentwickelt und deckt den gesamten Lebenszyklus der Lehr-
4
Die Zahlen geben die .Jielegten Studien" wieder; Mehrfachstudien sind auch mehrfach gezahlt.
6 Internet-Anmeldung
289
veranstaltungsadministration ab.' Es beginnt mit der Antragstellung flir Lehrauftrage und umfasst deren Anktindigung im Studienflihrer, die Eingabe der Anmeldungen durch die Studierenden, die Abfrage des Erfolgs der Anmeldung und der Zuweisung zu konkreten Lehrveranstaltungen, die Versorgung des LV-Leiters mit Listen diverser Art, die Untersttitzung bei der Bewertung der Teilnehmer durch die Generierung von Testbogen mit Multiple-Choice-Fragen sowie Offenen Fragen bis hin zur Beurteilung und der Ausstellung von Zeugnissen. Zwei Grunde waren ausschlaggebend, dieses bewahrte System aufzugeben und es (stufenweise) neu zu implementieren.
6.2.1 Erweiterte Zugangsmoglichkeiten Das LAN -basierte System erforderte die Installation eines entsprechenden Clients, der damals nur auf Macintosh-Hardware lauffahig war. Das System war ursprtingIich nur fur den Einsatz im Institut konzipi ert und daher an diese Systemumgebung angepasst worden . Das Interesse der Nutzung durch andere Institute ergab sich erst im Nachhinein; die Installation eines proprietaren Clients wurde daher immer mehr zur Hurde fur die Anwendung . Die Nutzung eines auf jeder Plattform verftigbaren Browsers versprach, diese Schwierigkeit zu eliminieren. Zudem mussten die Studenten immer an die Universitat kommen, urn ihre Anmeldungen an den auf der Universitat aufgestellten Rechnern eingeben zu konnen. Mit der zunehmenden Verbreitung von Internet stellte sich nattirlich die Frage, ob nicht die bereits an das Internet angeschlossenen Studenten ihre Anmeldung unabhangig von den Offnungszeiten der Universitat - auch von Zuhause aus durchfUhren konnten. Diese Moglichkeit spart nicht nur Studierenden Fahrtkosten und Wegzeiten, sondern reduziert auch die Ressourcen, die von seiten der Universitar insbesondere fUr Spitzenzeiten bereitgehalten werden mtissen. Die Erweiterung der technischen Zugangsmoglichkeiten war daher eine Voraussetzung, urn zusatzliche Lehrveranstaltungsgruppen mit dieser Form der computeruntersttitzten Anmeldung zu bedienen.
6.2.2 Datenintegration Das LAN-basierte System zur Lehrveranstaltungsanmeldung und -administration baute auf einem selbstandigen Datenmodell auf . Dieses war aus der Sicht des Instituts aufgebaut; die Schnittstellen zu anderen Systemen innerhalb der Universitat waren entsprechend den damaligen Rahmenbedingungen auf die Generierung von Formularen ausgerichtet. Neben diesen Daten auf Institutsebene existieren viele dieser Daten auf der Ebene der Universitat ebenfalls. Die zentralen Aufgaben werden mit Host-basierten Applikationen durchgefUhrt und es war damals nur mit grofsen technischen und organisatorischen Schwierigkeiten moglich, Daten zwischen diesen Systemen zu transferieren. 5
Vgl. Schreiner 1995
290
II Anwendungsbeispiele
Die Neuimplementierung wurde daher auch in diesem Punkt den heutigen Moglichkeiten und Konzepten entsprechend entworfen und vom Prinzip der Datenintegration ausgegangen : Auch das Institutssystem bedient sich des schon vorhandenen Datenmodells der Zentralen Verwaltung. Es werden nur mehr solehe Daten zusatzlich gespeichert, die nicht schon bisher im zentralen System verfilgbar sind . Da nun in beiden Systemen die Benutzer Zugriff auf aile Daten in der gemeinsamen Datenbasis haben, entfallen die bisher angefallenen Fehler und Verzogerungen aufgrund der getrennten Erfassung bzw . der Uberrnittlung. Die Daten konnen unmittelbar von den Personen , die den Inhalt verantworten, in das System eingegeben werden . Zu diesem Zweck wird cine umfassende Intranetanwendung angestrebt; davon sind derzeit allerdings nur Teile in Betrieb . Es soil allerdings auch nicht verschwiegen werden, dass damit die Komplexitat des Datenmodells steigt und das zu einer Performanceverschlechterung filhren kann. Im Konkreten waren wir gezwungen, Abstriche bei der Normalisierung zu machen, urn im integrierten Datenmodell eine akzeptable Performance zu errei chen .
6.3 WWW-Oatenbankanbindung Aus den oben angefilhrten Grunden engt sich der Bereich moglicher Losungen stark ein. Beachtet man als zusatzliche Nebenbedingung, dass das System so benutzerfreundlich sein muss , dass auch Erstsemestrige ohne Vorbildung mit dem System umgehen konnen, dann kommt eigentlich nur mehr der Internet-Dienst World Wide Web in Betracht. Andererseits sollten die Daten dynamisch aus der zentralen Datenbank kommen bzw . dort gespeichert werden . Als Datenbank am Host wird DB2 verwe ndet; es stellte sich also die Aufgabe, ein System zu finden, von WWW auf DB2 zuzugreifen. Die Entwicklung" begann Ende 1996 - und sehr viele Datenbankanbindungen an DB2 gab es damals noch nicht. Die Wahl fiel schlieBlich auf NetData - ein Produkt des Datenbankherstellers IBM. Es war damals zwar erst im Beta-Test, hat aber - damals - die gestellten Aufgaben im Test am besten erfilllt. Da die Verbindung zur zentralen DB2-Datenbank anfangs nicht wie erwilnscht funktionierte, wurde als Zwischenschritt die Anwendung auf einer dezentralen DB2 -Datenbank unter Windows NT eingesetzt, wobei die Abstimmung zwischen den DB2-Datenmodellen im Nachhinein programmgesteuert erfolgte . Aufgrund der beschrankten Leistungsfahigkeit der Skriptsprache und der schlechten Performance am Host wurde das Gesamtsystem im WS 2001 /02 auf Basis von Java Server Pages neu implementiert. Die Performance des Systems
6
Vgl. Swoboda 1997
6 Internet-Anmeldung
291
wurd e dadurch so gesteig ert , dass trot z dreifacher Auslastung die Performance erheblich gesteigert werden konnte.?
6.4 Die Funktionen im Ablauf der Lehrveranstaltung --------, I Angebot an ,....----., Lehrveranstaltungen I
LIter der L hrveranstaltung
Stud nt
Abb. 11-6.1 Die Phasen der Lehrveranstaltungsadministration
7
Es gilt allerdings festzuhalten, dass auch die Hardwareressourcen sowohl auf Seiten des Servers (PC-Basis, Window s 2000) als auch des Datenbankhosts (DB2 unter IBM 05/390) aufgeriistet bzw. durch aktuellere Modelle ersetzt wurden.
292
II Anwendungsbeispiele
Das Projekt verfolgt das grundsatzliche Ziel, alle Phasen im Ablauf einer Lehrveranstaltung abzudecken . Am Anfang steht dabei die Entscheidung tiber das Angebot an Lehrveranstaltungen. Im nunmehrigen System stehen diese Daten durch das von der zentralen Verwaltung betreute System bereits zur Verfugung. Die Institute konnen die gesamte Antragstellung fur Lehrveranstaltungen sowie deren Anktindigung im ebenfalls nur mehr Online erscheinenden Lehrveranstaltungsverzeichnis via, WWW abwickeln . Die vom Studiendekan genehmigten Antrage stehen automatisch als Ausgangsbasis fur die Internet-Anmeldung zur Verfugung.
6.4.1 Personalisierte Anmeldeinformation
Aufgrund der Vielzahl der angebotenen Lehrveranstaltungen (zu Semesterbeginn waren knapp 800 Lehrveranstaltungen gleichzeitig zur Anmeldung freigegeben) stellt sich das Problem der Zuganglichkeit: Wie findet der jeweilige Studierende die gerade fur ihn geeigneten Lehrveranstaltungen ?
ILAS-Anmeldung
von Arnold Schwarzenecker (0159005) fur ~
Anmeldemoglichke it zu ""e iteren Lehryeranstaltungen finden Sie unter LVA-Suche 1. Abschnitt AbschniU wechseln
Wir t sc haf t swisse nsc hafte n Betriebswirtschaftslehre Volkswirtschaftslehre Erg a n z ungsfacher E:nglisch Informationsverarbeitung I
Statistik
Mathematik Recht I Abb. 11-6.2 Studienplanstruktur
Fur jeden Studierenden ist in der Datenbank abgelegt, welche Studienrichtung(en) er bzw. sie studiert und welche Studienplanversion dafur anzuwenden ist. Die primare Prasentation des Angebots orientiert sich daher am individuellen Studienplan: Nach dem Login bekommt jeder angezeigt, welche Studienrichtungen gespeichert sind - und es kann, wenn dies mehrere sind, eine davon ausgewahlt werden. Ftir diese Studienrichtung wird dann die Struktur des jeweiligen Studienplanes angezeigt - und mit dem Klick auf ein Fach werden alle zu diesem Fach angebotenen Klassen, mit dem Klick auf die Klassen die dazugehorigen Lehrveranstaltungen angezeigt. Jeder Studierende bekommt also aus dem gesam-
6 Internet-Anmeldung
293
ten Angebot jeweils nur jene Lehrveranstaltungen angezeigt, die fur sein individuelles Studium relevant sind . Es besteht aber auch die Moglichkeit, jede beliebige Lehrveranstaltung unabhangig vom Studienplan zu suchen und sich dafUr anzumelden .
6.4.2 Vergessene Passworter Gerade in der Anfangszeit waren vergessene Passworter das groBte Problem. Urn den personellen Aufwand in der Betreuung der .vergessenen Passworter" zu reduzieren, wurden bei der Neuimplementierung verschiedene MaBnahmen implementiert , die das Problem nahezu vollstandig gelost haben. )- Passwort-Hinweis: Bei der Neuanlage des Kennworts kann der Studierende einen Hinweistext und eine Mailadresse eingeben. Wenn er das Kennwort vergessen hat, kann er die Zusendung dieses Hinweistextes an seine damals eingegebene Mailadresse anfordern . )- 1st auch diese MaBnahme erfolglos, kann er den .Passwort-Resrore" Service in Anspruch nehmen. Die Johannes Kepler Universitat gibt seit dem WS 98/99 als Ausweis fUr Studierende eine Chipkarte aus - die .KeplerCard". Durch den Chip ist die Identitat des Studierenden, notigenfalls auch mit PIN gesichert, abfragbar. Studierende, die ihr Kennwort vergessen haben , konnen sich zu einer Servicestation an der Universitat begeben, wo sie nach Identifikation mit Ihrer KeplerCard das Passwort neu vergeben konnen .
6.4.3 Eingabe der Anmeldewunsche Innerhalb der in einer Klasse angebotenen Lehrveranstaltungen konnen die jeweils in Frage kommenden Lehrveranstaltungen der Reihe nach durch Anklicken ausgewahlt werden; diese Reihenfolge kann wahrend der gesamten Anmeldezeit geandert werden. Es zahlt nur die jeweils letzte abgegebene Entscheidung. Als Hilfestellung fur die Entscheidung wird bei der jeweiligen Lehrveranstaltung in der Spalte .Anmeldungen" angefUhrt, von wie vielen Kollegen diese bereits mit Prioritat I gewtinscht worden ist. Je hoher diese Zahl die Kapazitat der verfugbaren Platze tibersteigt, umso unwahrscheinlicher ist es, in dieser Lehrveranstaltung eineo Platz zu bekommen. Diese Information dient also dazu, in einem Selbststeueruogsprozess den Studierenden Beitrage zur besseren Kapazitatsauslastung zu errnoglichen.
294
II Anwendungsbeispiele
2002S: Informationsverarbeitung 1 (Kur s, allq., credlts : 5 .0, .... rtellstenplatze : 6) Semester Yeehseln Bitt~ klioksnSir;. auf '...nmrtoldeon' , urn caine Prioritat zu verg"blton. Urn eoineo LVA . . . . i"deoY abzuwihlen klicken SiE> "inf...ch noch e gl. ioh. SI.II. (wo j. Izl di. 2iff.r di. Prior il.I s l. hl) => w.nn nob.n LIIA-Numm.r.ino 2iff.r sl.hl , dann sind Si. ang.m. 'anm.ld.n ' sl.hl, noohnioht. L.hr v.ranshllung.n , bei d.non di. 2ul. ilung b. r. ils durohg.fuhrl worden is t , s ind grau hinl, Zut.ilung.n senen s le unter cem M.nUpunkt ·Zut. ilung.n·.Dort konn.n 5i. sich unmitt . lb. r nach der Zut.ilung euch .bm .ld.1 Anmeldungeon
LVA/URL Pr io ritiiten Anmeldever-geben
248711 248779 2487 20 248750 248705 ? a.Ft7 Ft7
schlu&
.nm.lden
G.03 . 11 :59
Mo, 17 :15 - 18 :45 Ell, ZI.bing.r Rob.rt
anm.ld.n
6 .03. 11 :59
or,
13 :45 - 15 :15
eh Novacok Alfr.d
~
6.03 . 11 :59
or,
15 :30 - 17:00
a
.nm.lden
G.03 . 11 :59
or,
17 :15 - 18 :45 Ell, Bod.nwinkl.r Fr.nz-P.t.r
.anrne-Iden
G.03. 11 :59
eu ,
13 :45 - 15 :15 Ell, Mitt.ndorf.r dohenn
ft
Ketz tlnqer - Felho f er- Elis .abeth
,; n..
Abb. 11-6.3 Eingabe der Anmeldewtinsehe
6.4.4 Zuteilungsinformation
Nach Abschluss der Anmeldefri st werden die gesammelten Anmeldedaten je Gruppe nach einem die Kapazitatsauslastung optimierenden Algorithmus zugeteilt, wobei darauf geachtet wird, dass kcin Student iiberschneidende Lehrveranstaltungen zugewiesen bekommt. Sofern dies nicht etwa durch Blocktermine unmoglich ist, wird fur jeden Studenten ein Stundenplan gefuhrt, der Terminkollisionen ausschlieBt. Wer zum Zeitpunkt einer Lehrveranstaltung bereits eine andere zugewiesen hat, bekommt die nachste Moglichkeit zugewiesen. Fixe._~~t~jJ~r-.,c,JIJ,z;~,,~,I!~_~~~"'_~~ ,,:an folge-oden Lehrver-.anst.a,t~'IIlC.JiE!'I':
Litvli",~"JSgZ~""",*,o,~~"" cJh!'~ .iC:IlQ'...~g~tfui4iJ_~,(; 29900 9 leo Einstufungstest Malhematik PDz Gunter
228 10E 180 Vorkurs En91 isch Phllpctt-Rek Helena
'"" ""iF" -""
. .~~~: ~- ~:,, "~;,_li~~ iJ\IlL~::_~=~~~~_~~ ,,~~~ __L 2001-10-05 (Fr, 14 :00 1G:00)
200 1-1 0-10 tl :45)
o-n, 08:30-
,
" h
~:~~"
__
' :' ; {
abm"ld"n (Ilbet- ILAS nur bis 05 .10.01 14 :00 moglich) ~ (uber ILAS nurbls 10.10 .0108 :30
moglich) 32570 1 180 Vorkurs Mathemat ik
2432 10
is o
Pilz GUnter
200 1- 10- 11 ([)o, 08 :3010 :00)
ln vest itionIF jnanz ierung/S\eoueorn Sc hauer Reo inbed
2001-10-1 0 (Mi, 15 :30 17 :00)
abmelden (tiber ILAS nur bis 11.10 .0108:30 moglich) abme-Ide-n (tiber ILAS nur-
bis 10.10.01 15 :30 moglich)
Abb.II-6.4 Zuteilung sinformation aus Sieht eines Studenten
6 Internet-Anmeldung
295
Dieses Zuteilungsverfahren ist eine eigenstandige Anwendung, die in Java implementiert wurde und direkt auf die von der Anmeldung gespeicherten Daten zugreift. Am Ende des Zuteilungsprozesses steht also fest, wer in welcher Lehrveranstaltung einen Platz bekommen hat und wer nicht berucksichtigt werden konnte. Da erfahrungsgemaf nicht aIle, die einen Platz bekommen haben, auch tatsachlich erscheinen, werden fur jede Lehrveranstaltung neben den fixen Platzen auch Wartelistenplatze vergeben . Wir "tiberbuchen" also unsere Kapazitat ebenso wie die Fluglinien - aber sagen den Kunden, ob sie einen fixen Platz oder einen Wartelistenplatz haben. Diese systemgenerierten Daten interessieren nun sowohl den Studierenden wie auch den Lehrveranstaltungsleiter. Bei der Art der Abfrage wird jedoch entsprechend der jeweiligen Interessen unterschieden: Der Studierende hat eine Anmeldung zu in der Regel mehreren Gruppen abgegeben; er will also wissen, welche seiner Anmeldungen wie erfolgreich waren. Er erhalt daher nach Eingabe seiner Matrikelnummer (und des Kennworts) eine personliche Auswertung seiner Anmeldungen: wo hat er einen fixen Platz bekommen, wo steht er auf der Warteliste und wo konnte keine Zuteilung erfolgen (vgl. Abb. II-6.4).
Zuteilungslistefur 248317Recht WIN: Beschaff. (Vorle~ Obung .) 2001W ListS ,ZUtl' :9ownfoad:iHisrklicken
· (t"a c ~ ~n's ie E3rne n · Rec h tskl.i c k aul den Li n k undspeich~rnSiecas .cla LV:A,-NumnJer ;Z;B,als '!.24B31Z:C:SV\EndunlJeachten!.
Abb. 11-6.SZuteilungsinformation aus Sichtdes Lehrveranstaltungsleiters
Der Lehrveranstaltungsleiter ist dagegen darin interessiert, welche Teilnehmer seiner konkreten Lehrveranstaltung zugewiesen wurden. Er erhalt also die Auswertung der Zuteilungsinformation nach dem Kriterium der Lehrveranstaltungsnummer . Die Liste enthalt aIle Teilnehmer mit fixen Platzen, sortiert nach dem Alphabet sowie die Liste der Teilnehmer mit Wartelistenplatz, sortiert nach der Nummer des Platzes auf der Warteliste. Diese Warteliste ist nur am Anfang der
296
II Anwendungsbeispiele
Lehrveranstaltung von Bedeutung, wahrend die Liste der fixen Teilnehmer wahrend der gesamten Lehrveranstaltungsdauer von Interesse sein kann. Er kann sich diese Liste ausdrucken oder downloaden, urn sie z. B. in Excel fur seine Zwecke weiter zu bearbeiten.
6.4.5 Vorbesprechung und Datenaktualisierung Im Rahmen der Vorbesprechung, d. h. des ersten Termins der Lehrveranstaltung wird dann konkret uberpruft, wer von den zugeordneten Teilnehmem tatsachlich anwesend ist und seine Aufnahme fixiert.
ILA5-Zuteilungsliste fur 248318 Recht
wm:
Freiheit (Vorlesung und Ubung ) 2001W
BiUe beachten Sie die Hinyeise (Stand 16 .10.2001) t . ..ir die Bea..beitung yon Zute i lungs listen! Seitenausyahl: 1 £ ~ 1 ~ ~
r
---
yon LVabgemeldet (Prio gleich)
4
00
3 3
a.J
[ Teilnahme an LV
I ~ ,[ OurchfUhren I I e j[ourchfUhren)
Abb. 11-6.6 Aktua lisierung der Lehrveranstaltungszuordnungen
Nicht anwesende Studierende, die sich nicht vorher entschuldigt haben, werden von der Teilnehmerliste gestrichen und ggf. Personen von der Warteliste aufgenommen. Aile diese Arbeitsschritte konnen online und damit ohne papierenen Umweg vorgenommen werden (vgl. Abb. II-6.6), sofem im Vortragsraum ein PC mit Intemetanschluss verfugbar ist. Ist dies nicht der Fall, kann sich der Lehrveranstaltungsleiter nattirlich das Ganze auch ausdrucken, Korrekturen handschriftlich vermerken und sparer erfassen. Am Ende dieses Aufnahmeverfahrens ist am System der aktuelle Stand der Teilnehmer dokumentiert, der z. B. zum Erstellen von Anwesenheitslisten oder Beurteilungslisten genutzt werden kann (vgl. Abb. II-6.S).
6.4.6 Computerunterstutzte Prtifunq Die Abhaltung von Prlifungen kann durch einen Modul zur automatisierten Generierung von Testbogen untersttitzt werden. Es besteht die Moglichkeit, Fragen mit offenen wie auch als Multiple-Choice-Antworten in Fragenpools eingeordnet zu speichem und daraus Tests generieren zu lassen, die eine zufallige Auswahl aus
6 Internet-Anmeldung
297
Pools und damit individuelle Zusammenstellungen fur jeden Studenten ergeben. Soweit es sich urn Multiple-Choice Fragen handelt, ist nattirlich auch die computeruntersttitzte Auswertung moglich. Das Ausflillen der Tests selbst ist derzeit noch ausschlieBlich papierbasiert, doch wird an einer Online-Variante bereits gearbeitet.
6.4.7 Benotung Am Ende der Lehrveranstaltung steht der Pro zes s der Beurteilung. 1m ersten Schritt erstellt der Lehrveranstaltungsleiter seine Beurteilung der Leistungen der Teilnehmer und gibt diese via Browser unmittelbar in die Datenbank ein . Bisher wird es als unverzichtbar angesehen, diese Liste der Noten dann in Form eines Sammelzeugnisses auszudrucken und sodann unterschrieben an die Studien- und Prtifungsabteilung zu senden. Die Unterschrift wird als Kriterium fur Echtheit und Gi.iItigkeit der Noteneingabe verwendet. 1m nachsten Semester beginnt ein Probebetrieb, wo mit einfachen digitalen Signaturen gearbeitet werden soIl. Die Daten werden un mittelbar per Mausklick tibertragen und zur Kontrolle eine E-Mail mit den Daten digital signiert. Mit der Eingabe der Noten stehen aber diese bereits fur das elektronische Notenauskunftssystem zur Verfligung.
6.4.8 Notenauskunft und Evaluierung So wie die Lei stung des Studierenden bewertet wird , soli auch er seinerseits die Lehrveranstaltung bzw. den Leiter bewerten. § 18 Abs . 4 VOG sieht die Bewertung der Lehrveranstaltung durch die Studierenden in einem vier Semester nicht tibersteigenden Zeitraum VOT. 1m Rahmen einer weiteren Diplomarbeit" wurde ein weiterer Baustein zu diesem Gesamtprojekt entwickelt. Man kann damit dynamisch aus den in einer Datenbank abgelegten Elementen Fragebogen zusammenstellen und bestimmten Lehrveranstaltungen oder Lehrveranstaltungsgruppen zuordnen . Der Student, der eine bestimmte Lehrveranstaltung auch tatsachlich besucht hat, kann dann diese Lehrveranstaltung auch aus seiner Sicht bewerten, wobei die Ergebnisse anonym gespeichert werden. Wir sind davon ausgegangen, dass der Student mehr daran interessiert ist, seine Beurteilung zu erfahren als sich der Mtihe des Ausflillens des Bewertungsbogens zu unterziehen . Urn zu einigermaBen aussagefahigen Ergebnissen zu kommen, haben wir daher die beiden Anwendungen mit sanftem Druck verkntipft: Die Bekanntgabe der Note auf elektronischem Weg erfolgt erst und nur dann , wenn auch der Studierende seine Bewertung abgegeben hat.
8
Ullrich 1999
298
II Anwendungsbeispiele
6.5 Weitere Entwicklung Das gesamte Projekt gemaB Abb. 11-6.2 wird unter Leitung des Autors im Rahmen von studentischen Projekt- bzw. Diplomarbeiten entwickelt. Abgesehen von den Fixkosten der Betreuung dieser Projekte und Pramien, die fur unmittelbar einsetzbare Ergebnisse bezahlt wurden, sind im Vergleich zu einer Fremdvergabe vergleichsweise margin ale Ausgaben angefallen. Entwicklungswerkzeuge wurden dabei immer so gewahlt, dass eine Wartung durch Institutsmitarbeiter gewahrleistet war, wobei die Minimierung von Wartungsaufwand stets ein Projektziel mit hoher Prioritat war. Ein Nachteil dieser Vorgangsweise besteht vor allem darin, dass eine Terminplanung nur beschrankt moglich ist, da nicht aile Studierenden das Ziel - inhaltlich wie terrninlich - erreichen . Die Entwicklung berlicksichtigt stets die Anwendung im Gesamtkontext der Universitat und ihrer Infrastruktur - der Testbetrieb selbst wird grundsatzlich am Institut fur Daten verarbeitung durchgeflihrt. Erst bei erfolgreicher Absolvierung des Testbetriebs werden Module fur die Anwendung durch andere freigegeben . Die gezwungenermaBen stufenweise Entwicklung eines derartig umfassenden Projekts bringt nicht nur Vorteile bei der Erstellung, sondem auch bei der organisatorischen Einflihrung: Es ist sehr viel einfacher , jeweils einige neue Funktionen einzufuhren als ein hochkomplexes System als Ganzes zu erklaren . Ein dem Ideal nahekommender Zustand ist erreicht, wenn die Benutzer des Teilsystems selbst den nachsten Entwicklungsschritt vordefinieren, indem sie den nachsten Entwicklungsschritt als Funktionen beschreiben, die ihnen eine weitere Arbeitserleichterung bzw. verbesserte Information liefem wlirden. Derartige Aussagen tatsachlich fachkundig zu machen ist erst dann moglich, wenn man mit dem System zumindest teilweise schon arbeiten kann. Die theoretischen Vorteile des PrototypingAnsatzes konnen aus den Erfahrungen dieses Projekts nur bestatigt werden. Es ist auch bereits absehbar , dass durch die Nutzung der Intemettechnologien ein hoherer Grad an Integration erreicht werden wird, als das mit Mitteln der klassischen EDV denkbar schien. Es ist klar, dass auf einer Universitat eine noch groBere Heterogenitat der Hard- und Softwareausstattung vorzufinden ist als in einer betrieblichen Umgebung . Den integrierenden Eigenschaften eines WWW-Browsers als "universellem" Client kommt dann eine besonders bedeutsame Rolle zu.
Literatur Schreiner (1992), Alexandra, Computerunterstlitzte Lehrveranstaltungsadministration, Diplomarbeit , Linz 1992 Swoboda (1997) , Rainer , Lehrveranstaltungsanmeldung mit Hilfe von World Wide Web und Datenbanken, Diplomarbeit, Linz 1997 Ullrich (1999) Christoph, Eignung von Onlinebefragung am Beispiel der Lehrveranstaltungs-Bewertung durch Studenten via WWW, Diplomarbeit, Linz 1999
7 Multilinguale Web-Anwendungen am Beispiel der Datenkataloge der Arbeitsgemeinschaft Alpen-Adria Alfred Novacek Institut fUr Datenverarbeitung, Johannes Kepler Universitdt Lin:
7.1 EinfUhrung Die Arbeitsgemeinschaft Alpen-Adria wurde am 20. November 1978 1 in Venedig als eine Gemeinschaft von Regionen im Bereich der Ostalpen und der nordlichen Adria gegrundet. Aufgabe der Arbeitsgemeinschaft ist "die gemeinsame informative fachliche Behandlung und Koordinierung von Fragen, welche im Interesse der Mitglieder liegen .'? Insbesondere werden folgende Themen behandelt: • • • • • • • • • • • • • • •
transalpine Verkehrsverbindungen, Hafenverkehr, Energiegewinnung und -ubertragung, Landwirtschaft, Forstwirtschaft, Wasserwirtschaft, Fremdenverkehr, Umweltschutz, Naturschutz, Landschaftspflege, Erhaltung der Kultur- und Erholungslandschaft, Raumordnung, Siedlungsentwicklung, kulturelle Beziehungen sowie Kontakte der wissenschaftlichen Einrichtungen.
Wahrend die Vollversammlung der Regierungschefs, untersttitzt von der Kommission der leitenden Bearnten, Beschli.isse von grundsatzlicher Bedeutung! fallt, er-
3
http://www.alpeadria.org/origini/che30sa/2ct.htm (10.8.2000) Gemeinsame Erklarung, Artikel 3; zitiert nach http://www.alpeadria.org/origini/che30sa/page2Jhtm (10.8.2000) Vgl. http://www.alpeadria.org/origini/che30sa/page4_t.htm (10. 8. 2000)
300
II Anwendungsbeispiele
folgt die substanzielle Arbeit in funf standigen Fachkomrnissionerr', die dazu (permanente) Arbeitsgruppen und (temporare) Projektgruppen einrichten. 1m Oktober 1995 entschloss sich die Arbeitsgruppe "Geografische Inforrnationssysteme und Datenkataloge" der Kommission I .Raumordnung und Umweltschutz", "to use new technology structures like INTERNET for a better communication within Alps-Adriatic and for providing information about Alps-Adriatic . Our focus is on performing a better access to the results of our working group."? Als Projektpartner konnte das Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften (idv) der Johannes Kepler Universitat Linz gewonnen werden. Gemaf den Arbeitsschwerpunkten der Arbeitsgruppe umfasste das Projekt zwei Projektteile: • Aufbau einer Web-basierten Losung , urn das - bisher in konventionellen EXCEL-Dateien vorliegende - Verzeichnis von raumordnungsrelevanten Dokumenten ("Datenkataloge") im Internet abfragen und pflegen zu konnen ; als besondere Rahmenbedingung galt, dass aile Informationen in allen Sprachen der Mitgliedsregionen (und eventuell auch in Englisch) verftigbar sein mussen: sowie • Aufbau einer Moglichkeit, geografische Informationssysteme (GIS) mit den Mitteln eines Web-Browsers nutzen zu konnen; aile Kernfunktionen eines GISSystems (Suchen, Zoomen, Panning, ...) sollen untersttitzt werden", Eine gemeinsame Rahmenbedingung fur beide Projektteile war, Browser-abhangige Konstrukte wie z. B. JavaScript zu vermeiden.
7.2 Die Ausgangssituation Bereits vor Beginn des Projekts war die Arbeitsgruppe damit beschaftigt, die in den jeweiligen Mitgliedsregionen vorhandenen raumordnungs-relevanten Dokumente in vier Datenkatalogen (I : Topografie; 2: Nattirliche Grundlagen; 3: Raumnutzung; 4: Planungen) zu dokumentieren . Wahrend man ursprtinglich aile Informationen mit einer Textverarbeitung erfasste, ging man sparer zu speziell strukturierten EXCEL-Arbeitsblattern (vgl. Abb . II-7 .1) tiber.
4
5
6
Kommission I: Raumordnung und Umweltschutz; Kommission II: Wirtschaft, Verkehr und Fremdenverkehr; Kommission III: Kultur und Gesellschaft; Kommission IV: Gesundheit und soziale Angelegenheiten; Kommission V: Land- und Forstwirtschaft. Vgl. http://www.idv.uni-linz.ac.at/alpeadria/project.htm (10.8.2000) Anm.: Die Ergebnisse dieses Projektteils werden im nachsten Kapitel vorgestellt.
7 Multilinguale Web-Anwendungen
301
2 Fachliehe Pmgmmme und Plane b.9 Oberiisterreich
~~· I !ml~J$.~~$~' ! i ~ i Ne1urschutzrechtliche Festleqanqen eKetierunqen erfolgtenim Bundesmeldenetz (Triengulierungsblettschnitt) Teil desO.b. ROK.>
Waldentwicklungsplen
3 Hlnweiskertierung (1:200.000) Ubersichtskartieru''19 (1:20.000)
AmtderO.b. Lcindesregierung
1. 2. 3 (OK
AmtderO.b. Landesregierung Lendestorstdienst. Bezirkshouptmenn-scholt
1:50.000)
Raumplenung lst des forst-
gesetz 1975 (BGBL.440M74)
Amtlicher Lewinenkatastervon
1. 3
00. <Mlillsteb: voriierendnach Sechlage;FJ&he:Alle L<>Ninen im Telberelch und in graBen touristischenRouten (Skirauten); EDV-gestUtzte LaWinenk6Ttierung in Vorbereitung>
Hochwesserdberflutunqsgamete'deTDoneu<1m Anschlu'B en groBerseusuferndeOoneuhochwBsser werden die Uberllutungsgrenzeninsbesondersirn EferdingerBecken,im Linzer Feld und im n'5rdlichen Mechlenderhobenund dargestellt.
Gefahrenzon enptene
100%
loufend
der
rechtl. Festlegung
100
Amt der 0 .0. ce, 70% Landesregierung des 0.0. Lewinenwerndienst
RlMsion aile 10 Jahre
sell 1977 lid.
z.2t.1
A1pen-
entails
3 (1:20.000)
Amt der O.b.
o.o,
loutend
tendesreqerunq und Doneu-
2.3
wessereneaen-orekicn
raum
Wildbach- und Lawinanverbeuunq
ca 30
Ieatend nur bei Anderunq
dar Situation
und Foretwirtschet tiber die
Gsfehrenzonenplene. BGBL. 436/1979. Die Plane sind projektbezogen im MOBsteb zw. 1:1.000 und 1:5.000
Da's~llungsaft
l"ZEHl 2 11 Tabelle,Grafik 3= Karte.,Ptine
K1ei~leRaY'neirheit
4" l:?el'TJa'irde 3= Krels,fle.zirk 2 .. fezlrlc;A"OJire:
BMbeoitl.ngsart l .. klassisa.
2=. ed...-gestCkZl 3 · ..lIomat:lsc:f-
4 · Kat.ilSter~iritl~
4Ct6T-B9.xLS 02.02.00 14:46
Abb. 11-7.1 Datenkata!og im EXCEL-Fonnat
-32-
302
II Anwendungsbeispiele
Datenerfassung inExcel
Datenerfassung In Excel
Datenerfassung in Excel
Datenerfassung inExcel
Datenerfassung in Excel
Sprachkoordinator
M. Schmeiss(00)
Sprachkoordinator
M. Schmeiss(00)
Datenpfleger
Oatenpfleger
Oatenpneger
Datenpfleger
Oatenpfleger
Deutsch
Ilalienlsch
Kroatisch
Ungarisch
Siowenisch
Abb, 11-7.2 Pflege der Datenkataloge
Je Region (bzw. der tibergeordneten staatlichen Einheit) und atenkatalog wurde ein eigenes EXCEL-Arbeitsblatt erstellt (vgl. Abb. II-7.2). Waren diese kontrolliert, tibersetzten beauftragte Dolmetscher diese Informationen in die ubrigen in der Arbeitsgemeinschaft verwendeten Sprachen (Deutsch , Italienisch, Kroatisch, Slowenisch und Ungarisch) und erzeugten je Sprache wieder ein eigenes Arbeitsblatt. Waren Originale und Ubersetzungen bereit, wurden diese gesammelt ausgedruckt und in dieser Form publiziert. Diese Vorgehensweise zeigte deutliche Nachteile:
7 Multilinguale Web-Anwendungen
303
• In den Sitzungen der Arbeitsgruppe wurde immer sehr viel Zeit fur die KontrolIe der Datenkataloge benotigt. • Auch verschiedene standardisierte Inhalte (z. B. Bearbeitungsart) wurden in den beteiligten Regionen twounterschiedlich erfasst. • Wurden Teile eines Arbeitsblattes im Original verandert, musste der Ubersetzer entweder muhevoll eruieren, was sich geandert hat, oder das Arbeitsblatt komplett neu ubersetzen.
7.3 Zielsetzung Diese Situation gab den AnstoB zur Entwicklung einer Web-basierten Losung . Die Daten tiber die verfugbaren Dokumente sollten in einer zentralen Datenbank gehalten werden, jedoch dezentral und ohne spezielle Software (nur mit einem WebBrowser) gepflegt werden konnen . (Dies ermoglicht es gleichzeitig, diese Informationen interessi erten Nutzern mit einem Internet-Anschluss zur Verfilgung zu stellen.) Es musste bei Projektbeginn damit gerechnet werden , dass insbesondere im ehemaligen Ostblock noch langere Zeit altere Browser-Versionen im Einsatz sind. Beim Entwurf der Anwendung war daher darauf zu achten, dass Konstruktion en, die in so\chen Umgebungen nicht funktionieren oder Probleme bereiten (Frames, JavaScript, Java Applets, ...) nicht verwendet werden.
7.4 System-Auswahl Es gibt eine breite Palette von Produkten, die es erlaubt , Web-Applikationen auf Datenbank-Basis zu erstellen. Basis ist meist die Kombination von .reinem" HTML mit einer einfachen Scripting-Sprache, die eine breite Einsetzbarkeit des Produkts erlaubt. Basis fur die Auswahl des Datenbank-Web-Gateways waren daher eher Uberlegungen, ob auf vorhandenes Know-How zuruckgegriffen werden kann, wenn die Anwendung spater gepflegt und weiterentwickelt werden soIl. Da bei Microsoft ASP damit gerechnet werden kann, dass am Markt eine groBe Anzahl von Fachkraften verfugbar ist und dieses Produkt auch fur verschiedene Entwicklungen beim unmittelbaren .Ansprechpartner" des Instituts - dem Amt der oberosterreichischen Landesregierung - im Einsatz ist, tiel die Wahl auf dieses Produkt. Als Datenbank wurde fur die Entwicklung Microsoft Access verwendet. Aufgrund des groBen Standardisierungsgrades von SQL (zumindest im Kernbereich) sollte die Umstellung auf ein anderes Datenbanksystem - sollte dies fur den Produktionsbetrieb erforderlich werden - keine groseren Probleme bereiten.
304
II Anwendungsbeispiele
7.5 Die neue Web-Anwendung im Lichte der Anforderung der Multi-Lingualitat Im Kern ist die beschriebene Anwendung eine .Jdassische" Datenbank-Anwendung . Das zugrundeliegende Datenmodell dieser einfachen Anwendung ist in Abb. II-7.3 dargestellt.
Diplomarbeit ER·Modell (IDEF1X Notation)
144 CRaumeinh
141 CRegionen
Dietmar Nedbal
9555085 K175
a- - - - - - - - 1
I- - - - - - -
-
;- - - - - -
1
I • .120 Ookumente i
40CE '
d
J: i
-..,
;n;~n., IL _
___
_ ----J
I
Rlll g 1
I
143 COienstSt
22 OienstSt ~
I
~-
123 BearbArt
- - - ----1 42 COa<stArt I 45 CBearbAr1
i
Ring ')
Ring )
Abb. 11-7.3 Basis-Relationenmodell
Die Relationen des Modells lassen sich nach ihrer Funktion in drei "Ringe" aufteilen: • Die Relation .Dokumente" (die einzige Relation im innersten Ring) enthalt je erfassten Dokument einen Eintrag ; in dieser sind jene Angaben (z. B. der Dokumententitel) erfasst, die je Dokument nur einmal vorkommen konnen, • Die Relationen des zweiten Ringes enthalten jene Angaben, die je Dokument mehrfach vorkommen konnen (z. B. konnen verschiedene Teile des Dokuments auf unterschiedliche Weise erstellt worden sein - .Bearbeitungsart"), • Der auflere Ring schlieBlich enthalt jene Relationen, die gultige Werte fur bestimmte Angaben festlegen ("Wertelisten") . Eine spezielle Herausforderung stellte jedoch die Anforderung dar, dass aIle Informationen in allen in der Arbeitsgemeinschaft Alpen-Adria verwendeten Sprachen (und in Zukunft ev. auch noch in Englisch) verfugbar sein mussen, Die Anwendung gibt einen guten Einblick in die Anforderungen, denen eine multilinguale Web-Anwendung fur eine europaische Interessentenschar genugen
7 Multilinguale Web-Anwendungen
305
muss. Aile groBen europaischen Sprachfamilien sind vertreten: die germanische (Deutsch, Englisch), die romanische (Italienisch) und die slawische (Kroatisch, Slowenisch); auBerdem - als Spezialfall , der keiner der groBen Sprachfamilien angehort - das Ungarische; nicht vertreten sind aber Sprachen, die nicht die lateinische Schrift als ihre Basis haben (Griechisch, Russisch, ...). Ausgespart blieben schlieBJich aile jene Probleme, die manche Nicht-Europaische Sprachen mit sich bringen (andere Schreibrichtungen, ...).
7.5.1 Datenbank-Design fur Mehrsprachigkeit Die Anforderung, dass bestimmte Informationen in mehreren Sprachen vorhanden sein mussen, bedingt ein Aufteilen der im Basis-Datenmodell vorhandenen Relationen: • Aile Informationen , die in mehreren Sprachen vorkommen konnen, (typischerweise aile Textfelder) mussen aus den originalen Relationen herausgelost werden; als Primarschlussel der neuen Relation dient der Primarschlussel der originalen Relation, erganzt urn eine Sprachkennzeichnung. • In der originalen Relation verbleiben somit aile jene Informationen, die nicht ubersetzt werden mussen (Zahlenangaben, ...). Weitere Anderungen des Modells ergeben sich jedoch noch aus den Anforderungen, die sich ergeben , wenn Informationen mehrsprachig bereitgestellt werden mussen (s. Kap. 7.5.2).
7.5.2 Das "Befullen" mit mehrsprachigen Informationen Der fur den Datenbank- und Anwendungs-Designer einfachste Fall ist zweifelsfrei, wenn derjenige, der die Informationen eingibt, diese gleichzeitig in allen gewUnschten Sprachen eingibt. 1m vorliegenden Fall kann jedoch kaum davon ausgegangen werden, dass ein Benutzer des Systems aile erforderlichen Sprachen beherrscht; Informationen konnten daher erst dann eingegeben werden, wenn die Ubersetzer aile erforderlichen Ubersetzungen geliefert haben; doch selbst dann konnen sich fur den Benutzer Probleme mit fur ihn fremden nationalen Sonderzeichen ergeben - insbesondere dann, wenn er diese gar nicht auf seiner Tastatur vorfindet. Die Losung kann nur darin liegen, jedem Benutzer nur das zuzumuten, was er beherrscht: der Bearbeiter gibt aile Informationen nur in "Originalsprache" ein (Abb. II-7.4); die Ubersetzer sorgen dann dafur, dass diese Informationen auch in den anderen Sprachen bereitgestellt werden (Abb. II-7.5). Geht man davon aus, dass vor der Freigabe zur Publikation (bzw. Ubersetzung) noch Kontrollen eingebaut sind, ergibt sich fur die Anwendung folgender kleiner "Workflow":
306
II Anwendungsbeispiele
lleuer Dokulllenteilltrag Telll : .einfach vorkommende Eintrlige
Abb. 11-7.4 Pflege von Daten in Originalsprache
fP Dokumellteilltrag ii bersetzell: Bezelchnung des Dokuments
r Obersetzung dleses Dokuments abhaken
• Bearbeiter aktualisieren bestehende bzw . geben neue Dokumenten-Daten ein.
7 Multilinguale Web-Anwendungen
307
• Ein .Jetzt-verantwortlicher" Bearbeiter entscheidet, wann die Daten bereit zum Publizieren im Web sind; gleichzeitig werden die Ubersetzer per E-Mail verstandigt, dass wieder Daten zum Ubersetzen vorliegen.? • Die Obersetzer sorgen dafur , dass fur die neuen und uberarbeiteten Texte korrespondierende Fassungen in den anderen Sprachen erfasst werden. • Sind die ubersetzten Texte einer Sprache zufriedenstellend, werden auch diese zur Publikation im Web freigegeben. Dieser Ablauf bedingt, dass fur aIle Daten mindestens zwei Versionen in der Datenbank gespeichert sind: • eine vorher "eingefrorene", die im Web publiziert wird, und • eine, an der gerade weitergearbeitet wird. • Weitere Versionen konnen dadurch erforderlich werden, dass die ubersetzten Informationen durch diesen Prozess nur zeitverzogert bereitgestellt werden. Wahrend diese Beschreibung vorerst nur wenige Unterschiede zum alten Ablauf (s. Kap. 7.2) erkennen lasst, ermoglicht das neue System aber doch, die Arbeit insbesondere der Ubersetzer, aber auch der anderen Nutzer drastisch zu vereinfachen: • Die Erfordemis, die Arbeit der verschiedenen Regionen betreff Aktualisierung der Datenkataloge zu koordinieren und wegen gemeinsamer Drucklegung zu synchronisieren, entfallt; jede Region entscheidet selbst - unabhangig von den anderen Regionen - wann ein aktualisierter Datenbestand bereit zur Publikation im WWWist. • Informationen, die von der Mehrsprachigkeit nicht betroffen sind, werden dem Ubersetzer ebensowenig angezeigt wie Informationen, die sich seit der letzten ubersetzten Version nicht geandert haben. • Bei Informationen, die sich seit der letzten Version geandert haben, kann gleichzeitig die alte und die neue Version in Originalsprache angezeigt werden; zugleich kann die letzte ubersetzte Version als Vorgabe fur die neue Version, die nur mehr entsprechend anzupassen ist, angeboten werden. • Informationen in Wertelisten werden nur einmal (vorab) tlbersetzt. FUr eine Beschreibung des resultierenden Datenmodells (das noch weitere Punkte, z. B. Zugriffsberechtigungen bertlcksichtigt) wird auf Pils/Novacek 1998 und Nedbal 2000 verwiesen.
7.5.3 Konstante Texte in der Web-Applikation
Prinzipiell gibt es zwei Moglichkeiten, konstante Texte (z. B. Beschreibungen von Eingabefeldem, Beschriftungen von Buttons, ...) mehrsprachig bereitzustellen :
7
Anm .: Die Btindelung der Verstandigung hat in diesem Fall auch den Vorteil , dass die Ubersetzer nicht mit Verstandigungen fur nur jeweils sehr kleine Aufgaben uberhauft werden.
308
II Anwendungsbeispiele
• die Texte werden als Bestandteil des statischen HTML notiert; der Vorteil dieser Losung ist, dass der notwendige dynamische Teil schlank bleibt; der Nachteil , da ss bei jeder Anderung des Programmcodes dieser in verschiedensprachige dynamische HTML-Seiten ubemommen werden muss (oder vice versa). • die Texte werden - wie andere mehrsprachige Informationen auch - aus der Datenbank geholt; die Mechanismen zur Bereitstellung mehrsprachiger Informationen konnen in diesem Fall auf die konstanten Textteile adaptiert werden .
7.5.4 Spezialanforderung: die Darstellung von nationalen Sonderzeichen Samtliche Computer der PC- und Workstation-Klasse (also de facto aile Gerate, die zum Surfen im Web tauglich sind) arbeiten mit 8-Bit-Zeichensatzen, die auf dem von der ANSIS genormten 7-Bit ASCII9-Zeichensatz basieren'", ASCII war jedoch fur den rein inneramerikanischen Gebrauch bestimmt; Zeichen, die dort nicht benotigt wurden, wie z. B. die deutschen Umlaute "A", ,,0", ,,0", "a", "a" und "U" sowie das ,,6", waren nicht vorgesehen". In der Foige gingen verschiedene PC- bzw. Betriebssystem-Hersteller daran, die vom ASCII-Zeichensatz frei gelassenen 128 Kode-Positionen mit weiteren benotigten Zeichen zu belegen; dieser .Ansatz" fuhrte jedoch zu einer Reihe weiterer Probleme: • Da sich die Hersteller nicht koordinierten, fiel diese Belegung sehr unterschiedlich aus . • Es wurden im Regelfall zunachst nur Bedarfe fur westeuropaische Sprachen berucksichtigt. Andere Sprachen wurden spater einbezogen, indem alternative Belegungen der vom ASCII-Zeichensatz nicht belegten Kode-Positionen zusammengefasst in sog . "Code-Pages", vorgesehen wurden. Verschiedene Code-Pages konnen jedoch nicht gleichzeitig verwendet werden. Es muss daher damit gerechnet werden, dass Zeichen, die nicht in der aktuellen Code-Page vorhanden sind, falsch angezeigt werden. • Schriften, die mit sehr vielen verschiedenen Zeichen arbeiten (z. B. Chinesisch, Japanisch oder Koreanisch), konnen nur mit speziellen Klimmzugen unterstutzt werden.
7.5.4.1 Die Zwischenlosung: nationale Code-Pages Den Weg der nationalen Code-Pages ist auch die ISOl2 in ihrer ISO-8859-Norm 13 gegangen. Die betreffenden Zeichensatze werden von gangigen Browsern unter-
8
9 10 II
American National Standards Institute - dem nationalen Normungsgremium der USA American Standard Code for Information Interchange VgI. auch Novacek 1999 Anm.: Auch einige in den USA gebrauchliche Zeichen, wie " TM", ,,®" und ,,©" sind davon betroffen .
7 Multilinguale Web -Anwendungen
309
stutzt. Von Bedeutung fur das Projekt sind insbesondere die Code-Pages ISO8859-1 ("Latin- l ", fur Deutsch, Englisch und Italienisch, vgl. Abb. 11-7.6) und ISO-8859-2 ("Latin-2", fur Kroatisch, Slowenisch und Ungarisch, vgl. Abb. 117.7).
0 y
X
P
2
3
»
~
~
A
If
C
I
8
N
U
U
U 0
a
a
a
a a
a
1
1
1
III
u
c e
e
e
e
1
n
0
0
0
0
0
u
u
y
p
y
Abb. 11-7.6 ISO-8859-1 - Erganzungen zum ASCII-Zeichensatz
12
13
Die Intern ation al Standards Organization, dem int erna tionalen Zusammen schluss nationaler Normungsgremien wie O-Norm, DIN und ANSI. VgI. http://www.teamone.de/selfhtmIlthb.htm (10.8.2000)
310
II Anwendungsbeispiele
z
z
s
s '-'
Z R A A A ~
E
E
I
0
0
0
x
z
C
T B r a c e e e n
0
0
u
y
t
0
Abb. 11-7.7ISO-8859-2 - Erganzungen zum ASCII-Zeichensatz
Probleme in dieser Losung ergeben sich vor allem dort, wo Texte aus Sprachen, die unterschiedliche Code-Pages benotigen, gleichzeitig dargestellt werden mussen (z. B. beim Ubersetzen zwischen Ungarisch und Deutsch), da damit gerechnet werden muss, dass Ue nach Wahl der verwendeten Code-Page) nicht unterstlitzte Zeichen falsch dargestellt werden.
7.5.4.2 Die Ideallosung: UNICODE / UTF-B
In den spaten 80-er Jahren begannen Versuche, Zeichensatze zu entwerfen, die alle Zeichen umfassten, die in irgendeiner Sprache der Erde benotigt wurden, Aufgrund der benotigten Zahl von Code-Positionen (insbesonders den femostlichen "CJK"-Sprachen) konnte die alte Beziehung ,,1 Zeichen wird in genau einem Byte (= 8 Bit) dargestellt" aber nicht mehr aufrechterhalten werden. Der neue Standard ISO-10646 (UCS-2 14) und der - inhaltlich gleichartige - UNICODE-Standard verwenden daher 2 Byte (=16 Bit) pro Zeichen". Gangige Software baut aber derzeit auf 1 Byte groBe Zeichen auf. Urn den Umstellungsaufwand fur bestehende Software zu minimieren, wurden "Transformati-
14
15
.Universial Character Set" Anm.: 1m ISO-10646-Standard ist ferner eine Erweiterung von "UCS-2 " auf 4 Byte ("UCS-4") vorgesehen. Fur eine umfassende Darstellung des Zeichensatzes wird auf die Code-Charts in Unicode 2000, S. 329-958 sowie in http://www .unicode.org/ (10. 8. 2000) verwiesen.
7 Multilinguale Web-Anwendungen
onsformate" definiert. Das gangigste - UTF-8 16 Eigenschaften:
-
311
basiert u. a. auf folgenden
• Zeichen des ASCII-Zeichensatzes werden wie bisher kodiert. • Aus den durch den ASCII-Zeichensatz nicht belegten Kode-Punkten werden Folgen von 2 oder 3 Bytes gebildet, mit denen die tibrigen Zeichen aus UNICODE / UCS-2 kodiert werden I? Wahrend in der H'I'Ml.-Spezifikation die Verwendung von UNICODE bzw. UTF8 bereits vorgesehen ist, muss sich die Untersttitzung durch Browser erst noch durchsetzen. Die Umstellung der Anwendung ist aber softwaretechnisch bereits insoweit vorbereitet, als aile textuellen Informationen aus der Datenbank vor ihrer Ausgabe an den Browser durch eine zentrale Transformationsfunktion bearbeitet werden, die fur ihre .H'IMl.sgerechte'' Aufbereitung sorgt.
7.6 Ausblick Zur Zeit befindet sich die Anwendung in einem Arbeitsgruppen-internen Probebetrieb. Dieser dient nicht zuletzt dazu, die aus den EXCEL- Tabellen ubemommenen Daten nachzubereiten", Eine spatere Freigabe der Anwendung tiber die WebSite der Arbeitsgemeinschaft Alpen-Adria'? ist geplant.
Literatur Nedbal (2000), Dietmar, Multilinguale Web-Datenb anken am Beispiel der Datenkataloge der Arbeitsgemeinsehaft Alpen-Adria, Diplomarbeit angefertigt am Institut fur Datenverarbeitung in den Sozial- und Wirtsehaftswissenseh aften der Johannes Kepler Universitat Linz, Linz 2000 Novacek (1999), Alfred, Teehnisehe Grundlagen von Computersystemen; in: Pils, Manfred (Hrsg.): Datenverarbeitung I; 10. Auflage, Linz 1999
16
I7 18
19
"UCS (bzw. UNICODE) Transformation Format"; s. Yergeau 1998 Anm.: Die vollstandige Definition enthalt aueh Definitionen von 4- und 5-Byte-Sequenzen, urn den vollstandigen UCS-4-Zeichensatz abbilden zu konnen. Das der Anwendung zugrunde liegende Datenmodell gliedert manehe Informationen detaillierter, als sie in den EXCEL-Arbeitsblattem erfasst wurden; einerseits soliten dadureh .verpackte'' standardisierte Informationen (z. B. Wertelisten, KartenmaBstabe) besser abfragbar werden, andererseits aber auch die Fiille der Information in den .erlauternden Bemerkungen" nieht verIoren gehen. Ein vollautomatisches Aufteilen der Informationen war aber La. nieht rnoglich, sodass eine Kontroll- und Nachbesserungsphase in der Konzeption der Datenlibemahme vorgesehen werden musste. Vgl. http://www.alpeadria.org/(IO. 8. 2000)
312
II Anwendungsbeispiele
Pils/Novacek (1998), Pils, Manfred und Alfred Novacek, Konzept und Evaluierungsbericht zum Forschungsprojekt Telekommunikationsnetzwerk, GIS-Server - EFRE Art. 10 I Arge Alpen Adria, Linz 1998 Pils/Novacek (2000), Pils, Manfred und Alfred Novacek (Hrsg.), Endbericht Forschungsprojekt Telekommun ikationsnetzwerk GIS-Server - EFRE Art. 10 lArge Alpen Adria, Linz 2000 Unicode (2000), The Unicode Consortium , The Unicode Standard Version 3.0, Reading 2000 Yergeau (1998), Francois, UTF-8, a transformation format for ISO 10646, RFC 2279, 1998
8 Geografische Informations-Systeme (GIS) und Internet Thomas Ebert Systemgruppe DORIS, Amt der o. 0. Landesregierung Alfred Novacek Institut fiir Datenverarbeitung, Johann es Kepler Universitdt Lin;
.Jch bin Geograph," sagle der aile Herr. "Was ist das, ein Geograph ?" .Das ist ein Gelehrter, der weifi, wo sich die Meere, die Strome, die Stddte, die Berge und die Wusten befinden. " .Das ist sehr interessant, " sagle der kleine Prinz. "En dlich ein richtiger Berufl " aus A.de Sainte-Exuper y: Der kleine Prinz
Eine der zentralen Fragen in der Geografie ist auch heute noch: " Was ist wo ?" Mit dem Einsatz von neuartigen Geografischen Information s-Systemen (GIS) konnen nun diese Was-ist-Wo-Informationen mit Raumbezug miteinander verkntipft und in Form von Karten dargestellt werden . Somit werden auch komplexe Zusammenhange recht anschaulich vermittelb ar. Geografische Informations-Systeme sind nicht s weiter als Software, die der Aufbereitung, Integration, kombinierender Auswertung und Prasentation raumlicher Informationen dienen . In Kombination mit optimierenden Verfahren konnen Grundlagen fur beste Standortwahl, effizienteste Nutzung, schnellste Routen, etc. erarbe itet werden. Sie stellen somit entscheidungsunterstutzende Systeme, sogenannte Decision Support Systems (DSS) dar. Mit dem World Wide Web besteht nunmehr die Mogl ichkeit, diese raumbezogenen Informationen via Internet in Kartenform zuganglich zu machen . Letzte Entwicklungen ermoglichen auch ahnlich wie bei Datenbanken - einen Direktzugriff auf GIS-D aten mit herkommlichen Web-Browsern.
8.1 Was sind GIS? GIS sind nicht nur einfach Computersysteme zum Zeichnen von Karten, sondern bieten die einzigartige Moglichkeit der lagebezogenen Kombination von Datenbe standen mit dem Ziel neue Informationen zu erhalten . • GIS sind edv-gestutzte Systeme. • GIS basieren auf raumlich referen zierten Daten (die se Daten sind das Kernstuck von GIS; die konkrete Lage im Raum ist mittels Koordinaten, Gebietsbezeichnungen oder Kennzahlen exakt bestimmt) .
314
II Anwendungsbeispiele
• GIS unterstiitzen aile Arbeitsschritte (von der Datenerfassung, -verwaltung bis zur Analyse).
8.2 Daten in GIS Daten sind die wichtigste und auch teuerste Grundlage eines GIS . Geo-Daten stellen die Umwelt objektorientiert dar, d. h. diese wird nach fachlichen Gesichtspunkten in konkrete Objekte zerlegt, strukturiert und im Computer abgebildet. 1m Unterschied zu Management- und anderen Inforrnationssystemen, in denen die Bezugsgrollen Schltissel ohne geografischen Bezug sind, verwendet ein GIS ein Koordinatensystem zur Lagebeschreibung, d. h. dass jedes gespeicherte Datenelement einen eindeutigen Bezug zur Erdoberflache aufweist. • Geografische oder raumlich referenzierte Daten stehen in Beziehung zu irgendwelchen Positionen auf der Erdoberflache. • D. h. es handelt sich urn Daten tiber Objekte und wo sich diese befinden (was ist wo; z. B. Anzahl der Bewohner eines bestimmten Hauses in Linz) . • Raumliche Objekte haben also thematische (Attribute bzw. Sachinformation) und geometrische (Koordinatenwerte) Eigenschaften. • Neben diesen Lage- und Sachinformationen ist die Topologie (Nachbarschaftsbeziehung) eine wesentliche - von den absoluten Koordinatenwerten unabhangige - Eigenschaft raumlicher Informationen.
8.3 GIS in der Praxis Informationen mit geografischem Bezug dienen in weiten Bereichen der Landesverwaltung - Umweltschutz, Planung, Wasserbau, StraBenbau, Raumordnung, Vermessung, Statistik und vielen anderen Bereichen der technischen Verwaltung - als wichtige Entscheidungsgrundlage. Der sorgfaltige Umgang mit den natiirlichen Ressourcen Boden, Wasser und Luft ist heute ein zentrales Anliegen. Dem Schutz und der Sicherung unseres Lebensraumes stehen vielfaltige Nutzung und Bewirtschaftung gegentiber. Neue gesetzliche Regelungen in diesen Bereichen sind zu vollziehen. Dazu sind verlassliche, aktuelle, flachendeckende und vergleichbare Informationen tiber den Raum erforderlich. Das Amt der oberosterreichischen Landesregierung begann daher 1991 fur diesen zunehmenden Informationsbedarf ein GIS aufzubauen. Das DORIS (Digitales Oberosterreichisches Raum-Informations-System) gewahrleistet nicht nur den wirtschaftlichen Umgang mit raumbezogenen Daten, sondem verbessert auch die Aktualitat und Qualitat der Entscheidungsgrundlagen. Dariiber hinaus wird die Datennutzung und der Datenzugriff wesentlich vereinfacht und der gesamte Informationsfluss beschleunigt. Mit diesen GIS-Werkzeugen ist es nunmehr aber auch moglich, konventionelle kartografische und Vermessungsdaten wesentlich eindrucksvoller darzustellen .
8 GIS & Internet
315
Vor allem digitale Gelandemodelle sind fur Visualisierungen besonders gut geeignet. So lassen sieh aus reinen Hoheninformationen mittels Beleuehtungssimu lation und Einfarbung naeh Hohenlage plastisehe Reliefdarstellungen erzeugen, soferne es sich beim darzustellenden Gelande nieht unbedingt urn eine Tiefebene handelt. Aber aueh perspektivisehe Darstellungen und virtu elle Huge tiber soIche Modelle konnen generiert werden, wobei aueh andere georeferenzierte Vektoroder Rasterdaten wie z. B. Luftbilder tiber das Gelande drapiert werden konnen,
Abb. 11-8.1 Beispiel Karten im WWW
316
II Anwendungsbeispiele
8.4 Landkarten im WWW Einige dieser Karten, die bei DORIS in Projekten und zu Demonstrationszwecken erstellt wurden, fanden das Interesse osterreichischer "WWW-Pioniere" am Institut fur Datenverarbeitung (idv) der Linzer Universitat. Dies war der Beginn einer sehr interessanten Zusammenarbeit, die einen Bruckenschlag zwischen GIS und Internet mit sich brachte und im Lichte der letzten Entwicklungen (Map Server) naturlich noch interessanter geworden ist. Wurden anfangs nur "dumme" Karten 1 als optischer Aufputz fur unterschiedlichste WWW-Seiten produziert, war das Ziel dann, moglichst viel Intelligenz (c1ickable maps, etc .) in diese Grafiken zu integrieren, was ja auch der Grundidee von GIS entspricht. Dies war jedoch nur ein .Nachcmpfinden" von GIS-Funktionalitat, die in allen gangigen Desktop-Mapping-Produkten fester Bestandteil ist .' (vgl. Abb . II-8.1) . Nach diesen ersten Anfangen gab es neben dem Aufbau alIgemeiner Informationen zu GIS im WWW auch einige interessante Projekte. Beispielhaft wird das Projekt "Wahlen im WWW" dargestellt. Bei diesem Projekt ging es urn die Aufbereitung der Ergebnisse der Nationalratswahl 19953 und der El.l-Wahl 1996 4 einschlieBlich kartografischer Darstellungen. Ziel war es dabei, eine tiber die herkommliche statistische Aufbereitung von ORF und APA hinausgehende, kartografische Ergebnisdarstellung am Wahlabend anbieten zu konnen. War der Aufwand - vor allem fur die kartografischen Darstellungen - bei der Nationalratswahl 1995 trotz durchgangigen Datenflusses relativ hoch, halfen die dabei gemachten Erfahrungen, die El.l-Wahl 1996 weit effizienter, informativer und ansprechender aufzubereiten. Dies erfolgte naturlich mit Schwerpunkt auf das Bundesland Oberosterreich (http://www.idv.uni-linz.ac.at/wahI96/ergebnis.htm). wobei alle Gemeindeergebnisse in Diagramm-, Tabellen- und Kartenform sofort nach Wahlschluss zur Verfugung standen. Diese automatische Erstellung der mehr als 500 HTML-Seiten erfolgte - nachdem eine Kopie der Ergebnisse am zentralen GIS-Server zur Verfugung stand - ebenso wie die kartografischen Darstellungen tiber Makroprogrammierung aus dem GIS heraus. Am darauffolgenden Tag standen auf Gemeindeebene auch Osterreich-Karten (http://www.idv.uni -linz.ac.at/wahI96/daten/ancfr.htm) fur die funf ParI amentsparteien mit ihren Stimmenanteilen zur VerfUgung. Dazu nachfolgend Statistiken zu den Zugriffen und libermittelten Files (TabelIe) sowie zum zeitlichen Verlauf der Serverzugriffe (vgl. Abb . II-8 .3).
I
4
URL: http://www.idv.uni-Iinz.ac.at/partner/doris/docmap.htm (26. 3. 1997) URL: http://www.idv.uni-linz.ac.at/partner/doris/mapgen/kartenJhtm (26.3. 1997) URL: http://www.idv.uni-Iinz.ac.at/wahI95/ (26.3. 1997) URL: http://www.idv.uni-linz.ac.at/wahI96/(26. 3.1997)
8 GIS & Internet Summary Oct. 1996 to Dec. 1996 Files Transmitted During Summary Period Bytes Transmitted During Summary Period Unique Sites During Reporting Period Total Time Transmitting Data Performance in Bytes/Second
317
9042,00 34011522,00 745 5:22:08.88
1759,63
Stimmenmehrheiten nach Politischen Beztrken
_ _ _
SPO - Mehrheit FPO - Mehrheit OVP - Mehrheit
nach B1.Uldeslandem
••••
[ z u r ii c k - Ergebnisse Oberosterreichl Complains to thomas [email protected]
Abb. 11-8.2 Beispiel EU-Wah11996
nach poi. Bezirken
318
II Anwendungsbeispiele
EU·WAHL 1996 Anzahl der ubertrecenen Files
1600 1400 1200 1000 800 600 400 200
o
2 2 8 ~ 8 8 8 g g g N
~
00
.
~
~
~
~
~
~
! -
~ ~ ~ =_~ ~
~
~
"
!~ !e !~ !~
~ ~ ~ ~ ~ ~ .- v ~ e
Abb. 11-8.3 Zeitlicher VerIauf der Zugriffe auf die Wahlergebnisse
Zugriffe auf die Wahlergebnisse der EU-Wahl nach Landern (sortiert): Domain Name Austria [unre solved] US Commercial Network Germany Swit zerland Finland US Educational Netherlands Canada United Kingdom France
Files 5337 1282 1057 693 355 63 42
Prozent 59,00 14,18 11,69 7,66 3,93 0,70 0,46
40
0,44
32 29 23
0,35 0,32 0,25 0,18
16
8.5 GIS und WEB-Technologie Wie richtig und zukunftsweisend diese Schritte in Richtung INTERNET/WEB/ GIS waren, stellt sich nunmehr heraus , da einerseits immer mehr einschlagige Funktionalitat in die gangigen Web-Browser integriert wurde, andererseits viele Entwickler von CAD und GIS-Systemen begannen, ftirihre Produkte Plug-Ins (WHIP, Acrobat, DWG/DXF-Reader, CGM-Viewer, VRML, etc.) bzw. eigene Map-Server sowie auch spezielle, lokale Rechnerressourcen nutzende JAVAApplikationen (Applets) zu entwickeln (http://maps.esri.comlESRI/mapobjects/ demos.htm).
8 GIS & Internet
319
Abb. 11-8.4 Map-Server Technologie (1996 Environmental Systems Research Institute)
Einige dieser Produkte haben nunmehr eine gewisse Marktreife erlangt und verleihen der Integration von GIS und Internet eine neue Qualitat, vor allem wenn man bedenkt, dass ein nicht unbetrachtlicher Anteil aller verfugbaren Daten einen Raumbezug aufweist. Damit ist es nunmehr moglich, direkt auf GIS-Daten zuzugreifen und je nach Benutzeranforderung (karto)grafische und tabellarische Ergebnisse zuruckzubekommen, ohne dass dabei in GIF oder JPG umgewandelte Screenshots nach unterschiedlichen Wartezeiten und Ablauf von vorprogrammierten Routinen erstellt werden mussen. Beispielhaft wird dazu das - wiederum mit dem Institut fur Datenverarbeitung gemeinsam realisierte - WebGIS-System der ARGE Alpen-Adria vorgesrellt".
Abb. 11-8.5 Map-Server Technologie (1996 Environmental Systems Research Institute)
Die Vorteile dieses dezentralen Zuganges zu Geoinformationen liegen auf der Hand: 5
Anm.: Dieses System wurde - wie auch die im vorherigen Beitrag vorgestellten multilingualen Datenkataloge - im Auftrag der ARGE Alpen-Adria (Arbeitsgruppe "Geografische Informationssysteme/Datenkataloge") unter Mitfinanzierung durch die ED entwickelt; auch dieses System befindet sich z. Zt. noch im Arbeitsgruppen-internen Probebetrieb.
320
• • • • •
II Anwendungsbeispiele
billig, fast kostenlose Web-Browser-Technologie auf der Client-Seite plattformunabhangig Nutzung und Integration in bestehender Infrastruktur (Intranet) Zugriff auf Originaldaten (keine Zwischenformate erforderlich) benutzergesteuert (keine vorgefertigten Ergebnisse zur Auswahl)
Diesen Vorteilen stehen einige offene Fragen gegentiber, wie z. B. • Datenbankintegration (auf Client und Server) • Standards (werden von den fiihrenden Firmen im GISfWWW Bereich vorgegeben) • Wird es offene, verteilte GIS-Datenbasen in Zukunft geben?
8.5.1 Das WebGIS-System der Arbeitsgemeinschaft Alpen-Adria 8.5.1.1 Aufgabenstellung Geografische und thematische Karten tiber das Gebiet, das die Mitgliedsregionen der Arbeitsgemeinschaft Alpen-Adria umfasst, sollen einer interessierten Offentlichkeit via WWW zur Verfiigung gestellt werden. Es musste jedoch bei Projektbeginn damit gerechnet werden, dass insbesondere im ehemaligen Ostblock noch tangere Zeit altere Browser-Versionen im Einsatz sind . Beim Entwurf der Anwendung war daher darauf zu achten, dass Konstruktionen, die in solchen Umgebungen nicht funktionieren oder Probleme bereiten (Frames, JavaScript, Java Applets, ...) nicht verwendet werden. Ferner soil auf spezielle Plug-Ins verzichtet werden, die erst am Arbeitsplatz des Benutzers installiert werden mtissen, da dadurch einerseits die Plattformunabhangigkeit der Applikation massiv beeintrachtigt werden kann, andererseits aber auch Probleme mit erforderlichen Software-Lizenzen nicht ausgeschlossen werden konnen, die letztlich eine Veroffentlichung des Ergebnisses vereiteln konnen. Trotz dieser Einschrankungen sollen aIle Kernfunktionen eines GIS-Systems (Suchen, Zoomen, Panning, ...) in einer einfachen und leicht erlernbaren Benutzeroberflache unterstiitzt werden .
8.5.1.2 System-Auswahl Die Wahl der Software fiel letztlich auf ESRI MapObjects, da nur mit dieser Software die geforderte Applikation ohne zusatzliche Client-seitige Software realisiert werden konnte", Hinzu kam, dass die unmittelbaren Ansprechpartner des Instituts im Amt der 0.0. Landesregierung bereits mit dem Produkt vertraut waren.
6
Vgl. Brandmair 2000, S. 12-22
8 GIS & Internet
321
8.5.1.3 Die Implementierung Abb. 11-8.6 zeigt die grundlegenden Bedien-Elemente des Web-basierten GISSystems : • Ober die Layer-Leiste (A) auf der linken Seite konnen die dargestellten Informationen (Regionen, Flusse und Seen, Autob ahnen , Stadte , sowie - getrennt davon auswahlbar - deren Bezeichnung) ausgewahlt oder die "Autolayer "Funktion aktiviert werden, bei der das System - je nach MaBstab der Karte eine sinnvolle Auswahl trifft . Die Anderung wird aber erst wirksam, wenn mit der Maus auf den .Refreshv-Button geklickt wird.
Abb. 11-8.6 Funktionen des Web-basierten GIS-System s
• Ober die beiden Lupen-Symbole (B) kann ein kleinerer Ausschnitt mit mehr Details ("Zoom-In") oder ein grolserer Ausschnitt mit weniger Details ("ZoomOut") betrachtet werden . Mit dem Button "Full Extend" kann auf den grofsten Uberblick geschaltet werden . • Mit dem Fadenkreuz (C) kann ein beliebiger Punkt des dargestellten Ausschnitts zum Zentrum des Ausschnitts gemacht werden; auch tiber die PfeilSymbole am Kartenrand (D) kann der dargestellte Kartenausschnitt verschoben werden .
322
II Anwendungsbeispiele
• Uber das Symbol,,?" (E) konnen nahere Informationen zur angeklickten Region , Gewasser, Autobahn oder Stadt angezeigt werden. Welchem "Typ " die Auswahl gilt, wird ebenfalls in der Layer-Leiste festgelegt. • Uber "Link" konnen weiterflihrende Links zur ausgewahlten Region angezeigt werden. Diese Links - ebenso wie Links fur die Stadte - konnen von autorisierten Benutzern tiber die Funktion "EDIT " gepflegt werden . • Uber "Statistics" konnen schlieBlich ausgewahlte statistische Daten (im Beispiel: Gesamtbevolkerung je Region) in themati schen Karten dargestellt werden (Abb. 11-8.7).
Abb. 11-8.7 Themat ische Karte
8.6 Erfahrungen und Ausblick Ftir die weitere praktische Arbeit ergibt sich daraus eine Reihe von Konsequenzen und offenen Fragen: • • • • • •
Wer hat konkreten Bedarf an geografischen Informationen ? Welche geografischen Informationen werden benotigt? Wer stellt Informationen zur Verfugung und wer wartet sie? Welche Technologien werden unternehmensweit eingesetzt? Wo lassen sich Rationalisierungseffekte erzielen? Welchen Nutzen bringt ein Informationsangebot im Internet?
8 GIS & Internet
323
Das DORIS hat - als Servicestelle des Amtes - vordringlich Arbe itsgrundlagen fur den innerdienstlichen Betrieb zur VerfUgung zu stellen . Im Sinne eines wirtschaftlichen Umgangs mit immer knapper werdenden Mitteln ist danach zu trachten, dem Benutzer jenen Grad an Unterstlitzung zu bieten, mit dem er seine Aufgaben entsprechend erledigen kann. Wenn es dabei gelingt , teure Spezialsoftware durch allgemein verfUgbare WebBrowser-Technologie zu ersetzten, so ist dies ein wesentlicher Schritt in diese Richtung . Das erste Ziel ist daher, raumliche Basisdaten, aber auch andere Dienste in einem Intranet fur den Dienstbetrieb zur VerfUgung zu stellen . Dort wo eine InformationspfIicht gegeben ist oder wo beim Datenaustausch mit externen Partnern Rationalisierungspotenziale vorhanden sind, sollten ausgewahlte Inhalte auch im Internet zur Verfugung stehen . Dadurch kann in vielen Fallen eine Bring- in eine Holschuld umgewandelt werden , was einen weitaus hoheren Grad an Automatisierung zulasst und daher Kosten spart. Ein wesentlicher Akzeptanz- und Kostenfaktor ist in diesem Zusammenhang die Aktualisierung der angebotenen Informationen. Die rasante Entwicklung im GISIWEB-Bereich zeigt eine deutliche Hinwendung zu serverseitigen DBMS und Map-Servern. Damit entwickeln sich die derzeitigen Server von " Verwaltern" zu intelligenten .Vermitrlem". Daher muss es ebenso das Bestreben sein, dort wo es moglich und sinnvoll ist, weg von statischen HTML-Seiten hin zu einer redundanzfreien automatischen bzw. dynami schen Generierung aus DBMS zu gelangen. Aus heutiger Sicht ist abzusehen, dass es mit dem gezielten Einsatz von kostengunstiger WWW-Technologie gelingen kann, die wachsenden GIS-Datenbestande nicht zu Datenfriedhofen werden zu lassen, die nur mit teuren Spezialwerkzeugen verarbeitet und abgefragt werden konnen, Vielmehr wird es dadurch moglich, dass mehr Benutzer einen raschen und einfachen Zugang zu entscheidungsunterstlitzenden Informationen erhalten . Bei aller Euphorie sollte jedoch nicht ganz auf die analytische Komponente der eigentlichen Starke von Geografischen Inforrnations-Systemen - vergessen werden, bei der neben der Hard-, Soft- und Netware noch immer die Lifeware also die Experten mit ihren Ideen und Losungsansatzen - im Mittelpunkt stehen sollten.
Literatur Brandmair (2000), Robert, Nut zung von Geographischen Informationssystemen mittels einfacher Web-Browser gezeigt am Beispiel des Designs und der Implementierung einer Map-Server-Applikation fur die ARGE Alpen-Adria, Diplomarbeit angefertigt am Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften der Johannes Kepler Universitat Linz, Linz 2000 PilslNovacek (2000), Pils, Manfred und Alfred Novacek (Hrsg.), Endbericht Forschungsprojekt Telekommunikationsnetzwerk GIS-Server - EFRE Art. 10/ Arge Alpen Adria, Linz 2000
III Gestaltungsebenen von E-Business
1 Electronic Business und Sensible Informationsund Kommunikationssysteme Manfred Pils, Institut flir Datenverarbeitung, Johannes Kepler Universitiit Linz
1.1 EinfUhrung 1m Rahmen des Electronic-Business-Plannings sollte auch der Blickwinkel Sensibier Informations- und Kommunikationssysteme (nachfolgend "Sensible Systeme" genannt) einbezogen werden. Es handelt sich dabei urn jene, in Unternehmungen, offentlichen Verwaltungen und sonstigen Institutionen eingesetzte, mit dem jeweiligen Stand der Technik ausgestatteten Kommunikationssysteme, mittels derer Eigenschaften von Menschen und sozialer Gebilde abgebildet werden . Seit Ende der Siebziger-Jahre ist die vielschichtige Problematik Sensibler Systeme' grundsatzlich bekannt, also langst bevor Begriffe wie Electronic Business oder Internet in aller Munde waren. Insbesondere in mittleren und groBen Industrie-, Handels- und Dienstleistungsunternehmungen wurden in den letzten 25 Jahren zahlreiche Formen Sensibler Systeme eingesetzt, die nicht immer als solche erkennbar sind und fur welche die Verwendung immer grofserer und weiterer Datenmengen bzw. das Einbeziehen neuer Funktionen angestrebt werden-. Bei klassischen Sensiblen Systemen - also noch vor der Zeit globaler Netzwerke - war deren Nutzung vergleichsweise ilberschaubar: Der Benutzerkreis war aufgrund herstellerspezifischer Hardware und Software sowie aufgrund der Begrenztheit des betreffenden EDV-Systems eingeschrankt. Durch den Einsatz von Internet-/lntranet-/Extranet-Techniken sowie von neueren Techniken des Mobile Business' und die sich daraus ergebende weitgehende Unabhangigkeit von Hardwareund Betriebssystem-Plattformen wird der potenzielle Benutzerkreis betrachtlich ausgeweitet und somit die Problematik Sensibler Systeme verscharft. Ais Beispiel sei der sprunghafte Anstieg des Einsatzes von Wireless LANs in Intranets genannt. FUr Unternehmungen, aber auch Schulen und Krankenhauser, hat der IEEE 802.11b-Standard eine neue Herausforderung fur Sensible Systeme mit sich gebracht; sind doch die in der Praxis installierten Wireless LANs gegen das Ein-
I 2
3
Vgl. dazu bereit s PHs 1982 Vgl. dazu bereits Pils/Kolar 1985 Vgl. dazu Abschnitt I Kap. 3
328
III Gestaltungsebenen von E-Business
dringen unbefugter, mit mobilen Geraten ausgestatteter Personen nur unzureichend geschtitzt. Im Zeitalter des Electronic Business kommt es zur teilweisen, manchmal bruchstlickhaften Abbildung des Verhaltens sowie der Lebens- bzw. Arbeitsbedingungen von Menschen in ihren unterschiedlichen Rollen, z. B. als Mitarbeiter cines Untemehmens, als Patienten, als Schtiler, als Kunden oder als Staatsbtirger. Es wird auch der rasant anwachsende Personenkreis mit einbezogen, der sich dadurch auszeichnet, dass die betreffende Person in irgendeiner Weise (etwa durch Angabe einer E-Mail-Adresse auf der Visitenkarte) deklariert, dass sie an der Kommunikation im Bereich des Electronic Business teilnimmt. Jeder, der WWW-Seiten betrachtet oder von einem FrP-Server Software ladt, wird zu einem aus kommerzieUen oder politischen Motiven vielfaltig betrachteten und analysierten .Dbjekt", von dem mehr oder weniger aussagekraftige Spuren am Internet hinterlassen werden . Unternehmen sind erfinderisch, wenn es darum geht, noch mehr solcher Spuren zu erzeugen, sie setzen erfolgreich Methoden des User-Trackings ein. Unter User Tracking werden Methoden verstanden, mithilfe derer die Aktivitaten eines Benutzers systematisch aufgezeichnet und ausgewertet werden . Zudem wird dieses .Dbjekt" zum Ziel fur zahlreiche Direct-MailingAktionen. Personenbezogene Daten werden bei der Anbahnung und Abwicklung von Geschaften verwendet, etwa bei BesteUungen tiber Internet, sowie bei anderen Nutzungsformen, die dem Ausbildungs- oder dem Hobby- und Freizeitbereich zuzuordnen sind. In Europa werden - im Vergleich zu den USA - zwar derzeit noch vergleichsweise geringe Umsatze durch elektronische Marktplatze, E-Shops und andere, der laufenden Veranderung unterworfenen Formen des Electronic Business getatigt. Auch der Einsatz des Internet im Bildungssystem im Sinne eines Electronic Learnings geht noch vergleichsweise schleppend vor sich. Diese Situation wird sich jedoch in naher Zukunft andern. Die Tragweite der Problematik Sensibler Systeme im Bereich des Electronic Business und in dessen Teilbereichen (z. B. Mobile Business, E-Learning, E-Government) wird dann voU ersichtlich werden; sie soU nachfolgend an etlichen Beispielen aufgezeigt werden .
1.2 Kategorien Sensibler Systeme im Electronic Business Im Zusammenhang mit Electronic Business konnen unterschiedliche Kategorien Sensibler Systeme unterschieden werden. Eine Moglichkeit besteht in (a) der Einteilung nach den jeweils verwendeten Internet-Diensten (z. B. WWW, E-Mail, IRe, FrP). Diese auf die eingesetzten Internet-Standards abzielende Kategorisierung wird erganzt durch (b) eine Einteilung nach E-Business-Anwendungsbereichen (z. B. E-Banking, E-Shopping, E-Procurement). Nachfolgend werden jedoch unter Einbeziehung von (a) und (b) zusatzliche Kategorien unter der spezieUen Sichtweise Sensibler Systeme gebildet. Diese unterscheiden sich (1.) nach dem Grad der Abbildbarkeit der Eigenschaften von Menschen und sozialen Gebilden
1 Electronic Business und Sensible IKS
329
sowie (2 .) der Moglichkeit de r Zuordnung auf konkrete Personen und soziale Gebilde . Nachfolgend konnen nur Beispiele geschildert werden, da die grundsatzliche Problematik bei nahezu allen Diensten und Anwendungen des E-Business besteht.
1.2.1 Hohe Abbildbarkeit und hoher Grad an Zuordnung Es geht hierbei urn Dienste und Anwendungen des E-Business, die in hohem Ausmaf eine Abbildung der Eigenschaften von Menschen und sozialen Gebilden (ge meint sind Familie, Nachbarschaft, Freundeskreis, Arbeitswelt usw .) errnoglichen. Es kommt also zur teilweisen, manchmal nur bruchsttickhaften Abbildung des Verhaltens sowie der Lebens- bzw. Arbeitsbedingungen von Menschen in ihren unterschiedlichen Rollen . Zusatzlich ist es in den meisten Fallen moglich, den Benutzer oder zumindest dessen Lebens- oder Arbeitsumfeld mit hoher Wahrscheinlichkeit zu identifizieren . Bei zahlreichen E-Business- und E-Government-Anwendungen ist es durchaus wichtig und auch legitim, die Identitat des Teilnehmers zu kennen . Bei den nachfolgenden Beispielen fur Dienste bzw. Anwendungen ist die Identifizierung des Benutzers nicht nur mit wenig Aufwand moglich, sondern gilt aus technischen Grtinden als unvermeidbar. Charakteristisch ist also eine verbindliche und nachvollziehbare Registrierung des Teilnehmers. Hierher zahlen die Inhaber bestimmter Internet-Access- und damit verbundener E-Mail-Accounts(z.B.beiZugang tiber ISDN, ADSL, Kabel, TelefonAccess-Provider, Studenten-Accounts), Inhaber registrierter Mobiltelefone sowie auch Nutzer von zu bezahlenden Hosting-Services. Last not Least fallen in diese Kategorie Sensibler Systeme auch Kunden, die bei einem Online-Shop bestellen, bezahlen und die Waren an eine konkrete Adresse zustellen lassen und damit bereits als registriert gelten. Der Benutzer hat die grundsatzliche Entscheidung zu treffen, ob er einen Dienst bzw. eine Anwendung beansprucht. (In vielen Fallen kennt der Benutzer die im Hintergrund laufenden Teile der Anwendung und die damit ausgelt:isten Ablaufe nicht und kann auch deren Auswirkungen nicht tiberblicken .) Charakteristisch fur Dienste und Anwendungcn aus dem Bereich E-Business ist die Tatsache, dass eine Ftille von Informationen tiber den Anwender erfasst, tibertragen und gespeichert werden, deren Nutzung (z . B. der Verkauf der Informationen an Dritte) nicht vollstandig durch technische Massnahmen eingeschrankt ist , sondern bestenfalls durch rechtliche Normen . Dies stellt ein nicht unerhebliches Risiko auch aus Sicht des Datenschutzes dar. Ein wei teres Beispiel zu den Anwendungen mit hoher Abbildbarkeit und hohem Grad an Zuordnung ist die automatische Mauterfassung und -abrechnung, wie sie auf den Autobahnen in den USA zum Alltag zahlt . Inhaber eines Accounts" befestigen ein Sendegerat an der Windschutzscheibe ihres Autos und 4
Z. B. bei E-Zpass , vgl. dazu http://www .EZPass .com (17. 7. 2002)
330
III Gestaltungsebenen von E-Business
konnen speziell gekennzeichnete Fahrstreifen bei den Mautstellen passieren. Aus den periodischen Abrechnungen sind aIle Transaktionen mit den dazugehorenden Mautbetragen, die Auf- und Abfahrten bzw. die einzelnen MautsteIlen, jeweils versehen mit den genauen Zeitangaben zu entnehmen. Abb. 111-2.1 zeigt einen Ausschnitt aus einer solchen Abrechnung. Ein solches Sensibles System kann je nach Intenstat der Nutzung eine mehr oder weniger genaue Auskunft tiber die zuruckgelegten Fahrstrecken eines Fahrzeuges und damit auch einer Person geben. Von Interesse sind auch weitere verknupfte Informationen, wie z. B. der Kauf eines neuen Autos, der vom Kunden gemeldet wird Reiseabrechnungen werden fur Arbeitgeber, Finanz- und Polizeibehorden leichter kontrollierbar; die verfligbaren Informationen konnen zu Profilen zusammengefasst und bei Bedarf weiter verwendet oder verkauft werden. E-ZPass-Kunden konnen tiber eine SSLgesicherte Verbindung (unter Angabe der Account- oder Tag-Nummer sowie eines PIN-Codes) ihre Account-Informationen weltweit am WWW abrufen. Es hangt somit nur mehr von der vom Kunden nicht beeinflussbaren Qualitat des Sicherheitsmanagements des betreffenden Unternehmens ab, inwieweit die Daten der Kunden .Iiehackt" und missbraucht werden konnen,
Date / 3.5.01 3.5.01 3.5.01 3.5 .01 6.5.01 6.5.01 6.5.01 6.5.01 6.5.01 6.5 .01 8.5.01 9.5.01
Time 14:49 14 :54 18:19 18:24
Ta 12345 12345 12345 12345 12345 12345 12345 12345 123 12345
10 :41 10 :53 10:56 15:48 16:05 16:05 04 :50 16:04 12345
Class Amont Balance 1 -0,35 13,70 1 -025 1345
1
3
-0 25 -0,35 -0,25 -0,35 ·1,00 -1,00 -0 35 -0,25 25,00 -0,25
1320 12,85 12,60 12,25 11,25 10,25 9 90 9,65 34,65 34,40
Abb. 111-1.1 Ausschnitt aus einer Abrechnung eines automatischen Mautabrechnungssystems (Beispiel)
Dass Sensible Systeme auch Ruckwirkungen auf das Verhaltender betroffenen Menschen und sozialen Gebilde haben, zeigt folgendes Beispiel: Urn der vorhandenen systematischen Uberwachung des Verkehrs durch Videokameras zu entgehen, wird vom Insitute for Applied Autonomy fur den Raum New York die webbasierte Anwendung iSEE angeboten. Es handelt sich dabei urn eine Routenplanung, die es ermoglicht, zwischen Start- und Zielpunkt Routen der geringsten
1 Electronic Business und Sensible IKS
331
Uberwachung zu finden. ' Die ca . 2400 Uberwachungskameras einschlieBlich der Systeme zur Uberwachung von Platzen, der StraBen, der U-Bahn und der Kaufhauser erfordern teilweise lange Umwege. Nach Auffassung der Betreiber stehe der Aufwand fur die vorhandenen Uberwachungssysteme in keinem Verhaltnis zu den Erfolgen. Ahnliche Projekte sind auch fur andere Stadte geplant.
1.2.1.1 Beispiel Mobile Business Aus dem Bereich des Mobile Business ist das Benutzen von Mobiltelefonen und deren Dienste (z . B. SMS , W AP) ein wichtiges Beispiel. Die Mobilfunkbetreiber verfugen grundsatzlich tiber die Information, in welcher Funkzelle sich das jeweilige Gerat (auch im Stand-by-Betrieb) befindet. Mit diesen Informationen werden die als zukunftstrachtig eingeschatzten Anwendungen im Bereich der Location Based Services" erst errnoglicht. Sinngernaf gel ten diese Erkenntnisse auch fur den Einsatz von PDAs, die z. B. tiber GSM oder GPRS ins Internet eingebunden sind . Werden vom Anwender zusatzlich die vom Mobilfunkbetreiber oder sonstigen Providern gebotenen Moglichkeiten zur Personalisierung oder bestimmte Dienstleistungsangebote genutzt, so erhoht sich die Abbildbarkeit der Eigenschaften der betroffenen Menschen und sozialen Gebilde entsprechend. Durch die konkrete Nutzung der Dienste (z. B. Suche nach Restaurants, Abfragen einer Route zu einer bestimmten Adresse, Absetzen eines Notrufes) wird das Verhalten der Anwender in vielen Lebenssituationen erst deutlich und zugleich fur ein elektronisches Medium erfassbar gemacht. Besonders deutlich wird die Problematik bei Verwendung von Diensten, die unter Bezeichnungen wie "Your personal information port" angeboten werden, sowie der Abgleich von Terminen, Adressen und dergleichen zwischen PDA und PC per Internet. Die Online-Verwaltung von Zugangsinformationen ist ein W APDienst, der es dem Anwender gestattet, beliebige Passworter, PINs und TANs zu vergessen, da diese von einem Provider verwaltet und tiber eine W AP-Anwendung am Mobiltelefon abgerufen werden konnen .? Es gibt auch eine Vielzahl an Kombinationen zwischen dem Bereich Mobile Business und dem klassischen WWW, die in die Kategorie .Jiohe Abbildbarkeit" einzuordnen sind. Beispielsweise besteht die Moglichkeit, auf den Webservern der Mobilfunkbetreiber individuelle WAP-Links zu definieren, die nach dem Starten vom W AP als Startmentis auf dem Mobiltelefon angezeigt werden . Von eher unerfahrenen Anwendern wird haufig auch die im WWW von Unternehmungen, die nicht Mobilfunkbetreiber sind, angebotenen Moglichkeiten genutzt, kostenlos SMS-Nachrichten zu versenden und dartiber hinaus auch Daten
5 6 7
Vgl. http ://www .applicdautonomy.comli see/info .html sowie Pressetext Austria, pteOl1128043 (28. II. 2001) Vgl. dazu die Ausfiihrungen im Abschnitt I Kap. 3 Vgl. dazu die Ausftihrungen im Abschnitt I Kap. 3
332
III Gestaltungsebenen von E-Business
tiber deren Empfanger zu verwalten. Es ist moglich und auch ublich , tiber WWW die Mob iltelefonnummern von Bekannten und Geschaftspartnern des Anwenders in eine Liste einzutragen, mit dem Ziel, das Versenden von SMS-Nachrichten organisatorisch zu erleichtern.
1.2.1.2 Beispiellnternetanbindung und -nutzung Bei Bestehen einer festen Interneteinbindung (z. B. tiber ADSL, Kabelmodem, Intranet des Unternehmens) lasst sich in der Regel die Zuordnung eines Rechners auf einen Teilnehmer bzw . Benutzer tiber einen bestimmten Zeitraum (Monate oder Jahre) hinweg mit einfachen technischen Mitteln herstellen. Dies gilt besonders fUr statische IP-Adressen, die bereits im Faile des Absendens von E-Mails dem Mail-Empfanger bekanntgegeben werden. Dies gilt sinngemaf fur jegliche Nutzung anderer Internet-Dienste, da IP-Adressen, Clients und andere Daten in Logfiles und Datenbanken registriert werden konnen . Bei dynamischen IP-Adressen ist es zunachst nur dem Provider moglich, auf den Teilnehmer direkt zu schlieBen. 1m Faile von dynamischen IP-Adressen ist beim Aufbau der erforderlichen Netzwerkverbindungen durch einen Internet-Teilnehmer in der Regel des sen Identifizierung beim Access-Provider erforderlich, der Accounting-Daten tiber die zeitliche Nutzung fUr die Verrechnung benotigt. 1m Faile von Anfragen durch Gerichte oder Behorden kann auf diese Daten zugegriffen und herausgefunden werden, welchem Internet-Teilnehmer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse zugeordnet war. Indirekte Schltisse sind jedoch durch andere MaBnahmen (z. B. durch die Auswertung von Eingaben in elektronische Formulare oder bei vielen, popular gewordenen registrierungspflichtigen Diensten durch Log-Ins) moglich. Aus diesem Grunde nimmt die Zahl der Anwendungen zu, fur die sich der Benutzer registrieren lassen muss. Auch durch Verwenden von Cookies im WWW kann auf das eingesetzte Endgerat und in weiterer Folge auf den Teilnehmer rtickgeschlossen werden. Cookies konnen zwar grundsatzlich deaktiviert und vom Benutzer jederzeit geloscht werden, von dieser Moglichkeit wird jedoch von den Anwendern nur teilweise Gebrauch gemacht, da zahlreiche Anwendungen (z. B. Warenkorbe in EShops) Cookies voraussetzen. Haufig ist auch das Problembewusstsein des Benutzers fUr diese Thematik einfach nicht vorhanden. Der Access-Provider verfUgt zudem tiber die (in der Regel nicht genutzte) technische Moglichkeit der Protokollierung der von jedem Teilnehmer angesprochenen URLs8. Unabhangig davon, ob ein Einkauf getatigt wird, werden personenbezogene Daten der Benutzer tiber das Netz an den betreffenden WWW-Server des Unternehmens weitergeleitet, auch wenn der Internet-Benutzer lediglich Informationen abrufen oder beobachten will, wie sich eine Unternehmung im WWW prasentiert. 8
Uniform Resource Locator, z. B. http://www .upperaustria.org/regionen.html
1 Electronic Business und Sensible IKS
333
SchlieBlich sindderzeit noch ungeschlitzte, personenbezogene Daten in groBem Umfang Gegenstand und Inhalt der Kommunikation uber Internet, Extranet und Intranet. BeispieIe dafur sind Electronic Mails, die in IP-Pakete zerlegt in den meisten Hillen unverschIi.isseIt tiber das Netzwerk geleitet werden . Dies gilt in den liberwiegendcn Hillen auch fur die Obcrtragung der Bezeichnung von User-Accounts und von Passwortern, die fur das Login bei FTP- und E-MaiI-Servem 9, fur Telnet-Applikationen sowie fur den Aufruf von passwortgeschutzten WWW -Sciten benotigt werden . Werden ungesicherte WWW-Formulare vorn Benutzer ausgeftillt und abgesandt, besteht eben so die Gefahr des Mitlesens des versandten Textes durch unbefugte Personen .'? Gefahrdet sind hierbei insbesondere klcinc Unternchmungen sowie der private Bereich. Die Benutzer sind sich der Gefahren in der Regel nicht bewusst, die sich beispielsweise dadurch ergeben, dass Passworter unverschltisselt auf der lokalen Festplatte des PCs abgelegt werden . Gelegentlich wird von Versuchen berichtet, dass die Naivitat mancher Intemet-Benutzer ausgenutzt wird. Mittels massenhaft versandter, gefalschter E-Mails ersuchten angebliche Systemverwalter die Kunden von Providern oder Online-Diensten, ihrc Zugangskcnnungen und Passworter bekanntzugeben 11• 1.2.1.3 Spyware und Oberwachungsprogramme Es kann nicht ausgeschlossen werden, dass ein beliebiges, am Internet eingesetztes IT-Produkt so konfiguriert wird, dass es ohne Wissen des Benutzers Informationen z. B. an den jeweiligen Hersteller zurlicksendet. Man darf sich daher uber das in weiterer Folge entstehende Unbehagen und Misstrauen im Kreise der Internet-Teilnchmer gegenuber dem E-Business nicht wundem. Als Spyware oder auch als Trojaner wird Software bezeichnet, die gegen den Willen des Benutzers bzw . ohne dessen Wissen auf dem PC installiert wird und Informationen tiber das Benutzervcrhalten sammelt und weitergibt.'? Hierher zahlen z. B. Anwcndungen, die sich als Plug-Ins, ActiveX-Controls oder Browser Helper Objects in den Webbrowser einnisten. In der Offentlichkeit sind etliche (sogar prominente) Anbieter von Software bzw . von neucn Intemetdiensten mit Spyware in die Schlagzeilen geraten. Eine weit verbreitete Software zum Abspielen von DVDs meldete die Titel der abgespielten DVD sowie die ID-Nummer des
9 10
11 12
Am haufigsten werden Electronic-Mail-Server verwendet, die dem POP3-Standard entsprechen. Technisch aufwendig, jedoch durchaus machbar sind auch diverse Angriffe von Hackern, bei denen fremde Hosts den beteiligten Kommunikationspartnern eine andere Identitat vorspiegeln und den Datenverkehr manipulieren . Vgl. z. B. Kosse11999 , S. 142 Die fur viele Benutzer in der Praxis nicht durchflihrbare Beurteilung, inwieweit die Installation der vom Benut zer als Spyware empfundenen Software im Einzelfalle rechtlich gedeckt ist, wird bei dieser Definition aulier Acht gelassen .
334
III Gestaltungsebenen von E-Business
Softwarepaketes an das Softwarehaus zuruck.!' Weitere Beispiele dafUr sind Filesharing-Clients sowie Spie le, die auf dem PC unbemerkt Trojaner installieren." Obwohl Moglichkeiten bestehen, sich tiber die jeweils bekannten Trojaner zu informieren" und GegenmaBnahmen zu ergreifen, ist ein mangelndes Problembewusstsein vieler Benutzer festzustellen. Durch den Einsat z von Java , JavaScript , ActiveX sowie der Entwicklung spezieller TCP/IP-fahiger Clients besteht die techni sche Moglichkeit, dass Systeminformationen , Seriennummern von Hardware und Software sowie weitere benutzer- und firmenindividuelle Daten an einen entfernten Host tibermittelt werden . Dies gilt auch fur Softwarepakete, die in der Regel nur lokal eingesetzt werden sowie fur PCs und Ger ate mit spez iellen Funktionen (Kameras usw .), die im Netzwerk hinter einem NAT-Router aktiv sind. Das Ftihren eines Logfiles durch den Betreiber des Webservers, auch wenn dadurch der Clickstream (der Weg des Benutzers durch die Webseiten eines WWW-Servers) verfolgt werden kann, zahlt jedoch nicht als Spyware. Nach Schatzungen werden 27% der Computerarbeitsplatze auf der ganzen Welt uberwacht." Beispiele dafUr sind das Aufzeichnen der Zeiten der Inaktivitat, der Nutzung einzeln er Anwendungen, der E-Mail s, • der Tastaturanschlage, der Bildschirminhalte, der besuchten Webseiten und Chats eines Benut zers. Die Abgrenzung von Programmen zur Uberw achung der Cornputerarbeitsplatze zu durchaus empfehlenswerten MaBnahmen des Sicherheit smanagements (z. B. Virenschutz, Firewalls, Backup und LAN -Testsoftware) ist flieBend. Was die rechtliche Situation des Einsatzes von Trojanern sowie der Software zur Uberwachung eines Arbeitsplatzes in einem Unternehmen betrifft , so ist diese in den einzelnen Staaten differenziert zu betrachten .' ? Durch am Markt angebotene Anti-Spy-Software bzw. Trojaner-Scanner" sowie durch praktische Tipps aus der Literatur'? konnen die Risiken der Datenspionage durchaus reduziert werden . Ahnlich wie bei Virenscannern ist es jedoch auch hier empfehlenswert, regelmafsig die neue sten Updates zu verwenden. Nur teilweise erfolgreich sind jene Detektivprogramme, die Software zur Uberwachung 13 14
15
16 17
18 19
Vgl. http://futurezone.orf.at/futurezone.orf?read=detail&id= ll2272&tmp=53743 (21. 2. 2002) Vgl. z. B. http ://www .heise .de/new sticker/data/lab-03 .01.02-000 (4. 1. 2002) , Schiller 2002, Borchers 2002 Z. B. www.trojanerinfo.de, www.cexx.org Vgl. Borchers 2002 In den USA ist es Unternehmungen gestattet, Uberwachungssoftware aller Art zu installieren, solange samtl iche Mitarbeiter - und nicht nur ein Teil - uberwacht werden. Z. B. Ad-aware , PestPatrol Z. B. Schmid 2002
1 Electronic Business und Sensible IKS
335
cines Arbeitsplatzes aufsptiren und beseitigen sollen. Der Grund hierfur liegt darin , dass eine groBe Anzahl von Uberwachungsprogrammen als unternehmensspezifische Eigenentwicklungen im Ein satz ist." Schwierig ist es auch, im Netzwerk installierte Spionagerechner" aufzusptiren, die den gesamten Netzwerkverkehr, z. B. samtliche E-Mails, tiberwachen. Verscharft wird die Situation dadurch, dass immer mehr Gerate (z. B. Switches, Web-Karneras), Software (z . B. Web-Server-Software) und Dienste tiber WebBrowser konfigurierbar sind . Die verwendeten Passworter gehen in der Regel unverschltisselt tiber das Netzwerk. Aus Unwissenheit oder Bequemlichkeit werden zudem die vom Hersteller vorgegebenen default-Passworter nicht verandert, sodass die Gefahr des Eindringens Unbefugter besteht. Nicht nur Netzwerkadministratoren, sondern auch die Benutzer haben es in der Hand, den Grad an Sicherheit zu erhohen, Da das POP3-Protokoll das Passwort im Klartext ubertragt, ist es beispielsweise sicherer, die E-Mails nur aus dem Netzwerk, in dem sich der POP3-Server befindet, abzurufen. Verftigbare Dienste wie SSL und TLS werden von den Betreibern der Web- und Maildienste nur teilweise angeboten. Bei der Konfiguration des WWW-Browsers kann man z. B. Java, JavaScript oder einzelne browserspezifische Funktionen deaktivieren bzw. skalieren . Nur wenige E-Mail-Benutzer verwenden Verschltisselungsverfahren wie S-MIME und PGP, obgleich diese verfugbar sind . Haufig stehen MaBnahmen, die die Sicherheit erhohen, in Konkurrenz zur Bequemlichkeit und Unwissenheit des Benutzers. Vielfach ist jedoch das Risiko nicht kalkulierbar, dass durch Fehlverhalten oder durch technisch bedingte Lucken bei Un ternehmungen und Verwaltungen gespeicherte Benutzerdaten Angreifern aus dem Netz in die Hande fallen . Staatliche Sicherheitsdienste setzen zunehmend Uberwachungstools ein, die auch auf private PCs und auf Kommunikationsdienste im Internet ab zielen. Weltweit ist mit einem Ausbau derartiger Dienste zu rechnen . Themen wie Datenschutz oder Schutz der Privatsphare der Btirger treten im Lichte der Bekampfung des Terrorismus in den Hintergrund. Als Beispiele sind hier die bei Providern installierte sehr leistungsfahige E-Mail- Uberwachung und -analyse "Carnivore" sowie auch das Projekt " Magic Lantern" zu nennen. "Magic Lantern" soli sich wie ein Virus via E-Mail verbreiten und aile Tastatureingaben am PC (und somit auch Passworter und Schltissel) protokollieren." Inwieweit die Behorden kunftig in der Lage sind, die entstehende gigantische Flut an Detailinformationen tiber ihre Btirger tatsachlich im Sinne der Sicherheit einzusetzen, wird die Zukuft zeigen . Eine sehr groBe Gefahr besteht jedoch darin, dass diese Daten sowie derartige Uberwachungstools eines Tages in die Hande Unbefugter gelangen, die sie - unkontrolliert und unbemerkt von der Offentlichkeit - fur ihre wirtschaftlichen, kriminellen oder politischen Interessen einsetzen.
20 21
22
VgI. dazu z. B. Schuler 2002b Auch als Network Abuse Monitoring System s bezeichnet VgI. futurezone.orf.at (26. II. 2001)
336
III Gestaltungsebenen von E-Business
1.2.1.4 User Tracking und User Profiling Ein inzwischen weit verbreiteter und aus Sicht der Untemehmungen offensichtlich erfolgversprechender Ansatz ist der des Permission-Based-Marketings, bei dem der Benutzer durch freiwillige Registrierung bei einem Untemehmen personliche Daten wie Interessen, Alter, Wohnort, Einkommen und Beruf bekannt gibt. Der zum potenziellen Kunden gewordene Intemetbenutzer erklart sich mit den MaBnahmen des User-Trackings einverstanden und ist bereit zum Empfang von Werbebotschaften. Fur das Permission-Based-Marketing gibt es mehrere Methoden. Eine einfachere Form besteht in der Anmeldung des Benutzers zu Mailinglisten bzw. Informationsdiensten zu einem ihn interessierenden Themengebiet (z. B. tiber neue Produkte). Eine andere Variante ist der Einsatz von speziellen, vom Benutzer installierten Softwareprodukten." Mit diesen kann das Benutzerverhalten in Echtzeit analysiert werden (Echtzeit-Tracking). Dadurch ist es moglich , unmittelbar auf das Benutzerverhalten zu reagieren und die angebotenen WWW-Sei ten spontan anzupassen (z. B. durch Activity-Response-Werbung). Eine qualitative Erweiterung der Methode des User-Trackings besteht im User-Profiling, also in der Analyse des Kauf- und Downloadverhaltens. Dem Benutzer wird ein seinem individuellen Profil entsprechendes Angebot gemacht, urn ein erfolgreiches OneTo-One-Marketing betreiben zu konnen. Kundenprofile sind langst zu einem wirtschaftlichen Gut geworden. Nach Presseberichten" besitzt das Unternehmen Abacus Direct 88 Millionen Funf-Jahres-Profile mit Kreditkartennummern, Adressen und Haushaltseinkommen. Das groBe Online-Werbeunternehmen DoubleClick verfugt tiber 80 Millionen zumeist anonyme Profile. Durch die Ubemahme von Abacus Direct durch DoubleClick entstanden neue Moglichkeiten zur Erstellung von Kundenprofilen. Weitere Moglichkeiten des User-Trackings und User-Profilings bestehen durch die Verwendung von Seriennummern fur Hardware und Software. Es besteht die Gefahr, dass Seriennummern von Prozessoren durch am PC installierte Software (z. B. Registrierungssoftware) ausgelesen und neben den iiblichen Registrierungsdaten an den Hersteller bzw. an Betreiber von Webservern iibermittelt werden. Man sollte sich auch bewusst sein, dass auch in den einzelnen Dokumenten, die mit Softwarepaketen erstellt wurden, vom Benutzer unbemerkt und automatisch Seriennummern abgespeichert werden konnen. GroBe Softwarehauser sind zuriickhaltend mit Auskiinften dariiber, welche Daten bei einer Produktaktivierung gespeichert werden ."
23 24 25
Z. B. Macromedia Likeminds, Sevenval Hits) Vgl. z. B. http ://futurezone.orf.at/futurezone.orf?read=detail&id=9516&tmp=67472 (26. 11. 1999) Vgl. Microsoft muss Aktivierungsdaten fur Windows XP veroffentlichen. Student erzwingt Auskunft von Softwarekonzern, in: http://www.pressetext.com/open.php?pte= o11127050&chan=ht, (27. 11. 2001)
1 Electronic Business und Sensible IKS
337
1.2.1.5 Verborgene Informationen in Textdokumenten Immer haufiger werden Texte, die mit einem Textverarbeitungs-Softwarepaket erstellt und sparer von mehreren Personen weiterbearbeitet werden, als Anhang zu einem E-Mail versendet.> In der betreffenden Datei konnen jedoch wichtige Informationen verborgen sein. So lasst sich unter anderem auch die Entstehungsgeschichte des Dokumentes ablesen, also im Text vorgenommene Anderungen, geIoschte Teile sowie die Namen der eingesetzten Rechner. Bei der Verwendung des Mediums Papier bzw. Fax kommt diese Schwachstelle nicht zum Tragen; sehr wohl jedoch mit der Zunahme des E-Mail-Verkehrs.
1.2.2 Hoher Grad der Abbildbarkeit und geringer Grad der Zuordnung Deutlich abgeschwacht ist der Grad an Zuordnungsmoglichkeit, falls ein Endgerat von mehreren oder einer hohen Anzahl von Menschen genutzt wird, wie dies an Schulen, Universitaten, Bibliotheken sowie in Internet-Cafes der Fall ist. Eine vollstandig anonyme Nutzung von Internet-Diensten ist nur auf solchen offentlich zuganglichen Clients moglich." Die Zuordnung lasst sich nur dann vollstandig vermeiden, wenn sarntliche Eingaben mit personenbezogenen Informationen unterlassen werden und aile Einstellungen des Web-Browsers und der E-Mail-Clients geloscht oder mit falschen Eintragungen versehen werden . Wird beispielsweise ein Mail-Account genutzt, so sind bereits Rtickschltisse auf die Person moglich, da E-Mails in der Regel Hinweise auf den Benutzer oder dessen Mail-Partner enthalten. Hinzu kommt noch als zusatzliche Information der Inhalt des in der Regel unverschltisselt tibermittelten E-Mails. Eine bewusst anonyme Nutzung des Internets ist nur unter Aufgabe vieler Funktionen moglich. Anonymisierer sollen ein anonymes Nutzen des WWW errnoglichen. Anonymizer.com verrechnet daftir eine Jahresgebtihr von 50 $. Nur vortibergehend bot Zero Knowledge das Softwarepaket .Freedom?" sowie die Benutzung eines Clusters von 150 Zero-Knowledge-Servern sowie einer 128-Bit- Verschltisselung an, die eine Verfolgung und Identifizierung unmoglich machen sollten . 1m Herbst 2001 wurde dieser Dienst allerdings eingestellt, ebenso wie der Dienst Safeweb." Gegen die Intemet-Zensur in manchen Landern sowie auch gegen die Sperre von bekannten Webservem durch Internet-Provider gerichtet ist das Anti-Zensur-Tool 26
27
28 29
Vgl. dazu z. B. http://www .heise.de/newsticker/result.shtml?url=/nesticker/data/jk27.01.02-001/default.shtml&words=Microsoft%20Word (27. 1. 2002) Vcrwendet man offentlich zugangliche WWW-Browser, fUr die keine Identifizierung vor Ort erforderlich ist, so ist z. B. in Kombination mit kostenlosen E-Mail-Accounts, die von einer Rcihe von Portaldiensten angeboten werden, eine anonyme Nutzung von Electronic Mail durchaus moglich, Vgl. Wirklich anonym durchs Netz, in: futurezone.orf.at (13. 12. 1999) Neben okonomischen Grunden dUrften auch die Ercignisse am 11. September 2001 in New York fur die Einstellung dieser Dienste verantwortlich sein.
338
III Gestaltungsebenen von E-Business
Peekabooty gedacht. Das dezentrale Peekabooty-Netzwerk tibernimmt dabei die Funktion eines dezentralen Proxies. Irn Webbrowser des Benutzers wird einer der zahlreichen Peekabooty-PCs als Proxy eingetragen." Bei Anonymisierern wird das Problem nur verlagert, jedoch nicht gelost, da dem betreffenden Dienstleister nunmehr die Informationen fur eine Identifikation zur Verftigung stehen. Anonymisierer sind daher letztlich eine Frage des Vertrauens. Vollstandig anonym und daher entsprechend beliebt ist beispielsweise das Chatten in Internet-Cafes, wobei haufig fur eine allfallige Registrierung im Chat eine falsche Identi tat angenommcn wird und eine kostenlose oder frei erfundene Mailadresse verwendet wird. Die Abbildbarkeit der Menschen, die am Chat und anderen Diensten anonym tcilnehmen, ist deswegen so hoch, weil sich die Betroffenen unbeobachtet und unkontrolliert fuhlen . Aus diesem Grunde sind auch die entstehenden anonymen Daten fur Unternehmen wertvolI. 1.2.3 Geringe Abbildbarkeit und geringer Grad an Zuordnung
Diese Kombination ware aus Sicht des Benutzers zwar wunschenswert, nicht jcdoch aus Sicht der am E-Business in dieser Kategorie "geringe Abbildbarkeit und geringer Grad an Zuordnung" tatigen Unternehmungen und Verwaltungen. Im Interesse letzterer liegt es, moglichst viele Informationen tiber die Kunden und deren Bedtirfnisse zu sammeln und sich gleichzeitig tiber die Identitat des Teilnehmers im Klaren zu sein. Die Zahl der E-Business-Anwendungen ist daher auf nur wenige sinnvolle beschrankt, z. B. auf offentlich aufgestellte Auskunftssysteme, wo eine hohe Anzahl von Benutzern die Abbildbarkeit und Zuordnung unmoglich macht. 1.2.4 Weitere Moglichkeiten der Abbildung
Weitere Moglichkeiten der Abbildung bestehen in den klassischen , d. h. seit mehreren Jahren eingesetzten und daher in der Offentlichkeit besser bekannten Verfahren. Es sind dies das Protokollieren der Web-Zugriffe, das Auswerten der Logfiles, Analyse von Mail-Headern, Einsatz dynami scher Seiten sowie die Nutzung kostenloser Dienste tiber das Internet. Auf die Ausfuhrungen in Abschnitt 2.5 wird verwiesen . Neue Anwendungsbereiche mit noch ungeahnten Auswirkungen ergeben sich durch den diskutierten Einsatz von biometrischen Verfahren, wie etwa Fingerprint-, Gesichts- und Unterschriftenerkennungssysteme. Nach dem derzeitigen Stand der Technik drohen erhebliche Gefahren, soliten biometrische Merkmale in Personaldokumenten, Smartcards oder Datenbanken gespeichert, tibermittelt und verarbeitet werden, mit dem Ziel, Informationssysteme ktinftig durch derartige Verfahren zu schtitzten . Ein Praxistest von angeblich praxisreifen biometrischen 30
Vgl. dazu ct 16/2002, S. 40 sowie http://www .peek-a-booty.org
1 Electronic Business und Sensible IKS
339
Zugangssicherungen durch eine deutsche Fachzeitschrift" offenbarte deutliche Mangel etwa bei den Algorithmen sowie in der Sensorik der eingesetzten Systeme . Diese konnten durch relativ einfache Mittel uberlistet werden, z. B. bei einer Authentifizierung mit einem gutem Foto einer fremden Iris. Ein zusatzlicher Schutz von Sensiblen Systemen (z. B. durch Passwort oder PIN) ist daher dringend anzuraten.
1.3 Kontextverluste und E-Business-Planning Komplexe und konflikttrachtige Problembereiche, die in jedem Sensiblen System angesprochen werden soIlten , sind der Datenschutz sowie die Partizipation der Beteiligten und Betroffenen. Im Bereich des Electronic Business kommen Gefahren bzw. Schwachen des Mediums Internet verscharfend hinzu, weil es in vielen Fallen nicht praktikabel ist , Partizipation im klassischen Sinne durchzufUhren. Viele E-Business-Anwendungen werden fur unbekannte Benutzer und fur unterschiedlichste Zielsysteme (z. B. fUr unterschiedliche Betriebssystern-Plattforrnen und Web-Browser) entwickelt. Charakteristisch fur Sensible Systeme sind auch die zum Teil erheblichen Kontextverluste, deren Nichtbeachtung nicht nur den jeweils Betroffenen Schaden zufilgen kann, sondern auch zu schwerwiegenden Fehlentscheidungen in betriebswirtschaftlicher, volkswirtschaftlicher und/oder sozialpolitischer Hinsicht fUhren kann . Es wird beispielsweise versucht, die geringe Abbildbarkeit des Benutzers zu mildern, indem mithilfe statistischen Materials auf die jeweils fehlenden Informationen geschlossen wird. So kann mit einer bestimmten Wahrscheinlichkeit vom Vornamen des Benutzers, den er bereit ist, in ein WWW-Formular einzugeben, auf dessen Alter geschlossen werden. Auch beim Electronic-Business-Planning, insbesondere bei den Oberlegungen zu den jeweils eingesetzten Geschaftsmodellen, gilt , dass Planungsfehler aufgrund des Nichtbeachtens der Eigenheiten Sensibler Systeme in den meisten Fallen irreversibel sind. Uber technische Problemstellungen des Communications Engineering hinaus sind der betriebswirtschaftlich-organisatorische sowie der personliche Bereich des Kommunikationspartners, also des Intemet-zlntranet-Benutzers, zu berucksichtigen. Groben Nutzeffekten und Chancen des Electronic Business stehen nicht zu unterschatzende Gefahren fur aIle Beteiligten gegenuber, die die zur Verfugung gestellten Kommunikationsdienste in sehr unterschiedlichen Rollen und Intensitaten beanspruchen. Im Einzelfalle konnen dies potenzielle Kunden eines Unternehmens sein , BUrger, Geschaftspartner, Konkurrenten, Arbeitgeber, Arbeitnehmer, Studierende, Schuler usw .
31
Vgl. Thalheim 2002
340
III Gestaltungsebenen von E-Business
Von der Abbildbarkeit ist die Sensibilitat personenbezogener Daten zu unterscheiden. Nur situationsbezogen und nicht allgemeingi.iltig lassen sich personenbezogene Daten unterschiedlichen Graden der Sensibilitiit zuordnen : Daten ohne oder mit geringem Bezug auf das Privat- und Familienleben, Daten mit hohem Bezug auf das Privat- und Familienleben, Daten, die das Privat- und Familienleben beschreiben, Daten aus der Intimsphare, aus der Psyche stammende Daten, religiose und politische Wertvorstellungen, Verdachtsmomente. 1m Internet sind samtliche der genannten Kategorien anzutreffen. Angaben tiber Interessen, Hobbies, religiose und politische Wertvorstellungen sind beispielsweise privaten Homepages oder auch Usenet-Postings zu entnehmen." Beim Suchdienst Google kann in 700 Millionen Usenet-Postings, die bis 1981 zurtickreichen, geschmokert werden. Mechanismen zum Schutz sensibler Daten sind in internationalen und stark dezentral organisierten Netzwerken nur mit Einschrankungen zu realisieren und sind teilweise von staatlichen Stellen unerwtinscht. Es bedurfte hierzu des internationalen Konsenses, etwa tiber den Einsatz von Verschltisselungsmethoden, tiber nicht erwtinschte oder verbotene Informationsangebote sowie eventuell tiber eine Filterung von Informationen, was jedoch aufgrund des enormen Datenvolumens nicht praktikabel ist. Weltweit einheitliche Regelungen sind nicht in Sicht, da kontroversielle kulturelle, (rechts)politische und religiose Wertvorstellungen tiber Themenbereiche wie Netzzugang, Zensur, Verschltisselung und Informationsfilterung dem entgegenstehen. Vergleichsweise leichter als im Internet losbar ist diese Problematik bei Intranets, bei deren Gestaltung und Nutzung eigene, innerbetriebliche Regelungen zielftihrend sind.
1.4 Internet, Intranet und Extranet als Personalinformationssysteme Personalinformationssysteme sind betriebliche, durch moderne Technologien ausgestattete Kommunikationssysteme, mittels derer potenzielle, tatsachlich oder ehemals tatige betriebliche Mitarbeiter, Mitarbeitergruppen, Abteilungen und/oder Arbeitsplatze abgebildet werden. Mit Hilfe dieser Systeme konnen die Aufgaben des betrieblichen Personalbereiches" - auch der groBe Teil der schlecht strukturierten Aufgaben - untersttitzt werden.
32
33
Bei Usenet-Postings konnen bezuglich ihres Verfassers, ihres Inhaltes Falschungen nicht ausgeschlossen werden. Dies gilt auch fur Electronic-Mail-Adressen (Reply-To-Adressen). Zu den Aufgaben des betrieblichen Personalbereiches zahlen: Das Ermitteln des Personalbedarfs, das Beschaffen, Einstellen und Freisetzen von Mitarbeitern, der Personaleinsatz, die Personalverwaltung, die Aus- und Weiterbildung, die motivationale und arbeitsmedizinische Betreuung usw. Potenzielle Benutzer solcher Systeme sind die Unter-
1 Electronic Business und Sensible IKS
341
Mit der Einflihrung von Per sonalinformationssystemen wurden und werden jene mitarbeiter- und arbeitsplatzbezogenen Angaben, die vor Systemeinflihrung in Akten-, Listen- oder Karteiform - oft verteilt an mehreren betrieblichen Stellen - vorhanden sind , dokumentiert. Darilber stehen je nach Ausgestaltung des Personalinformationssystems zusatzliche Angaben zur Verfligung, die ohne die jeweils verfligbaren Technologien nicht oder nur teilweise erfasst und ausgewertet wurden. Anwendungen, die bisher auf Mainframes, aufPersonalcomputern oder in lokalen Netzwerken zur Verfligung standen (z. B. in Form von Office Automation Software oder relationalen Datenbanken), erhalten nun Zugange liber WWW und werden somit leichter nutzbar. Hinzu kommen die neueren Techniken und Nutzungsformen des Mobile Business, z. B. der verstarkte Einsatz von Wireless LANs . Diese Entwicklung ist bei allen wichtigen Softwareanbietern (Novell, Oracle, Microsoft, SAP usw.) fur Anwendungen aller Art zu beobachten, unabhangig davon, inwieweit sie im Einzelfall den Personalinformationssystemen zuzurechnen sind . Es ist zu erwarten, dass bestehende Personalinformationssysteme, die allmahlich durch Internet-/lntranet-Technologien erweitert werden, zu wichtigen Bausteinen neu entstehender Intranets in Wirtschaft und Verwaltung werden . Eine bedeutsame technische Variante besteht hierbei in der Verknlipfung relationaler Datenbanken mit WWW-Servern, wodurch z. B. die weltweite Pflege und Abfrage einer Mitarbeiterdatenbank mittels eines beliebigen WWW-Browsers unabh angig von der j eweils eingesetzten Betriebssystem-Plattform des Clients technisch moglich wird . Im Vergleich zu den bisher verwendeten Datenbanksystemen werden nunmehr aufwendigere organisatorische und technische Sicherheitsmechanismen (z. B. Firewall, Verwendung von RSA-Schllisseln) unabdingbar. Der Einsatz von Sicherheitsmechanismen ist jedoch auch innerhalb von Intranets zu uberlegen, also auch in einem durch einen Firewall geschutzten Bereich. Die betreffenden Sensiblen Systeme kommen seit vielen Jahren in der Praxis in unterschiedlichen Auspragungen vor ; sie wei sen zudem unterschiedliche Bezeichnungen auf, die nicht immer auf das Vorhandensein eines Sensiblen Systems schlieBen lassen. In ihrer primaren Funktion sind sie beispielsweise Personalverwaltungs-, Besoldungs-, Arbeitszeiterfassungs-, Telefon-, Betriebsdatenerfassungssysteme, arbeitsmedizinische Systeme oder sie sind Teil eines Controllingoder Executive Information Systems. Selbstverstandlich zahlen auch die in einem frliheren Abschnitt besprochenen Systeme zur Uberwachung von Computerarbeitsplatzen bzw. Spyware hierher. Flir die Frage, inwieweit ein konkreter Dienst zu den Personalinformationssystemen im Sinne der Definition zahlt, ist die konkrete betriebliche Situation, also der Einsatz, und nicht die Benennung des Softwarepaketes oder des eingesetzten Kommunikationsdienstes malsgeblich".
34
nehmensleitung, der Personalchef, Angeho rige der Personalabteilung, der Betriebsrat, der Betriebsarzt und Fuhrung skrafte aller Ebenen . Systeme, die lediglich zur Lohn- und Gchaltsabrechnung eingesetzt werden, mit denen auch einzelne statistische Auswertungen moglich sind, sind nach der Definition eben-
342
III Gestaltungsebenen von E·Business
Zu Personalinformationssystemen sind also auch lntranet-Anwendungen zu zahlen, die auf den ersten Blick anderen betrieblichen Bereichen zugeordnet werden . Es sind dies zunachst jene organisatorisch-technische Losungen, die bisher auf Local-Area-Networks aufbauten, z. B. wichtige Komponenten des Bereiches Office Automation, wie firmeninterne Electronic-Mail-Systerne, elektronische Terminkalender, Systeme aus dem Bereich der Groupware, workflow-orientierte Systeme. Diese Anwendungen bleiben in vielen Fallen in ihrem Kern unverandert, werden jedoch urn einen Zugang tiber WWW erganzt, Die Bandbreite verftigbarer Infrastruktur und Endgerate wird zudem erweitert durch WLANs, mobile Notebooks mit WLAN-Ausstattung, PDAs und Smartphones. Wichtige technische Realisierungsvarianten sind dabei die Anbindung von WWW mittels cgi, Scriptsprachen oder der Einsatz von Java (Applets, Servlets), die ein ahnliches Interface-Design aufwiesen konnen, wie die ursprtinglichen LAN-basierten Applikationen . Ein allmahlicher Ubergang in Richtung auf die Intranet-Losung bzw . eine Weiterverwendung der bisherigen Arbeitsumgebung ist meistens moglich, was den Umstieg wesentlich erleichtert. Auch klassische Main frame-Applikationen" erhalten Zugange tiber das Intranet (und somit grundsatzlich auch tiber das Internet). Hierzu bietet sich auch die Kategorie der NetzwerkComputer (NC) an, die unter anderem dadurch charakterisiert" sind, dass groBe Teile des Betriebssystems und die Anwendungssoftware tiber das Intranet oder Internet gel aden werden. Eine andere Moglichkeit besteht im Konzept des Application-Service-Providings, das gestattet, beliebige Anwendungen an einen Provider outzusourcen . DafUr eignen sich insbesondere Systemarchitekturen bestehend aus (Thin- )Client, Application-Server und Database-Server, die tiber das Internet verbunden sind. Steht ein Intranet im Unternehmen zur Verfugung, so werden in der unmittelbaren Zukunft neben die klassischen Arbeitsgebiete mit den hierzu haufig verwendeten Mitarbeiter- und Arbeitsplatzdaten" weitere Moglichkeiten fur die Unterstlitzung personalwirtschaftliche Aufgaben in einem Unternehmen oder einer Verwaltung
35 36
37
falls als Personalinformationssysteme zu werten. In der Alltagssprache der betrieblichen Praxis rechnet man sie jedoch Ublicherweise nicht hierher. Die Einstufung als Personalinformations systeme ist jedoch insoferne gerechtfertigt, als Daten der Lohn- und Gehaltsabrechnung wichtige Grundlagen fur tiefgreifende personalpolitische Entscheidungen sind. Z. B. als Ersatz fUrdie Verwendung von 3270- oder 5250-Terminals Haufig wird das Network Computer Reference Profile fUr die Festlegung der Min imalanforderungen eines Network Computers herangezogen. Beispiele: Die gepl anten und besuchten Schulungskurse (bei Einfuhung eines ent spre chenden Aus- und Weiterbildungssystems), psychologische und medizinische Eignungsdaten (bei EinfUhrung entsprechender Systeme), gefUhrte Telefongesprache (bei Einfuhrung einer ISDN-Telefon-Nebenstellenanlage), Ablauf von Schutzfristen und Probezeiten sowie Zeitpunkt des Erwerbes eines hoheren Abfertigungsanspruches (bei Einfuhrung eines "Personalverwaltungssystems"), Anschaltzeiten von Terminals sowie Anzahl der Zugriffe auf bestimmte Daten durch einen Benutzer (bei EinfUhrung eines Systems zur Optimierung von Rechnernetzen), Ausschnitte von Arbeitsplatzprofilen (bei Einfuhrung eines Systems zur Betriebsmittelverwaltung)
1 Electronic Business und Sensible IKS
343
hinzukommen. Diese Dienste sind ja grundsat zlich von allen Intranet-Teilnehmem (auch des Internet weltweit) mit entsprechender Ausstattung einsetzbar: VideoConferencing, Radio-On -Demand, Computer-Telephony u. a. Beispielsweise konnen in elektronischen Anrufbeantwortern eingehende Telefonate oder analog dazu auch Faxe mittels eines WWW-Browsers abgerufen werden ." Selbstverstandlich konnen fur personalwirtschaftliche Aufgaben nicht nur das Internet, sondern auch die global verfligbaren X.400- und X.500-Dienste, die ISDN-Dienste oder auch regionale Informations- und Kommunikationssysteme und -dienste , z. B. Bulletin-Boards, eingesetzt werden. Ein groBer Teil der deutschen Personal berater nutzt parallel zu den klassischen Methoden auch das Internet fur die Suche nach Fach- und Filhrungskraften. In letzter Zeit hat sich eine Anzahl von Agenturen etabliert, die Bewerbungen bzw. Stellenausschreibungen tiber WWW errnog lichen. Auch Unternehmungen und Verwaltungen sind langst dazu tibergegangen, ihre Stellen auf ihrem WWWServer auszuschreiben. Haufig muss der Bewerber einen Fragebogen in Form eines elektronischen Formulars ausflillen und absenden. Teilweise kommt es in weiterer Folge zu einer vollautomatischen Analyse der eingegangenen Bewerbung und gegebenenfalls auch zu einer vollautomatisch erstellten Einladung zu einem Vorstellungsgesprach oder zu einer Absage . Bei Personalentscheidungen innerhalb spezieller Berufsgruppen, bei denen die Nutzung des Internet alltaglich ist, z. B. in der EDV-Branche, bei Studenten bzw. im universitaren Bereich, konnen auch die im Internet oder im Intranet verfligba ren Informationen tiber den oder die Bewerber oder den bisherigen Arbeitgeber herangezogen werden . Das Auffinden der betreffenden WWW-Seiten mit den gewtinschten personen- oder firmenbezogenen Informationen wird durch zahlreiche Search-Engines erleichtert". Anhand eines in einem Unternehmen fur den World-Wide-Web-Dienst eingesetzten Proxy-Servers kann die Problematik des Zugriffes von Firmenangehorigen auf WWW-Server des Internet und des Intranet veranschaulicht werden . Ein Proxy-Server dient zunachst dem rascheren Zugr iff auf externe WWW -Seiten und -Dienste durch die Mitarbeiter des Unternehmens. Er dient auch der Entlastung der Netzwerke. Er verhindert schlieBlich - in Kombination mit einem Firewal l" Zugriffe Unbefugter auf das firmeninterne Netzwerk. Urn diese wichtigen Funk tionen austiben zu konnen, ist die Protokollierung der einzelnen Zugriffe der WWW-Benutzer innerhalb der Unternehmung erforderlich, aus der sich bei Bedarf eine Analyse des Benutzerverhaltens am Netzwerk ableiten lasst.
38 39 40
Mit der Nutzung neuer Dienste fallen auch zusatzliche Mitarbeiter- und Arbeitsplatzda ten an. Z. B. AltaVista, Google , HotBot , InfoSeek Vgl. dazu z. B. Siyan, K./ Hare, Chr.: Internet Firewalls and Network Security, Indianapolis 1995; Cheswick, W. R./ Bellovin, St. M.: Firewall s und Sicherheit im Internet, Bonn u. a. 1996
344
111 Gestaltungsebenen von E-Business
1.5 Sonstige Sensible Systeme im Electronic Business Grof ist die Vielfalt jener mit Internet-/lntranet-Technologien implementierter und in naher Zukun ft implementierbarer Sensibler Systerne, mittels derer Menschen, soziale Gebilde und deren Eigenschaften sowie Lebens- bzw. Arbeitsbedin gungen abgebildet werden, ohne diese Systeme fur Zwecke der betrieblichen Personalarbeit einzusetzen. 1m Mittelpunkt stehen zunachst Information oder Unterhaltung suchende Menschen, darllber hinaus auch tatsachliche oder potenzielle Kunden oder Vertra gspartner (nicht einbezogen sind hier Vertrage mit dem Arbeitgeber) . Betroffen sind schlieBIich BUrger in den jeweils von ihnen eingenommenen speziellen Rollen, z. B. als Bewohner einer Stadt, Kontoinhaber, Steuerpflichtiger, Beihilfenbezieher, Wohnungsinhaber, Telefonteilnehrner, Vereinsmitglied , Patient, Studierender, Inhaber eines Internet-Accounts, Versicherter oder Grundstuckseigentumer. Beispiele fur die Gruppe der sonstigen Sensiblen Systerne, die entweder mit konventionell er Informations- und Kommunikationstechnik implementiert wurden oder fur die bereits teilweise E-Business-Anwendungen genutzt werden konnen , sind Systeme der Abrechnung und des Zahlungsverkehrs. Kundeninformationssysteme bei Versicherungen, Energieversorgungsunternehmungen , Warenhausern (die nicht nur der Bestellung und Abrechnung dienen, sondern mittels derer etwa das Erstellen von Kundenprofilen moglich ist). In Gerneinden, Landern und beim Bund in allen Ressorts eingesetzte Systeme, die der Unterstutzung vielfaltiger Verwaltungsaufgaben und auch von Unterrichtsaufgaben dienen (z. B. Einwohnerinformationssysteme, Systeme zur Beihilfenerrechnung). Bei Sozialversicherungsanstalten eingesetzte Informationssysteme, mittels derer Daten tiber den Gesundheitszustand und die erfolgten BehandlungsmaBnahmen in groBem Umfang erfasst und verarbeitet werden. Betrachtet man die durch die Verbreitung des Internets allgeme in nutzbaren Kommunikationsdienste, so konnen weitere Beispiele genannt werden: Abfragen (Browsen) von Informationen aller Art. Anbieten personlicher Homepages . Bestellen von Gutern und Dienstleistungen unter Verwendung von Formularen. Zahlen mittels Kreditkarte unter Verwendung von Formularen. Veranlassen von Kontobewegungen mittels Telebanking. Durchfuhren von Uberweisungen mittels CyberCash. Versenden von Electronic-Mails an Unternehmungen, Behorden sowie zwischen Privatpersonen. Versenden von Daten, Texten, Grafiken, Sounds , Software usw. etwa mittels FTP oder E-Mail-Attachment.
1 Electronic Business und Sensible IKS
•
345
Nutzen von kostenlosen Diensterr", die von groBen Portaldiensten angeboten werden (E-Mail-Account, Webspace , Kalender, Virusscanner usw.). Das Abfragen und Posten" im Bereich von Newsgroups. Das Teilnehmen an einem Chat. Das Durchfuhren von Videokonferenzen. Das Anmelden zu Lehrveranstaltungen an Universitaten und das Ubermitteln eines individuellen Stundenplanes an die Studierenden mittels Internet".
WWW-Server protokollieren die erlaubten und unerlaubten Zugriffe auf ihre Datenbestande aller Benutzer weltweit. Urn die gewlinschten Informationen an die nachfragenden Benutzer senden zu konnen, muss dem WWW-Server z. B. die weltweit einmalige Hostadresse" des Empfangers bekannt sein . In Abhangigkeit von der eingesetzten Serversoftware wird eine Anzahl von weiteren Daten automatisch erfasst. Sinngemaf gilt dies auch fur andere Dienste (FTP, Proxy usw.) . Nachfolgend ein Ausschnitt aus einem einfachen Log-File eines WWW-Servers, der z. B. Datum, Uhrzeit, Hinweis (OK, ERR, PRIV) Hostname, Dokument, Dokumentengrobe enthalt: 11127/01 19:36:16 11127/01 12:37:22 11127/01 12:37:27 11128/01 12:37:30 11/29/01 11:48:34 11129/01 11:48:46 11/29/01 11:48:48 11/29/01 11:48:49 11/29/01 11:49:30 11/29/01 11:49:31 11/29/01 11:49:32
PRIV OK OK OK PRIV OK OK OK OK OK OK
2.202.80.193.in-addr.arpa. :MDaheim.html 0 smtp.icvet.fi. :waldviertel:sum95.html 6604 smtp.icvet.fi. :GIF:Header3.GIF 4629 smtp.inet.fi. :gif:home.gif 2478 wonderful.upperaustria.org. :abcde:home8.htmI 0 wonderful.upperaustria.org. :Default.html 1381 wonderfu\.upperaustria.org. :GIF:Pers.GIF 3513 wonderful.upperaustria.org. :JPEG:header2.jpg 15654 wonderful.upperaustria.org. :Default.html 1381 wonderfu\.upperaustria.org. :GIF:Pers.GIF 3513 wonderful.upperaustria.org. :JPEG:header2.jpg 15654
Daneben werden auch Angaben tiber die verwendete Client-Software (z. B. die genaue Version eines WWW-Browsers) sowie Naheres zu Hardware und Systemsoftware protokolliert und ausgewertet. Es kann daraus der Zustand des Systems des Benutzers festgestellt und gegebenenfalls im Zeitablauf verfolgt werden . Aus derartigen Log-Files lassen sich Statistiken erstellen, wobei die Informationsnachfragen beispielsweise geordnet sind nach
• •
41
42 43 44
Datum Zeit Wochentag Client domain Client reversed subdomain Vgl. z. B. Bager (1999), S. 108ff Bereitstellen eines Beitrages in einem elektronischen Diskussionsforum Wie z. B. an der Universitat Linz ab dem Sommersemester 1997 1. d. R. auch in Textform, z. B. gl-88.idv.uni-linz.ac.at. Jeder Rechner im Internet hat zumindest temorar - eine international einmalige IP-Adresse
346
III Gestaltungsebenen von E-Business
Mit dem Logfile des WWW-Servers www .aaa.com kann die Stelle im WWW, von der der Benutzer auf die betreffende Seite gesprungen ist, protokolliert werden . Das Weiterspringen eines Benutzers tiber einen Link zum WWW-Server www .bbb .com kann nicht direkt verfolgt werden. Urn hier Abhilfe zu schaffen, gibt es z. B. die Moglichkeit, ein Redirect durchzuftihren oder den betreffenden Link auf ein cgi-Skript zu legen, dies zu protokollieren und erst dann auf den fremden WWW-Server weiterzuleiten." Auch bei anderen Intemetdiensten werden personen- und arbeitsplatzbezogene Angaben erfasst. So ist dem Header eines Electronic-Mails u. a. zu entnehmen, welches Betriebssystem beim Absender installiert ist und welche Mailing-ClientSoftware vom Ersteller eines E-Mails vcrwendct wurdc, auf welcher Seite (URL) ein Benutzer des WWW ein E-Mail erstellte usw. Es erhebt sich die Frage, wclchen Grad der Sensibilitat die derartig protokollicrtcn pcrsonenbezogen Daten aufweisen. Nachfolgend ein Beispiel fur den Header eines Electronic-Mails, aus dem der Domain-Name des Absenders zu entnehmen ist, der eventuell fur spatere Auswertungen (z. B: mittels SSI) vorgemerkt und verwendet werden konnte . 1m Beispiel kann dem Header der Typ des fur das Erstellen des Mails eingesetzten Rechners (SOl), dessen Betriebssystem (lRIX 6.3), der Mail-Cient (Mozilla 4.0) und der das Electronic-Mail versendende SMTP-Server (Apple Interoet Mail Server) entnommen werden . Rtickschli.isse auf die beim Versender eingesetzte Infrastruktur sind daher moglich . Received : from w22.idv.uni-linz .ac.at (111.7 .50.90) by listserv .idv.uni-linz .ac.at with ESMTP (Apple Internet Mail Server 1.1.1); Mon, 14 Apr 2001 13:26:19 +0200 Received : from sili.idv .uni-linz .ac.at (111.7.50.88 by w22.idv.uni-linz.ac .at with SMTP (Apple Internet Mail Server 1.1.1); Mon, 14 Apr 2001 13:26:50 +0200 Sender: [email protected] Message-ID: <[email protected] .uni-linz.ac.at> Date: Mon, 14 Apr 200 I 13:26:18 +0200 From: Hubert Maier <maier@sili .idv.uni-linz.ac.at> Organization : idv X-Mailer : Mozilla 4.0SC-SGI (XII ; I; IRIX 6.3 IP32) MIME-Version: 1.0 To: hofer@p44 .idv.uni-linz .ac.at Subject : Termin Content-Type: text/plain ; charset=u s-ascii
Content-Transfer-Encoding: 7bit Server Side Includes (SSI) gestatten es, Variable des Arbeitsplatzes des Intemetoder Intranet-Teilnehrners, die dem WWW-Server tibertragen werden, fur die spontane und individuelle Gestaltung einer WWW-Seite heranzuziehen. Inhalt und Design der dynamisch erstellten Seite konnen zusatzlich auch von Systemvariablen des WWW-Servers abhangig gemacht werden. Dem Benutzer wird eine auf ihn abgcstimmte Seite prasentiert. 45
Vgl. Schilli (1999) , S. 14lff
1 Electronic Business und Sensible IKS
347
Einen ahnlichen Effekt wie die standardisierten Server Side Includes bringen auch am Markt angebotene proprietare Losungen in Form von Softwareprodukten mit speziellen Tags und Skriptsprachen , mit denen unter anderem auch die Einbindung von Datenbanken ermoglicht wird (z. B. Active Server Pages , PHP, FileMaker) sowie die Java Server Pages (JSP). Ein Beispiel fur den Einsatz von SSI zeigt nachfolgender Ausschnitt aus einem durch SSI-Tags angereichertes HTML-Dokument. Vom WWW-Server wird eine spezielle Anrede generiert, die jeweils fur Teilnehmer aus unterschiedlichen Netzwerken vorgesehen ist. Nach der Anzeige der Zeit und nach Hinweisen auf die eingesetzte Client-Software und -Hardware werden je nach Domain-Name des jewieligen Internet-/Intranet-Teilnehmers verschiedene Texte generiert und vom WWW-Brow serangezeigt. Guten Tag! Heute ist der (GMT) . Es ist gerade (GMT). Sie arbeiten mit einem Client mit der Bezeichnung . Ihr Rechner ist ... «Lb-der Universität Linz nicht der Univers itä ;t Linz nicht dem Institut fü ;r Datenverarbeitung in den Sozial- und Wirtschaftswis senschaften sondern dem Institut f&uumI;r Betrieb swirtschaftslehre Netzwerk des Instituts für Datenve rarbeitung in den Sozial - und Wirtschaftswissenschaft en zugeordnet.
Abb. 111-1.2 Einbindung von SSI-Kommandos in eine HTML-Seite (Beispiel)
348
III Gestaltungsebenen von E-Business
Dem im Beispiel angefuhrten HTML-Dokument ist zu entnehmen , dass auch fur Teilnehmer, die tiber bestimmte Provider oder aus bestimmten Regionen , Firmen oder Schulen ins Internet gelangen, jeweils speziell aufbereitete WWWAngebote (z. B. fur Zwecke selektiver Werbung) moglich sind", Auf dem WWW-Client wird die dynamisch erstellte Seite wie folgt angezeigt:
Outen Tag! Heute ist der 14.04 .1997 (GMT). Es ist gerade 14.06 (Lokalzeit) , das ist 13.06 (GMT) . sieerbeiten mit einem Client mit der Bezeichnung Mozillal3.01 (Macintosh; I; PPC ). Ihr Rechner ist ... • der Universitat Linz • und zwar dem intem.en N etzwerk des Instituts fiir Datenverarbeitung in den Sozial- und Wirtschafts'Wissenschaften zugeordnet.
Abb. 111-1.3 Ausschnitt aus einer mit Server Side Includes dynamisch organisierten WWW-Seite
Problematisch und im Einzelfalle abzuwagen ist der Nutzen von kostenlosen Diensten, wie sie insbesondere von groBen WWW-Portaldiensten angeboten werden. In der Regel verlangen zwar die Dienstleister die Eingabe personlicher Informationen, inwieweit die WWW-Benutzer wahrheitsgemaf antworten, bleibt dahingestellt. Kritisch wird es dann, wenn es urn Daten mit hoherern Grad an Sensibilitat geht (z. B. Adressbucher) sowie auch bei Diensten, die einen Zugriff auf lokale Daten des Benutzers ermoglichen (z. B. Virenscanner tiber WWW). Beispiele fur kostenlose WWW-Dienste, im Rahmen derer personenbezogene Daten bei einem Provider verarbeitet werden, sind E-Mail-Accounts, Webspace, Terminplaner, Reminder-Dienste, Faxdienste, Adressbucher, Bookmark-Manager,
46
Sind einzelne Domain-Names und die dazugehorenden Namen der Benutzer bekannt, so ist auch deren personliche Ansprache technisch moglich.
1 Electronic Business und Sensible (KS
349
PC-Dienste (Fi leko nverter , Vi russcanner, Online-Laufwerke), Gas tebucher, Kleinanzeigen, Multimedia-Postkarten.
1.6 Charakteristika Sensibler Systeme im Electronic Business Aus der Kombi natio n der in vielen Hillen isoliert erfassten Informationen ist es dem Betreiber eines Internet- oder Intranetdienstes moglich, Informationen neuer Qualitat, die Sekundarinformationen, zu gewi nnen, wie z. B. Sta tistiken, Korrelationen, gegebenenfalls zusatzlich grafisc h aufberei tete Reports beispielsweise zu • •
Einschaltzeiten von Geraten, Nutzungsver halten, Nachfrageprofile auf Hosts bzw . auf Benutzer und Benut zerkategorien bezogen, Informationen uber die technische Ausstattung des Clients.
Zusarnmenhange, in denen Daten zu interpretieren waren, komme n beim Prozess der Gewinnung von Sekund arinformationen in der Regel abhanden und/oder werden verandert, Zweifellos entsteht mit einem derartig komfortablen Sensiblen System ein qual itativ neuartiges Instrument fur den Betreiber von Diensten. Nachfolgend ein kurzer Ausschnitt aus der Statistik "Total Transfers by Client Reversed Subdornain", aus der aufgrund der Hostnames immer dann leicht Ruckschltisse auf das Informationsverhalten einzelner Personen gezogen werden konnen, wenn bei der Vergabe der Hostnames (Ieichtfertiger weise!) reale Familienoder Vorna men verwe ndet werden. Aufgrund der Domain-Names sind haufig Rtickschllisse auf konkrete Organisationen bzw. Abteilungen moglich. Number of Reversed Subdomai n at.ac.univie.gem.p I234 at.ac.univie.proxy at.ac .univie.pub.mac23 at.ac.uni-linz.demo.abc66 ...uni-linz.idv-edu .lehre-32 ...uni-linz.idv-edu.lehre-34 at.ac.uni-linz.idv.hofer at.ac.uni-linz.idv.gl-90 at.ac.uni-linz.idv.walter at.ac.uni-linz.idv.linux-5 at.ac .uni-linz.idv.bordea ux at.ac .uni-linz.idv.rudi at.ac. uni-linz.idv.mp at.ac.uni-linz.i dv.www8 ...uni-linz.raab-heim .z47 I 1-1 ...uni-linz.raab-heim.z47 12- 1 at.ac .uni-linz.risc.violet at.ac.w u-wien.osiris
Number of Files Sent 3 5 4 12 74 20 2 259 80 4 155 31 48 119 3 3 1 1
Percent of Bytes Sent 70 15 27503 20899 11878 669390 49055 5557 993098 227994 58 479368 73175 135431 586383 14295 1371 1 1458 1458
Percen t of Files Sent
Bytes Sen t
0.25 0.42 0.33 1.00 6.18 1.67 0.17 2 1.62 6.68 0.33 12.94 2.59 4.0 1 9.93 0.25 0.25 0.08 0.08
0.14 0.55 0.42 0.24 13.30 0.97 0.11 19.73 4.53 0.00 9.53 1.45 2.69 11.65 0.28 0.27 0.03 0.03
350
III Gestaltungsebenen von E-Business
at.gv.magwien.adv.donau at.p ing .bI45 com.dec.pa-x.scooter com. infoseek.horner-bbn de.euv-frankfurt-o.viadrina edu .berkeley.cs.dawn3 edu .washington.cs .edgar fi.inet. smtp neLtip.dial.a55046 uk.ac.bris.bio.l52 140.78.40.20
5 4 11 4
3 1 1 5 4
3 27
59043 58993 43896 3246 14295 1504 1554 26919 11644 13711 114418
0.42 0.33 0.92 0.33 0.25 0.08 0.08 0.42 0.33 0.25 2.25
1.17 1.17 0.87 0.06 0.28 0.03 0.03 0.53 0.23 0.27 2.27
Der Ein sat z von Proxy-Cashes , von PPP-Proxies, von Firewalls bzw . von Routern , die ein lokales Netzwerk mit einer Anzahl von Benutzern unter einem einzigen Internet-Account (d. h. unter einer einzigcn IP-Adresse) ins Internet einbinden, begrenzt die Aussagekraft der WWW-Statistiken. Entweder werden nicht aIle Anfragen protokolliert, da der Client vom Proxy bedient wird, oder es scheint jeder Intern et-Benutzer mit demselben Domain-Namen auf . Bei sensiblen Anwendungen empfiehlt es sich , lokale Caches und Proxy-Cashes moglichst auszuschalten, urn den Zugriff auf WWW-Seiten, die benutzerindividuelle Daten (z. B. Bestelldaten, Anmeldedaten) enthalten, durch Drittc im Weg e des Caches zu verrneiden (z. B. bei offentlich aufgestellten Internet-Terminals). Dies gilt auch fur dynamisch generierte WWW-Seiten. Die weitcre Aufbereitung und Ausw ertung des Informationsmaterials erfolgt oft in mehreren Stufen , auch durch verschiedene Personen und/oder nach Ablauf langerer Ze itspannen, wobe i Zusammenhange, in denen Daten zu interpretieren waren , z. T. nicht mehr rekonstruierbar sind . Erfolgt die weitere Verdichtung, Neukombination und Interpretation von Informationsmaterial auf Basis oben genannter Sekundarinformationen, so entstehen mit hohen Kontextverlusten ausgestattete TertHirinformationen. Von dicser Tatsache ist in der Regel auszugehen, da die Details des Zustandekommens des jeweils vorliegenden Informationsmaterials nicht im vollen Umfange bekannt sind, z. B. wenn die betreffenden Akteure" tiber die berichtet wird , und deren Motive nicht ausreichend bekannt sind, die Funktionalitat der WWW-S erver-Software, der Log-Statistik -Software, der beteiligten Proxy- und Firewall-Software sowie die jeweils eingestellten Setting s nicht bekannt sind. Ein Beispiel dafur ist das sogenannte Collaborative Filtering, das auf statistischen Methoden beruhr". Dcm Benutzer eines E-Shops werden Kaufempfehlungen gegeben nach dem Motto: .Kunden, die diese s Produkt gekauft haben, haben auch folgende weitere Produkte gekauft."
47
48
Also die einzelnen Internet-Benutzer. Die bckanntesten Softwareprodukte sind Net Perceptions, M acromedia Likeminds und Vignette.
1 Electronic Business und Sensible IKS
351
In steigendem AusmaB werden auch Planungsfunktionen tiber Intranet und auch Internet unterstiitzt. Bei spiele dafUr sind die Bereiche Personal , Marketing, Betreuung der Net zwerkinfrastruktur. Der Ein satz von anspruchsvollen Methoden zur Auswahl, Auswertung und Aufbereitung der gespeicherten Daten ist charakteristisch fur die neuere Entwicklung Sensibler Systeme. Die Potenziale, die in der Nutzung personenbezogener Daten des Internet! Intranet-Teilnehmers (bzw. des von ihm verwendeten Clients) bestehen, werden deutlich bei Verwendung von Server Side Includes (SSI) oder Skripts auf WWWServern, von Java bzw. durch Cookies. Diese Techniken ermogliche n es, in einem bestimmten AusmaB das Informationsangebot an den jeweiligen Benutzer anzupassen. Haufig werden tiber ein im HTML-Dokument enthaltenes JavaScript oder durch ein am Server laufendes Script Cookies erzeugt, d. h. es werden Informationen auf die Festplatte des WWW-Teilnehmers geschrieb en , z. B. Zugriffsanzahl und Datum des letzten Zugriffes auf die betreffende Seite. Bei den Zugriffen des Benutzers auf den WWW-Server kann der Informationsanbieter eine Analyse des Benutzerverhaltens erhalten, indem der Inhalt des Cookies ausgelesen wird. Dies gilt auch fur den Fall , dass dem Benutzer nur temporar ein Domain-Name durch den Access-Provider zugewiesen wird . Cookies werden nicht nur von E-Shops, sondern in zunehmenden AusmaB auch von vielen attraktiven, jedoch registrierungspflichtigen WWW-Diensten verwendet, urn einen Benutzer identifizieren zu konnen . Ein Cookie-File kann beispielsweise wie folgt aussehen: Der Kopfteil des Cookie-Files : # Net scape HTTP Cookie File # http://www.netscape.com/newsref/std/cookie_spec.html # This is a generated file! Do not edit. Danach folgt eine Anzahl von Eintragungen . Nachfolgend werden im CookieFile nur einige Beispiele (mit abgeanderten Domainnames) gezeigt. Die einzelnen Cookies werden durch einen Absatz, die Felder jeweils mit * getrennt. kcookie.n8888.com ,. FALSE" l " 4198711835" kcookie " < scri pt> seif.c1oseO <scri pt>do{}whiie(tru e)< /scri pt> www.xyz333.com" FALSE" /cgi -bin/ultimate ,. FALSE" 1013928724" iastLoginDT ,. 02-16-2001%2001%3A52%20AM .xyz3456.com ,. TRUE" l " FALSE" 1013634696" vt- ernail-address ,. hofer%40maiiservice.at%3A91050273100829560395100" .xyz12345.com ,. TRUE" /,. FALSE" 1054163486" MC1 ,. V=3&LV=200 12&HASH=EDOE&GUID= E371OEECE73B454BA785CFECB25462A6 .zyx123.com / FALSE t : /FALSE /1193642600/ TRENDS_ID /112.13.22.44541261007.28396552
Man kann an den Beispielen erkennen, dass Cookies Angaben wie z. B. IP-Adresse, Mailadresse, Datum, abe r auch Skripts sowie Anker fur die bei den Unternehmen eingesetzten Datenbanken aufweisen. Die Lange der Felder ist schwankend, 128 Zeichen sind keine Seltenheit. Dem Benutzer selbst ist es jedenfalls nicht
352
III Gestaltungsebenen von E-Business
vollstandig ersichtlich, welche Informationen auf seinem PC tatsachlich abgespeichert und welche Verknupfungen und Auswertungen durchgefuhrt werden . Bereits eine halbe Stunde des "Surfens" im WWW hat zur Folge, dass Dutzende von Cookies gespeichert werden . Java und JavaScript konnen zwar vom Benutzer durch Veranderung der Settings des WWW-Browsers deaktiviert werden, allerdings sind in diesem Faile samtliche Java- bzw . JavaScript-Anwendungen abgeschaltet; der elektronische Wa renkorb funktioniert nicht mehr. Cookies konnen generell gestattet, auf solche ein geschrankt werden, die nur zum ursprtinglichen Server gesendet werden, deaktiviert oder auch nur einzeln akzeptiert werden. Cookies werden jedoch auf den kommerziellen Websites in so hoher Anzahl eingesetzt, dass Benutzer, die in ihren Einstellungen des Web-Browsers den Empfang von Cookies nicht generell freigegeben haben, in ihrem Arbeitsablauf deutlich gestort werden . Entweder kommt es zu Einschrankungen bei den angezeigten Informationen oder im Funktionsurnfang oder es fallen die vielen Eingabeaufforderungen lastig . Dem Benutzer wird es also schwer gemacht, sich dem User-Tracking zu entziehen. Cookies konnen auch nachtraglich vom Benutzer auf dem lokalen Speichermedium geloscht werden. Ein weiteres Einsatzgebiet fur SSIs und Cookies ist derzeit dynamisch generierte Werbung. In Intranets ist die Zuordnung von IP-Adressen bzw . Domain-Names auf Benutzergruppen und sogar auf konkrete Personen im Vergleich zum Internet wesentlich einfacher bzw. manchmal sogar vollstandig moglich, so dass nicht nur eine genaue Dokumentation des Informations-Nachfrageverhaltens, sondern auch ein individueller Zuschnitt von Design und Inhalt des Informationsangebotes auf den Benutzerarbeitsplatz technisch realisierbar ist. Dies ist jedoch leichter bei zentral organisierten und betriebenen Intranet-Diensten der Fall. Es ist jedoch eine Vielzahl organisatorisch-technischer Varianten denkbar, so auch dezentrale Formen (etwa den Einsatz abteilungsbezogener oder individueller WWW-Server). Haufig geben Internet-Benutzer freiwillig und ohne Bedenken ihren Namen und ihre E-Mail-Adresse sowie andere Angaben tiber ein in eine WWW-Seite eingebautes Formular ein . In vielen Fallen wird dem Benutzer im Rahmen einer Registrierung fUr einen kostenlosen WWW-Dienst auch eine Einverstandniserklarung zur Weitergabe seiner Daten abverlangt. Manchmal ist jedoch in den elektronischen Formularen die entsprechende Checkbox bereits markiert und kann leicht tibersehen werden . Es ist aus Sicht des Unternehmens eine Herausforderung , moglichst viele Benutzerdaten zu erhalten. Dies gelingt auch durch attraktive Diensteistungsangebote, bei den en der Benutzer eher geneigt ist, seine wahre Identitat preiszugeben. Derartige Angebote sind haufig Gewinnspiele, geschtitzte Bereiche mit Log-Ins (z. B. fur den Download von Software), Communities sowie Lockangebote. Dies erleichtert wesentlich die Analyse des Benutzerverhaltens am WebServer durch Monitoring-Programme des Informationsanbieters und unterstlitzt dessen Bestreben, selektives Marketing betreiben zu konnen. Dies gilt analog dazu fur das AusfUlIen des vollen Namens, der E-Mail-Adresse und des Namens der
1 Electronic Business und Sensible IKS
353
Unternehmung im Rahmen der Settings des eingesetztcn Internet-Clients, z. B. des WWW-Clicnts. Problcmatisch ist insbesondere die Indexierung von Usenet-Postings durch Search Engines, wodurch eine potenziell global nutzbare Datenbank mit personlichen AuBerungen von Internet-Benutzern zu einer Hille an Themen im Entstehen ist, die grundsatzlich von jedermann nach Suchkriterien abgefragt werden kann. Gerade hier sind die Gefahren von Kontextverlusten evident.
1.7 Der Nutzen von Personalinformationssystemen Es ist heute bereits ublich geworden , dass mittlere und groBe Unternehmungen sowie Verwaltungen freie Stellcn im WWW anbieten, entweder auf dem eigenen Webserver, oder im Wege einer Agentur. Einer qualitativ hochstehenden Prasentation cines Unternehmens im WWW kommt als wichtige Botschaft an alle Stakeholder ein hoher Stellenwert zu. Potenzielle Bewerber konnen sich mit dem Unternehmen, dessen Produkte, dessen Marketing und dessen Unternehmenskultur vorzeitig auseinandersetzen, auch wenn klar ist, dass diese nur teilweise aus dem WWW abgeleitet werden konnen . Auch aus dem Blickwinkel der Bcwerber konnen erhebliche Nutzenpotenziale festgestellt werden, da sie sich einen Dberblick Uber alternative Stellenangebote verschaffen konnen . Schwachstellen gibt es bei den teilweise Ublich gewordenen Bewerbungen mittels Internet, ctwa wenn es zu automatisierten Vorentscheidungen kommt. Es ist insbesondere fraglich, ob der mit einer groBen DatenfUlle konfrontierte, im betrieblichen Personal bereich tatige Benutzer unaktuelle Daten oder Informationsverzerrungen zu erkennen vermag . Bemerkt der Benutzer, dass die ihm angezeigten Informationen nur zu einem ganz bestimmten Zweck erfasst wurden? Bemerkt er, dass die Informationen Uber einen Mitarbeiter aus einem spez iellen Zusammenhang gerissen sind, der ihm nicht bekannt ist? Auf langere Sicht kann ein effizienter Einsatz von Internet, Intranet und Extranet im betrieblichen Pcrsonalbereich nur dann moglich sein, wenn die Kernproblembereiche Datenschutz, Mitsprache der Betroffenen und Sicherung des Kontextes der Personalinformationen in einer von allen Beteiligten akzeptierten Weise gelost werden.
1.8 Electronic Business und Kontextverluste FUr jede betriebliche Arbeit, fUr die personenbezogene Daten verwendet werden und die durch Kommunikationstechnologien unterstUtzt wird, bedarf es insbesondere einer kritischen Betrachtung der erfassten oder noch zu erfassenden Daten; es ist genau zu UberprUfen, ob diese richtig und aktuell sind . Personenbezogene Daten und Arbeitsplatzdaten sind - unabhangig von ihrer SchutzwUrdigkeit - in
354
III Gestaltungsebenen von E-Business
besonders hohem AusmaB nur in ihrem jeweiligen situativen, sozialen, raumlichen und zeitlichen Kontext zu verstehen und zu verwenden. Kontext ist jener Rahmen, der einzelnen Wissens(Daten-)elementen einen Sinn verleiht. Er ist der grobere Zusammenhang, in den einzelne diskrete Fakten einzuordnen sind; er ist der Grad der Wissenssynthese. Auch an und fur sich .richtige" Daten konnen zu falschen Schliissen fuhren, wenn man z. B. den jeweiligen Zusammenhang, in dem sie erfasst wurden, nicht bei der Auswertung der Daten berticksichtigt. Die entstehenden Informationsverluste werden als Kontextverluste bezeichnet; sie konnen Ursache fur schmerzliche Fehlentscheidungen im Personal bereich sein. So kann beispielsweise angenommen werden, dass ein Bewerber speziell jene personlichen Eigenschaften hervorhebt, die von der freien Stelle gefordert werden . Wird dann - vielleicht Jahre sparer - durch Verwendung des Intranet auf Basis dieser Informationen eine Auswertung des Datenmaterials vorgenommen, so kann es leicht zu einem verfalschten Urteil tiber den Mitarbeiter kommen . Mit Kontextverlusten ist auch im Bereich des E-Business zu rechnen, z. B. bei Verwendung von elektronischen Bewerbungsformularen und bei der anschlieBenden automatisch erstellten Vorentscheidung tiber den Bewerber. Ein anderes Beispiel ist der Einsatz von Search Engines, die gewaltige Informationsmengen indiziert haben. Eine Auswertung von Usenet-Postings, die von einem Bewerber verfasst wurden, ist zwar denkbar. Konnen jedoch auf diese Weise dessen Interessen oder seine fachliche Kompetenz ermittelt werden? Wie bereits erlautert, wertet bei Verwendung von serverseitigen Scripts, Servlets und dergleichen der WWW-Server die ihm vom Client tibertragenen Informationen nach einem vorgegebenen Schema spontan aus, kombiniert dies mit Systemvariablen des Servers und generiert eine WWW-Seite, die eine zumindest teilweise individuelle Gestaltung aufweist. Beispielsweise kann aus dem DomainName die Herkunft des Benutzers (Land, Provider, Organisation, Unternehmung, Abteilung usw .) geschlossen werden und das Angebot sprachlich und inhaltlich angepasst werden . Die durch die SSI-Technik derzeit verarbeitbaren Kontexte konnen in vielen Fallen zu nicht ad aquat gestalteten WWW-Seiten fuhren, da die situativen Bedingungen des Internet-Teilnehmers nicht ausreichend durch SSIVariable beschrieben werden konnen . Auch das Domain-Name-System des Internet ist fur Kontextverluste anfallig, da es keine vollstandigen Abgrenzungen der Teilnehmer und Hosts beztiglich Regionen, Sprachzonen, Organisationen und Staaten gewahrleisten kann. Hinzu kommt, dass beruflich oder fur die Ausbildung vorgesehene Internet-Accounts (E-Mail-Adressen usw .) haufig auch privat verwendet werden und auch umgekehrt. Es bleibt daher bisweilen unklar, in welcher Rolle ein Internet-Teilnehmer im Netzwerk auftritt. Kontextverluste treten auch im Bereich des Electronic Business auf; sie sind Informationsverluste, bei denen Zusamrnenhange, die in der Realitat gegeben sind , verloren gehen . Es entstehen singulare Aussagen ohne Zusammenhang. Im Gegensatz zu Sensiblen Systemen ist es jedoch in nicht-sensiblen Systemen haufig vertretbar Kontextverluste zu vernachlassigen.
1 Electronic Business und Sensible IKS
355
Die teilweise unvermeidlichen Kontextverluste lassen sich u. a. zurlickftihren auf die nicht vollkommen abbildbare Realitat, auf Unterschiede im sprachlichen Kode der beteiligten Personen , auf die nicht vollstandig strukturierbare und vorhersehbare betriebliche Aufgabenstruktur, aufDatenfindungsmethoden, auf die zur Verftigung stehenden Kommunikationstechnologien, auf bestehende soziale und rechtliche Normen, die beteiligten Systemplaner sowie insbesondere auch auf den das Personalinformationssystem einsetzenden Benutzer. 1m konkreten Einzelfall kommtjeweils ein Ursachenmix zum Tragen. Wesentliche Zusammenhange nicht erkennen oder verandern kann bereits der das Einstellungsgesprach ftihrende Vorgesetzte, der Daten eines Bewerbers unter Verwendung einer Intranet-Anwendung unvollstandig dokumentiert. Weitere Kontextverluste entstehen, wenn ein Benutzer, der auf der WWW-Seite optisch schlecht angeordnete Personaldaten, die mit mangelhaften Methoden gewonnen wurden und unvollstandig aufgezeichnet wurden , auswerten solI. Die beschrankte Fahigkeit des Menschen, Informationen wahrzunehmen (insbesondere durch Informationsfilter und Informationsselektion) und zu .verarbeiten" sowie die Wirkung anderer psychischer und sozialer Bedingungen kommen hierbei zum Tragen. Dies gilt auch dann, wenn dem Intemet-Benutzer machtige Search-Engines zur Verfligung stehen, die als Ergebnis in der Regel zahlreiche Links mit zum teil erheblichen Kontextverlusten vorschlagen. Bei der Losung der liberwiegend schlecht strukturierten Aufgaben des betrieblichen Personalbereiches muss man davon ausgehen , dass ein Benutzer des Sensiblen Systems in der Regel eine mehr oder weniger subjektive Einordnung der ihm von Internet oder Intranet dargebotenen Daten in einen eben falls subjektiv gefarbten Zusammenhang vomimmt. Besonders bei komplexen Aufgabenstellungen kommt es nicht nur auf die Dateninhalte an. Welcher Art der im Einzelfall hergestellte Kontext ist und zu welcher Entscheidung somit der Personalfachmann in einem konkreten Fall kommt, ist auch abhangig von der Menge sowie der Anordnung der Informationen (z. B. Hervorhebungen, Animationen, Farben, Grafiken) im WWW-Browser oder in anderen Clients, eventuellen Widersprlichlichkeiten, Denkstil des Benutzers, des sen Aktivierungsgrad (z . B. beeinflusst durch den langsamen Seitenaufbau) . Kontexte rund urn einzelne Informationen soilen einerseits soweit wie mog lich ins Sensible System miterfasst und spater auf dem Ausgabemedium mitangezeigt werden . Eine solche Moglichkeit kann andererseits nur teilweise verwirklicht werden, zumal der Speicherung zusatzlicher Daten, die dem besseren Verstandnis anderer, bereits gespeicherter Daten dienen, Grenzen gesetzt sind. Dies insbesondere wegen des Aufwands der durch die Erfassung und Speicherung einer grOBeren Anzahl von zusatzlichen Daten entsteht,
356
III Gestaltungsebenen von E-Business
der somit verstarkten Datenschutzprobleme, der nicht unbeschrankten Leistungsfahigkeit und -bereitschaft des Benutzers, eine groBe Datenfulle sorgfaltig zu analysieren und in seine Denkarbeit einzubeziehen. Eine wichtige Moglichkeit, den Kontext der Daten zu bewahren, besteht darin, dass dem Benutzer auf Grund seiner Qualifikationen, Kenntnisse und Erfahrungen die wesentlichen Zusammenhange aus eigenem Wissen bzw . aus personlicher Erfahrung ausreichend bekannt sind . Was fur unser Beispiel mit den Daten eine s Bewerbers noch leicht vorstellbar ist, namlich Datum sowie den Vermerk .Bewerbungsdaten" anzufugen, kann fur andere Typen personenbezogener Informationen erhebliche Schwierigkeiten berei ten (z. B. fur Beurteilungsdaten, Leistungsdaten) . In schwierigen Fallen, wo sich Kontextverluste durch keine Methode auf ein fur samtliche Beteiligte ertragliches MaB redu zieren lassen, sollten die betreffenden Personalinformationen nicht gespeichert, die kritischen Anwendungsbereiche nicht implementiert werden. Internet, Intranet und Extranet sind dafur nicht einzusetzen. Unverandert gilt, dass es auch in absehbarer Zukunft nicht moglich sein wird, ohne eine entsprechend fundierte theoretische Ausbildung der Benutzer auf den betreffenden sozial- und wirtschaftswissenschaftlichen Disziplinen Kontextverluste auf ein zu vernachlassigendes Minimum zu reduzieren. Im Falle des Einsatzes von Internet, Intranet und Extranet im Personalbereich wird eine wesentlich hohere Qualifikation des Benutzers vorausgesetzt, also eine Aus- und Weiterbildung auch verstarkt auf dem Gebiet der Datenverarbeitung, etwa was Techniken, Dienste und Schwachstellen von Internet, Intranet und Extranet betrifft. Unter dem Titel "Web-Software scannt fremde Festplatten?" gingen Meldungen durch die Presse, die von Softwarepaketen berichten, mit denen das Internet nach ungeschtitzten Festplatten durchsucht werden kann, deren Inhalte dann gescannt und kopiert werden konnen , Die Ergebnisse konnen dann an cine Newsgroup im USENET geleitet und in einem Katalog dokumentiert werden. Dieses Beispiel ist insofern von Interesse, als es zeigt, dass es auf das verantwortliche Verhalten der Akteure ankommt, wie sic weIchen Dienst und weIche Anwendung im Bereich des E-Business einsetzen . So sind im Falle des letzten Beispieles nur jene PC-Benutzer betroffen, die tiber kein oder zu wenig InternetFachwissen und -Know-How verfUgen, da sie ihr System fur Filesharing-Anwendungen freigegeben und kein Passwort dafur festgelegt haben . Analog dazu ist mangelndes Problembewusstsein gepaart mit mangelndem Wissen zum Thema Sicherheitsmanagement auch in Unternehmungen und Verwaltungen an der Tagesordnung.
49
Pressetext.austria http ://www .pressetext.eom/open.php?pte=Ol 02270 16&ehan=ht
1 Electronic Business und Sensible IKS
357
1.9 Konsequenzen fUr das Electronic-Business-Planning Nach dem derzeitigen Kenntnisstand sind folgende Empfehlungen zu beachten: Es ist im globalen Netzwerk mit dem Einsatz moderner und bisweilen auch trickreicher Verfahren der Sammlung von Benutzerdaten sowie dartiber hinaus auch des Abhorens oder Verfalschens von Daten zu rechnen. Dies gilt grundsatzlich auch flir durch Firewalls geschtitzte Intranets. Zwar sehen viele WWW-Dienste vor, dass Kunden oder Mitarbeiter ihre personenbezogenen Daten tiber eine SSL-gesicherte Verbindung (ev . unter Angabe der AccountNummer sowie eines PIN-Codes) eingeben bzw . abrufen konnen. Es hangt jedoch von der vom Kunden bzw . Mitarbeiter nicht beeinflussbaren Qualitat des Sicherheitsmanagements des betreffenden Unternehmens ab, inwieweit die personenbezogenen Daten "behackt" und missbraucht werden konnen . Fundierte Kenntnisse tiber das Internet und die jeweiligen E-Business-Anwendungen sind unabdingbar, urn die Problematik Sensibler Systeme zu erkennen und auf ein ertragliches AusmaB einzuschranken. Frtihzeitiges Einschalten der Betroffenen. Der Partizipation der Benutzer am Systementwurf und deren intensive Schulung tiber Internet-/Intranet-Techniken, deren Schwachstellen usw. kommt eine entscheidende Rolle zu. Fur Personalinformationssysteme gilt, dass Informationen tiber Mitarbeiter, Bewerber oder Arbeitsplatze keinesfalls unvollstandig oder methodisch unzureichend (z . B. durch tiberlistbare biometrische Verfahren) erfasst und verglichen werden durfen ." Die betroffenen Kunden, Mitarbeiter, Btirger und Geschaftspartner sind durch geeignete MaBnahmen des Sicherheitsmanagements zu tiberzeugen, dass Missbrauche ihrer personlichen Daten, z. B. durch unberechtigtes Weitergeben an AuBenstehende, sehr unwahrscheinlich sind. Hinweise auf die "Privacy Policy" des Unternehmens genugen nicht. Es zeigt sich in der Praxis, dass Privacy Policies im Insolvenzfalle gebrochen werden konnen, Fehlerhaften Interpretationen von Personaldaten muss soweit wie moglich vorgebeugt werden. In der Realitat bestehende Zusammenhange mtissen auch bei einer durch das Intranet untersttitzten Personaldatenflihrung ausreichend bewahrt bleiben. Recherchen tiber Mitarbeiter mittels Internet-Search-Engines sind in der Regel unvollstandig, fur Falschungen anfallig und konnen den erforderlichen Kontext nicht gewahrleisten.
50
Teilweise fehlen brauchbare Datenfindungsmethoden. Es mangelt auch an Verfahren, mittels derer aus einer groberen Anzahl elementarer Indikatoren, in der praktischen Personalarbeit verwertbare Aggregationen zusammengestellt werden konnen, ohne dass gleichzeitig wesentliche Details des Bildes (z. B. uber einen Mitarbeiter oder Arbeitsplatz) auBer Acht gelasscn werden.
358
III Gestaltungsebenen von E-Business
Fiir Personalinform ationssysteme sind dezentrale, d. h. tiberschaubare Formen des Einsatzes von Kommunikationstechnologien, insbesondere Clusterbildung mittels Intra-Subnets (eventuell geschtitzt durch Firewalls), verteiltes Fuhren von Mitarbeiterdaten, empfehlenswert. Zugriffe auf vertrauliche Personaldaten tiber regionale und globale Netzwerkdienste (etwa tiber Telnet, WWW, FTP) sollten mit anspruch svollen Verfahren verschliisselt erfolgen. Dies gilt sinngemaB auch fur das Versenden von entscheidungsrelevanten person enbezogenen Daten tiber Electronic-Mail. Zentral gefuhrte und verwaltete Datenmengen, auf die von einer groBen Anzahl von inner- (oder sogar auBer)betrieblichen Benutzem zugegriffen werden kann, erhohen das Risiko von Kontextverlusten. Bei Vemetzung unterschiedlicher Untemehmensstandorte wird der Einsatz von Verschlii sselungsmethoden bzw. von Virtual Private Network s (VPN) sowie die situationsabhangige Kombination mehrerer Kommunikationskanale bzw. medien empfohlen (z. B. Fax, gelbe Post, Aufbau zusatzlicher Datenverbindungen auBerhalb des Internets) . Die haufig gestellte Frage, ob ein Sensibles System unter Einhaltung aller SicherheitsmaBnahmen im E-Business vertreten werden konne, kann wegen der Vielfalt der Ersch einungsformen dieser Systeme nicht allgemeingiiltig mit .ja" oder .nein" beantwortet werden . In der Realit at wurden in den letzten Jahren, insbesondere in den USA , ohnedies bereits Fakten geschaffen und viele sensible Daten gesarnmelt , verkauft und zur Nutzung angeboten . Profile der privaten und beruflichen WWW-Benutzer werden von Unternehmungen und Agenturen gesammelt, E-Mail s werden an bestimmten Stellen (an wichtigen Ubergabepunkten zwischen Netzwerken) im Internet nach Schlus selwortern gescannt und teilwe ise in Datenbanken abgelegt. Softwarepakete, die versprechen, Daten und Fakten jeder beliebigen Person zu finden , werden - sogar per Spam-Mails - angeboten. Es wird versprochen, personenbezogene Informationen wie Adressen, geheime Telefonnummern, Sozialversicherungsnummern, Autokennzeichen, "schmutzige" Geheimnisse, Vorstrafen , Arbeitskollegen, Schulabschliisse zu finden. Sich gegen derartige Praktiken zu schutzen, ist fur ein Untemehmen (etwa durch den Aufbau eines Sicherheitsmanagement s) und auch fur den Einzelnen nur teilweise moglich. Last but not least sei hier auch auf die zahlreichen Moglichkeiten, Angriffe aus dem Internet auf ein Unternehmensnetzwerk durchzufuhren , ausdrticklich hingewiesen. Als Beispiele sind hier zu nennen: Erraten und Cracken von Passwortern, Viren, Back Doors, Session Hijack ing, Sn iffer, automatisierte Scanner, Denial of Service, WebAttacken , Stealth Scanning, Web-Warmer." Aufgabe dieses Beitrages war es unter anderem aufzuzeigen, dass die Problematik Sensibler Systeme nicht allein durch techni sche MaBnahmen abgedeckt werden kann, sondem vielmehr eine standige Herausforderung fur das ElectronicBusiness -Management darstellt, der nur situationsspezifisch durch die Beteiligten
51
Vgl. dazu z. B. Bachfeld 2002
1 Electronic Business und Sensible (KS
359
und B etroffenen, durch Aufklarung und Schulung der Benutzer so w ie in ei ner ents preche nd gepflegten Untemehmenskultur beg egnet werden kann.
Literatur Bachfeld (2002) Daniel : Angriff aufs eigene Netz. Mehr Sicherheit durch PenetrationTests, in: ct 2002, Heft 2, S. 74-79 Bager (1999), J., Dienstbarer Ne tzgeist, Geschenkte Dienste im Web, in: c't 4/1999, S.108-111 Borchers (2002), D., Big Brother am Arbeitsplatz, in: c't 15/2002, S. 132-137 Engler (1996), T., Der glaserne Web-U ser. Offene Turen fur Datenausspaher im Internet, in: c't 12/1996, http://www. ix.de/ct/ArtikeI96/12/ENGL ER.HTM Kilian (1982), W., Personalinformat ionssysteme in deutschen GroBunternehmungen, Berlin/HeidelberglNew York 1982 Kossel (1999) , A., Ein waches Auge - Kalkuliertes Risiko beim Internet-Zugang, in: c't
3/1999,S.142-145 Kunze (1996), M., Privatsphare im Datennebel. Der glaserne Web-Server bleibt eine Fiktion, in: c't 12/1996, http://www.ix .de/ct/ArtikeI96/12/KUNZE.HTM Pils (1982), M., Kont extsicherung in computergestUtzten Personal inforrnatonssystemen , Wien/ New York 1982 Pits/Kol ar (1985) , Pils, M. und A. Kolar, Personalinformat ionssysteme in Oberosterreichs GroBunternehmungen, Bericht uber eine empirische Studie, Linz 1985 Schilli (1999) M. , Link-Klicks mit CGI zahlen - Aus rei sekontrolle, in: iX 2/1999 , S. 141-143 Schuler (2002 a), P., PC spio niert, Get arnte Software unterwandert Computer, in: c't 15/2002,S.128-130 Schmid (2002), Schm id, H., Schmidt, J. und A. Vahldiek, Kammerjager, Windows von ungebetenen Gasten befreien, in: c't 15/2002, S. 144-149 Schtiler (2002b) , Schtiler , P. und D. Borcher s, Tabula rasa, Feuerprobe fur Troj anerschut zprogramme, in: c't 15/2002, S. 138-143 Thalh eim (2002) , Thalheim, L. / Krissler, 1. / Ziegler, P.-M., Korperkontrolle, Biometrische Zugang ssicherun gen auf die Probe gestellt, in: c't 1112002, S. 114-123 Zierl (2000) , Zierl , Marco , Anreize bieten , in: Internet Profe ssionell 9/2000, S. 46-51
2 Sicheres E-Business Alfred Novacek Institut fur Datenverarbeitung, Johannes Kepler Universitdt Lin:
2.1 Cas Problem der Catensicherheit Lange Zeit war der einzige Anwendungsbereich, in dem man sich Gedanken tiber die Vertraulichkeit von Kommunikationswegen machte, der militarische bzw . politische: Es galt, tiber Kuriere, die aber jederzeit von militarischen oder politischen Gegnem abgefangen werden konnten, Anwei sungen an andere Truppenteile oder politische Vertrauensleute zu transportieren. Der Erfolg eines Gefechts oder einer politischen Intrige hing entscheidend davon ab, das s diese Anweisungen nicht vorzeitig den jeweiligen Gegn em in die Hande fielen. So wird bereits von Julius Casar berichtet, dass er aus Gallien die Anwei sungen fur seine Vertrauensleute in Rom mit einem einfachen Verfahren I in eine fur AuBenseiter scheinbar sinnlose Buchstabenfolge verwandelte.Tm Laufe der Jahrtausende wurden diese Verfahren zur Verschliisselung von Texten immer aufwandiger gestaltet - urn der Gefahr des .Knackens" des Verfahrens- und der verwendeten Schltissel zu entgehen - und schlieBlich in komplexe mechanische Maschinen umgesetzt. Der Einsatz von Computersystemen brachte auch fur die Kryptografie' wesentliche neue Impulse. Einerseits wandelte sich die Basis der Informationsdarstellung", andererseits ermoglichten diese Gerate den Einsatz von wesentlich aufwandigeren Verfahren bis hin zu ganzlich neuen Ansatzen (wie z. B. den Verschliisselungsverfahren mit offentlichen Schliisseln, s. Kap. 2.2.1). Letztlich aber offnete die Moglichkeit, Verschltisselungsverfahren auf modemen, allgemein verftigbaren
I
2
3 4
Jeder Buchstabe im Klartext wurde durch den drittfolgenden Buchstaben im Alphabet ersetzt, wobei auf das ,;Z" konzeptionell wieder das "A" folgt. Aus den .J den des Maerzes" wird so "LGHQGHVPDHUCHV ". Einfache Verfahren wie die oben beschriebene Casar-Chiffre lassen sich durch eine einfache statistische Analyse brechen . Die Buchstaben eines Alphabets werden in den einzelnen Sprachen nicht gleich haufig verwendet, sondern folgen in Texten, die lang genug sind, einer bestimrnten Haufigkeitsverteilung. Diese wird aber durch derartige Verfahren nicht prinzipiell verandert, sodass sich durch einen Vergleich der Buchstabenhaufigkeiten im verschltisselten Text mit der typischen Haufigkeitsverteilung fur die jewei lige Sprache die Zuordnung zu den Originalbuchstaben ermitteln lasst. Der Wissenschaft von der Konstruktion von Verschltisselungssystemen Anstelle von Folgen von Buchstaben, Ziffern und anderen Zeichen traten Folgen von Bits
362
III Gestaltungsebenen von E-Business
Computersystemen zu implementieren und einzusetzen, diese Verfahren einem weitaus grolseren Benutzerkreis.
a)
b)
c)
Abb. 111-2.1 Attacken auf Kommunikationsbeziehungen
Letzteres trifft auf einen erst in letzter Zeit entstandenen Bedarf: Die Loslosung von Information von ihrer Papierform, die durch die EDV moglich wurde, vereinfachte zwar deren Nutzung gewaltig, erhohte aber im selben MaBe auch deren Missbrauchsmoglichkeiten: Informationen wurden •
beliebig kopierbar (damit lasst sich deren Verbreitung aber nicht mehr so einfach kontrollieren) und
2 Sicheres E-Business
•
363
beliebig anderbar und aktualisierbar (aber damit auch mit nur geringem Aufwand verfalschbar) .
Datennetze (insbesondere das anarchisch aufgebaute Internet, in dem kein Netzteilnehmer das gesamte Netz kontrolliert) ermoglichen es anderen Netzteilnehmern in gewissem MaBe, elektronische Kommunikation mitzuhoren (Abb. III-2.1 a), sich falschlicherweise als einer der Kommunikationspartner auszugeben (Abb. III-2.1 b) bzw. sich in einer Kommunikation zwischenzuschalten und diese zu verfalschen (Abb. III-2.1 c). Attacken konnen aber nicht nur auf die Kommunikationswege, sondern auch auf die beteiligten Endsysteme erfolgen; sie konnen durch AuBenstehende, durch eigene Mitarbeiter (die durch eine bessere Vorkenntnis der beteiligten Systeme prinzipiell einen "Startvorteil" haben) oder auch durch beteiligte Kommunikationspartner (die auf die eine oder andere Art .falsch spielen", z. B. indem sie fruher gesetzte rechtsverbindliche Akte abstreiten) durchgeflihrt werden. Urheber von Angriffen konnen Hacker (die - oft nur aus reinem "Spieltrieb" heraus - versuchen, in moglichst viele Computersysteme einzudringen), "Insider" (die sich auf diese Art Vorteile irgendwelcher Art verschaffen, z. B. Wissensvorteile durch Einschau vertraulicher Informationen, finanzielle Vorteile durch entsprechende Manipulationen oder Verkauf der Ergebnisse an auBenstehende Interessenten, ...) bis hin zu Konkurrenzfirmen und Geheimdiensten (die diese Mittel zu gezielter Spionage und Sabotage nutzen) sein; je nachdem, mit welcher Kategorie von Gegnern man es zu tun hat, muss man auch mit einem unterschiedlichen Arsenal von Mitteln, diese Attacken durchzufuhren, rechnen: Wahrend Hacker oft nur einfache, aber immer wieder wirkungsvolle' Tricks einsetzen, muss bei Geheimdiensten mit dem Vorhandensein von einem groBen Pool von Kryptoanalyse-Experten" und entsprechender Rechenkapazitat zum Brechen von nicht ausreichend sicheren kryptografischen Verfahren und Produkten gerechnet werden. Nun werden offentliche Datennetze wie das Internet in zunehmenden MaBe zur Kommunikation mit Geschaftspartnem und Kunden verwendet. Aufgrund der oben beschriebenen Merkmale ergeben sich dabei verschiedene Gefahrenpotenziale, wie im Folgenden an einigen Beispielen (ohne Anspruch auf Vollstandigkeit) gezeigt werden solF: 5
6
7
Da ebenso einfache Mafsnahmen zur Absicherung der Systeme (gute Kennwortwahl, ...) oft aulser Acht gelassen werden; viele dieser Attacken sind auch schon in Form von "Scripts" automatisiert, sodass diese Schwachstellen auch von Personen mit oft nur geringen Systemkenntnissen - den sog. "Script Kiddies" - ausgenlitzt werden konnen. Die Kryptoanalyse ist die Schwesterwissenschaft der Kryptografie, die die Sicherheit von Verschllisselungsverfahren auf den Prufstand stellt. Hierzu werden mogliche .Jntclligente " Attacken auf ein Verfahren (oder eine Gruppe von Verfahren) formuliert, und dabei analysiert, wie aufwandig oder rasch sich damit das Verfahren brechen lasst, Da diese Attacken in der Regel von denselben Personen ausgeheckt werden , die auch ein Konkurrenzverfahren entwickelt haben, sind Kryptographen haufig auch Kryptoanalytiker in einer Person (und umgekehrt) . Vgl. hierzu auch die ausfuhrliche Behandlung dieser Materie in Kapitel 6 sowie Teil 3 von Hendry 1995; anhand zahlreicher Vorfalle aus der Vergangenheit iIIustriert Neu-
364
III Gestaltungsebenen von E-Business
Bereits mehrfaeh wurden Vorfalle bekannt, bei denen Hacker in Web-Server eingedrungen sind und diese verandert haben; wahrend groBe, augenfallige Anderungen sofort auffallen und damit raseh behoben werden konnen , werden subtile Anderungen bei manuellen Kontrollen oft nieht bemerkt; gerade solche Anderungen konnen aber Auswirkungen z. B. auf den Geschaftsgang (wenn z. B. erwartete Kundenauftrage nieht eingehen, weil die Produkte auf der Web-Site zu einem deutlieh uberhohten Preis angepriesen werden) oder auf die Kundenzufriedenheit (wenn Kunden die Produkte nieht zu dem gunstigen Preis bekommen, zu dem sie diese auf der Web-Site angeboten sahen) zeigen. Ein Kemstiiek der Abwieklung von Geschaften tiber elektronisehe Datenwege wird der elektronisehe Zahlungsverkehr sein, etwa in Form der Anweisung, von einer Kreditkarte des Kunden den entspreehenden Geldbetrag abzubuehen . Jemand, dem die Verreehnungsdaten (z. B. die Kreditkartennummer, deren Ablaufdatum, ...) der Zahlungsanweisung - etwa dureh Abhoren der Kommunikation - unbefugt in die Hande fallen, konnte diese Angaben ausnutzen, urn weitere Zahlungsanweisungen zu Lasten des Kunden zu erzeugen. Aber aueh wenn diese Informationen verschlusselt werden, muss Vorsorge dagegen getroffen werden , dass der Zahlungsernpfanger eine vom Kunden abgesetzte gtiltige Zahlungsanweisung nieht mehrfaeh an das Geldinstitut absetzen - und so den betreffenden Betrag mehrfaeh kassieren - kann. Ftir den Fall geriehtlieher Verfahren muss sehlieBlieh einwandfrei naehweisbar sein, dass die Zahlungsanweisung nur von einem bestimmten Kunden stammen kann und dass der betreffende Betrag dem Zahlungsempfanger aueh zugeflossen ist. Mobile AuBendienstmitarbeiter pflegen Kontakte mit potenziellen Kunden, indem sie diesen das eigene Produktangebot prasentieren, in personlichen Beratungsgesprachen auf passende Angebote hinweisen und sehlieBlieh Bestellungen entgegennehmen. War bisher ihre Einbindung in die betriebliehe Informationsinfrastruktur ein entseheidender Sehwaehpunkt, so konnte diese Situation dureh die Verfugbarkeit von portablen Computersystemen sowie der Mobilkommunikation entseheidend verbessert werden. Insbesondere Netze auf Funkbasis ermoglichen es, den Mitarbeiter (beinahe) jederzeit mit aktuellen Informationen (Anderungen in den Artikeldaten, geanderte Kundentermine, ...) zu versorgen; aufgrund ihrer Natur sind Funknetze jedoeh gegen Abhoren ungesiehert. Laptops sind zudem bevorzugte Ziele fur Diebstahl oder sie konnen aueh einmal irgendwo liegengelassen - und von einem unehrliehen Finder nieht mehr zuruckgegeben - werden. Daten tiber den Kundenstoek einer Firma, die auf diese Weise aus der Hand geraten, eroffnen der Konkurrenz die Moglichkeit, im Kundenkreis dieser Firma zu .wildern".
mann 1995, wo tiberall in einem computergesttitzten Informations- und Kommunikati onssystem Risikoquellen - von einfachen Fehlern bis hin zu bewussten Attacken auf ein System - vorhanden sind; verschiedenste Risiken im Internet (allerdings bezogen auf "private" Benutzung dieses Netzes) und wie man sich dagegen schutzen kann sind in Barret 1996 dargestellt.
2 Sicheres E-Business
•
365
Manche "Content Provider" halten eine Vielzahl von laufend aktualisierten Informationen (Nachrichten, Borsenkurse, ... bis hin zu Computerprogrammen) fur Kunden bereit, die diese Leistungen abonniert haben und fur diese auch bezahlen. Gelangen diese Informationen an unbefugte Nutzer (etwa durch Knakken des Zugangs oder durch Abhoren der Kommunikationswege), konnen diese an Interessenten weitergegeben werden, die ansonsten das Service abonniert hatten. Auch den (zahlenden) Kunden konnen dadurch Wettbewerbsvorteile (etwa im Fall der Borsenspekulation) verloren gehen . Bei sog. "Denial of Service"-Attacken werden Aktionen gesetzt, die geeignet sind, das Zielsystem der Attacke dauerhaft auBer Gefecht zu setzen (z. B. durch das wiederholte Senden von Anforderungen, die bekannte Programmfehler ausnutzen, urn das Zielsystem zum Absturz zu bringen, oder durch das "Uberschwemmen" des Zielsystems mit Anforderungen, sodass die ses mit deren Abarbeitung so beschaftigt ist, dass kaum Zeit fur das Bearbeiten von "echten" Benutzeranforderungen bleibt) . Bislang wurden nur Beispiele fur bewu sste Attacken gegen ein System - meistens von dritten Personen - besprochen. Schaden konnen aber auch durch menschliches Versagen (Fehlreaktionen der beteiligten Mitarbeiter) bzw. durch Ausfalle von technischen Einrichtungen entstehen.
Die se Beispiele zeigen, dass die Gefahrenpotenziale in Abhangigkeit vom Einsatzgebiet stark variieren konnen, Urn eine fur den jeweiligen Anwendungsfall geeignete und auch wirtschaftlich sinnvolle Sicherheitsstrategie" zu entwerfen, mlissen daher zunachst die Bedrohungen analysiert werden. (Weiche Informationsarten sind auf firmenintemen Informationsservem verfUgbar? Weiche auf den PCs der Mitarbeiter - insbesondere auf den Laptops der AuBendienstmitarbeiter? Weiche werden tiber offentliche Datennetze ubertragen? Bei weichen Inforrnationsarten konnen fur das Untemehmen oder seine Geschaftspartner nachteilige Folgen auftreten, wenn sie an Unbefugte gelangen? Weiche Folgen kann ein Verfalschen von Informationen nach sich ziehen ? Weiche Konsequenzen hat der Ausfall bzw . die Fehlfunktion bestimmter Dienste? ...) Diese Gefahrenpotenziale mussen bewertet werden. (Wie haufig muss mit dem Eintreten eines entsprechenden Vorfalls gerechnet werden? Mit weichen finanziellen Veriusten ist pro Vorfall zu rechnen? Zu berucksichtigen ist hier auch ein allfalliges Abwandem von Kunden, die durch entsprechende Vorfalle das Vertrauen in das Untemehmen veriieren.) Bei dieser Bewertung (Risikoanalyse) solien auch die momentan realisierten Sicherheitsvorkehrungen berucksichtigt werden, urn bestehende Schwachpunkte in diesen zu finden. Erst nachdem durch eine entsprechende Analyse die Risiken, denen ein System ausge setzt ist, festgestellt und bewertet wurden, soliten mogliche MaBnahmen gegen diese Bedrohungspotenziale untersucht werden. Auch diese mussen bewertet werden (Mit weichen Kosten ist bei der Einfuhrung bzw. der Anwendung dieser MaBnahmen zu rechnen? Inwieweit konnen durch diese MaBnahmen 8
Vgl. Schneier 1996b und Schifreen 1998
366
III Gestaltungsebenen von E·Business
die Eintrittshaufigkeit eines Vorfalls bzw . die Kostenje Vorfall gesenkt werden?), urn letztlich eine sinn volle Kombination von MaBnahmen gegen die konkret vorliegenden Risiken zusammenzustellen. Die gewahlte Sicherheitsstrategie soli auch MaBnahmen enthalten, die geeignet sind, im Faile eines eingetretenen Vorfalls den sicheren Systemzustand moglichst rasch wiederherzustellen. Da einerseits manche Bedrohungen zunachst unerkannt bleiben, andererseits neue technische Moglichkeiten auch neue Bedrohungspotenziale eroffnen konnen, muss dieser Evaluierungsprozess auch fur die neuen Sicherheitsstrukturen fortgefuhrt werden, mit dem Ziel, diese laufend zu verbessem und am Stand der Technik zu halten. Im folgenden Kapitel wird gezeigt, wie, basierend auf einigen wenigen Basistechnologien, viele Sicherheitskernfunktionen realisiert werden konnen : angesichts der (standig wachsenden) Ftille von Verfahren muss sich dieser Beitrag auf einen Oberblick tiber die wichtigsten Moglichkeiten, Informations- und Kommunikationssysteme gegen verschiedene Bedrohungen abzusichern, beschranken; fur die gesamte Bandbreite von Realisierungsmoglichkeiten wird auf die einschlagige Fachliteratur? verwiesen. Die Reihenfolge, in der die Kemfunktionen besprochen werden, folgt dabei dem Gesichtspunkt, dass zuerst die Hauptanwendung fur eine bestimmte Basistechnologie eingefUhrt wird. Ist dann deren Wirkungsweise hinreichend bekannt, werden weitere Anwendungsfelder besprochen . Kapitel 2.3 fuhrt zuletzt anhand eines konkreten Beispiels (der elektronischen Abwicklung des Zahlungsverkehrs) einige der dargestellten Kernfunktionen und Basistechnologien zu einem funktionsfahigen Ganzen zusammen. Zuletzt sei noch darauf hingewiesen, dass aile technischen Vorkehrungen durch geeignete MaBnahmen im organisatorischen und personellen Bereich erganzt und vervollstandigt werden mussen , wie z. B.: Besonders sensible Informations- und Kommunikationssysteme sind z. B. (gemaf dem Sprichwort .Aus dem Auge, aus dem Sinn") besser geschutzt, wenn es gelingt, deren Existenz gegentiber unbefugten AuBenstehenden zu verbergen . Durch ein gutes Betriebsklima kann die Loyalitat der eigenen Mitarbeiter betrachtlich erhoht werden, sodass diese weniger in Versuchung geraten, sich durch unbefugte Handlungen personliche Vorteile zu verschaffen. Durch geeignete SchulungsmaBnahmen und das gute Beispiel der Vorgesetzten muss Verstandnis fUr die Sinnhaftigkeit der eingeftihrten SicherheitsmaBnahmen geweckt werden. Die Motivation der legitimen Benutzer, auf Anzeichen unbefugter Systemnutzung zu achten, kann entscheidend zu deren frtihen Aufdeckung beitragen. Aile SicherheitsmaBnahmen sind so zu gestalten, dass sie den (befugten) Beteiligten bei der ErfUllung ihrer Aufgaben keine unzumutbaren Hindernisse in
9
Z. B. KaufmanlPerlman/Speciner 1995, Purser 1993, Hendry 1995 und Hagemann/ Rieke 1995; Schneier 1996a enthalt eine umfangreiche Sammlung kryptografi scher Verfahren mit einer Kurzdarstellung moglicher Attacken .
2 Sicheres E-Business
367
den Weg legen , da sonst groBe Anreize fur die Umgehung eben dieser SicherheitsmaBnahmen geschaffen werden .
2.2 Kernfunktionen und Basistechnologien fUr eine elektronische Sicherheitsarchitektur 2.2.1 Abhorslchers InformationsLibertragung (VerschlUsselung) 2.2.1.1 Das Prinzip Manchmal kann bereits betrachtlicher Schaden entstehen, wenn gewisse Informationen in unbefugte Hande geraten. Mtissen diese Informationen tiber einen Uber tragungsweg tibermittelt werden , der nicht abhorsicher ist, bleibt nur eine Moglichkeit, diese Informationen zu schtitzen: Ftir die Ubertragung muss die Information so umgewandelt werden, dass sie fur einen unbefugten Empfanger nur ein sinn loses .Kauderwelsch" von Informationseinheiten (Zeichen oder Bits) ergibt. Nur die befugten Empfanger dtirfen in der Lage sein, aus diesem .Kauderwelsch" die Originalinformationen wiederzugewinnen. Das Grundprinzip hierzu ist einfach: Sender und Empfanger einer Nachricht einigen sich auf ein Verfahren (im Folgenden als "CRYPT" bezeichnet), das aus der Originalnachricht (in der Sprache der Kryptografie der .Klartext" k) das unverstandliche Kauderwelsch (den "Chiffretext" c) produziert (oder mathematisch formuliert: c=CRYPT(k)). Nur die befugten Empfanger sind im Besitz des Um kehrverfahrens ("DECRYPT"), das aus dem Chiffretext wieder den Klartext erzeugt (k=DECRYPT(c), wobei gelten muss : k=DECRYPT(CRYPT(k)). Das oben beschriebene Prinzip hat allerdings einen entscheidenden Nachteil: Da das Geheimnis, wie aus dem Chiffretext wieder der Klartext wird, nur im Verfahren selbst "begraben" liegt , mtisste fur jede Gruppe von Kommunikationspartnem , die untereinander vertraulich kommunizieren wollen, ein eigenes Verschltisselungsverfahren CRYPT mitsamt zugehorigem Entschltisselungsverfahren DECRYPT entworfen werden. Urn diesem Problem zu entgehen, wird das Verfahren CRYPT so verandert, dass es tiber Zusatzinformation (den .Verschlusselungsschlussel" sc) in seinem Ergebnis signifikant beeinflusst wird (also: c= CRYPT(sc,k); siehe auch Abb . III-2 .2)'o. Klarerweise muss auch DECRYPT so 10
Beispielsweise kann die Grundidee der oben beschriebenen Casar-Chiffre auf einfache Weise urn einen Schliissel (zur sog. .Vigenere-Chiffre") erweitert werden. Dieser wird durch eine Folge von Buchstaben reprasentiert , jeder Buchstabe im Schliissel bestimrnt, urn wieviele Buchstaben im Alphabet der korrespondierende Buchstabe im Klartext .weitergezahlt" wird: bei "A" wird der nachfolgende Buchstabe im Alphabet genommen, bei "B" der ubernachste, ... 1st der Schliissel kiirzer als der Klartext, so werden einfach die Buchstaben des Schli.issels wiederholt. Neben dem Ersetzen von Buchstaben bzw. ganzer Buchstabengruppen (gemaf Schliissel oder einer aus Klartext und Schliissel
368
III Gestaltungsebenen von E-Business
verandert werden, dass es nur mit dem passenden "Gegensttick" von Sc (dem .Entschlusselungsschlussel" Sd) wieder den zugehorigen Klartext liefert (k= DECRYPT(Sd,c); vgl. Abb. III-2.3).
Abb. 111-2.2 Verschliisselung von Daten
Abb, 111-2.3 Entschliisselung von Daten
Sind CRYPT und DECRYPT so gebaut, dass Ver- und Entschlusselungsschlussel identisch sind (also sc=sd, in diesem Fall einfach als "Schliissel" s bezeichnet), so wird das Verfahren als symmetrisches Verschliisselungsveifahren (bzw. secret key cryptosystem) bezeichnet" . Gangigstes Beispiel fur ein symmetrisches Verschliisselungsverfahren ist der sog. ".Qata ,Encryption S-tandard" (DES), entstanden aufgrund eines Vorschlages der Firma IBM, der aus einer Vielzahl von Vorschlagen von der ,National S-ecurity Agency (NSA) der Vereinigten Staaten ausgewahlt wurde. DES verschltisselt die Daten in Blacken von 64 Bit, wobei ein Schlussel von 56 Bit 12 verwendet wird". DES ist vor allem fur effiziente Hardwareimplementierungen konzipiert worden.
11
12
berechneten Funktion) wird in klassischen Verschlusselungsverfahren auch das Vertauschen von Buchstaben eingesetzt. Anm.: aile .Jdassischen" Verschliisselungsverfahren gehoren in diese Kategorie. Formell ist ein DES-Schliissel 64 Bit lang, wobei 8 Bit aber nur als Priifbits dienen. Anm .: Aufgrund jiingster Erfolge beim .Knacken" von DES (vgl. IEEE Internet Computing 1998) kann das "einfache" DES (wie auch andere Verfahren mit 56-Bit-Schliis-
2 Sic heres E-Business
369
Eine Altern ative zu symmetrischen Verschliisselungsverfahren bilden die sog . asymm etrischen Yerschlusselungsverfahren (auch als public key cryptosystems bezeichnet), bei denen die Gleichheit von Ver- und Entschliisselungsschliissel sogar unerwiinscht ist. Die Idee dahinter ist, dass jeder Teilnehmer fur sich ein Schliisselpaar Sc und sd erzeugt (oder erzeugen lasst); der Verschliisselungsschliissel Sc wird in einem allgemein zuganglichen Verzeichnisdienst (z. B. X.SOO) zusammen mit anderen Teilnehmerangaben publiziert (er wird auch als offentlicher Schliissel bezeichnet), wahrend der zugehorige Entschliisselungsschliissel Sd (der geheime Schliissel) nur dem betreffenden Teilnehmer bekannt ist. In diesen Verfahren verpackte mathematische Problemstellungen sorgen dafur, dass das Berechnen des geheimen Schliissels aus dem offentlichen zwar nicht unrnoglich, dennoch aber so rechenaufwendig ist, dass das Ergebnis - auch unter Einbezug der in .maher" Zukunft wahrscheinlich verfUgbaren Computertechnologie - erst nach einer Zeitspanne zur Verfugung steht, die lange genug isr, urn entsprechende Berechnungen fur potenzielle Lauscher uninteressant zu machen. Bekanntestes Beispiel fur ein Verfahren dieser Art ist RSAl4, das nach den Anfangsbuchstaben der Familiennamen seiner Urheber (Ronald Rivest, Adi .s.hamir
13
14
seln) nicht mehr als sicher gelten. Abhilfe schafft das sog. "Triple-DES-Verfahren" : Ein Triple-DES-Schllissel besteht aus dre i verschiedenen DES-Schllisseln (S\, S2, S3) ; ein (64-Bit-) Klartextblock k wird verschlusselt, indem er zunachst mit dem ersten DESSchlu ssel (gemaf dem DES-Verfahren) verschllisselt, dann mit dem zweiten DESSchllissel entschllisselt und schlieBlich mit dem dritten DES-Schllissel wieder verschlusselt wird (also: CRYPT( S3,DECRYPT(S2,CRYPT(s\ ,k»» . Eine in den USA durchgeflihrte Ausschreibung zur Ermittlung eine s geeignteten Nachfolgeverfahrens (und -standards) zu DES (gen annt AES - "Advanced Encryption Standard"), das Datenblocke von 128 Bit mit Schllisseln von 128, 192 bzw. 256 Bit verschllisseln konnen soli, ist mittlerweile abgeschlossen (vgl. NIST 2001) . Die Wahl fiel auf das von den belgischen Kryptographen Dr. Joan Daemen und Dr. Vincent Rijmen eingereichte Rijndael-Verfahren; insbesondere wurde (neben der auch fur die anderen Finalisten geltenden Feststellung, dass gegen Rijndael in allen Review-Runden keine erfolgreichen Attacken gefunden werden konnten) der vergleichsweise ger inge Rechenzeit- und Speicherbedarf des Verfahren s hcrvorgehoben, was Rijndael auch fur den Einsatz in der mobilen Datenkommunikation geeignet macht. Yom Verfahren her arbeitet DES nur mit den oben beschriebenen, allerdings von Buchstaben auf Bit .abgemagerten'' Mitteln der .Jd assischen" Kryptografie: Ein 64 Bit groBer Klartext-Block wird in zwei Halften aufgeteilt; die untere Halfte wird (nach einem hier nicht naher beschriebenen Verfahren, vgl. U. a. Schneier 1996a, S. 315 ff.) mit 48 Bit des Schllissels zu einem anderen 32 Bit-Block kombiniert, der nach dem XORVerfahren mit der oberen Halfte des Klartexts verknUpft wird; das Ergebnis wird zur neuen niedrigeren Halfte , die unveranderte niedrigere Halfte wird zur neuen oberen Halfte, sodass in der zweiten "Runde " des Verfahrens auch diese verandert wird. DES verwendet insgesamt 16 Runden des Verfahrens (mit unterschiedlichen 48-BitAusschnitten des Schlussel s). Da nach jeder Runde die alte untere Halfte als neue obere Halfte unverandert vorliegt, kann die EntschlUsselungsoperation durch nur geringe Modifikation der Verschlusselungsoperation implementiert werden. In RSA bestehen sowohl der offentliche Schllissel als auch der geheim e Schlussel aus einem Paar von Zahlen : sc=(ec,N) und Sd=(ed,N). Das Ver- und das Entschlusselungs-
370
III Gestaltungsebenen von E-Business
und Leonard Adlcman) benannt wurdc . RSA erlaubt den Einsatz beliebig groBer Schllissel (wornit sich die Sicherheit des Verfahrens tiber die Schlussellange skalieren lasst; damit ist auch sichergestellt, dass immer noch sichere Schltissel existieren, auch wenn das Verfahren fur Schllissel bis zu eincr bestimmten Lange bereits als unsicher gilt) ; die Grobe des Datenblocks, der mit einem Durchgang durch das Verfahren verschllisselt wird, hangt yom gewahlten Schllissel aboRSA wurde besonders zur Implementierung in Software konzipiert; RSA ist (wie auch andere asymmetrische Verschltisselungsverfahren) deutlich aufwendiger als vergleichbare symmetrische Verschllisselungsverfahrcn (insbesondere, wenn diese in Hardware implementiert sind). Urnso schwerer wirkt der Nachteil, dass bei asymmetrischen Verschlusselungsverfahren jeder Text, der an mehrere Empfanger verschickt werden soli , fur jeden dieser Empfanger einmal (namlich mit des sen offentlichen Schltissel) verschllisselt werden muss . Dieses Problem lasst sich jedoch durch Kombination beider Verfahren (in sog . .hybriden Verschliisselungsverfahren") losen: Der Absender erzeugt zu diesem Zweck einen zufalligen Schlussel, der zur Verschllisselung des Textes mit einem symmetrischen Verschltisselungsverfahren verwendet wird; nur dieser Schltissel (der in der Regel wesentlich ktirzer als der Original text ist) wird nun fur jeden Empfanger mit dessen offentlichen Schllissel verschllisselt.
2.2.1.2 Bedingungen fiir die Sicherheit elektronischer Verschliisselungsverfahren Es stellt sich die Frage, wie sicher die dargestellten Verfahren in der Praxis wirklich sind. 1m Jahr 1995 sind kurz hintereinander zwei Vorfalle bekannt geworden, die geeignet sind, notwendige Bedingungen fur den sicheren Einsatz von "starken" Verschltisselungsverfahren aufzuzeigen. Beide betrafen den NetScape Navigator : Zunachst gelang es dem franzosischen Studenten Damien Doligez mit Hilfe verfahren sind identisch: CRYPT«ec,N),k)=k~ MOD N und DECRYPT«ed ,N),c)= ced MOD N, wobei x MOD y den Rest, der bei einer ganzzahligen Division von x durch y entsteht, bezeichnet (damit die EntschlUsselung wieder den Ausg angstext liefert, muss der Klartext bzw. der Chiffretext dazu in Blocke unterteilt werden, die - als (Binar-) Zahl interpretiert - kleiner als N sind). Der Schlusselbestandteil N (der fur beide Schlussel identisch ist) wird als Produkt zweier Primzahlen p und q gebildet (Nep-q); fur ec wird ublicherweise eine weitere Primzahl gewahlt: es kann gezeigt werden, dass (kec MOD N)ed MOD N=k ec 'ed MOD N=k , wenn ({j so gewahlt wird, dass ec'ed MOD (p-l)'(q-I)=I ist (der betreffende Wert fur ea kann aufgrund ec und (p- I)'(q-I) auf effizientc Weise ermittelt werden , wenn ec teilerfremd zu (p-I)·(q-l) ist). Die mathematische .Fallture'', die verhindern soli, dass aus dem offentlichen Schliissel (also aus ec und N) der geheime Schliissel (in diesem Fall der SchlUsselbestandteil ed) berechnet wird , ist das Zerlegen einer Zahl in ihre Primfaktoren: Urn ed aus ec berechnen zu konnen, wird (p-I)·(q-l) benotigt; diese Zahl erhalt man aber nur, wenn die Primfaktoren p und q von N bekannt sind. Es gilt zu bedenken , dass die zur Zeit gangigen Implementicrungen Werte von N mit bis zu 2048 Bit (also ca . 600 Dezimalstellen) verwenden.
2 Sic heres E-Business
371
von 120 Workstations und zwei Supercomputern binnen acht Tagen, eine verschltisselte Sitzung zu entschli.isseln, die mit der internationalen Version dieses Browsers (die 40-Bit-Schli.issel verwendet) geflihrt worden ist". Kurze Zeit sparer entdeckten die beiden Studenten Jan Goldberg und David Wagner einen Schwachpunkt im NetScape Navigator, der es errnoglicht, binnen kurzer Zeit (ca. 25 Sekunden auf einer sonst ungentitzten Workstation) den fur eine beliebige Sitzung verwendeten Schltissel zu bestimmen; dieser Schwachpunkt sei auch in der als wesentlich sicherer geltenden US-Version vorhanden, die 128-Bit-Schltissel verwendet", Da beide Attacken geeignet sind, Licht auf einige praktische Bedingungen fur die Sicherheit von Verschltisselungsverfahren zu werfen, sollen sie im Folgenden etwas genauer beleuchtet werden : Die Attacke von Doligez gehort in die Kategorie der "brute force"-Attacken: zur Verfligung stehende Rechenleistung wird dazu verschwendet, einfach aile moglichen Varianten durchzuprobieren , solange, bis die passende Losung gefunden ist. Dass diese Attacke in derart kurzer Zeit gelungen ist, zeigt eindeutig, dass Schltissel mit einer Lange von 40 Bit als nicht mehr sicher betrachtet werden konnen". Die USA erlauben zwar mittlerweile den Export von Verschli.isselungsverfahren mit 56 Bit Schlussellange ohne groBere Formalitaten in viele Staaten der Welt, doch eine erfolgreiche Attacke auf DESI8 zeigt, dass auch diese Verfahren mittlerweile als unsicher gelten mtissen. Weit interessantere Einblicke bietet die Attacke von Goldberg und Wagner: Die beiden Studenten fanden heraus, dass der Schltissel zur Verschltisselung des Datenaustauschs zwischen WWW-Server und NetScape-Client mit Hilfe eines Pseudozufallszahlengenerators'? generiert wird, der mit einem Start15
16 17
18
19
Tabibian 1995 Prosise 1996 Dass die Schlussellange groBe Bedeutung fur die Sicherheit eines Verfahrens besitzt, zeigt sich auch daran, dass jedes zusatzliche Bit im Schliissel die zu priifenden Moglichkeiten - und damit den Aufwand, den Schliissel zu knacken - verdoppe1t. Bei einer Schltlssellange von 48 Bit hatte die Attacke von Doligez (dieselbe Hardwareausstattung vorausge setzt) nicht 8, sondern schon ca. 1000 Tage (oder 2 Jahre und 9 Monate) benotigt, bei 56 Bit bereits ca. 360 Jahre , ...; vgl. hierzu auch Wendt 1994. Einem Team der Electronic Frontier Foundation gelang es, mit einem Spez ialcomputer ("DES Cracker" genannt) einen DES-Schliissel in nur 56 Stunden zu knacken . DES Cracker besteht nur aus frei verfiigbaren Standard-Komponenten; seine Entwicklung dauerte weniger als ein Jahr, die Kosten fur den Bau dieses Computers lagen unter US $250.000,-- (vgl. IEEE Internet Computing 1998). Von Computersystemen wird erwartet, dass sie vorhersehbare Ergebnisse (d.h. bei identischen Eingabedaten immer diesel ben Ausgabedaten) liefern, was sic auch leisten, sofern kein Fehler in ihrer Hardware und/oder Software vorliegt. Das vertragt sich aber schlecht mit den Anforderungen an Zufallszahlen, die nicht vorhersagbar sein sollen. Man behilft sich mit Verfahren (als "Pseudozufallszahlengeneratoren" oder einfach auch als .Zufullszuhlengeneratoren" bezeichnet), die Zahlenfolgen erzeugen, die statistisch bestimmte Eigenschaften von Zufallszahlen haben (insbesonders, dass die generierten Zahlen gleichverteilt sind und dass die Zahlenverteilung auch statistisch unabhangig von
372
III Gestaltungsebenen von E-Business
wert initialisiert wird, der auf groBteils auch durch fremde Systeme abfragbare Werte basiert (z. B. der momentanen Uhrzeit der rechnerintemen Systemuhr). Da der erzeugte Schli.issel nur vom Startwert des Pseudozufallszahlengenerators abhangt, kann dieser Schltissel durch einfaches Durchprobieren von wenigen noch unbekannten Parametem zur Erzeugung dieses Startwerts rasch ermittelt werden. Der Vorfall deckte einige schwerwiegende Versaumnisse seitens NetScape auf: Offenbar beschaftigte NetScape damals keine Kryptoanalyseexperten, die mit geschultem Blick derartige Sicherheitsli.icken erkcnnen konnen. NctScape vertraute femer darauf, dass das Geheimhalten der relevanten Codcteile das Brcchen der Sicherheit durch potenziellc Hacker crschwcrcn wtirdc und ignorierte auch Angebote auBenstehender Kryptoanalyseexperten, die relevanten Codeteile durchzusehen. Es zeigt sich an diesem Beispiel sehr deutlich, dass Geheimhalten kryptografischer Verfahren nichts zu deren Sicherheit beitragt; im Gegenteil: als am sichersten gelten in der Kryptoanalyse jene Verfahren, die, obwohl (oder gerade weil?) sie publiziert wurden, bislang (zumindest aber tiber eine ausreichend lange Zeitspanne) nicht "geknackt" wurden . Die vermeintliche Sicherheit durch Geheimhaltung der Verfahren ist jedenfalls eine trtigcrische: Sie hindert tibelwollende Zeitgenossen mit Sicherheit nicht daran , allfallige Schwachpunkte der Verfahren auszukundschaften - Schwachpunkte, gegentiber denen die Autoren der Verfahren selbst oft genug blind sind. NetScape jedenfalls hat aus dem Vorfall gelemt: Es hat die tiberarbeiteten Verfahren zur Schltisselerzeugung publiziert und damit einer allgemeinen Analyse zuganglich gemacht. Als Anwender kryptografischer Verfahren sollte man aber diversen Produkten und "Utilities", die noch nicht lange auf dem Markt sind, dercn Urheberschaft durch .Profis" nicht auBer Zweifel steht oder bei denen Teile des fur die Verschltisselung relevanten Codes geheimgehalten werden , mit einem gesunden Misstrauen begegnen .
der davor gene rierten Zufallszahl ist). Die Zahlenfolge, die so ein Pseudozufallszahlengener ator erzeugt, hangt nur vom .Startwert'' ("seed value") ab, mit dem das Verfahren initialisiert wird. Urn zu erreichen, dass die erzeugten Zahlenfolgen von Programmlauf zu Programmlauf unterschiedlich sind, werden nicht selten zur Bildung dieses Startwertes Zahlenwerte herangezogen, die vom Programm selbst nicht beeinflussbar sind, beispielsweise Datum und Uhrzeit der Programmausfiihrung (gemaf der rechnerinternen Uhr). Nur wenige Betriebssysteme kennen Verfahren zur Erzeugung .echter" Zufallszahlen ; dabei werden fortlaufend Grofien in das Erzeugungsverfahren einbezogen, die vom betreffenden Computersystem nicht beeinflussbar sind (z. B. die genauen Uhrzeiten der Zeitpunkte, wann der Benutzer eine Taste auf der Tastatur betatigt oder wann vom Netzwerk das nachste Datenpaket empfangen wird) .
2 Sicheres E-Business
373
2.2.1.3 Schliisselmanagement
Liegt die Sicherheit kryptografischer Verfahren nicht in der Geheimhaltung der Verfahren selbst , so liegt sie sehr wesentlich in der Geheimhaltung der Schli.issel. Diese stellt aber einige Anforderungen an die Verwaltung der Schltissel (das .Schliisselmanagement"), insbesondere aber an deren Verteilung:
•
Symmetrische Verschli.isselungsverfahren funktionieren nur, wenn aile Kommunikationspartner an einer "Sitzung" denselben Schli.issel besitzen. Dies bedeutet, dass jedesmal, wenn der Schltissel gewechselt wird (was periodisch geschehen sollte), der neue Schltissel allen Teilnehmern - oft auch tiber groBe geografische Distanzen - mitgeteilt werden muss . Ebenso muss neuen Teil nehmern der gerade verwendete Schltissel tibermittelt werden . Und das alles muss geschehen, ohne dass der Schltissel (etwa durch Abhoren des Datennetzes) in falsche Hande gerat . Das Problem wird haufig umgangen, indem in einer Sitzung mehrere Schli.issel verwendet werden: In einem ersten Schritt wird ein den Teilnehmern von vomherein bekannter Schli.issel verwendet, urn jenen Schli.issel zu vereinbaren, der dann zum Datenaustausch verwendet wird . Als letzter Ausweg, wenn eine Mitteilung des Schli.issels tiber das Datennetz - etwa aus Sicherheitsgrtinden - nicht in Betracht kommt , bleibt nur die Ubermittlung dieser Information tiber einen als ausreichend sicher geltenden konventionellen Weg (z. B. durch einen vertrauenswtirdigen Boten) . Das Problem der Verteilung eines geheimzuhaltenden Schltissels an mehrere Kommunikationsteilnehmer wird bei asymmetrischen Verschltisselungsverfahren vermieden. Dennoch sind auch diese nicht vollig frei von Problemen: es muss verhindert werden, dass ein "Spion" einen offentlichen Schltissel unter fal scher Identitat publiziert, und so z. B. zu Informationen gelangt, die nur dem gelten , dessen Identitat er vortauscht. Der gangige Ansatz hierfur ist der Einsatz von " Zertifizierungszentren": durch geeignete MaBnahmen (auch konventioneller Art, z. B. durch Kontrolle eines amtlichen Lichtbildausweises) stell en diese die Identitat eines Teilnehmers zweifelsfrei fest und bestatigen dann durch ihre eIektronische Unterschrift (s. Kap. 2.2.2), dass der publizierte offentliche Schltissel auch wirklich zum betreffenden Teilnehmer gehort; das .Zertifikat" des Zertifi zierungszentrums wird gemeinsam mit dem offentlichen Schltissel des Teilnehmers veroffentlicht; damit jeder Teilnehmer am Netz die elektronische Unterschrift der Zertifizierungsstelle im Zertifikat nachprufen kann, muss entweder der offenrliche Schltissel des Zertifizierungszentrums allgemein bekannt oder aber durch ein anderes .v ertrauenswurdigcs" Zertifizierungszentrum bestatigt sein.
374
III Gestaltungsebenen von E·Business
2.2.1.4 Politische Aspekte der Datenverschliisselung
Einschrankungen der Moglichkeiten, Verschllisselungsverfahren ei nzusetzen, konnten aber aufgrund von Sicherheitstiberlegungen anderer Art eintreten : MaBgebliche Krafte in nationalen und tibernationalen Gesetzgebungskorperschaften beftirchten, dass kriminelle Elemente sichere kryptografische Verfahren dazu nutzen konnten, sich der Strafverfolgung zu entziehen, indem sie belastende elektronische Dokumente (z. B. Plane fur terroristische Anschlage, pornografisches Material ,...) einfach verschllisseln; auch werden Bedenken geaullert, dass starke Verschilisselungsverfahren die nationale Sicherheit unterminieren konnen , indem diese von feindlichen Staaten als .Waffe" gebraucht werden, gegen die man letztlich nichts in der Hand habe. Vorstobe , dies zu verhindern, reichen von der Einfuhrung des Zwangs, geheime Schltissel bei einem "Notar" zu hinterlegen (der sie dann auf richterliche Anordnung den staatlichen Autoritaten zur Verfugung stellen muss, "key escrow ") und Exportrestriktionen fur kryptografische Produkte bis hin zum volligen Verbot kryptografischer Verfahren fur nichtstaatliche Stellen. Gegner dieser Bestimmungen befurchten, dass ein ubermachtiger Staat sich auf diese Weise Zugang zu vielen privaten lnformationen vor allem seiner "braven" Staatsbtirger beschaffen wtirde; da von kriminellen Elementen kaum erwartet werden kann , dass sie sich an Gesetze halten , waren entsprechende Vorschriften fur die Bekampfung insbesondere schwerer Verbrechen (z. B. Terrorismus) nutzIos ; letztlich wird argumentiert, dass die Verftigbarkeit von Programmen wie PGP (,£retty Qood E.rivacy"), die starke Verschitisselungsverfahren implementieren , zusammen mit den Moglichkeiten der elektronischen Datenkommunikation es auch Dis sidenten unter totalitaren Regimes ermoglicht hatte , lnformationen auBer Landes zu schaffen, fur die sie sonst aufgrund einschlagiger knebelnder Strafbestimmungen ("Propaganda gegen die Staatsgewalt", ...) bestraft worden waren . In der Vergangenheit haben die USA ihre Bestimmungen fur den Export kryptografischer Produkte jedenfalls deutlich gelockert. Stark vereinfacht wurde nunmehr u. a. der Export von Produkten mit VerschItisselungsverfahren bis 56 Bit Schlussellange bzw. mit unbegren zter Lange, sofern diese Produkte das Wiederherstellen des Klartexts eines Dokuments bzw. einer Kommunikation auch ohne Mithilfe des Schllissel-Inhabers erlauben ("key recovery'w), in beinahe aIle Staa20
Anm .: Nicht nur Strafverfolgungsbehorden sollten Interesse an key recov ery haben , auch Firmen , da nur durch key recovery-Techniken gewahrleistet ist, dass wichtige 00kumente und Kommunikationen auch dann zuganglich bleiben , wenn der Mitarbeiter, mit dessen "privaten" Schliissel sie verschlusselt sind, der Firma nicht mehr zur Verfugung steht und seinen Schliissel (bzw. das Kennwort, das diesen Schlussel schutzt) nicht hinterlegt hat. Nicht aile key recovery-Verfahren sind so drastisch wie key escrow (dem Hinterlegen des eigenen privaten Schliissel bei einem Notar); werden z. B. hybride Verschlusselungsverfahren (vgl. Kap . 2.2.1.1) angewendet, wird der zufallige Schliissel, mit dem das Ookument bzw. die Kommunikation verschltisselt wird, zusatzlich mit dem offentli-
2 Sicheres E-Business
375
ten der Erde". Inwieweit die Ereignisse des 11. September 2001 nun den Befurwortem von Einschrankungen fur kryptografische Verfahren wieder Auftrieb geben, bleibt aber abzuwarten.
2.2.2 Nachweisbarkeit des Absendens bzw. Empfangens eines bestimmten Dokuments (elektronische Unterschriften) Ftir den Fall von Rechtsstreitigkeiten muss auch bei elektronischer Kommunikation die Urheberschaft an einem Dokument bzw. der Empfang desselben zweifelsfrei nachweisbar sein. Dies wird erreicht, indem dem Empfanger bzw. Absender des Dokuments eine Kontrollnachricht in die Hand gegeben wird, die einerseits die Identitat des Kommunikationspartners nachweist, andererseits aber auch den Bezug zum Originaldokument nachprufbar macht. Der Nachweis der Identitat erfolgt durch Einsatz eines asymmetrischen Verschltisselungsverfahrens; dieses muss allerdings so beschaffen sein, dass jeder beliebige Text als Ergebnis einer Verschltisselungsoperation herauskommen kann und damit entschltisselbar ist (dies ist z. B. bei RSA der Fall). Die Kontrollnachricht (n) wird erzeugt, indem der Absender der Kontrollnachricht einen vorher bekannten Text (t) mit seinem geheimen Schltissel entschltisselt (n=DECRYPT(Sd,t)). Da die Verschltisselungsfunktion umkehrbar ist, muss dies auch fur die Entschltisselungsfunktion gelten : Wenn der Empfanger der Kontrollnachricht den originalen Text durch Verschltisseln mit dem offentlichen Schltissel des Absenders wiedergewinnen kann (wenn also gilt: t=CRYPT(sc ,n)), muss die Nachricht yom betreffenden Absender stammen, da nur er die Kontrollnachricht mit Hilfe seines geheimen Schltissels erzeugen konnte; die Kontrollnachricht kann somit als "elektronische Unterschrift" ("electronic signature") dienen . Der Bezug zum Klartext wird durch geeignete Wahl des zu "entschltisselnden" Textes hergestellt: im einfachsten Fall ist dieser mit dem Klartext identisch (t=k). Da der Klartext tiblicherweise jedoch sehr lang ist, wird in der Regel nur ein "elektronischer Fingerabdruck" des Textes .signiert": dies wird mit Hilfe einer sog. ,,(kryptografischen) Einwegfunktion" (HASH) erzeugt (also: t=HASH(k)), die sicherstellen muss, dass aus dem Fingerabdruck (und ev. dem richtigen Nachrichtentext) nicht auf einfache Weise (weitere) passende .Nachrichtenversionen" erzeugt werden konnen, da sonst der Empfanger eine fur ihn gtinstigere Nachrichtenversion anstelle des originalen Klartextes einsetzen konnte .
21
chen Schliissel eines ,,Key Recovery ~ervice £roviders" (KRSP) verschliisselt und das Ergebnis dem Dokument bzw. der Kommunikation beigefiigt; dies bedingt, dass bei Zugriff auf ein Dokument bzw. eine Kommunikation die anderen Dokumente bzw. Kommunikationen, die mit dem betreffenden privaten Schliissel gefiihrt wurden - im Gegensatz zu key escrow - dennoch nicht offengelegt werden. Das Verfahren kann noch sicherer gemacht werden, indem der Zufallsschliissel so in mehrere Teile .zerlegt" wird, dass ohne Kenntnis aller Teile der Zufallsschliissel nicht rekonstruierbar ist; jeder dieser Teile wird dann mit dem offentlichen Schliissel eines anderen KRSP verschliisselt. Anm.: Der aktuelle Stand der Bestimmungen ist unter BXA 2001 abrufbar.
376
III Gestaltungsebenen von E-Business
k
Abb. 111-2.4 Erzeugen elektronischer Unterschriften
k
Abb. 111-2.S Uberprufen elektronischer Unterschriften
ja: Dokument authentisch
2 Sic heres E-Business
377
Gilt es, die Authentizitat einer Naehrieht nachzuweisen, erzeugt der Absender zugleieh seine elektronisehe Unt ersehrift unter das Dokument (n=DECRYPT (sd,HASH(k))) und sendet diese mit dem Dokument mit (vgl. Abb . III-3.4). Der Empfanger pruft die Unterschrift, indem er die elektronisehe Unterschrift wieder aus dem empfangenen Dokument herauslost, sie mit dem offentlichen Schli.issel des Absenders entschltisselt und mit dem Fingerabdruck der Naehricht (ohne elektronische Unterschrift) vergleieht (also : HASH(k)=CRYPT(sc,n); vgl. Abb . III-3.5). Fordert der Absender einer Naehrieht eine .Empfangsbestiitigung" an, so vollzieht sieh dieser Vorgang mit umgekehrten Vorzeichen. Es wird so die Funktion eines .Einschreibbriefcs" realisiert, der sieh von konventionellen Einsehreibbriefen aber dadurch unterseheidet, dass nieht nur die Person des Empfangers, sondern aueh der lnhalt der Naehrieht naehweisbar ist. Das Erzeugen einer Empfangsbestatigung kann beim Ablegen der Naehrieht im Postfaeh des Empfangers (Nachweis der Zustellung) oder beim Offnen durch den Empfanger (was zumindest nachweist, dass der Ernpfanger die Existenz der Naehrieht zur Kenntnis genommen hat) erfolgen. Es bleibt die Gefahr, dass der Empfanger eine gultig untersehriebene Nachricht mehrfach reproduziert und so z. B. der Empfanger einer elektronisehen Zahlungsanweisung diese mehrfach zu seinen Gunsten ausfuhren lasst . Dies kann unterbunden werden, indem jede Naehrieht mit einer eindeutigen Kennung versehen wird, die Bestandteil der Naehrieht ist (und somit in der elektronisehen Unterschrift mitbertieksiehtigt wird); eine Naeh rieht wird nur dann akzeptiert, wenn sie eine Na chrichtenkennung besitzt, die bisher noeh nicht verwendet wurde. Die Naehrichtenkennung kann basieren etwa auf einer fortlaufenden Zahlenfolge, dem Zeitpunkt, zu dem die Nachrieht abgesendet wurde, oder einer (Pseudo-) Zufallszahl. Sie kann vom Absender, vom Empfanger oder einer anderen Stelle im Netz (etwa dem Kreditinstitut, das die Zahlungsanweisung durchfuhrt") vorgegeben sein.
2.2.3 Identifikation und Authentifikation des Kommunikationspartners
2.2.3.1 Authentifikation zwischen Computersystemen Es liegt nahe, einen Kommunikationspartner, der mit einem Computersystem in Dialog tritt, aueh mit seiner elektronisehen Untersehrift (s. Kap. 2.2.2) zu authentifizieren. Einer der beiden Kommunikationspartner muss dabei den zu .unterschreibenden" Text vorgeben: Damit nieht ein "Spion" mit einer einmal abgehorten Kombination von Text und Untersehrift sich immer wieder Zutritt versehaffen kann, wird dieser Text immer vom Kommunikationspartner, der die Identitat des
22
Vgl. die Rolle der TAN CIrans.!!ktionsnummer) im Home-Banking
378
III Gestaltungsebenen von E-Business
anderen iiberpriift, vorgegeben " . Urn sicherzustellen, dass sich kein "Spion" in den Dialog der bereits identifizierten Partner "einklinken" und dabei die Rolle eines der beiden Partner einn ehmen kann , sollte im Zuge des Uberprufungsvorgangs ein (symmetrischer) Schliissel vereinbart werden, mit dem dann der weit ere Dialog verschliisselt wird (Abb . III-3 .6 zeigt einen solchen Vorgang zur wechselseitigen Identifikation, bei dem auch ein Schliissel fur die anschlieBende Kommunikation vereinbart wird) . Verfahren der beschriebenen Art , in der ein Kommunikationspartner (A) auf eine (oder mehrere) Anforderung(en) eine entsprechende Anzahl von Antworten gibt und durch die se dem anderen (B) nachweist, dass er im Besitz eines ihn identifizierenden Geheimnisses (in diesem Fall : des geh eimen Schliissels) ist , ohne dass der andere (B) dies es Geheimnis ergriinden kann, werden als "Zero Knowl edge Proofs" bezeichnet; sie sind zum Identitatsnachweis zwischen Computersystemen gut geeignet.
fi;
Verbindungsanforderung ....
,
~
....
CRYPT(sc A,t1) t1, CRYPT(sc,B,t2) t2, s
,...
~
CRYPT(s,n1)
Abb . 111-2.6 Wechselseitige Authent ifikation mit asymmetrischen VerschlUsselungsverfahren
2.2.3.2 Identifikation und Au thentifika tion menschlicher Benutzer Der Einsatz solcher Verfahren zum Identitatsnachweis von Menschen sWBt allerdings auf zwei gravi erende Hindemisse: sowohl beim Durchflihren der erforderlichen Rechenoperationen (insbesondere wenn die beteiligten Zahlen hunderte von Dezimalstellen besitzen) als auch bei der Fahigkeit, sich komplexe und scheinbar sinnlose Dinge (z. B. die erforderlichen langen Zahlen oder korrespondierende, ebenso lange und sinnlose Buchstabenfolgen) zu merken, sind Menschen sehr 23
Anm.: Es gilt aber zu verhindern, dass die Gegen stelle einen einmal abgehorten, verschlusselten Text vorgibt , worauf der zu authentifi zierende Kommunikationspartner mit dem korrespondierenden (eigentlich aber gehe imen) Klartext antworten muss. Eine einfache Abhilfe fur dieses Problem ist, dass zur Datenver schlUsselung und fur digitale Unterschriften zwei verschiedene SchlUsselpaare verwendet werden.
2 Sicheres E-Business
379
enge Grenzen gesetzt. Soli ten fur den Identitatsnachweis komplexere Berechnungen erforderlich sein, so werden diese vom Computerarbeit splatz des Benutzers als "Gehilfen" durchgefUhrt; der Mensch untersttitzt seinen "Gehilfen", indem er ihm (tiber geeignete Schnittstellen und Peripheriegerate) Merkmale bekanntgibt, die seine Identitat nachweisen. Geeignet sind dazu Kriterien, die beschreiben, wo man sich befindet, was man weiB, was man besitzt, oder was einen kennzeichnet. Die Sicherheit einer Identitatsprufung kann durch .Verschranken" mehrerer MaBnahmen (z. B. Identifikation durch eine Chip-Karte, die aber nur akzeptiert wird, wenn mehrere biometrische Merkmale passen) erhoht werden, da in diesem Fall das Umgehen nur einer MaBnahme nicht ausreicht, urn Zutritt zu einem System zu erlangen.
"Wo man sich befindet" - Zutrittsbeschriinkungen, ... Der Nachweis durch den Ort ("wo man sich befindet") setzt voraus, dass es Raume (bzw . Computersysteme) gibt, zu denen nur bestimmte Personen (oder Personenkreise) Zutritt haben (Zutrittsbeschriinkungen); die betreffenden Computersysteme werden z. B. anhand ihrer Netzwerkadresse identifiziert. Zu den MaBnahmen dieser Kategorie zahlt z. B. die Fahigkeit vieler Netzwerkbetriebssysteme, bestimmte Benutzer nur von bestimmten Stationen aus arbeiten zu lassen (hierbei handelt es sich urn eine untersttitzende MaBnahme fUr andere Mechanismen, die z. B. verhindern soil, dass Personen auBerhalb der Firma oder einer Abteilung sich als besonders privilegierte Benutzer ausgeben) . Ein anderes Beispiel sind .Dial Back"-Mechanismen: 1st bekannt, dass sich ein bestimmter Nutzer immer von einem bestimmten Telefonanschluss (z . B. von seinem Telefon daheim) aus in das firmeninterne Computernetz einwahlt, so kann dies uberpruft werden, indem er unter der betreffenden Telefonnummer ruckgerufen wird . Mechanismen dieser Art versagen, wenn fremde Systeme die Identitat der "privilegierten" Systeme annehmen konnen (z. B. weil Netzwerkadressen konfigurierbar sind) oder wenn Unbefugten Zutritt zu diesen Systemen gewahrt wird (oder sie sich diesen verschaffen).
"Was man weifi" - Kennwiirter: Klas sisches Beispiel fur die zweite Kategorie ("was man weiB") sind Kennworter. Dies sind Zeichenfolgen, die (hoffentlich) nur dem betreffenden Benutzer sowie dem Computersystem, dem gegentiber er sich identifizieren soli, bekannt sind. Ungllicklicherweise gibt es viele Wege, wie Kennworter aus der Hand geraten konnen, insbesondere durch inkorrekte Handhabung : Manchmal werden Kennworter von wohlmeinenden Benutzern an Kollegen, Freunde, ... weiter .verliehen", wenn diese z. B. einmal .Jcurz" bestimmte (sensible) Daten "brauchen" , anstelle dass der sic her mlihsamerere, aber vom Si cherheitsstandpunkt einzig saubere Weg begangen wird, sich eine
380
III Gestaltungsebenen von E-Business
eigene Benutzerkennung (mit entsprechenden Zugriffsrechten) zu beschaffen> . Kennworter konnen erraten werden, wenn sie Begriffe kennzeichnen, die mit dem .Eigentumer" assoziiert werden : der Vomame der Ehefrau oder Freundin , das eigene Geburtsdatum, der Name des Lieblingshobbys (oder was damit sonst assoziierbar ist) einige gem als Kennwort verwendete Begriffe (z . B. "geheim"), ... Sind Kennworter fur den Benutzer nicht leicht merkbar, etwa weil sie automatisch generiert werden, zu viele Restriktionen bei der Kennwortauswahl durch das Computersystem erzwungen werden, das Kennwort zu haufig gewechselt werden muss oder zu viele unterschiedliche Kennworter fur unterschiedliche Computersysteme vergeben wurden, so finden sie sich haufig auf einer Haftnotiz am Computerarbeitsplatz des Benutzers (oder - besser versteckt - auf einem Notizzettel unter der Tastatur) wieder. Kennworter konnen bei der Eingabe abgeschaut werden, indem man die Bewegungen der Finger mitverfolgt, in manchen Fallen leider auch immer noch durch Mitlesen am Bildschirm. Kennworter konnen durch spezielle Computerprogramme abgefangen werden, die z. B. die Tastatureingaben an einer Arbeitsstation mitprotokollieren (solche Programme werden bevorzugt auf offentlich zuganglichen Computern installiert) oder den Netzwerkverkehr zwischen der Arbeitsstation des Benutzers und dem Serversystem von einer anderen Station aus mitprotokollieren (z . B. iibertragen viele TCP/IP-basierte Dienste" Kennworter immer noch im Klartext) . Ein beliebter Angriffspunkt fur Hacker sind auch die Kennwortdateien der Computersysteme, anhand denen die Kennworter iiberpriift werden . Sind dort die Kennworter im Klartext aufgezeichnet, so muss fur aile Benutzer (inklusive dem Systemadministrator selbst) der Lesezugriff auf diese Kennwortdatei gesperrt sein ; Anderungen diirfen nur mit speziellen Systemfunktionen (zum Anlegen neuer Benutzer, zum Andern des eigenen Kennworts, ...) durchfuhrbar sein. Aber auch dann, wenn Kennworter nur in einer "verschliisselten" Form gespeichert sind, die nur deren Uberprufung, nicht aber deren Wiedergewinnung erlaubt (vgl. z. B. die UNIX-Systemdatei /etc/passwd), sollte der Zugriff auf diese Datei vorsichtig gehandhabt 24
25
Anm.: 1m Regelfall wird der Betreffende nicht nur "ausnahmsweise" dieses eine Mal Zugang zu diesen Daten benotigen, sodass davon ausgegangen werden kann, dass der Betreffende mit diesem Anliegen immer wieder kommen wird. Vorsicht ist immer angebracht, wenn bei einem Telefonanruf sich das GegcnUber als Mitarbeiter des Rechenzentrums, der Netzwerk-Abteilung, der Benutzer-Service-Stelle odcr ciner ahnlichen Abteilung vorstellt, dabei berichtet, in einer Anwendung, auf die der Benutzer Zugriff hat, ein Problem entdeckt zu haben, und dann vorgibt, fur genaue Tests Ihre Benutzerkennung und Ihr Kennwort zu benotigen - es handelt sich dabei urn eine Taktik von Hackern (als "Social Engineering" bezeichnet), an die Kennworter von leichtglaubigen Nutzern zu kommcn! Z. B. Telnet, FTP, POP, HTTP ohne SSL, ...
2 Sicheres E-Business
381
werden: Hacker kopieren diese Dateien gerne auf ihre lokalen Systeme, vergleichen die Kennworteintrage dann mit den .verschlusselten" Formen von haufig gebrauchten Kennwortern und werden so nicht selten fUndig. Zu bedenken ist schlieblich, dass sich die Inhalte der Kennwortdateien auch auf jenen Datentragern wiederfinden, auf denen Sicherungskopien des Systems angefertigt wurden. Werden dieselben Kennworter auf unterschiedlichen Serversystemen verwendet, so reicht es, dass der .Eindringling" dieses fur nur ein System knackt (das z. B. schlechter abgesichert ist, da es nur unkritische Daten enthalt), was ihm dann den Zugriff auf eine Reihe anderer, vielleicht sehr viel besser abgesicherte Systeme mit moglicherweise hochsensiblen Informationen offnet. "Gute" Kennworter sind mindestens acht Zeichen lang und bestehen aus mindestens einem GroBbuchstaben , einem Kleinbuchstaben, einer Ziffer sowie einem sonstigen Zeichen " . Sie sollen fUr einen Benutzer gut merkbar sein, es durfen aber keinesfalls Vomamen oder andere gangige Begriffe dafUr verwendet werden . Beispiele fur gute Kennworter sind Zeichenfolgen, die zwar in einer Sprache gut ausgesprochen werden konnen, aber kein sinnvolles Wort ergeben (Ieider sind .Pseudowortgeneratoren", mit denen solche Zeichenfolgen erzeugt werden konnen, nicht sehr gebrauchlich); sie konnen auch erzeugt werden, indem in ein Wort moglichst viele Schreibfehler eingebaut werden (" vaIlAhRduaffol") oder indem die Anfangsbuchstaben der Worter aus einem Spruch zusammengefUgt werden ("Emm,urbD!" - .Ene mene mu, und raus bist du!")" Kennworter sollten in nicht zu langen Intervallen gewechselt werden , um Unbefugten, die sich (mit einer der oben beschriebenen Methoden) das Kennwort beschaffen konnten, den Zugriff zu den betreffenden Systemen zu sperren . Eine interessante Variante der KennwortprUfung stellt die Verwendung eines eingegebenen Kennworts zur Entschlusselung eines benutzerspezifischen geheimen Schlilssels dar; dieser kann dann z. B. in dem am Anfang dieses Kapitels beschriebenen Authentifikationsverfahren mittels elektronischer Unterschriften zur Benutzerauthentifikation verwendet werden. Da das Kennwort weder tiber das Netzwerk Ubertragen noch im Serversystem gespeichert wird, fallen einige der oben beschriebenen Gefahrenpotenziale weg.
"Was man besitzt" - Chipkarten: Ein Beispiel fur Merkmale der dritten Kategorie ("was man besitzt") sind Chipkarten. Diese Karten besitzen einerseits die Fahigkeit, dank eingebautem "Mikrocomputer" selbst Rechenoperationen (allerdings nicht im Leistungsumfang marktgangiger PC-Systeme) durchzufUhren ; anderer26
27
Vgl. Tanenbaum 1994, S. 230 ff., Hughes 1995, S. 58 f. und MorrisfThompson 1979; leider gibt es in vielen Systemen Einschrankungen fur die Bildung von Kennwortern, die die Anwendung all dieser Kriterien unmoglich machen. Anm .: Vor der Verwendung von bereits publizierten Beispie1en fur "gute" Kennworter muss allerdings gewarnt werden, da sich diese - ebenso wie haufige Worter, Namen, ... nicht selten in den Kennwortlisten der Hacker wicderfinden .
382
III Gestaltungsebenen von E-Business
seits konnen im karteneigenen Speicher Informationen mit mehreren Kilobyte Umfang abgelegt werden; da diese Informationen immer den karteneigenen Mikrocomputer passieren mussen, ehe sie nach auBen gelangen, konnen Teile der auf der Karte gespeicherten Informationen vor der .Aubenwelt" vollstandig geheim gehalten werden". Diese Merkmalskombination ermoglicht es z. B., auf der Chipkarte ein (asymmetrisches) Verschltisselungsverfahren zu implementieren und dazu (nebst anderen personenbezogenen Merkmalen) den dazugehorigen, geheimen Schltissel des Eigenti.imers zu spe ichern, die sen aber vor dem .A uslesen" zu schtitzen. Chipkarten (wie auch andere Dinge , die man besitzt) konnen gestohlen werden oder veri oren gehen; daher sollen Chipkarten immer mit anderen Authentifikationsverfahren (z. B. Kennwortern) kombiniert werden (zusatzliche Sicherheit ergibt sich, indem diese Authentifi zierungsverfahren in der Chipkarte selbst ausgewertet werden) . Chipkarten konnen immer nur - aufgrund ihrer speziellen Schnittstelle zur AuBenwelt - mit speziellen Chipkartenlesern betrieben werden; dies stellt insbesondere beim Einsatz mit mobilen Geraten ("Laptops") einen gravierenden Nachteil dar, da dieses zusatzliche Gerat mitgenommen (Gewicht, Handlichkeit !) und verstaut (Platz!) werden muss; die Entwicklung von Chipkarten mit einer Standard-PC-Schnittstelle (z . B. Card Bus) ist daher wtinschenswert.
"Was einen kennzeichnet" - biometrische Merkmale: Menschen identifizieren andere Personen anhand von Eigenschaften, die diese Personen kennzeichnen (sog . "biometrische Merkmale") : wir erkennen Bekannte z. B. anhand ihres Gesichts, anhand ihrer Stimme, ihrer Schrift oder ihres Gangs; Kriminalisten ermitteln Straftater u. a. anhand ihrer Fingerabdrticke. Entsprechende Verfahren-", adaptiert auf den Einsatz mit Computersystemen, machen sich zwei Merkmalskategorien, die typisch fur eine Person sind , zunutze, urn die Identitat einer Person zu uberprufen: physiologische Merkmale einer Person oder fur die Person typische .Verbaltensmuster" Beispiele fur Verfahren, die physiologische Merkmale einer Person nutzen, sind:
28
29
Warnung : Dies gilt nur, wenn die Chipkarte entsprechend manipulations - und abhorsicher ausgelegt ist. Bei nicht entsprechend abgesicherten Karten konnen durch Beobachtung des Zeitverhaltens z. B. des Stromverbrauchs oder der elektromagnetischen Abstrahlung oder durch Provokation von geringem Fehlverhalten (z. B. durch uberhohte Strahlung, Hitze, Anlegen einer zu hohen oder zu niedrigen Betriebssp annung, Versorgung mit zu hohen oder zu niedrigen Taktraten, ...) Riickschliisse auf die .J nnereien" der Karte (und damit auf die in dieser Karte gespeicherten geheimen Informationen) gezogen werden. Vgl. Sherman 1992, Miller 1994, Deane et al. 1995, KaufmanIPerlmaniSpeciner 1995 sowie Hendry 1997, S. 67 ff
2 Sicheres E-Business
383
Fingerabdruckleser: Fingerabdrlicke werden direkt abgenommen, wenn der Benutzer einen bestimmten Finger in die dafur vorgesehene Offnung des Gerats steckt; Handformleser: messen verschiedene Mal3e der Hand ab (Fingerlangen, Handbreite, ...); Retinascanner: nehmen die feinen, gut erkennbaren Blutgefafse in der Netzhaut des Auges auf; Irisscanner: nimmt viele kleine Unregelmalligkeiten (Streifen, Faltchen, ...) in der Regenbogenhaut eines Auges auf; Gesichtserkennung: versucht (mittels Bildverarbeitungsverfahren) aus der Aufnahme eines Gesichts typische Merkmale zu extrahieren. Beispiele fur Verfahren, die Personen anhand typischer Verhaltensmuster zu erkennen versuchen, sind: Stimmuberprufung: gesprochene Sprache kann in ein Frequenzspektrum zerlegt werden, das typisch fur den Sprecher ist; Unterschriftenprlifung: Computer haben bislang die Kunste men schlicher Spezialisten, echte Unterschriften von gefalschten zu unterscheiden, nicht duplizieren konnen, da sich echte Unterschriften oft mehr unterscheiden als eine Unterschriftenprobe von einer guten Falschung; wird die Unterschrift allerdings "online" (z. B. uber ein Grafiktablett) geleistet, so kann der Computer nicht nur deren Form, sondem auch - durch die Feinmotorik bedingte - Merkmale des zeitlichen Ablaufs (momentane Geschwindigkeit, Druck auf die Unterlage, ...) aufnehmen und mit dieser Information den Benutzer relativ exakt identifizieren; Tastaturzeitnehmung: wie der zeitliche Ablauf der Unterschrift, so ist auch der zeitliche Ablauf des Tippens auf einer Tastatur typisch fur jeden Benutzer. Der Einsatz von Systemen, die biometrische Merkmale verwenden, ist bislang auf besonders sensible Bereiche mit einem begrenzten Benutzerkreis beschrankt; ein Einsatz mit einem grofsen, offenen Benutzerkreis (z . B. bei Geldausgabeautanaten) ist (obwohl Pilotversuche bereits mehrfach in der Presse angektindigt wurden) bislang nicht erfolgt. Grlinde hierftir sind : entsprechende Systeme gehoren immer noch nicht zur Standardausstattung von marktgangigen Computersystemen und sind (noch) verhaltnismabig teuer; zur Identifikation einer Person mlissen (insbesonders bei Verfahren, die physiologische Merkmale auswerten) umfangreiche Datenmengen gespeichert werden ; wahrend physiologische Merkmale weitgehend konstant sind und nur durch schwerwiegende Eingriffe (Un falle , Operationen, ...) geanlert werden, unterliegen Verhaltensmuster oft Schwankungen durch Stimmungen, Krankheiten, ...;
384
III Gestaltungsebenen von E-Business
es bleibt bei diesen Geraten daher (abhangig vorn gewahlten Verfahren und dem eingestellten Toleranzbereich) immer auch ein Restrisiko fur falsche Alarme (ein befugter Benutzer wird nicht als solcher erkannt; gemessen in der ,,false rejection rate" FRR) und/oder falschliches Erkennen (ein Unbefugter wird als befugter Benutzer akzeptiert; gemessen in der "false l!cceptance rate" FAR); die FRR ist umso hoher, je geringer die FAR gehalten wird und umgekehrt; je nach Anwendungsfall muss daher die optimale Balance zwischen FAR und FRR gesucht werden . Die "crossover rate", das ist der Wert von FAR und FRR an dem Punkt , an dem beide gleich groB sind, gilt als MaBzahl fur die Leistungsfahigkeit eines biometrischen Merkmals; viele Verfahren funktionieren nur dann , wenn die Benutzer kooperationsbereit sind (z. B. eine gewi sse Zeit still halten, wahrend ein Merkmal aufgenom men wird) und das System nicht mit einem geeigneten "Substitut" tiberlistet werden kann (z. B. durch eine Tonbandaufnahme der gewtinschten Stimme bei einer Stimmtiberprtifung); manche Verfahren werden schlieBlich aus psychologisch/kulturellen Grunden nur ungern angenommen; z. B. wird das menschliche Auge allgemein als ein besonders empfindliches und daher schtitzenswertes Organ betrachtet; entsprechende Barrieren gibt es, wenn das Auge an ein Gerat angelegt werden soli , das mit einem (schwachen) Laserstrahl in das Auge hineinleuchtet, urn z. B. die Muster der Blutgefalse in der Retina aufzunehmen. Die Tastaturzeitnehmung erweckt Widerstande, weiI sie mit einer automatisierten Leistungstiberwachung assoziiert wird (dies , obwohl sie eine der unaufdringlichsten Methoden ist, da sie sich gut in den Arbeitsfluss eines typischen Computerbenutzers integrieren lasst). Gerate, die biometrische Merkmale aufnehmen, extrahieren daraus signifikante Merkmale (bei Fingerabdrticken z. B. die Lage von Stellen , in denen Linien sich verzweigen oder enden - die sog. "Minutien") und bilden daraus einen Merkmalsvektor , der mit den in der Benutzer-Datenbank gespeicherten Merkmalsvektoren verglichen wird , urn die Identitat des Benutzers zu ermitteln (Identifikation) bzw. die vorgegebene Identitat zu uberprufen (Authentifikation); auf die Korrektheit dieser Datenbankeintrage (und deren Absicherung gegen unbefugte Modifikationen) ist daher eben so zu achten wie darauf, dass nicht an "geeigneten" Stellen (z. B. in einer Netzwerkverbindung, tiber die ein Merkmalsvektor tibertragen werden muss) ein fruher abgehorter Merkmalsvektor als "elektronisches Substitut" eingespielt wird.
Erfolgreich angemeldet - und was weiter? Personen , die sich einmal erfolgreich authentifiziert haben, konnen aus irgendwelchen Grtinden ihren Computerarbeitsplatz verlassen , ohne dass sie sich tiber die vorgesehene Prozedur abmelden (etwa, weil sie nur "kurz" etwas erledigen wollten , dieses .E twas" sie aber dann sehr viel langer in Anspruch nimmt); ein Unbefugter kann sich an ein derart ungesichertes Gerat setzen und sich auf diese Weise Zugriff zu sensiblen Informationen verschaffen. Urn dies zu vermeiden, muss das Computersystem zu geeigneten Zeit-
2 Sicheres E-Business
385
punkten die Priifung der Identitat des Benutzers wiederholen . Vorschlage flir solche Zeitpunkte sind: nachdem der Benutzer eine bestimmte Zeit inaktiv war; ist diese Zeitspanne zu kurz bemessen , konnen etwas langere Nachdenkpausen das Computersystem bereits zu einer Authentizitatsprufung veranlassen, die dann den Arbeitsfluss des Benutzers unterbricht; zu lange Zeitspannen geben wiederum Unbefugten die Moglichkeit, das ungeschiitzte Gerat zu nutzen; tlblicherweise werden Zeitspannen zwischen 5 und 10 Minuten verwendet; bevor das Computersystem eine vom Benutzer angeforderte kritische Aktion durchfuhrt: die so durchgeflihrte Reauthentifikation kann vom Benutzer als "Unterschrift" unter die Aktion aufgefasst und so in seinen Arbeitsfluss integriert werden; auBerdem erhalt der befugte Benutzer auf diese Weise noch die Gelegenheit, vor dem .Llnterzcichnen" noch einmal aile fur die Aktion eingegebenen Daten zu iiberpriifen; kleinere Aktionen konnten zu einem "unerledigten Haufen " zusammengefasst werden, der dann mit einer .Llnterschrift" freigegeben wird", 1m Zuge der Einflihrung komplexer innerbetrieblicher Informationsinfrastrukturen (konventionelle File-Services korrespondierend zu unterschiedlichen betrieblichen Organisationsebenen, Datenbanksysteme, E-Mail-, Workflow-, Groupware- und Intranetsysteme, ...) kommen Benutzer immer mehr in die Lage, sich gegeniiber verschiedensten Systemen identifizieren und authentifizieren zu miissen. Urn sich dennoch nur einmal anmelden zu mussen, sind Verzeichnisdienste wie z. B. Novell NDS ilietware Qirectory S.ervices) oder Microsofts Active Directory und Sicherh eitsservices wie z. B. (das am MIT - dem ,M assachusetts Institute of Iechnology" - entwickelte) Kerberos auf den Markt gekommen. Der Benutzer identifiziert sich nur mehr gegeniibe r dem Sicherheitsservice mit einem der oben beschriebenen Verfahren (in der Regel seiner Benutzerkennung und dem dazugehorigen Kennwort); der Verzeichnisdienst authentifiziert den Benutzer dann gegeniiber allen Dienstleistungen, die dieser in Anspruch nimmt; die Dienstleistungen miissen aber so programmiert sein, dass sie den verwendeten Verzeichnisdienst als Mittel der Benutzerauthentifikation akzeptieren.
2.2.4 Anonymitat und verdeckte Kommunikation Manchmal kann es giinstig sein, gegeniiber dem Kommunikationspartner die eigene Identitat zu verbergen, etwa, wenn man durch diesen oder durch andere Perso30
Anm.: Ungeeignet ist letztere Vorgehensweise allerdings in transaktionsverarbeitenden Systemen, bei denen es auf global konsistente Systemzustande ankommt; Aktionen, die zwar schon beschlossen und erfasst, aber noch nicht durch .Unterschrift" bestatigt sind, konnen schwerwiegende Probleme in der Systemkonsistenz auslosen ; Vorsicht ist auch geboten, wenn dieses Verfahren zum Anfordern und Lesen von sensiblen Informationen verwendet wird, da diese nach der .Llnterschrlft" beliebig lang auf dem Bildschirm stehen bleiben und so potenziell auch von Unbefugten eingesehen werden konnen .
386
III Gestaltungsebenen von E-Business
nen schwerwiegende Nachteile beflirchtet , oder, urn in einer elektronischen Wahl ("electronic voting") anonym seine Stimme abzugeben.
~ B
Abb . 111-2.7 Infrastruktur fur anonyme Kommunikation
Es kann aber auch sinnvoll sein, manche Kontakte gegentiber Dritten zu verbergen, etwa bei der Jobsuche, oder wenn das Bekanntwerden von Kontakten zwischen Firmen (vielleicht auch ungerechtfertigte) Gertichte tiber eine Firmentibernahme und damit auch entsprechende Spekulationen an der Aktienborse auslost". Auch kann bereits aus Aufzeichnungen, wer wie haufig mit wem kommuniziert, durch Verfahren wie Data Mining" sensible Informationen (vgl. Kapitel 1), z. B. tiber personliche Interessen, abgeleitet werden. Beides - Anonymitat und verdeckte Kommunikation - kann realisiert werden mit Hilfe asymmetrischer Verchlusselungsverfahren (die paradoxerweise auch fur die Nachweisbarkeit der Identitat 31
32
Damit verbundene politische und ethische Fragen, etwa des Missbrauchs der Anonymitat z. B. fur kriminelle Zwecke oder das Anrecht der Offentlichkeit auf Information, sollen hier ausgeklammert werden . Anm.: das Anwenden statistischer Verfahren auf umfangreiches Datenmaterial, urn signifikante Zusammenhiinge herauszufiltern
2 Sicheres E-Business
387
sorgen, vgl. Kapitel 2.2.2 und 2.2.3) und einer Kornmunikationsinfrastruktur, wie sie in Abb. III-3.7 skizziert wird. Die Idee hinter dem Verfahren ist, eine Nachricht nicht direkt an den echten Empfanger zu senden, sondern eine Reihe von .P seudoempfangern" zwischenzuschalten; jeder Pseudoempfangcr verandert dabei die Nachricht so, dass ein .Lauscher" keinen Zusammenhang zwischen der hereinkommenden und der weitergeIeiteten Nachrichtenversion herstellen kann; der echte Empfanger muss schIieBlich den originalen Nachrichtentext rekonstruieren konnen, es dUrfen aber aus der von ihm empfangenen Version der Absenderadresse keine Ruckschlusse auf den echten Absender moglich sein . Der (anonym bleibende) Absender (nehmen wir an, es sei A in Abb. I11-3.7) bereitet seine Nachricht an den (fUr ihn nicht anonymen) Empfanger (B) foigendermaBen vor:
•
Er wahlt zunachst eine Foige von .Pseudoempfangern" aus (im Foigenden als MT As - ,message transfer ggents"33 - bezeichnet), Uber die er seine Nachricht senden mochte (z. B. X, W und Y) ; die Zieladresse der Nachricht biidet er dabei auf foigende Weise: Er nimmt zunachst die Adresse des Empfangers (B), verschlUsseit sie mit dem offentlichen SchlUssei des Ietzten MTAs im Pfad (Y) und stellt davor im Klartext die Adresse dieses Ietzten MTAs ; er verschlusselt das Ergebnis mit dem offentlichen SchlUssei des vorletzten MT As (W) und stellt die Adresse dieses MTAs davor; das ganze Verfahren wird fur jeden weiteren MTA bis zum ersten in der Reihenfolge wiederholt (fur jeden MT A wird daher die Adresse wie folgt aufbereitet: sie besteht aus seiner Adresse im Klartext und einem fUr ihn bestimmten, geheimen Adressteil , aus dem er den nachsten Empfanger der Nachricht entnimmt); das Ergebnis des ganzen Verfahrens ist die gewUnschte Empfangeradresse. Er setzt als Absenderadresse seine Adresse im Klartext ein (fur die Anonymisierung sorgen die MTAs nach dem unten beschriebenen Verfahren). Er verschlUsselt zun achst den Nachrichtentext mit dem offentlichen SchlUssel des Empfangers (damit kann kein MTA die Nachricht im Klartext lesen), hangt an das Ergebnis einen zufallig langen, auch inhaltlich zufalligen Text an (die Funktion dieses Zufallstextes wird bei der Operation der MTAs naher erlautert) und verschlUsselt das Ergebnis mit dem offentlichen Schlussel des ersten MT As in der Reihenfolge; das Ergebnis ist der Text in der Nachricht, die er dem ersten MTA in der Reihenfolge sendet (also jenem MT A, dessen Adresse in der oben gebildeten Empfangeradresse im Klartext steht).
33 Dieser Beitrag lehnt sich an die X.400-Terminologie an, obwohl die Funktion der MTAs in X.400 und dem in diesem Kapitel skizzicrten Verfahren nicht deckungsgleich sind; bei einer entsprechenden Erweiterung der Funktionalitat der X.400-MTAs kann eine vorhandene X.400-Infrastruktur aber auch zur anonymen und verdeckten Kommunikation verwendet werden .
388
III Gestaltungsebenen von E-Business
Jeder MT A fuhrt mit den von ihm empfangenen Nachrichten folgende Schritte durch : Er nimmt die Empfangeradresse, entfemt daraus seine eigene Adresse (die ja im Klartcxt vorliegt) und entschltisselt den Rest (den fur ihn bestimmtcn gehcimen Adrcssteil) mit seinem geheimen Schltissel ; das Ergebnis besteht wiederum aus einer Adresse im Klartext - dem nachsten Empfanger der Nachricht - und einem fur diesen bestimmten gehcimen Adressteil. Er nimmt die bislang gebildete Absenderadrcsse, verschltisselt sie mit seinem eigenen offentlichen Schltissel und stellt seine eigcne Adresse im Klartext davor (Anm.: vgI. diese Vorgehensweise mit der Bildung der Zieladresse durch den Ab scndcr: dcr MT A transformiert dadurch die Absenderadresse in ciner Art und Weise, dass, wenn ein beliebiger anderer Absender diese Adresse in einer "anonymen" Nachricht als Zieladresse verwendet, diese Nachricht zunachst die bisher durchlaufcnen MT As in umgekehrter Reihenfolge durchlauft und letztlich dem originalen Absender zugestellt wird) . Der Nachrichtentext wird mit dem geheimen Schltissel des MTAs entschltisselt und der darin enthaltene Zufallstext entfemt (es bleibt der mit dem offentlichen Schltissel des echten Empfangers verschltisselte Original text); an diesen wird wieder ein anderer Zufallstext (wieder zufallig lang und mit zufalligem Inhalt) angehangt und das Ergebnis mit dem offentlichen Schlussel des nachsten MTAs verschlusselt, Durch die Verschltisselung des Textes mit unterschiedlichen Schltisseln, die zu vollig unterschiedlichen .Bitmustern" in den verschltisselten Nachrichtentexten der empfangenen und der weitergeleiteten Meldung ftlhrt, ist fur einen unbeteiligten .Beobachter" eine Zuordnung der bci cinem MTA ankommenden mit den von diesem abgehenden Nachrichten aufgrund des Nachrichteninhalts nicht moglich . Wegen dem Hinzufugen von zufallig langen Zufallstexten muss auch eine Zuordnung an hand der Nachrichtenlange fchlschlagen. Eine Zuordnung anhand der Zeitdifferenz zwischen Nachrichtenempfang und -weiterleitung kann verhindert werden , indem jede Nachricht von jedem MT A urn eine zufallige Zeitspanne verzogert wird . Dem Beobachter offcnbart sich lediglich die Tatsache, dass bestimrnte .Endbenutzer" und MT As an Komrnunikationsvorgangen (mit nicht naher identifizierbaren Kommunikationspartnern) beteiligt sind; doch auch diese Tatsache kann vcrborgen werden, indem man dafur sorgt, dass die "echten" Nachrichten in einer Fulle von .Pseudonachrichten" "untergchen", die zwischen beliebigen MTAs und .Endbenutzern" ausgetauscht werden. Die Rolle des Empfangers ist cinfach definiert: Er ernpfangt seine Empfangeradresse im Klartext. Er erhalt den originalen Nachrichtentext, indem er den empfangenen Nachrichtentext mit seinem gcheimen Schlussel entschltisselt, vom Ergebnis den angehangten Zufallstext entfernt und den Rest noch einmal mit seinem geheimen Schltissel entschltisselt.
2 Sicheres E-Business
389
Am interessantesten ist die Rolle der Absenderadresse, die der Empfanger erhalt: Er ist nicht in der Lage, daraus die "echte" Adresse des Absenders abzuleiten; dazu wiirde er die geheimen Schltissel aller durchlaufenen MT As benotigen (wir wollen annehmen , dass auch MTAs ihre "Geheimnisse" nicht preisgeben). Oer Absender bleibt daher anonym (insofern er seine Identitat nicht - absichtlich oder unbe absichtigt - im Nachrichtentext preisgibt); er besitzt aber cine (elektronische) Identitat, denn - im Gegensatz zu herkommlichen anonymen Briefen - kann der Empfanger dem Absender direkt antworten: Jede Nachricht, die der Empfanger nach der oben beschriebenen Art des anonymem Nachrichtenaustausches mit der empfangenen Absenderadresse absendet, wird den originalen Absender erreichen; der Empfanger kann sogar die Absenderadresse weitergeben und jeder kann dann Nachrichten an den originalen Absender schreiben",
2.2.5 Absichern von Computersystemen und Teilnetzen
2.2.5.1 Absichern von Computersystemen Nicht nur die Kommunikationswege sind potenzielle Angriffspunkte fur diverse Attacken, auch die Computersysteme selbst, auf denen sensible Informationen gespeichert sind oder auf denen mit diesen gearbeitet wird ; entsprechendes Augenmerk ist daher auf den Schutz dieser Systeme zu richten . Ocr Zugriff auf ein Computersystem kann erfolgen tiber die am Computersystem lokal angeschlossenen Gerate der Benutzeroberflache (in der Regel also Tastatur, Bildschirm und Maus) oder tiber die Netzwerkverbindung(en) des Computersystems. Nur wenige PC-Betriebssysteme (z. B. UNIX, Windows NT) sehen Mechanismen der Benutzerauthentifikation (meist durch die Abfrage der Benutzerkennung und des dazugehorigen Kennworts) und einer darauf basierenden Verwaltung von Zugriffsre chten vor, die gleichzeitig fur den lokalen Zugriff und den Zugriff tiber das Netzwerk anwendbar sind. Die Vergabe von Zugriffsrechten sollte in diesen Betriebssystemen so erfolgen, dass jeder Benutzer genau jene Rechte erhalt, die er zur Erftillung seiner Aufgaben benotigt. Werden andere PC-Betriebssysteme eingesetzt und sind MaBnahmen des Zutrittsschutzes ("physikalische Sicherheit") nicht moglich, so ist durch entsprechende Notlosungen fur den lokalen Zugriff die Gefahr von unberechtigten Zugriffen zu verringern; dazu zahlen z. B. Power-On-Kennworter (die am besten durch die Computerhard- bzw . -firmware erzwungen werden) und Bildschirmschoner mit 34
Anm.: Da die .anonymen'' Adressen dieser Teilnehmer dann genauso geschlitzt sind, deren Bildung aber dem originalen Absender unbekannt ist, bleibt deren Identitat fur den originalen Absender ebenso geheim ; aus einem .Jialb-anonymen" Nachrichtenaustausch wird auf diese Weise ein vollstandig anonymer.
III Gestaltungsebenen von E-Business
390
Kennwortschutz . Besteht die Gefahr (wie z. B. bei Laptops von AuBendienstmitarbeitern), dass sensible Daten durch Diebstahl des Gerates in unbefugte Hande geraten konnen, so ist die Verschltissclung der Daten auf der lokalen Festplatte in Betracht zu ziehen ; diese wird im Idealfall von den Anwendungen, die auf diese Daten zugrcifcn oder vom zugrundeliegenden Betriebssystem bei allen Festplattenzugriffen automatisch durchgefuhrt, sodass diese sensiblen Daten auf der Festplatte niemals in unverschltisselter Form vorliegen; als Notlosung konnen hierzu aber auch eigene Datenverschllisselungsprogramme wie z. B. PGP (,'p'retty Qood Erivacy") eingesetzt werden - der Anwendcr darf in dicsem Fall allerdings nie verges sen, nach Gebrauch seine Daten wieder zu verschllisseln. In jcdem Fall sind Datentrager, auf denen sensible Informationen gespeichert wurden und die aus irgendwelchen Grtinden (z. B. Geratereparatur oder Rtickgabe cines Leihgerates) aus der Hand gcgeben werden, durch physisches Loschen dieser Daten dagegen zu sichern, dass diese Informationen (z. B. durch marktgangige UNDELETE-Utilities) von unbefugten Pcrsonen wiederhergestellt werden konnen ,
2.2.5.2 Firewalls Sollte die Absicherung des Zugriffs tiber das Netzwerk nicht tiber lokale MaBnahmen (Nichtverftigbarmachen von Netzwerkdiensten, Vergabe von Zugriffsrechten im Betriebssystem, anwendungsspezifische SchutzmaBnahmen) moglich sein, besteht die Moglichkeit, ganze Teilnetze durch sog. Firewallsv zu schtitzen . Diese .Bastionen" haben das Ziel , unerwunschten Netzverkehr von Teilnetzen, in denen sich sensible Systeme befinden, fernzuhalten. Sie werden durch geeignete Kombination von folgenden Komponenten realisiert: Filtcrnde Router: Diese sind Router mit der Zusatzfunktion, dass sie aufgrund vorkonfigurierter Kriterien entscheiden, ob sie ein Datenpaket weiter leiten oder nicht. Da aber einerseits ein Router kcine Informationen tiber den Datenverkehr in der Vergangenheit aufbewahrt, andererseits diese Filterbedingungen auch nicht beliebig komplex werden konnen (aufgrund inharenter Limitationen in der Router-Software, dem Erfordernis, Datenpakete moglichst rasch weiterzuleiten, oder Speicherplatzlimitationen im Router), konnen im Wesentlichen Kriterien der Protokollschichten 3 (Netzwerkschicht) und 4 (Transportschicht) des OSI -Modells zur Definition dieser Kriterien herangezogen werden ; dies reicht aber aus, urn den Datenverkehr tiber den Router ftlr bestimmte Sender, Empfanger und/oder Netzwerkdienste zu sperren (bzw . nur fur diese zu gestatten). Viele dedizierte Router sind mit entsprechenden Konfigurationsmoglichkeiten fur Filterbedingungen ausgestattet.
35
Vgl. Siyan 1995
2 Sicheres E-Business
391
Abb. 111-2.8 Firewall-Konfiguration
•
Proxy-Server: sind Computersysteme, auf denen .Vertreterv-Programrne (nichts anderes bedeutet das englische Wort " pro xy") fur angebotene Dienste laufen; anstelle auf den "echten" Server werden Anforderungen von nicht vertrauenswlirdigen Systemen zunachst auf den Proxy-Server geleitet; die hereinkommenden Anforderungen werden vom Proxy auf ihre Konformitat mit vordefinierten Sicherheitskriterien gepruft und nur, wenn eine Anforderung diesen entspricht, werden sie an den echten Server weitergeleitet. Ein Proxy agiert gegentiber dem Anwender somit wie ein
392
III Gestaltungsebenen von E-Business
echter Server fur einen bestimmten Netzwerkdienst; daher stehen ihm aile Informationen bis einschli eBlich zur Schicht 7 (der Anwendungsschicht) des OSI-Modells zur Verfugung; sie konnen daruber hinaus auch die "Geschichte" der Kommunikation mitprotokollieren und damit entsprechende Kriterien in ihre Entscheidung tiber die Zulassigkeit einer Anforderung einbeziehen. Fur jeden zu schutzenden Netzwerkdienst muss allerdings ein eigener netzwerkdienste-spezifischer Proxy zur Verfugung stehen; leistungsfahigere Firewall-Produkte bieten mittlerweile fur die wichtigsten Internet-Dien ste konfigurierbare Proxys an. Abb. III-2.8 zeigt eine haufig verwendete Grundkonfiguration fur Firew alls. Der "auBere" Router Rl filtert dabei aile Datenpakete, die vom Teilnetz C (dem .Jnneren" Teilnetz) kommen, wahrend der .Jnnere" Router R2 keine Datenpakete aus dem "auBeren" Teilnetz A durchla sst (beide Router konnen weitere Filterung saufgaben ubernehmen) . Damit unterteilen beide Router das Gesamtnetz in drei Teile : Computer aus dem Teilnet z A (in der Abbildung als Weltkugel symbol isiert, da es mit der .bosen'' AuBenwelt identisch ist) konnen nur mit Computern im Teilnetz B, nicht aber mit Computern im (geschtitzten) Teilnetz C direkt kommunizieren. Computer im geschutzten Teilnetz C konnen ihrerseits nur mit Computern im Teilnetz B, nicht aber mit Computern in der AuBenwelt (Teilnetz A) kommunizieren. Hierher gehoren Server, die nur fur die Mitarbeiter sichtbar sein sollen, oder die nur tiber Proxys von der AuBenwelt ansprechbar sein sollen; auch die Arbeitsplatze von Mitarbeitern, die fur ihre AuBenbeziehungen mit den im Teilnetz B angebotenen Netzwerkdiensten auskommen, gehoren hierher. Computer im Teilnetz B konnen sowohl mit der AuBenwelt (Teilnetz A) als auch mit den Computern im (geschtitzten) Teilnetz C kommunizieren; in dieses Teilnetz gehoren aile Server, die sich selb st ausreichend sichern konnen, die Proxy-Serv er fur nach auBen angebotene Netzwerkdi enste sowie alle Arbeitsplatze von Mitarbeitern, die fUr ihre Tatigkeit besondere Verbindungen zur AuBenwelt benotigen . Besonderes Augenmerk ist jedenfalls auf die Absicherung der in diesem Teilnetz angeschlossenen Systeme zu legen. Firewalls bieten keine Absicherung gegen Attacken , an denen eigene Mitarbeiter (mit Zugang zum abgesicherten Teilnetz) beteiligt sind !
2.2.5.3 Eine kJeine "ZooJogie" gefahrJicher Kreaturen Vorkehrungen sind auch gegen unerwunschte Programme, zu treffen, die unliebsame Zeitgenossen auf Computersystemen hinterlassen konnen :
.Trojanische Pferde" maskieren sich als ganz gewohnliche System- oder Anwendungsprogramme, wenn sie jedoch (durch einen Benutzer oder ein Systemereignis) aufgerufen werden, fuhren sie unerwunschte Aktionen im
2 Sicheres E-Business
393
Sinne ihres Urhebers aus; das kann beispielsweise das Zulassen einer neuen Benutz erkennung sein (mit der sich der Eind ringling dann Zugriff auf das System verschafft) bis hin zu zerst oreri schen Aktionen wie z. B. das Loschen von Festplatten . Trojanische Pferd e konnen entdeckt werden , indem von allen Programmen und Konfigurationsdateien in ihrer letzten autori sierten Version Prilfsum men gebildet und die aktuelI am System installierten Programme und Konfigurationsdateien regelmabig gegen diese Prtifsummen getestet werden. Der Datentrager mit den Prtifsummen sollte nur zur Prufsummenuberprufung bzw. zur Ubemahme einer neuen autorisierten Konfiguration in das System eingelegt werden. Ferner konnen unerwunschte Aktionen in Betr iebssystemen , die dies unterstlitzen , auch durch entsprechende Vergabe von Zugriffsberechtigun gen abgeblockt werden . .Hintertiiren" ("back doors ") sind Mechanismen , mit denen sich Eindringlinge, die bereits einmal ein System befallen haben , weiterhin einen ungehinderten Zugang zu demselben sichern (an diversen Sicherheitsvorkehrungen vorbei, und nach Moglichkeit auch, ohne Spuren zu hinterla ssen). Das Erkennen von Hinterttiren erfolgt ebenfalIs mit dem oben beschriebenen Prlifsummenverfahren. "Viren" sind Programmteile mit der Eigenschaft, dass sie sich in andere Programme (oder andere ausfUhrbare Codeteile) einpflanzen konnen; tiber Programme" , die auf Servern liegen , oder tiber austauschbare Datentrager (z. B. Disketten) mit Program men konnen sie sich rasch auf viele Systeme verbreiten. Besondere Gefahr bringen sie nicht selten durch mittransportierte Aktionen (wie z. B. das Loschen der Festplatte), die oft erst durch bestimmte Bedingungen (z. B. ein bestimmtes Datum) aktiviert werden . Schutz gegen Viren bilden die zahlreichen angebotenen Virenschutzprogramme, die am besten aIle drei Prinzipien des Viren schutzes implementieren soliten : der Suche nach typischen Codemustern fur bekannte Viren ("Virenkennungen", ein Update-Abonnement fur neue Programmversionen ist keine Fehlinvestition), das Absichern von Programmen mit Prtifsummen (s. 0 ., damit konnen auch bisher unbekannte Viren - allerdings nur in vorher nicht infizierten Programmen - entdeckt werden) sowie das Abfangen von moglicherweise virosen Aktion en (insbe sondere das Modifizieren von Programmen und anderen ausfUhrbaren Codeteilen). Datentrager soliten nur unter garantiert virenfreien Betriebssystemen auf Virenbefall durchsucht werden, da sog. "Stealth Viren " die Fahigkeit haben, ihre Existenz auf Datentragern gegentiber anderen Programmen durch Anderungen im Betriebssystem zu verbergen.
36
Anm .: der Terminus "Programme" umfalit hier Z. B. auch Dokumente von Anwendungen mit einer geeigneten Scripting- oder Makroprogram miersprache
394
III Gestaltungsebenen von E-Business
" Wurmer" sind Programme, die sich tiber Computernetze von einem Computersystem auf ein anderes verpflanzen. Wahrend frtihere Exemplare (wie z. B. der von Robert T. Morris in die Welt gesetzte Internet-Wurrn") Sicherheitsmangel (wie z. B. schlecht gewahlte Kennworter) und Programmierfehler in verschiedenen Server-Programmen (z. B. die Moglichkeit, durch tiberlange Datenpakete Programmcode des Server-Programms zu tiberschreiben) ausnutzten, urn auf den angegriffenen Systemen den Wurm (der als Maschinenprogramm vorlag) zur Ausfuhrung zu bringen, haben in letzter Zeit vor all em die sog . "E-Mail-Viren" (wie ,,1 Love You" und .M elissa'<") fur Schlagzeilen gesorgt, die vor allem als E-Mail (manchmal auch als HTML-Seiten) tibertragen werden, urn dann (rnoglichst automatisch) beim Offnen der E-Mail (bzw.beim Abruf der WWW-Seite) als Skript durch den E-Mail-Client (bzw . WWW-Browser) ausgeftihrt zu werden . Wahrend gangige Virenschutzprogramme mittlerweile in der Lage sind, auch bekannte ..E-Mail-Viren.. zu erkennen.sollte auch auf die regelmalsige Analyse der eigenen Systeme auf bekannte Sicherheitsmangel (urn diese zu schlie Ben) nicht vergessen werden; auch sollte der Einsatz von Produktalternativen iiberlegt werden, die gewisse "Features" nicht besitzen, die Wurmer begtinstigen (z. B. das automatische Ausfuhren von Scripts in gerade erst geoffneten E-Mails). Eine gewisse Vorsicht ist schlieBlich immer beim Offnen von E-Mail-Attachments angebracht, die ausftihrbare CodeTeile beinhalten konnten . 2.2.5.4 Weitere MaBnahmen Gerade fur UNIX-Systeme gibt es einige Programme wie Z. B. COPS (,,Computer Qracle and E.assword s.ystem") oder SATAN (,,s.ecurity Administrator Iool for Analyzing Networks"), die installierte Systeme auf viele bekannte Sicherheitslticken uberprufen". Diese Werkzeuge stehen potenziellen Eindringlingen genauso wie dem legitimen Systemadministrator zur Verfugung; daher sollte man jenen mit einer entsprechenden Analyse der eigenen Systeme zuvorkommen. In Sicherheitsbelangen ist es ferner wichtig, sich laufend tiber neue Entwicklungen, Produkte und Gefahrenpotenziale zu informieren. Das Internet bietet hierzu eine Reihe von NewsGroups, Mailinglisten, ... an . Ein guter Einstiegspunkt hierfur ist der WWW-Server des CERT (,,Computer Emergency Response Ieam") Coordination Center (http ://www.cert .org/) . Eine unverzichtbare Hilfe beim Entdecken und Analysieren von Einbruchsversuchen und Einbrtichen in ein System sind automatisierte Aufzeichnungen tiber aile sicherheitsrelevanten Aktivitaten ("Logs "). Im Fall von verdachtigen Aktivitaten sollen automatisch Verstandigungen (',Alert) an den verantwortlichen System-
37 38 39
Vgl. Rubin 2001, S. 19 ff. Vgl. Rubin 2001, S. 24 ff. Vgl. Hughes 1995 und FarmerlVenema 1995
2 Sicheres E-Business
395
administrator erzeugt werden. Diese Logs sollten femer regelmalsigen auto matisierten und manuellen Revisionen (',Audits") unterzogen werden"; urn auf diese Weise bestehende Schwachstellen zu erkennen; auf diese Weise stellen Logs auch eine wertvolle Grundlage fUrdie im Kapitel 2.1 beschriebene Risikoanalyse dar. Manchmal konnen auch unkonventionelle Ideen fur die Ausgestaltung von Sicherheitssystemen hilfreich sein; manche richten z. B. sog. ,,honey pots" (dt. .Honigtopfe") ein, das sind Computersysteme, deren einziger Zweck es ist, verdachtige Aktivitaten (vor allem von AuBenseitem) auf sich zu ziehen (und auf denen daher keine echten Services laufen); da jede Aktivitat auf einem solchen System sofort einen Alarm auslost, ergibt sich die Chance, auf Attacken bereits frtihzeitig zu reagieren. Bedienungsfehler durch (legitime) Benutzer konnen teilweise durch geeignete MaBnahmen bei Entwurf und Implementierung der betreffenden Softwarekomponenten verhindert werden . Wichtige MaBnahmen sind der Einbau entsprechender Plausibilitatsprufungen, der Einbau zusatzlicher Bestatigungsmalsnahmen vor potenziell destruktiven Aktionen (die aber so gehalten sein sollten , dass der Benutzer ein automatisiertes Bestatigen dieser Aktionen sich nicht "antrainieren" kann), aber auch der Vorkehrung, dass diese wieder ruckgangig gemacht werden konnen; besonderes Augenmerk sollte auf die Gestaltung der Benutzeroberflache gelegt werden , die in sich konsistent (und damit leicht durchschaubar und erlembar) sein, aber auch das Augenmerk auf die fur die jeweilige Aufgabenstellung wesentlichen Details lenken sollte. AIle Sicherheitsvorkehrungen sind letztlich nutzlos, wenn das geschtitzte System schlicht und einfach nicht funktioniert. Daher sind geeignete MaBnahmen zu treffen , die ein Wiederanlaufen von kritischen Funktionen innerhalb einer akzeptablen Zeitspanne garantieren. Dies bedeutet das VerfUgbarhalten von entsprechenden Reservecomputem fur kritische Server, das Bereitstellen von Ausfallsverbindungen fur kritische Kommunikationsverbindungen sowie das regelmallige Anlegen von Sicherungskopien ("Backups") von allen Informationen. Solche Sicherungskopien ermoglichen auch, Benutzerfehler (wie z. B. das versehentliche Loschen einer Datei) in gewissem AusmaB zu korrigieren. Die Verftigbarkeit von Sicherungskopien und gegebenenfalls Reservesystemen ist auch Voraussetzung dafur, nach erfolgreichen Attacken rasch wieder einen sicheren Systemzustand er-
40
Anm.: Manche Produkte der Kategorie der sog. "Intrusion Detection Systems" , vor allem solche, die auf den Schutz von Einzelsystemen spezialisiert sind, analysieren solche Log-Eintrage in .Bcinahc-Echtzeir", urn Spuren von verdachtigen Aktivitaten zu erkennen (jene Produkte, die der Absicherung von Netzwerken dienen , ziehen stattdessen die tiber ein Netzwerk-Segment tibertragenen Datenpakete heran) ; als verdachtig gelten dabei entweder vorher einprogrammierte Muster, die typisch fur bekannte Attacken sind (deren Liste - wie bei Virenschutzprogramrnen -laufend aktualisiert werden muss) oder einfach alles, was in einer vorangehenden .Lernphase" nicht als norm ale Systernaktivitaten eingelernt wurde.
396
III Gestaltungsebenen von E-Business
reichen zu konnerr" . Zu beachten ist jedoch, dass Datentrager mit Sicherungskopien von sensiblen Daten auch entsprechend sicher aufzubewahren sind.
2.3 Anwendungsbeispiel: sichere elektronische Zahlungsanweisungen mit Kreditkarten Das gegenwartige Internet ist auf den Austausch von sensiblen Informationen denkbar schlecht vorbereitet: z. B. werden Informationen vielfach noch immer im Klartext tibertragen; manchmal sind Mail-Relays noch so konfiguriert, dass unzustell bare E-Mails einfach in der Mailbox des dortigen "postmasters" landen, der originale Absender oft aber keine Benachrichtigung erhalt, dass seine Nachricht nicht angekommen ist - urn nur einige Sicherheitsprobleme im Internet zu nennen . Dies ist nicht weiter verwunderlich: Zweck des Intemets war lange Zeit die breite Fachdiskussion mit moglichst vielen Fachkollegen, nicht aber das Ubermitteln von sensiblen Informationen, wie dies fur den elektronischen Geschaftsverkehr erforderlich ist. Urn diesem Problem abzuhelfen, sind seit einiger Zeit verschiedene Entwicklungen im Gange: Manche dieser Vorschlage versuchen Kommunikation im Internet allgemein abzusichem - wie PGP (,£retty Qood E.rivacy") und S-MIME ("S.ecure - Multipurpose Internet Mail Extensions") fur E-Mail, SSL (,,s.ecure S.ocket Layer") fur WWW oder IPSec fur die Absicherung der Kommunikation tiber IPv6 42 allgemein. Andere Ansatze wenden sich besonders sensiblen Teilproblemati ken - etwa Zahlungsvorgangen im Internet - zu und versuchen fur diese maBgeschneiderte Losungen anzubieten. Ein Beispiel fur letzteren Ansatz ist die SETSpezifikation ('5.ecure Electronic Transaction specification")", die unter der Federfuhrung der beiden groBen Kreditkartenorganisationen MasterCard und VISA entwickelt wurde, urn eine sichere elektronische Abwicklung von Zahlungen mit Kreditkarten zu ermoglichen.
2.3.1 Ziele der SET -Spezifikation Sieben Anforderungen an die SET-Spezifikation werden genannr":
41
42
43
44
Die erforderlichen Aktivitaten mussen dazu aber auch durch das zustandige Personal in regelmasigen Ubungen eintrainiert werden . Anm .: dem geplanten Nachfolgeprotokoll fur das derzeit verwendete IP ("Internet rrotocol"); auch als IPng (,,lnternet rrotocol-!lew generation") bezeichnet; IPSec ist mittlerweile auch fur das derzeit verwendete "IPv4" definiert. Anm .: Die z. Zt. gi.iltige Version 1.0 dieser Spezifikation ist in MasterCardlVISA 1997a, MasterCardlVISA 1997b, MasterCardlVISA 1997c und MasterCardlVISA 1997d festgelegt. Alternative Ansatze fur den elektroni schen Zahlungsverkehr werden u. a. in Morgan 1995 und Meli 1995 beschrieben. S. MasterCardlVISA 1997a, S. 6
2 Sicheres E-Business
397
1. 2. 3. 4.
die Vertraulichkeit der Verrechnungsinformation zu gewahrleisterr": die Integritat aller tibertragenen Daten zu gewahrleisten; Kunden als legitimen Nutzer eines Kreditkartenkontos zu autorisieren; Handler als legitimen Vertragspartner einer Kreditkartenorganisation zu autorisieren ; 5 . die besten Sicherheitspraktiken und Systementwurfstechniken einzusetzen, urn aile legitimen Teilnehmer am elektronischen Gesc haftsverkehr zu schutzen; 6. ein (anwendungsspezifisches) Protokoll zu definieren, das weder die Verwendung von bestimmten Sicherheitsmechanismen auf Transportebene voraussetzt noch diese ausschlieBt; 7. die Interoperabilitat zwischen Software- und Netzwerkanbietern zu ermoglichen und zu untersttitzen.
Weitere Ziele, die in der Praxis verfolgt werden, sind z. B. der Einsatz existierender Standards, Konforrnitat mit allfalligen Exportrestriktionen fur kryptografische Produkte und Flexibilitat bezug lich verschiedener Einsatzszenarien.
2.3.2 Das Vorgang smod ell fUr einen elektronischen Gescha ftsfall Die SET-Spezifikation geht von folgendem Ablauf eines typischen elektronischen Geschaftsfalls aus": 1.
2. 3.
4.
5.
6.
45
46
Der Kunde "blattert" in einem (elektronischen) Kata!og; dieser kann online (z. B. im WWW) oder offline (z. B. auf CD-ROM oder auch in Papierform) angeboten werden . Der Kunde wahlt aus diesem Katalog die Artikel aus, die er kaufen mochte , Dem Kunden wird ein Bestellformular angezeigt, in dem aile zu bestellenden Artikel mit ihrem Preis sowie der Gesamtpreis inklusive Versandkosten und Steuern angezeigt sind; dieses Formular kann elektronisch von einem vom Handler betriebenen Server tibertragen oder lokal am PC des Kunden durch die Bestellsoftware erzeugt werden . Der Kunde wahlt die Zahlungsmethode aus und komplettiert das Bestellformular mit den entsprechenden Verrechnungsinformationen; die SET-Spezifikation geht von dem Fall aus, dass der Kunde mit seiner Kreditkarte zahlen will. Der Kunde sendet dem Handler das Bestellformular mitsamt der entsprechenden Verrechnungsinformationen; die Ubertragung kann z. B. tiber WWW oder E-Mail erfolgen. Der Handler fordert von der Kreditkartenorganisation eine Zahlungsautorisierung an. Anm.: fur eine vertrauliche Ubertragung der Bestellinformation trifft die SET-Spezifikation zwar keine Vorkchrungen, sie soli aber durch andere Protoko lle, z. B. SSL, ermoglicht werden. VgI. MasterCard/VISA 1997a, S. 10 f.
398
7. 8. 9.
III Gestaltungsebenen von E·Business
Der Handler sendet an den Kunden eine Bestatigung seiner Bestellung. Der Handler versendet die bestellten Guter oder erbringt die bestellten Dienstleistungen. Der Handler fordert von der Kreditkartenorganisation die Zahlung an (Zahlungseinzug).
Gegenstand der SET-Spezifikation sind nur die Schritte 5 bis 7 und 9 (samt Varianten) .
Kreditkartenorganisation Issuer
Karten besitzer
Aquirer
Handler
~
Kommunikation gemall SET-Spezifikation Kommunikation nach organisationsintemen Normen, jedoch erforderlich gemaf SET-Spezifikation .................~ Vertragsbeziehung, keine direkte Kommunikation _ _
Abb. 111-2.9 Komrnunikations- und Vertragsbeziehungen gemaf SET-Spezifikation
Abb. III-2.9 zeigt die Vertrags- und Kommunikationsbeziehungen zwischen dem Kunden, dem Handler und der Kreditkartenorganisation. Der Kunde wird gemaf der im Kreditkartenwesen gangigen Terminologie als "cardholder" (Kartenbesitzer), der Handler als "merchant" bezeichnet. Aber auch die Kreditkartenorganisation ist in sich gegliedert: Jene Stelle, von der der Kartenbesitzer seine Kredit-
2 Sicheres E-Business
399
karte bekommt und die sein Kreditkartenkonto verwaltet, wird als "issuer" (kartenausgebende Organisation) bezeichnet; der Vertragspartner des Handlers, tiber den der Handler die Zahlungen via Kreditkarten abwickelt, wird als "aquirer" bezeichnet (diese Organisation hat auch die Aufgabe, Handler als Vertragspartner der Kreditkartenorganisation zu aquirieren). Zu beach ten ist dabei , dass im Rahmen des Zahlungsvorgangs der Kartenbesitzer nur indirekt, namlich tiber Handler und Aquirer, mit seinem Issuer kommuniziert", ganz so, wie beim herkommlichen Begleichen von Rechnungen mit Kreditkarte.
2.3.3 Die elektronische Zahlungsanweisung Abb . III-3 .10 zeigt den Kemvorgang in der Abwicklung einer elektronischen Zah lungsanweisung in einem typischen Szenario gemaf SET-Spezifikation: I.
Der Kartenbesitzer sendet seine Bestelldaten zusammen mit den dazugehorigen Verrechnungsdaten an den Handler. Damit diese nicht nachtraglich verfalscht werden konnen, sind beide Informationen vom Kartenbesitzer elektronisch unterschrieberr". Damit der Handler nicht in betrtigerischer Absicht die Verrechnungsdaten (z. B. die Kreditkartennummer) zwischenspeichem und spater wiederverwenden kann, werden diese mit dem offentlichen Schltissel des Aquirer" verschltisselt. Eine Verschltisselung auch der Bestelldaten ist nicht Gegenstand der SET-Spezifikation; sie kann aber tiber den zugrundeliegenden Kommunikationsmechanismus (im Fall von WWW z. B. tiber SSL, im Fall von E-Mail z.B .tiberPGPoderS-MIME)erfolgen.Beide Nachrichtenteile beinhalten auch eine eindeutige Transaktionsnummer-? sowie den (von einer Zertifizierungsstelle, s. Kap. 2.3.4, zertifizierten) offcntlichen
47
Anm.: Die SET-Spezifikation setzt die Existenz eines (Kreditkarten-) organisationsinternen Netzes voraus, tiber das die Kommunikation zwischen Aquirer und Issuer abgewikkelt wird; diese Kommunikationsbeziehung ist nicht Gegenstand der SET-Spezifikation. Anm.: Die SET-Spezifikation sieht hierfur eine Variante des in KapiteI2.2.2 beschriebenen Verfahrens vor, die als "dual signature" bezeichnet wird (sinngemab: mehrere Dokumente werden gemeinsam durch nur eine elektronische Unterschrift beglaubigt, diese Unterschrift ist aber fur jedes Dokument einzeln nachprtifbar) ; da "dual signatures" lediglich eine Effizienzsteigerung (durch Vermeidung aufwendiger kryptografischer Operationen) , keinesfalls jedoch eine Steigerung der Sicherheit bewirken, wird hier auf eine Darstellung dieses Verfahrens verzichtet. Als Ubergangslosung sieht die SET-Spczifikation auch die Option vor, dass Kartenbesitzer ohne Schliissel elektronisch bezahlen konnen : es entfallt in allen Nachrichten gernaf SET-Spezifikation die elektronische Unterschrift durch den Teilnehmer (damit aber eine wesentliche Sicherheitsfunktion). Anm .: Dieser muss dem Kartenbesitzer in einem vorangehendcn, optionalen Nachrichtenaustausch mit Identifizierungsdaten oder auf einem anderen Wege (z. B. auf einer WWW-Seite oder CD-ROM des Handlers) mitgeteilt werden . Anm.: Diese wird im Regelfall vorn Handler vergeben und dem Kartenbesitzer im (optionalen) vorangehenden Austausch von Identifizierungsdaten mitgeteilt; findet diescr Austausch nicht stan , wird die Transaktionsnummer vom Kunden vergeben.
48
49
50
400
2.
3.
4. 5. 6.
III Gestaltungsebenen von E-Business
Schlussel des Kartenbesitzers, mit dem dessen elektronische Unterschrift uberpruft wird. Der Handler extrahiert aus den Bestelldaten die relevanten Zahlungsinformationen und sendet diese (von ihm elektronisch signiert) gemeinsam mit den vom Kartenbcsitzer uberrnittelten Verrechnungsdaten als Anforderung, die Zahlung zu autorisieren, an den Aquirer. Der Aquirer sendct dem Handler einc Zahlungsautorisierung; dicsc fallt nur dann positiv aus, wcnn die digitalen Unterschriften von Kartenbesitzer und Handler "passen", die Zahlungsinformationen (die vom Handler kommen) und die Verrechnungsdaten (vom Kartenbesitzer) in wesentlichen Daten (Betragssumme, Transaktionsnummern, ...) ubereinstimmen, die Transaktionsnummern noch nicht verwendet wurden und die Betragssumme durch das Kreditkartenkonto des Kartenbesitzers gedeckt ist (letzteres wird auf organisationsinternen Kommunikationswegen mit dem Issuer abgeprlift); ist die Zahlungsautorisierung positiv , so flihrt dies auch zu einer Reservierung des Betrags auf dem Kreditkartenkonto des Kartenbesit zers. Der Handler sendet - aufgrund der Zahlungsautorisierung des Aquirer - dem Kartenbesitzer eine Bestellbestatigung. Nach Erbringen der bestcllten Leistung sendet der Handler dem Aquirer unter Bezugnahme auf die Zahlungsautorisierung eine Zahlungsanforderung. Der Aquirer wickeIt - im Kontakt mit dem Issuer - die Zahlung vom Kreditkartenkonto des Kartenbesitzers ab und sendet eine Zahlungsbestatigung an den Handler.
Zu diesem Grundschema gibt es zahlreiche Varianten: So konnen z. B. die Zahlungsautorisierung und der Zahlungseinzug zu cinem Vorgang zusammengefasst werden; Handler ohne Onlineverbindung zu ihrem Aquirer konnen die Anforderungen zur Zahlungsautorisierung gesammelt zu einem spateren Zeitpunkt an den Aquirer ubertragen und dem Kartenbesitzer in der Bestellbestatigung vorerst nur den Empfang der Bestellung bestatigen; der Kartcnbesitzer kann sich in diesem Fall zu einem spateren Zeitpunkt durch Bestellanfragen an den Handler tiber den Status seiner Bestellung informieren; bei TeiIlieferungen und Ratenzahlungen (bzw . auch Leasing-Vertragen) kann der Handler die Zahlungsautorisierung und den Zahlungseinzug auch in mehreren Teilen durchflihren. Die Schnittstelle zwischen Handler und Aquirer sieht daruber hinaus noch Gutschriften auf das Kreditkartenkonto des Kartenbesitzers sowie die (ganzliche oder teilweise) Rlicknahme aller Transaktionselemente (Zahlungsautorisierung, Zahlungseinzug, Gutschrift) durch den Handler vor.
2 Sic heres E-Business
Kartenbesitzer
f
(optional): Austausch von Identifikationsdaten -------
Bestellung (Bestell- und Verrechnungsdate
Aquirer
Handler
f
401
Anforderung der Zahlungsauthorisierung (Zahlungsinfos,
f
Verrechnungsdate~
Zahlungs~uthorisierung
BestelllIIII( bestatigung
Zahlungsanforderung .. ZahlungslIIII( bestatigung Abb. III-2.10 Elektronische Bestellung und Bezahlung gemiiB SET-Spezifikation
2.3.4 Zertifizierung von Teilnehmern am elektronischen Zahlungssystem Die SET-Spezifikation sieht vor, dass Teilnehmer anderen Teilnehmem ihren eigenen offentlichen Schliissel und in manchen Fallen auch die offentlichen Schlussel anderer Teilnehmer mitteilen (z. B. wird der Schliissel des Aquirers dem Kartenbesitzer durch den Handler ilbermittelt). Urn zu verhindern, dass sich Betriiger so als Handler oder Kartenbesitzer ausgeben, muss dafur gesorgt werden, dass jeder legitime Nutzer des Systems durch eine entsprechende Stelle der Kreditkartenorganisation beglaubigt (zertifiziert) wird . Angesichts der groBen Zahl von Kartenbesitzem und Handlern, die Vertragspartner einer Kreditkartenorganisation sind, und des entsprechenden Aufwands der Identitatspriifung, wird man nach dezentralen Losungen fur diese Zertifizierung suchen, wobei aber auch sichergestellt sein muss, dass die Zertifikate nicht durch Unbefugte gefalscht werden konnen.
402
III Gestaltungsebenen von E-Business
ZertifiZi'ln
oberste
Zertifizierungsstelle der Kreditkarten-
¥t~ Zertifizierungsstelle fur Kartenbesitzer
n,ganrOn ~anr~
(optional): regionale Zertifizierungsstelle
1
Zertifizierungsstelle fur Handler
(optional): regionale Zertifizierungsstelle
¥t~ Zertifizierungsstelle fur Aquirer
¥~~
¥ Kartenbesitzer
Zertifizierungsstelle der Kreditkarten-
Zertifizierungsstelle der Kreditkarten-
/ga~7 (optional): regionale Zertifizierungsstelle
gsstelle
Handler
Aquirer
Abb. 111-2.11 Zertifizierungshierarchie gemaf SET-Spezifikation Die Losung dieses Problems ist eine sog. Zertifizierungshierarchie, wie sie in Abb. III-2.11 abgebildet ist: Eine oberste ZertifizierungssteIle, deren offentlicher Schltissel allgemein bekannt ist, beglaubigt zunachst durch ihre elektronische Unterschrift die offentlichen Schltissel der Kreditkartenorganisationen; diese wiederurn beglaubigen direkt oder tiber nach regionalen Kriterien zwischengeschaltete Zertifizierungsstellen jene ZertifizierungssteIlen, die letztlich die Zertifikate fur Kartenbesitzer, Handler bzw. Aquirer ausstellen. Mit jedem offentlichen Schliissel, der von einem Teilnehmer bekanntgegeben wird, mtissen aIle Zertifikate , die zur Uberprufung dieses Schltissels erforderlich sind - beginnend mit dem Zertifikat der obersten Zertifizierungsstelle fur sich selbst, dem Zertifikat der obersten Zertifizierungsstelle fur die Zertifizierungsstelle der Kreditkartenorganisation bis
2 Sicheres E-Business
403
hin zum Zertifikat der betreffenden Zertifizierungsstelle fur den offentlichen Schltissel des Teilnehmers - mit tibermittelt werden". Aus obiger Beschreibung geht hervor, dass dem offentlichen Schltissel der obersten Zertifizierungsstelle fur die Sicherheit des Systems eine entscheidende Bedeutung zukommt. Im Regelfall wird dieser Schli.issel in der Software zur Abwicklung des elektronischen Zahlungsverkehrs eingetragen sein; ist dies nicht der Fall, wird die Teilnehmersoftware diesen Schlussel von einer bekannten SET-Zertifizierungsstelle anfordem (die Antworten dieser Zertifizierungsstelle enthalten ja immer auch ein "selbstunterschriebenes" Zertifikat fur den offentlichen Schli.issel der obersten Zertifizierungsstelle); dieser Schli.issel wird aber solange nicht als authen tisch angesehen, als der Benutzer dieses Systems den SchlUssel nicht durch Eingabe einer Kontrollinformation bestatigt, die nichts anderes ist als ein "Fingerabdruck" (vgl. Kap. 2.2.2) dieses offentlichen Schli.issels und die dem Teilnehmer auf unterschiedlichem Weg (aus Zeitungen, einem Schreiben der Kreditkartenorganisation, ...) mitgeteilt werden kann . Eine Anderung des offentlichen Schli.issels der obersten Zertifizierungsstelle erfolgt, indem das Zertifikat fur den Nachfolgeschli.issel im "Schneeballsystem" (von den Zertifizierungsstellen der Kreditkartenorganisation an die Aquirer, von diesen an die Handler und von diesen schlieBlich an die Kartenbesitzer) ubertragen wird . Urn den Benutzern in diesem Fall die Eingabe der Kontrollinformation zu ersparen, enthalt das gegenwartig gUltige Zertifikat fur die oberste Zertifizierungsstelle neben dem momentan gtiltigen Schli.issel auch gleich den .Fingerabdruck" von dessen Nachfolger. Aus Sicherheitsgrunden werden aile Zertifizierungsstellen (ausgenommen jene der untersten Ebene) ohne Netzverbindung betrieben; nur die Zertifizierungsstellen der untersten Ebene befinden sich am Netz (dies ist aus Grunden der Abwicklung von Teilnehmerzertifizierungen auf elektronischem Weg erforderlich), sic sind aber uber geeignete SicherheitsmaBnahmen wie z. B. Firewalls bestmoglich gegen anderen Netzwerkverkehr abgeschirmt. Aile Zertifikate sind mit einem Ablaufdatum ausgestattet; vorhandene Zertifikate mussen daher in regelmabigen Abstanden erneuert werden. FUrden Fall, dass die Sicherheit eines bestimmten geheimen Schli.issels nicht mehr gewahrleistet ist, sieht die SET-Spezifikation den vorzeitigen Widerruf von Zertifikaten auf zwei verschiedenen Wegen vor: einerseits, indem diese Zertifikate von keinem Aquirer mehr akzeptiert werden", andererseits, indem von den Zertifizierungsstellen Li51
52
Anm.: Das Zertifikat fur den Kartenbesitzer enthalt die ihn identifizierenden Daten (Kreditkartennummer und das Ablaufdatum der Kreditkarte) nicht im Klartext, da die betreffenden Informationen bei schriftlichen oder telefonischen Bestellungen zur Bezahlung durch die betreffende Kreditkarte verwendet werden konnen - auch von Handlern oder Lauschern mit betrtigerischer Absicht; im Zuge des Zertifizierungsprozesses wird zwischen dem Kartenbesitzer und der fur ihn zustandigen Zertifizierungsstelle eine nur diesen beiden bekannte Information vereinbart, die es ihnen errnoglicht, aus dem Zertifikat diese Informationen wiederzugewinnen. Dies bewirkt, dass mit diesem Zertifikat und dem dazugehorigen Schli.issel kein Geschaft mehr abgeschlossen werden kann.
404
III Gestaltungsebenen von E-Business
sten der widerrufenen Zertifikate (CRL - ,,certificate Revocation List") publiziert werden .
Literatur Barret (1996), Daniel J., Bandits on the Information Superhighway, Sebastopol 1996 BXA (2001), Bureau of Export Administration des U.S. Department of Commerce, Commercial Encryption Export Controls, http://www.bxa.doc.gov/Encryption/Default.htm (16.10.2001) Cooper et al. (1995), Cooper , Frederic J., Chris Goggans, John K. Halvey, Larry Hughes, Lisa Morgan, Karanjit Siyan, William Stallings and Peter Stephenson, Implementing Internet Security, Indianapolis 1995 Deane et al. (1995), Deane, Frank, Kate Barrelle, Ron Henderson and Dough Mahar, Perceived Acceptability of Biometric Security Systems, in: Computers & Security, 14 (1995), S. 225-231 FarmerIVenema (1995), Farmer, Dan und Wietse Venema, Improving the Security of Your Site by Breaking into It, in: Cooper et al. 1995, S. 213-234 Hagemann/Rieke (1994), Hagemann , Hagen und Andreas Rieke, Datenschlosser, Grundlagen der Kryptologie, in: c't, August 1994, S. 230 ff. Hendry (1995), Mike, Practical Computer Network Security, Boston London 1995 Hendry (1997), Mike, Smart Card Security and Applications, Boston London 1997 Hughes (1995), Larry, Local Workstation and Networking Holes, in: Cooper et al. 1995, S. 55-80 IEEE Internet Computing (1998), IEEE Internet Computing , DES Cracked in Record Time, in: IEEE Internet Computing, September/October 1998, S. 6 f Kaufman/Perlman/Speciner (1995), Kaufman, Charlie, Radia Perlman und Mike Speciner, Network Security, PRIVATE Communication in a PUBLIC World , Englewood Cliffs 1995 MasterCardIVISA (l997a), MasterCard and VISA, SET Secure Electronic Transaction Specification, Book I: Business Description, http://www.setco.org/download/set_bkl .pdf (31.5.1997, Version 1.0) MasterCardIVISA (l997b), MasterCard and VISA, SET Secure Electronic Transaction Specification, Book 2: Programmer's Guide, http://www.setco.org/download/seCbk2.pdf (31.5.1997, Version 1.0) MasterCard/VISA (1997c), MasterCard and VISA, SET Secure Electronic Transaction Specification, Book 3: Formal Protocol Definition, http://www .setco.org/download/seCbk3.pdf (31.5.1997, Version 1.0) MasterCardIVISA (l997d), MasterCard and VISA, External Interface Guide to SET Secure Electronic Transaction, http://www.setco.org/download/seceig.pdf(24.9.1997) Meli (1995), Hans, Sicherheitsarchitektur fur eine Electronic Mall, in: Schmid et al. 1995, S.279-314 Miller (1994) , Benjamin, Vital Signs of Identity, in: IEEE Spectrum, February 1994, S.22-30 Morgan (1995), Lisa, Internet Commerce, in: Cooper et al. 1995, S. 189-211 MorrislThompson (1979), Morris, Robert und Ken Thompson, Password Security : A Case History, in: CACM, November 1979, S. 594 ff Neumann (1995), Peter G., Computer Related Risks, Reading 1995
2 Sicheres E-Business
405
NIST (2001) , National Institute of Stand ards and Technology, AES, http ://csrc.n ist.gov/encryption/aes/ (4.12.200 I) Prosise (1996), Jeff, The Netscape Security Breach, Navi gator's encryption scheme gets brok en : What do we learn", in: PC Magazine , April 23, 1996, S. 199 f Purser (1993) , Micha el, Secure Data Netwo rking, Boston London 1993 Rubin (2001) , Aviel D., White-Hat Security Arsenal, Tackling the Thre ats, Boston 2001 Schifreen (1998), Robert, Security Best Practice - Know Your Enemy, http ://www.info-sec.com/internet/intern eCI21098bj .shtml (10.12.1998) Schmid et al. (1995) , Schmid, Beat, Richard Dratva, Chri stoph Kuhn , Paul Mausberg, Hans Meli und Han s-Dieter Zimmerm ann , Electron ic Mall : Banking und Shopping in globa len Netzen, Stuttgart 1995 Schneier (1996 a), Bruce, Angewandte Krypto graphie, Proto kolle, Algorithmen und Sourcecode in C, Bonn [u.a.] 1996 Schne ier (1996b), Bruce, Why cryptog raphy is harder than it looks, http ://www .info-sec.com/crypto/info secf.html- ssi(8.11 .1996) Sherman (1992), Robin L. , Biometrics Fu tures, in: Computers & Securi ty, II (1992), S. 128-133 Siyan (1995), Karanjit, Firewalls, in: Coop er et. al. 1995, S. 81-106 Tabibian (1995), O. Ryan , Net Security Und er Scrutinity, in: PC Magazine , Octob er 24, 1995,S.29 Tanenbaum (1994), Andrew S., Moderne Betriebssysteme, Munch en Wien London 1994 Wendt (1994), Patr ick, Wenn lang nicht langt, Jahrhundert -Hack: RSA-1 29 geknackt. in: iX, September 1994, S. 130 ff
3 Der Rechtsrahmen der Informationsgesellschaft Johann Holler Institut fUr Datenverarbeitung, Johann es Kepler Universitdt Lin;
3.1 Zur Notwendigkeit der Regulierung Unternehmerisches Handeln setzt ein gewisses MaB an Regeln voraus, die die Basis fur die Planung bilden. Das Unternehmen als offene s, soziales System existiert immer in einem bestimmten, auch durch Rechtsvorschriften definierten Raum. Dieser Rechtsrahmen beeinflusst nicht nur die konstitutiven Entscheidungen bei der Griindung (Fragen der Wahl der Rechtsform), sondern auch das Potenzial und die Planbarkeit unternehmeri scher Aktivitaten.' Die - weitgehende - Abwesenheit von regulierenden Recht svorschriften hat zwei Wirkkomponenten: Einerseits ergibt sich damit ein grofseres Potenzial an Moglichkeiten , weil eben keine beschrankenden Rechtsvorschriften existieren. Andererseits sind diese nahezu unbegrenzten Moglichkeiten auch mit entsprechend hohen Risken behaftet, weil auch die Regeln fehlen, die das Handeln der Geschaftspartner vorhersehbar und im Notfall auch durchsetzbar machen . Marktwirtschaftliches Handeln setzt also ein MindestmaB an - auch rechtlich durchsetzbarer - Regelung voraus, wird anderseits durch ein Ubermaf an Regelung in ihrer Wirksamkeit behindert . Ein Beispiel fur letzteres ist der Telekommunikationssektor. Die Liberalisierung, die im Wege von EU-Richtlinien in das nationalstaatliche Recht Einzug hielt, veranderte die rechtlichen Rahmenbedingungen nachhaltig. Die Fiille der heute angebotenen Telekommunikationsdienste sowie die Preisentwicklung waren ohne Deregulierung unvorstellbar. Nunmehr ist die Wirkung des rechtlichen Umfeldes in den Hintergrund getreten; andere Faktoren wie etwa neue Mitbewerber und der Preisdruck wirken starker auf die Marktentwicklung als rechtliche Normen." Die Auswirkungen sind nicht nur im Bereich der Telekom-Unternehmen selbst sehr bedeutsam, sondern auch fur viele andere Unternehmen, fur die TelekomDienste zu kritischen Erfolgsfaktoren geworden sind. Auch wenn die seifenblasenartige Entwicklung der "New Economy" ein abruptes Ende gefunden hat, ist doch das auf Internet basierende Geschaft der dot-corns fur die wirtschaftliche Entwicklung der Zukunft nicht mehr wegzudenken.' Vgl. Holler 1999 Vgl. Weigel 1999 Vgl. EU-Kommission 2001 a, insb. S. 12 ff
408
III Gestaltungsebenen von E-Business
Das Internet ist erst vor wenigen Jahren zum bedeutsamen Gegenstand unter nehmerischen Handel s geworden - heute steht es im Mittelpunkt der europaischen Wirtschaftspolitik. 1m Aktionsplan "eEurope" hat die EU das Ziel formuliert, die Europaische Union zum "wettbewerbsfahigsten und dynamischen wissensbasierten Wirtschaftsraum der Welt'" zu machen - und im Aktionsplan eEurope2002 steht die Forderung .Billigeres, schnelleres und sicheres Internet" an erster Stelle.5 1m "akademischen" Zeitalter existierten primar nur Spielregeln unterhalb der Verbindlichkeit rechtlicher Normen: .Netiquette" (vgl. Abschnitt I, Kap. 1.4.3) Die zunehmende Kommerzialisierung hat auch den Bedarf nach .Verrechtlichung" erhoht, Die erste "Nachfragewelle" wurde im Wesentlichen durch Gerichte gedeckt. Unternehmen, die es im wirtschaftlichen Umfeld gewohnt sind, Vereinbarungen im Streitfall vor Gerichten durchzusetzen, haben dieses Verhalten konsequent auch auf Vorgange in Verbindung mit Internet angewendet. Die Gerichte sind dem im Wesentlichen auch nachgekommen und haben in vielen Fallen existierende Rechtsnormen auch auf Internet-Transaktionen angewendet und damit bestehende Unsicherheiten reduziert. Dennoch sind viele Fragen noch offen - wenngleich sich die Ebene der Fragestellung bei den Gerichten von Grund satzfragen immer mehr auf eine detailliertere Ebene verlagert. Die Entwicklung des Internets ist jedoch inzwischen so bedeutsam fur die gesamtwirtschaftliche Entwicklung geworden , dass derartige Fragen eine hochpolitische Dimension erreicht haben. Die zweite Welle besteht daher in einer ganzen Hille gesetzgeberischer Aktivitaten, urn diese politischen Zielsetzungen umzusetzen. Einzelne Staaten wie z. B. Deutschland haben bereit s vor einigen Jahren spezifische Regelungen flir Telematikanwendungen erlassen (luKDG6). Aufgrund der starken Vernetzung innerhalb des gemeinsamen Marktes haben solche Initiativen nicht nur innerstaatliche Auswirkungen, sondern verandern die Systemumgebung auch in Nachbarstaaten. Es ist daher nur konsequent, dass praktisch aIle derartigen Initiativen der Ietzten Jahre - und es gab derer eine ganze Menge - von der EU ausgegangen sind . Die europaische Idee der Forderung der .Jnformationsgesellschaft" geht ebenso wie in vielen anderen Rechtsmaterien - von der Uberlegung aus, dass sich eine ausreichende Beteiligung nur dann einstellen wird, wenn es eine entsprechend sichere Grundlage fur Transaktionen - sowohl von Seite des Unternehmers wie auch des Konsumenten - in diesem Bereich gibt.' Vg!. EU-Kommission 2001b, S. 2 Vg!. EU-Kommission 2002, S. 2 Gesetz zur Regelung der Rahmenbedingungen fur Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Ge setz - IuKDG) vom 22. Juli 1997, BGB!. I S.1870, http://www.iid.delrahmenliukdg .html(AprilI999) "Die Wirtschaft und generell die BUrger der Europa ischen Union brauchen ein rechtliches Umfeld, das unzweideutig , effizient und praxisgerecht und damit dem sich rasch wandelnden globalen Markt angemessen ist" (Vg!. EU-Kommission 2001b, S. 19)
3 Der Rechtsrahmen der Informationsgesellschaft
409
Das amerikanische Modell geht im Grundsatz davon aus, dass es nicht moglich ist, durch Rechtsnormen die Sicherheit zu erhdien, ohne gleichzeitig das Potenzial fur Neuentwicklungen zu beschranken. Das europaische Modell versucht zu bewei sen , dass durch einen hoheren Grad an Sicherheit mehr Teilnehmer zur Mitwirkung gewonnen werden konnen und damit die Zahl jener, deren potenzielle Nutzung durch solche Regulierungen verhindert wird, mehr als aufgewogen wird. Es mag durchaus sein, dass beide Modelle aufgrund der jeweils unterschiedlichen kulturellen und gesellschaftlichen Voraussetzungen richtig sind - auch wenn die europaische Denkart tendenziell zur Uberregulierung neigt. Das wird inzwischen auch auf der EU-Ebene einbekannt, wenn die Kommission in ihrem Bericht feststellt, dass .f ormale Regelung nicht immer der richtige Weg ist" ," Auch wenn die USA traditionell den Ansatz verfolgen, moglichst wenig gesetzlich zu regulieren und die Entwicklung dem Markt zu tiberlassen , darf man nicht tibersehen, dass praktisch aIle Entscheidungen tiber die weitere Entwicklung des Internets durch US-amerikanische Unternehmen bzw. Organisationen beeinflusst bzw. kontrolliert werden - und das mit weltweiter Wirksarnkeit. Der formalen "Nicht-Regulierung" steht also eine de facto nahezu unbeschrankte Regulierung durch Standards und technische Vereinbarungen gegentiber. Die Diskussion tiber die Vergabe der neuen Top-Level-Domains? zeigte erstmals , dass Europa diese Situation erkannt hat und zumindest versucht, in die weiteren Entwicklungsschritte miteingebunden zu werden - wenn auch mit bescheidenem Erfolg.
3.2 Wo liegt "Cyberland" Grenzen nationaler Rechtssetzung Recht ist gegentiber anderen Sollensvorschriften dadurch abgegrenzt, dass es im Konfliktfall durch staatliche Autoritat durchgesetzt werden kann . Die Durchsetzung ist auf das Territorium des jeweiligen Staatsgebietes beschrankt. Konsequenterweise sind auch die weitaus meisten Rechtsvorschriften nach dem Territorialitatsprinzip gestaltet. Wortbildungen wie "Cyberspace" und .Jm Internet" waren offenbar die Grundlage fur Meinungen, das Internet sei ein eigener, wenn auch virtueller, Raum, abgehoben von der Durchsetzbarkeit territorial beschrankter Rechtsordnungen und mangels eigener spezifischer Rechtsnormen daher ein .rechrsfreier" Raum. Wenn auch vieles an der rechtlichen Einordnung unklar ist - fest steht jedenfalls: Das Internet ist kein rechtsfreier Raum. Das Handeln mithilfe des Internets unterliegt grundsatzlich denselben staatlichen Regeln wie das Handeln ohne elektronische Hilfsmittel. Welche Regeln im Einzelfall jedoch gelten, ist eine kompliVgl. EU-Kommission 2001b, S. 19 Vgl. Kuri 1999. Das Konzept der "Internet Corporation for Assigning Numbers and Names" (ICANN, www.icann .org) ist zwischen den USA und der ED abgestimmt: http://www.ispo.cec.be/eif/dns/statement2 .htrnl (April 1999).
410
III Gestaltungsebenen von E-Business
zierte Frage, auf die es auch nur eine komplizierte, differenzierte Antwort geben kann - und manche Teilfragen werden wohl noch eine ZeitIang unbeantwortet bleiben .
3.2.1 Nach welchem Recht sind Fragen zu beurteilen? Relativ einfach losbar wird die Frage dort sein, wo es urn die Rechtswirksamkeit von Handlungen in Zusammenhang mit der Anbahnung bzw. Abwicklung von Vertragen geht. Das IPRGIO enthalt Regeln, welches nationale Recht bei Zusammentreffen mehrerer Beziehungen anzuwenden ist. Natiirlich konnen auch die Vertragsparteien selbst - implizit oder explizit - die Anwendung einer bestimmten Rechtsordnung vereinbaren. Daneben gibt es in Teilbereichen auch inhaltIiche Regeln fur internationale Vorgange, wie z. B. das UN-Kaufrecht. Dieses ist nach Artikel 1 auf Kaufvertrage iiber Waren zwischen Parteien anzuwenden, die ihre Niederlassung in verschiedenen Staaten haben, wenn diese Vertragsstaaten sind oder die Regeln des internationalen Privatrechts zur Anwendung der Rechtsordnung eines Staates fuhren , der Vertragsstaat ist. Es gilt nach Artikel 2 aber u. a. nicht fur .private"!' Kaufe. Sehr viel schwieriger ist die Frage des Erlaubtseins in intemationalen Computernetzwerken wie etwa dem Internet zu IOsen. 12 Wenn oft in Zusammenhang mit dem Internet von "Cyberspace" gesprochen wird, dann ist das im Sinne der urspriinglichen Begriffsbildung falsch ," Fiir die Rechtsordnung stellen sich solche internationalen Geflechte tatsachlich oft als schwer greifbar heraus ; es gibt in jedem Einzelfall viele Argumente, die fur die Unanwendbarkeit des jeweiligen nationalen Rechts sprechen - und in "Cyberland" gibt es keine Rechtsvorschriften.!' Genauso stellt sich das umgekehrte Problem: So stellt beispielsweise das LG Miinchen I fest, dass bei Verbreitung einer Nachricht via Internet eine Zustandigkeit an jedem Gerichtsort gegeben ist, an dem diese Nachricht abgerufen werden
10
II
12 13
14
Bundesgesetz vom IS. Juni 1978 tiber das internationale Privatrecht (IPR-Oesetz), BOB!. 1978/304; der Grundsatz lautet, dass Sachverhalte mit Auslandsbezug in privatrechtlicher Hinsicht nach dem Recht jenes Staates zu beurteilen sind, zu dem die starkste Beziehung besteht. (Vg!. MtinchKomm 1990 - Sonnenberger, Einleitung, RdNr 11 ff) Die im Einflihrungsgesetz zum BOB enthaltenen deutschen IPR-Regeln sind durch das Gesetz zur Neuregelung des internationalen Privatrechts vom 25. 7. 1986 (BOB!. I S. 1142) tiberarbeitet worden. Sonderregeln fur vertragliche Schuldverhaltnisse enthalt z. B. das Europaische Vertragsstatuttibereinkommen (EVU). Art. 2: .Dieses Ubereinkommen findet keine Anwendung auf den Kauf a) von Ware fur den personlichen Gebrauch oder den Gebrauch in der Familie oder im Haushalt, es sei denn, dass der Verkaufer vor oder bei Vertragsabschluss weder wusste noch wissen musste, dass die Ware fur einen solchen Gebrauch gekauft wurde ..." Vgl. dazu auch Kap. 3.6.6 Gepragt wurde der Begriff fur die Simulierung "virtueller Welten" im Computer; das Internet dagegen ist ganz rea!. Es gibt Regeln, "was man tut und was nicht" (Netiquette), aber mit staatlicher Zwangsgewalt durchsetzbar sind diese nicht.
3 Der Rechtsrahmen der Informationsgesellschaft
411
kann." Wendet man diese wohl fur den Bereich des innerdeutschen Rechts verstandene Ansicht konsequent an, dann wtirde sie die weltweite Vielfachzustandigkeit von Gerichten bedeuten. 16 Jeder, der Informationen im WWW oder in Newsgroups veroffentlicht, muss sich bewusst sein, dass sein Handeln nach Tausenden von Rechtsordnungen weltweit beurteilt werden kann . So hat der OGH im Streit urn die Marke BOSSI7 festgestellt, dass selbst wenn beide Streitparteien ihren Sitz in Deutschland haben, osterreichische Gerichte fur Streitigkeiten urn die Verletzungen des Markenrechts zustandig sind. Es wird festgestellt, dass in die Markenrechte des Inhabers einer osterreichischen Marke eingegriffen wird, .wenn im Internet eine Website aufgesucht werden kann, auf der fur eine die Markenrechte des Klagers verletzende Ware geworben wird und auf der sie im Sinne des § lOa Z 2 MSchG angeboten wird."18 Das gilt unabhangig davon, wo die Domain registriert ist, wei I der Inlandsbezug bereits dadurch hergestellt wird, dass die Website von einem Internetzugang in Osterreich aus angewahlt werden kann . Die von der Beklagten vorgebrachten Argumente, dass die Produkte in Osterreich nicht vertrieben wurden und auf der Homepage weder eine Bestellmoglichkeit, noch osterreichische Kontaktadressen, Telefonnummer und auch keine Preise in Schilling angegeben waren, konnte den OGH (im Gegensatz zu den Vorinstanzen) nicht uberzeugen, dass kein Inlandsbezug besteht. Da es sich bei der Verletzung von Markenrechten urn einen deliktischen Gerichtsstand han deIt, ist dafur das Gericht jeden Ortes zustandig, in dem das schadigende Ereignis eingetreten ist. Die Versuche der Lehre, die unerwunschte Vielfachzustandigkeit zu beschranken, anerkennt der OGH zwar fur das Wettbewerbsrecht, nicht jedoch fur die Verletzung von Markenrechten: "Die dazu von den Parteien und auch vom Rekursgericht zitierten Lehrmeinungen betreffen in erster Linie die Frage des Gerichtsstands bei Wettbewerbsverletzungen im Internet und die Frage des anwendbaren Rechts. Ihnen gemeinsam ist das Bemuhen, angesichts der weltweiten Verftigbarkeit der Dienste des Internets und der daraus folgenden Anwendbarkeit unzahliger nationaler Rechte und der Zustandigkeit einer Vielzahl von nationalen Gerichten Kriterien fur eine Auswahl der anwendbaren Rechtsordnungen und der anzurufenden Gerichte zu erarbeiten. Bei einer vom Klager behaupteten Markenverletzung liegen die Dinge insofern anders, als es - anders als bei der Frage des anwendbaren Rechts fur Anspruche aus unlauterem Wettbewerb (§ 48 Abs 2 IPRG) - nicht auf den betroffenen Markt ankommt, sondern darauf abzustellen ist, ob die Marke auf der Website des beklagten Starers auf eine Art benutzt wird, die dem Markeninhaber vorbehalten iSt."19
LG MUnchen I, Schrotthaufen Vgl. Walter 1995, S. 125 17 Vgl. OGH, BOSS im Internet 18 Ebenda, S. 5 19 Ebenda 15 16
412
III Gestaltungsebenen von E-Business
3.2.2 Notwendigkeit internationaler Rechtsangleichung
Natiirlich konnte jeder Staat neue Gesetze beschlieBen (oder bestehende so interpretieren) und damit festlegen , dass sie fur die ganze Welt gelten und so auch Gebilde wie Internet seiner nationalstaatlichen Gesetzgebung unterwerfen . Auch ein solches Vorgehen konnte aber die Frage nicht losen, ob im konkreten Fall die Rechtsordnung dieses Staates iiberhaupt zur Anwendung kommt, weil dies eine notwendige Voraussetzung fur die Anwendung eines bestimmten Gesetzes darstellt. Sehr umfassend diskutiert wird in den .Jclassiscben" Medien derzeit die Verfugbarkeit von pornografischen und nationalsozialistischen Inhalten im Internet. An diesem Beispiel lasst sich sehr einfach die Problematik internationaler Computernetzwerke demonstrieren: Die Beurteilung, was nun als Pornografie verboten und was als erotische oder kiinstlerische Darstellung durchaus erlaubt ist, ist nicht nur einem zeitlichen Wandel unterworfen, sondern auch von gesellschaftlichen Verhaltnissen abhangig. Es ist daher keineswegs die Ausnahme, sondern wohl eher die Regel, dass in vielen Fallen Entscheidungen von Gerichten in den unterschiedlichen Staaten auch zu gegenteiligen Ergebnissen fuhren wiirden. Da elektronische Informationsangebote keine Zollschranken zu passieren haben, an denen man die Informationen beim Eintritt in das Staatsgebiet .filtem" konnte, kann praktisch kein Staat fur sich ailein Einfluss auf das Angebot im Internet nehmen ohne gleichzeitig damit auch das Angebot in den anderen Staaten zu beeinflussen. Tatsachlich vorgehen kann nur der Staat, in dem die zugrundeliegende Hardware betrieben wird. Da diese ja (noch?) nicht virtuell sein kann, muss es einen Staat geben, der korperlichen Zugriff darauf nehmen und damit ggf. ZwangsmaBnahmen setzen kann. Solange es aber einen Staat gibt, aus dessen Sicht ein bestimmtes Angebot als erlaubt zu beurteilen ist (z. B. nationalsozialistische Propaganda in den USA), werden entsprechend Interessierte ihr Angebot auf diesen Staat konzentrieren. Aufgrund der Globalisierung der Kornmunikationsinfrastruktur im Internet ist es dann nattirlich auch Teilnehmern aus anderen Staaten moglich, diese Informationen abzurufen. So hatte etwa der BGH sich in einem Fall mit der Frage zu befassen, ob Texte, die den Massenmord an den Juden leugnen auf einem australischen Server - und zwar in englischer Sprache - der deutschen Rechtssprechung unterliegen . Der Angeklagte war - ein in Deutschland geborener - australischer Staatsbiirger. Diese Informationen standen - von der australischen Justiz unbehelligt - im Internet zum Abruf zu Verfugung. Bei der Einreise nach Deutschland wurde der Tater verhaftet und in der Folge verurteilt. 1m Gegensatz zu den Vorinstanzen bejahte der BGH auch die Strafbarkeit wegen der Intemet-Texte." Erfordert die Reise in der .virtuellen Welt" also Beschrankungen bei den Reisen in der realen Welt?
20
BGH, Ausschwitzltige im Internet.
3 Der Rechtsrahmen der Informationsgesellschaft
413
Eine der globalen Dimension des Internets angemessene rechtliche Regelung kann nur darin liegen, den grobten gemeinsamen Bereich an allgemein abzulehnenden Informationen auf volkerrechtlicher Ebene zu definieren und in allen Staaten gleiehlautend zu sanktionieren. Ein globales Netzwerk erfordert auch global gultige rechtliche Rahmenbedingungen. Zunehmend wird den nationalstaatliehen Gesetzgebern auch bewusst, wie beschrankt die Wirksamkeit ihrer legislativen Moglichkeiten geworden ist. Telematikdienste sind praktisch ortsungebunden - sie konnen daher ohne Aufwand und innerhalb ktirzester Zeit von einem Ort an einen anderen transferiert werden und damit auch dem Zugriff einer staatlichen Autoritat entzogen werden. Dies fuhrt de facto oft dazu, dass existierende Regeln nieht durchgesetzt werden konnen und ist damit (mit-)verantwortlich dafur, dass das Internet manchmal noch immer als "rechtsfreier" Raum angesehen wird. Die EU hat diese Notwendigkeit ganz offenbar erkannt; in den letzten Jahren ist eine Reihe von Richtlinien beschlossen worden, die einerseits eine einheitliche europaische Rechtssituation - und damit auch Rechtssicherheit - schaffen, anderseits auch die unerwtinschte Vielfachzustandigkeit beschranken, Ein ganz wesentlicher Punkt ist dabei das in der E-Commerce-Richtlinie2 1 verankerte Herkunftslandprinzip; im Prinzip sehr ahnlich ist auch die Regelung des raumlichen Anwendungsbereichs im Datenschutzgesetz 2000.
3.2.3 Herkunftslandprinzip Urn ein mogliches Missverstandnis gleich von vorneherein auszuschlieBen - das Herkunftslandprinzip ist kein universell anwendbarer Grundsatz, sondern gilt nur fur eine bestimmte Kategorie von Anwendungen - und ist auch da von einer Reihe von Ausnahmebestimmungen durchbrochen .P Die Absicht besteht darin, das Angebot von Diensten der Informationsgesellschaft zu fordern, indem die rechtlichen Hemmnisse fur die Weiterentwicklung derartiger Dienste beseitigt werden: "Die Hemmnisse bestehen in Unterschieden der innerstaatlichen Rechtsvorschriften sowie in der Rechtsunsicherheit hinsichtlieh der auf Dienste der Informationsgesellschaft jeweils anzuwendenden nationalen Regelungen"." Die europaische Rechtsvereinheitlichung ist zwar nur ein Teilaspekt der eigentlich notwendigen globalen Abstimmung - solI aber auch dazu beitragen, gemeinsam starker bei internationalen Verhandlungen auftreten zu konnen.> 21
22 23
24
RICHTLINIE 2000/311EG DES EUROpAISCHEN PARLAMENTS UND DES RATES yom 8. Juni 2000 tiber bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschaftsverkehrs, im Binnenmarkt ("Richtlinie tiber den elektronischen Geschaftsverkehr"), in: Abl L 178/1; (im Folgenden als E-Commerce-RL zitiert.) Vgl. E-Commerce-RL, insb. Erwagungsgrtmde (6) bis (18) Vgl. E-Commerce-RL, Erwagungsgrund (5) Vgl. E-Commerce-RL, Erwagungsgrund (59)
414
III Gestaltungsebenen von E-Business
Das Herkunftslandprinzip (vgl. Art. 3 der E-Commerce-RL) legt fest, dass im koordinierten Bereich jeder Mitgliedsstaat dafilr sorgt, dass die auf seinem Hoheitsgebiet niedergelassenen Diensteanbieter die Anforderungen der Richtlinie erfullen - und gleichzeitig ist damit die Verpflichtung der anderen Mitgliedstaaten verbunden, den freien Verkehr mit Diensten aus anderen Mitgliedsstaaten nicht zu beschranken, Die Zustandigkeit orientiert sich also am Ort, an dem der Dienstanbieter niedergelassen ist. Der koordinierte Bereich (vgl. Art. 2 lit h E-CommerceRL) betrifft vor allem die Anforderungen an Diensteanbieter in Bezug auf • Qualifikation zur Erbringung von Diensten • Genehmigungsvoraussetzungen • Verhalten der Diensteanbieter • Qualitat oder Inhalt der Dienste • Werbung in Diensten • Vertragsabschluss • Verantwortlichkeit der Diensteanbieter. Anforderungen an die Waren als solche bzw . deren Lieferung sind von der Anwendung der Richtlinie ausdriicklich ausgenommen; auch Fragen der Besteuerung, des Datenschutzes bzw . des Kartellrechts sowie die Tatigkeiten von Notaren, Rechtsanwalten sind ausdriicklich ausgenommen; ebenso die geldwerten Gliicks-
spiele." Mit der E-Commerce-RL, die in Osterreich mit dem E-Commerce-Gesetz seit 1. 1. 2002 auch zeitgerecht umgesetzt wurde, ist ein erster Ansatz zur Reduktion der Vielfachzustandigkeit von Gerichten erfolgt. Die im Sinne der Anbieter von Diensten wiinschbare Ausdehnung des Prinzips auf alle Rechtsmaterien wird jedoch an den gegenteiligen Interessen der Nutzer scheitern; gerade im Bereich deliktischer Handlungen sind die Interessen der Geschadigten regelmalsig hoher zu werten als die Interessen deren, die Rechtsnormen verletzen. Rechtssicherheit in diesen Bereichen kann daher wohl auch langfristig nicht durch ein Herkunftslandprizip erreicht werden, sondern nur durch eine inhaltliche Harmonisierung der Handlungen, die als Rechtsverletzung im Internet betrachtet werden. Dass dies nicht einfach sein wird - und daher wohl noch langere Zeit in Anspruch nehmen wird, wurde bereits dargestellt.
3.3 Freiheit versus Schutz von Information Die Rechtsordnung erlaubt nicht nur Information und Kommunikation, sondern schiitzt sogar bestimmte Dimensionen auf verfassungsrechtlicher Ebene. Das Briefgeheimnis" - und in moderner Form das Fernmeldegeheimnis" (Art . 10 a 25 26
Vgl. Art. 1 Abs. 5 der E-Commerce-RL. FUrDeutschland ist dieses Grundrecht in Art 10 GG geschutzt, In Osterreich datiert dieses Grundrecht bereits aus Art 10 StGG - Staatsgrundgesetz uber die allgemeinen Rechte der StaatsbUrger vom 21. Dezember 1867, RGBI. 142/1867 . Die Grundrechte des Staatsgrundgesetzes von 1867 sind Bestandteil der osterreichischen Verfassung.
3 Der Rechtsrahmen der Informationsgesellschaft
415
StGG) - schutzen die Vertraulichkeit des Inhalts von Nachrichten zwischen Kommunikationspartnern. Der Vertraulichkeit der Individualkommunikation steht auf der anderen Seite die Erlaubnis zur Kommunikation an die "Offentlichkeit" gegenuber; Art. 10 der Europaischen Menschenrechtskonvention" schutzt daher die Meinungsfreiheit. Das Recht auf freie Meinungsaulierung schlieBt die Freiheit der Meinung sowie das Recht ein, Nachrichten oder Ideen zu empfangen oder mitzuteilen, "ohne Eingriffe offentlicher Behorden und ohne Rucksicht auf Landesgrenzen". AIle diese grundrechtlichen Garantien von Kommunikation stehen natiirlich unter Gesetzesvorbehalten; d. h. ihre konkrete Ausfuhrung kann durch Gesetze naher spezifiziert und in bestimmten Grenzen auch beschrankt werden. Auf konkrete Auswirkungen wird im Folgenden mehrfach eingegangen. Die Informationsgesellschaft, zu der wir uns entwickeln, beruht auf den neuen Moglichkeiten im Umgang mit Information, technischen Innovationen und deren Anwendung in praktisch allen Lebensbereichen. Freiheit und Schutz von Information und Kommunikation waren schon bisher wichtige Dimensionen des Personlichkeitsschutzes des Menschen; noch wichtiger und bedeutsamer werden diese auf Verfassungsebene geschutzten Grundrechte in der Informationsgesellschaft sein.
3.3.1 Das Grundrecht der Meinungsfreiheit Es gehort zu den Grundprinzipien demokratischer Staaten, seinen Burgern die Freiheit der Meinung zu garantieren; in Osterreich" steht die Europaische Menschenrechtskonvention, deren Artikel 10 die Meinungsfreiheit garantiert, in Verfassungsrang . Jedermann hat Anspruch auf freie Meinungsauberung, Dieses Recht schlieBt die Freiheit der Meinung und die Freiheit zum Empfang und zur Mitteilung von Nachrichten oder Ideen ohne Eingriffe offentlicher Behorden und ohne Rlicksicht auf Landesgrenzen ein . Dieser Artikel schlieBt nicht aus, dass die Staaten Rundfunk, Lichtspiel- oder Femsehuntemehmen einem Genehmigungsverfahren unterwerfen.
Art . 10 Abs . 2 zahlt genau die moglichen Grunde auf, unter denen die Meinungsfreiheit durch Gesetz beschrankt bzw . naher ausgestaltet werden kann. Der Schutz von Art. 10 MRK gilt auch fur die Veroffentlichung bzw. den Abruf von Informationen im Internet, z. B. im Rahmen von WWW. ZensurmaBnahmen sind daher nur aus den dort aufgefUhrten Grunden, z. B. im Interesse der Auf27
28
29
Das modernere deutsche Grundrecht in Art. 10 GG umfasst auch das Fernmeldegeheimnis ("Brief- Post- und Femmeldegeheimis"); in Osterreich wurde letzteres durch das BVG vom 29. 11. 1973 (BGBI. 1974/8) als Art. 10 a in das Staatsgrundgesetz eingefugt, Konvention zum Schutze der Menschenrechte und Grundfreiheiten, BGB\. 59/1964 Die EMRK gilt in Deutschland als einfachgesetzliches Recht. Man geht davon aus, dass die Konvention eher weniger weit geht als das Grundgesetz. (V. Mangoldt/Klein/Starck 1985, Art. lAbs. 2 RdNr. 85). Zur Meinungsfreiheit vgl. Art. 5 Abs . 1 GG, wobei in Abs. 2 auf die Schranken der Meinungsauberung hingewiesen wird.
416
III Gestaltungsebenen von E-Business
reehterhaltung der Ordnung und der Verbreehens bekampfung oder des Sehutzes der Moral, zulassig, Informationen zum Bombenbasteln oder pornografisehe Darstellungen konnen daher nieht erfolgreieh mit der Berufung auf die Meinungsfreiheit verbreitet werden. Wahrend es bei der altosterreichischen Formulierung im Staatsgrundgesetz'? noeh zweifelhaft sein konnte, ist die Formulierung der MRK klar: Aueh die Information tiber neue elektronisehe Medien wie etwa das Internet genieBt den Schutz von Art. 10 MRK.31
3.3.2 Datenschutz
Ganz kontrar zum Postulat der "Freiheit der Information" steht die Idee des Datensehutzes; im Interesse einer Einzelperson solI - zumindest in einem gewissen Bereich - dieser die Alleinherrsehaft tiber die sie betreffenden Daten zugeordnet werden . Wenn, wie etwa in Osterreich, nieht nur einzelne Mensehen, sondern aueh Personengruppen und juristisehe Personen als Betroffene angesehen werden (vgl. § 3 Z. 2 DSG), dann gibt es einen nieht unerhebliehen Teil von Informationen, die von anderen als dem Betroffenen eben nieht frei mitgeteilt werden dtirfen . Datensehutz wurde lange Jahre nieht als .Wirtschaftsmaterie" angesehen, die eine Zu standigkeit der als .Wirtschaftsgemelnschaft" gegrtindeten EU begrtinden konnte . Die Entwieklung zur Informationsgesellsehaft hat aueh eine Revision dieser Position bewirkt: Wenn Personen sieh frei im Binnenmarkt bewegen dtirfen, ihre Daten aber nieht - dann ist das ein elementares Hindernis fur aIle Diens te, die auf personenbezogene Daten angewiesen sind. Diese Erkenntnis hat dazu gefUhrt, dass sieh die ED des Datensehutzthemas angenommen hat - nieht so sehr des Sehutzaspektes wegen , sondern urn den freien Datenverkehr sieherzustellen. 32 Diese Riehtlinie hat eine Verankerung datensehutzreehtlieher Standards auf hohem Niveau zum Inhalt; da nun innerhalb der ED tiberall der hohe Sehutzstandard verpfliehtend gewahrt wird, gibt es kein Argument mehr, die Ausfuhr von Daten in andere Mitgliedsstaaten zu beschranken. Diese Riehtlinie hat daher in vielen Mitgliedsstaaten zu einer Anderung bzw . Erlassung neuer Datensehutzgesetze gefUhrt. Ziel des Datensehutzes als Rechtsinstrument ist der Schutz der individuellen Privatsphare vor Verletzungen dureh die Verwendung von Daten durch andere
Art 13 Abs 2: ... Admin istrative Postverbote finden auf inlandische Druckschriften keine Anwendung 31 Vgl. Mayer-Schonberger 1995, S. 13; er bezeichnet WWW-Server als "elektronische Verlage" 32 Richtlinie 95/46/EG des Europaischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz nattirlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABI L 281(23.11.95) S. 31 (im Foigenden als DatenschutzRL zitiert) Neben diesen allgemeinen Regeln gibt es bereichsspezifische Normen, etwa die in der Telekom-Richtlinie enthaltenen Sondervorschriften zum Datenschutz im Bereich der Telekommunikationsdienste. 30
3 Der Rechtsrahmen der Informationsgesellschaft
417
Personen. Die traditionellcn Frcihcitsrechtc (Schutz der personlichen Freiheit, Schutz der korperlichen Unversehrtheit) sollen einen bestimmten Freiraum des Individuums gewahrleisten. Das Recht auf Datenschutz ist die Fortentwicklung dieses Personlichkeitsrechts im Hinblick auf das Bedrohungspotenzial durch den Fortschritt der Telematik in der Informationsgesellschaft, Die Vision des "glasernen Menschen" ist schon zu Zeiten entstanden, wo die technische Realisierung noch als Science fiction einzuordnen war. Je naher sich die technischen Moglichkeiten an die Realisierbarkeit dieser Vision heranentwickeiten, umso intensiver wurden auch die Diskussionen um die GegenmaBnahmen zum Schutz des einzelnen vor der Erfiillung dieser Vision. Erorterungen um den Schutz der privacy, den Schutz der individuellen Privatsphare begannen in Amerika bereits in den 60-iger Jahren. Beim Ubergreifen der Diskussion auf den deutschsprachigen Raum wurde der Begriff Datenschutz fiir die Behandlung diescs Themenkreises gewahlt. Dcr Begriff ist - vom Wortsinn her - irrefiihrend . Ziel von Datenschutz ist nicht primar der Schutz von Daten, sondern der Schutz der Privatsphare einzelner Personen . Der Schutz von Daten wird allgemein als .Datensicherung" bezeichnet. Der Schutz von Daten ist nicht das Ziel, wohl aber ein Mittel zur Erreichung von Datenschutz. Jeder Mensch hat grundsatzlich das Recht, selbst tiber die Preisgabe und Verwendung seiner personlichen Daten zu entscheiden. Dies hat der deutsche Bundesverfassungsgerichtshof aus dem allgemeinen Personlichkeitsrecht abgeleitet und dafiir den Begriff des Rechts auf "informationelle Selbstbestimrnung" gcpragt. Dieser Begriff bringt das eigentliche Ziel wesentlich deutlichcr zum Ausdruck als der Terminus .Datenschutz". Datenschutz wird also im europaischen Rechtskreis als eine konkrete Auspragung der allgemeinen Menschenrechte gesehen; aus entsprechenden Deklarationen auf UN-Ebene ist dieses Recht jedoch nur sehr unbestimmt ableitbar. Konkretere Datenschutz-Regelungen gibt es nur im Bereich der OECD-Staaten bzw. innerhalb Europas. Relativ frtih setzte sich, nicht zulet zt aufgrund entsprechender Anlassfalle, in Europa die Uberzeugung durch, dass ein wirksamer Datenschutz nicht allein durch freiwillige Selbstbeschrankung und moralische Richtiinien erreicht werden kann, sondern dass rechtiiche Regelungen unentbehrlich sind. Nattirlich ist das Recht auf informationelle Selbstbestimmung nicht absolut zu schen . Informationen, auch solche personenbezogener Natur , sind fur das menschliche Zusammenleben und das Wirtschaftsleben unentbehrlich. Datenschutz ist im Ergebnis eine Interessensabwagung, was im Sinne gesellschaftlichcr und wirtschaftlicher Interessen erlaubt ist und wo im Interesse der Einzelperson Schranken gesetzt werden mussen . Der Schutz der personenbezogenen Daten bewirkt gleichzeitig eine Beschrankung des Datenverkehrs, also des Transfers von Daten zwischen Staaten , die unterschiedlich strenge Datenschutzregeln haben. Der Transfer zwischen den Mitgliedsstaatcn der Europaischen Union ist aufgrund des einheitlichen Schutzniveaus daher vollig unproblematisch geworden, wahrend das Verhaltnis zu Staatcn ohne Datenschutzgesetz (wie z. B. die USA) schwierig ist.
418
III Gestaltungsebenen von E-Business
In Osterreich wurde (wie auch in Deutschland) die Datenschutz-RL mit groBer Verspatung umgesetzt; es wurde nicht das bis dahin geltende Datenschutzgesetz novelliert, sondern ein vollig neues Datenschutzgesetz 2000 33 erlassen.
3.3.2.1 Das Grundrecht auf Datenschutz Im Gegensatz zur Datenschutzrichtlinie (und den meisten anderen europaischen Staaten) hat Osterreich auch im Datenschutzgesetz 2000 an einer verfassungsmaBigen Verankerung des Datenschutzes festgehalten . Wahrend also in Deutschland das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung durch Interpretation des Grundgesetzes abgeleitet hat, steht dieses in Osterreich als Artikel 1 des DSG 2000 explizit im Gesetz . Weitere Verfassungsbestimmungen regeln die Zustandigkeit fur Gesetzgebung und Vollziehung sowie den raumlichen Anwendungsbereich. Nach der allgemeinen Kompetenzverteilung unserer Verfassung ware Datenschutz teils Bundes-, teils Landersache, Wahrend es daher z. B. in Deutschland ein Bundesdatenschutzgesetz und in den einzelnen Landern Landesdatenschutzgesetze gibt, wurde in Osterreich durch eine Verfassungsanderung die alleinige Zustandigkeit des Bundes fur die Angelegenheiten des Datenschutzes im automatisationsuntersttitzten Datenverkehr normiert (§ 2 DSG 2000). In § 3 ist eine neue Regelung Uber den raumlichen Anwendungsbereich dazugekommen - osterreichisches Recht gilt nach Abs. 1 nicht nur in Osterreich, sondern in jedem anderen Mitgliedsstaat der Europa ischen Union, wenn ein Auftraggeber Daten fur seine in Osterreich gelegene Haupt- oder Zweigniederlassung verwendel. Das bedeutet im Klartext, das ein osterreichischen Unternehmen "sein " Datenschutzrecht in der EU "mitnimmt" - und das gilt umgekehrt fur andere europaische Unternehmen. Die bisherige Trennung der rechtlichen Regelung fur einen offentlichen und den privaten Bereich wurde weitgehend aufgegeben. Zwar ergibt sich aus der unterschiedlichen Rechtsnatur der betroffenen Organe (Behorden bzw. Unternehmen) manchmal ein kleiner Unterschied in der Rechtsdurchsetzung, doch werden in der inhaltlichen Regelung keine Unterschiede mehr gemacht. Die Besonderheit des Grundrechts auf Datenschutz gegenUber anderen Grund rechten besteht in der (unmittelbaren) Drittwirkung. Normalerweise normieren Grundrechte einen Anspruch gegenUber dem Staat als Hoheitsgewalt. Datenschutz dagegen wirkt auch gegenUber Privaten und ist diesen gegenUber auch privatrechtlich einklagbar. Der grundsatzliche Anspruch" auf Geheimhaltung personenbezogener Daten bezieht sich sowohl auf konventionell wie auch auf automatisationsuntersttitzt 33
34
Bundesgesetz tiber den Schutz personenbezogener Daten (Datenschutzgesetz 2000 DSG 2000) , in: BGBL 1 Nr. 165/1999 idF BGBl 1 Nr. 136/2001 ,,§ 1 (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privatund Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, sowe it ein schutzwtirdiges Interes se daran besteht. Das Bestehen eines
3 Der Rechtsrahmen der Informationsgesellschaft
419
verarbeitete Daten und ist analog zur Interpretation des deutschen Bundesverfassungsgerichtshofes auf ein Recht zur informationellen Selbstbestimmung als Erweiterung der allgemeinen Personlichkeitsrechte zu sehen . Konsequenterweise gibt es daher auch dann keinen Schutz, wenn Daten bereits allgemein verfugbar sind oder keiner bestimmten Person zuordenbar sind. Dieses Grundrecht auf Datenschutz steht - wie auch viele andere - unter einem Gesetzesvorbehalt. Allerdings muss ein Eingriff der EMRK entsprechen, also "in einer demokratischen Gesellschaft fur die nationale Sicherheit, die offentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig" (Art. 8 Abs. 2 der Europaischen Menschenrechtskonvention - EMRK) sein. Die Rechte auf Auskunft, Richtigstellung und Loschung (§ 1 Abs. 3 und 4) beziehen sich nun ebenfalls sowohl auf die automatisationsuntersttitzte Verarbeitung wie auch auf manuelle Verarbeitung. Die konkrete Ausformulierung dieser verfassungsgesetzlich gewahrleisteten Anspriiche enthalt der Artikel 2 (§§ 26 ff) des DSG 2000. solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfugbarkeit oder wegen ihrer mangelnden Ruckfuhrbarkeit auf den Betroffenen einem Geheimhaltungs-anspruch nicht zuganglich sind. (2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zust immung erfolgt, sind Beschrankungen des Anspruchs auf Geheimhaltung nur zur Wahrung uberwiegender berechtigter Interessen eines anderen zulassig, und zwar bei Eingriffen einer staatlichen Behorde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs . 2 der Europaischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBI. Nr. 210/1958 , genannten Grunden notwendig sind . Derartige Gesetze dUrfen die Verwendung von Daten, die ihrer Art nach besond ers schutzwurdig sind, nur zur Wahrung wichtiger offentlicher Intere ssen vorsehen und mUssen gleichzeitig angemessene Garantien fur den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen . Auch im Faile zulassiger Beschrankungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel fUhrenden Art vorgenommen werden . (3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstutzten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne AutomationsunterstUtzung gefUhrten Dateien bestimmt sind, nach MaBgabe gesetzlicher Bestimmungen 1. das Rech t auf Auskunft dariiber, wer welche Daten uber ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch , an wen sie Ubermittelt werden ; 2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Loschung unzulassigerweise verarbeiteter Daten. (4) Beschrankungen der Rechte nach Abs . 3 sind nur unter den in Abs . 2 genannten Voraussetzungen zulassig . (5) Gegen Rechtstrager, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tatig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen . In allen Ubrigen Fallen ist die Datenschutzkommission zur Entscheidung zustandig, es sei denn, daB Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind." (§ I OSG)
420
III Gestaltungsebenen von E-Business
Neu ist die Differenzierung in schutzwtirdige und .Ii esonders schutzwurdige" Daten. Diese in § 4 als "sensible Daten" bezeichnete Kategorie von Daten darf nur ausnahmsweise verwendet werden. Eine weitere Neuigkeit stellt die Durchbrechung des Rechtsweges beim Auskunftsrecht dar. Wahrend normalerweise fur den privaten Bereich der Zivilrechtsweg einzuhalten ist, ist fur Beschwerden betreffend das Auskunftsrechts in jedem Fall die Datenschutzkommission zustandig. Das stellt insofem eine deutliche Verbesserung des Rechtsschutzes dar, wei! damit der Rechtsweg "billiger" wird. Wahrend auf dem Zivilrechtsweg Rechtsanwaltszwang und Gerichtsgebtihren vergleichsweise hohe Kosten verursachen, ist das Verfahren vor der Datenschutzkommission im Wesentlichen formfrei.
3.3.2.2 Die Begriffe des Datenschutzgesetzes Am Beginn der einfachgesetzlichen Normen des Datenschutzgesetzes stehen im § 4 DSG 2000 die Begriffsbestimmungen. Die zentrale Definition ist die des Begriffs " Daten" ("personenbezogene Daten"): .Angaben tiber Betroffene (Z 3), deren Identitat bestimmt oder bestimmbar ist; 'nur indirekt personenbezogen' sind Daten flir einen Auftraggeber (Z 4) , Dienstleister (Z 5) oder Empfanger einer Ubermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, dass die ser Auftraggeber, Dienstleister oder Uberrnittlungsernpfanger die Identitat des Betroffenen mit rechtlich zulassigen Mitteln nicht bestimmen kann;" (§ 4 Z 1 DSG 2000) Das DSG bezieht sich also nur auf den Schutz personenbezogener Daten; der Begriff ist allerdings sehr weit zu interpretieren. So sind beispielsweise die Angaben tiber die Bewertung eines Grundsttickes personenbezogen, wenn etwa in Verbindung mit einem Grundbuchsauszug ein Personenbezug hergestellt werden kann und damit Aussagen tiber das Vermogen einer Person vorliegen". Ebenso hat der OGH36 entschieden, dass die fur ein Girokonto errechnete Uberziehungstoleranz eine Aussage tiber die Bonitat des Kontoinhabers und deshalb personenbezogen ist. Es ist nicht notwendig, dass unmittelbar aus den verarbeiteten Daten der Personenbezug hergestellt werden kann. Wenn der Auftraggeber tiber die zur Herstellung des Personenbezugs notigen Zusatzinformationen verfligt und einer solchen Inbezugsetzung weder rechtliche noch faktische Grunde entgegenstehen, dann sind solche Daten als personenbezogen und damit dem DSG unterliegend zu betrachten." Sofem z. B. bei Cookies solche Information bekannt sind, sind diese
Vgl. RV 72 Big NR XIV OP). Da das Grundbuch offentlich einsehbar ist, kann der Personenbezug mit rechtlich zulassigen Mitteln hergestellt werden. 36 Vgl. OOH Kontoauskunft, S. 76 37 Vgl. BKA 81O.006/1-V/laJ86 in Matzka 1987
35
3 Der Rechtsrahmen der Informationsgesellschaft
421
als personenbezogene Daten zu qualifizieren, auch wenn die abgelegten Daten selbst nur schein bar sinnlos e Buchstabenkombinationen darstellen. " Die Definition der personenbezogenen Daten ist auch dann schon erfullt, wenn der Auftraggeber selbst nicht tiber die Information verfugt, urn den Personenbezug herzustellen, dieser aber in Kombination mit den Informationen anderer herstellbar ware . In einem solchen Fall, wo der Auftraggeber selbst die Daten nicht auf einzelne Personen ruckfuhren kann , soli diese Form der Verarbeitung erleichtert werden. Dazu dient die Definition von .mur indirekt personenbezogenen" Daten fur diese wird es in der Folge verschiedene Erleichterungen geben, weil der konkrete Bezug zu einer Person erlaubtermaBen nicht hergestellt werden kann. Der Schutz von Programmen ist aus dem Bereich Datenschutz grundsatzlich ausgeklammert; siehe dazu Kap. 3.4 .l. Entsprechend der Vorg abe des Art. 8 Abs. 1 der Datenschutz-Rl, wird nunmehr zwischen normal schutzwtirdigen und besonders schutzwtirdigen (=sensiblen) Daten unterschieden. Sensible Daten sind "Daten nattirlicher Personen tiber ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehorigkeit , religiose oder philosophische Uberzeugung, Gesundheit oder ihr Sexualleben" (§ 4 Z 2 DSG 2000). Die Definition ist taxativ - alles was hier nicht aufgezahlt ist, ist nicht besonders schutzwurdig. Die Aufzahlung beinhaltet europaische WertmaBstabe - aus osterreichischer Sicht ist die Frage der Gewerkschaftszugehorigkeit wahrscheinlich weniger sensibel als die Frage, ob jemand vorbestraft ist. Die Besonderheit des osterreichischen DSG besteht darin , dass nicht nur naturliche Personen, sondern auch juristische Personen und Personengemeinschaften geschtit zt werden." Der Text der EU-Datenschutzrichtlinie (Art . 1) umfasst ebenso, wie die meisten anderen europai schen Dat enschutzgesetze nur nattirliche Personen. .A uftraggeber'" sind .naturliche oder juristische Personengemeinschaften oder Organe einer Gebietskorperschaft beziehungsweise die Geschaftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten fur einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhangig davon , ob sie die Verarbeitung selbst durchftihren oder hie zu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes tiberlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlasslich der Auftr agserteilung die Verarbeitung der tiberlassenen Daten ausdrticklich untersagt oder hat der Auftragnehmer die Entscheidung tiber die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der tiberlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln 38
39
Das Abspeichern solcher Cookies tiber die Dauer einer Sitzung hinaus ist in aller Regel ohne Zustimmung nicht erlaubt; vgl. Jahnel 2001. .Betroffener'': jede vom Auftraggeber (Z 4) verschiedene naturliche oder j uristische Person oder Person engerne inschaft , deren Daten verwend et (Z 8) werden ; (§ 4 Z 3 DSG 2000).
422
III Gestaltungsebenen von E-Business
oder Verhaltensregeln gemaf § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber" (§ 4 Z 4 DSG 2000). Fiihrt der Auftrager die Datenverarbeitung nicht selbst durch, dann nennt das Gesetz den damit Beauftragten .Dienstleister". Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister sind nach § 11 Abs. 2 DSG 2000 schriftlich festzuhalten . Nach dem alten Datenschutzgesetz vertraten Datenschutzkommission und OGH unterschiedliche Auffassungen, welche Rollenverteilung zwischen Auftraggeber und Auftragnehmer zu welcher datenschutzrechtlichen Verantwortung fiihrt. Der OGH sah in vielen Fallen den Auftragnehmer als datenschutzrechtlichen Auftraggeber und nicht als Dienstleister an. Die neu gefassten Definitionen versuchen, diese Rollenverteilung klarzustellen. Die EDV-Anwendung durch den Auftragnehmer wird grundsatzlich dem Auftraggeber zugerechnet, der damit auch datenschutzrechtlich die Auftraggeberrolle wahrzunehmen hat. 1m Fall von z. B. Wirtschaftstreuhandern, die nach Standesregeln solche Entscheidung eigenverantwortlich zu treffen haben, werden diese datenschutzrechtlich als Auftraggeber (und nicht als Dienstleister ihrer Mandanten) qualifiziert werden. Die im E-Business immer haufiger vorzufindenden ASP (Application Service Provider) - Vertrage sind, soweit sie personenbezogene Daten beinhalten, datenschutzrechtlich idR als Dienstleister zu qualifizieren. Wahrend das bisherige Datenschutzgesetz nur edv-rnabig verarbeitete Daten erfasste, ist der Schutz durch die Datenschutz-RL auch auf manuell gefiihrte Datenbestande ausgeweitet worden. Die Richtlinie definiert dazu den Begriff der Datei, als eine .strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zuganglich sind" (§ 4 Z 6 DSG 2000). Sehr gliicklich ist die Begriffswahl aber nicht. Gemeint war nach den Gesetzesmaterialen das, was iiblicherweise als .Kartei" bezeichnet wird - namlich Aufzeichnungen, die nach einem Kriterium geordnet sind. Dabei kommen sowohl Karteikarten wie auch listenformige Aufzeichnungen in Frage . BloBe Aktenkonvolute sind jedenfalls nicht Gegenstand des Datenschutzes.'? Der Begriff Datei umfasst sowohl manuelle ("Karteien") wie auch automatisierte Anwendungen (Datenbanken, Dateien). War schon die friihere Definition der Datenverarbeitung etwas schwer zu lesen, so hat sich das durch die Umbenennung auf .Datenanwendung" leider noch verschlechtert: ,,'Datenanwendung ' (friiher: 'Datenverarbeitung'): die Summe der in ihrem Ablauf logisch verbundenen (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Ganze oder auch nur teilweise automationsunterstiitzt, also maschinell und programmgesteuert, erfolgen (automationsunterstiitzte Datenanwendung);" (§ 4 Z 7 DSG 2000).
40
Vgl. OGH Datei - Akten
3 Der Rechtsrahmen der Informationsgesellschaft
423
Das zentrale Merkmal der alten Definition der Datenverarbeitung war, dass die .Auswahlbarkeit von personenbezogenen Daten nach mindestens einem Merkmal vorgesehen ist". Die ausdrlickliche Festlegung dieses Merkmales wurde fallengelassen, um den Definitionen der EU-Richtlinie zu entsprechen. lnhaltlich bedeutet dies wohl keine Anderung: Das Merkmal der Auswahlbarkeit ergibt sich klar, wenn man die Definitionen in Z. 6 und 7. wieder zusammenliest; der Unterschied besteht darin , dass eine Datenanwendung eine automatisierte Verarbeitung erfordert. Allerdings enthalt § 58 DSG 2000 die Anordnung, dass manuelle Verarbeitungen ("Dateien" im Sinne von § 4 Z. 6 leg. cit.) als Datenanwendungen gelten, soweit die Angelegenheit in die Gesetzgebungskompetenz des Bundes fallt . Trotz der Definition, die auf das Merkmal der Automatisationsunterstlitzung abstellt, kommt es in Wahrheit darauf nur dann an, wenn die Gesetzgebungskompetenz bei den Landern liegt. Da die Gesetzgebung im Privatrecht beim Bund liegt, sind aIle privatrechtlichen Anwendungsfalle unabhangig von einer Automatisierung Datenanwendungen im Sinn von § 4 Z. 7 DSG 2000 . Im Rahmen eines Unternehmens existieren fast immer mehrere solcher "Datenanwendungen" im Sinn des DSG. In der herkommlichen Terminologie wird meist von Einsatzgebieten gesprochen. Diese Einsatzgebiete werden im DSG anhand ihres Zweckes unterschieden. Eine ausreichende Zweckbestimmung fur eine Datenverarbeitung ist z. B. "Personalverwaltung der Fa. XY" . Andere Einsatzgebiete werden in den Standardverordnungen umschrieben als Rechnungswesen und Logistik, Mitgliederverwaltung oder Patientenverwaltung und Honorarabrechnung. Es kommt nicht darauf an, dass der gesamte Ablauf automatisationsunterstlitzt abgewickelt wird . Wesentlich an der Definition ist das Erfordernis, dass personenbezogene Daten nach mindestens einem Merkmal selektiert werden konnen. Jedes mit Datenbankunterstlitzung erstellte Programm wird solche Selektierkriterien erfullen. Werden HTML-Seiten mit statischen Editoren gepflegt, dann erfullen sie dieses Merkmal nicht. Dynamisch generierte Seiten sind dagegen regelmabig in Datenbanken abgelegt und unterliegen daher, soweit nicht ausnahmsweise die Selektierbarkeit nach personenbezogenen Kriterien ausgeschlossen ist, grundsatzlich dem Datenschutz. Bei der Zulassigkeit der Verwendung von Daten wird unterschieden in die Ermittlung und Verarbeitung einerseit s und die Ubermittlung andererseits. Das bedingt die Definition, was Ermitteln, Verarbeiten und Ubermitteln bedeutet. • .Ermitteln von Daten": das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden; (§ 4 Z 10 DSG 2000) • .Verarbeiten von Daten'" das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verandern, Verknlipfen, Vervielfaltigen, Abfragen, Ausgeben, Beniltzen, Uberlassen (Z 11), Sperren, Loschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Ubermittelns (Z 12) von Daten ; (§ 4 Z 9 DSG 2000)
424
III Gestaltungsebenen von E-Business
• "Dbermitteln von Daten" : die Weitergabe von Daten einer Datenanwendung an andere Ernpfanger als den Betroffenen, den Auftraggeber oder einen Dienstieister, insbesondere auch das Veroffentlichen solcher Daten; dartiber hinaus auch die Verwendung von Daten fur ein anderes Aufgabengebiet des Auftraggebers; (§ 4 Z 12 DSG 2000) Die Ermittiung der Daten wird im Hinblick auf eine bestimmte Datenanwendung definiert; nur im Hinblick auf die dafur notwendigen Daten ist die Ermittlung erlaubt. Von der Ermittlung ist die Erfassung zu unterscheiden . Erfassen ist das Uberfuhren in maschinenlesbare Form und damit der zweite Schritt der Verarbeitung . Ermittlung ist der vorgelagerte Akt der Sammlung und Bereitstellung des Datenmaterials. Verarbeiten wurde damit im Sinn des allgemeinen Sprachgebrauchs als umfassender Begriff definiert, von dem nur das Ubermitteln aufgrund der besonderen Rechtsfolgen und Risiken abgegrenzt wird. Es ist irrelevant, ob die tibermittelten Daten auch beim Empfanger automatisationsunterstiitzt verarbeitet werden; wesentiich ist vielmehr, dass sie aus einer solchen Anwendung stammen. Ebenso ist die Form der Ubermittlung (Ubersendung eines Computerausdrucks, Versendung tiber Computernetzwerke, Erlaubnis zur Abfrage der Datenbank usw.) unmaBgeblich. Eine Ubermittlung von Daten liegt nicht nur vor, wenn die Daten an andere Personen als den Auftraggeber weitergegeben werden, sondern selbst dann, wenn derselbe Auftraggeber die Daten fur eine andere Datenanwendung (vgl. § 4 Z. 7 DSG 2000) verwendet. Die Frage, wie umfangreich bzw. detailliert die "Erreichung cines inhaltlich bestimmten Ergebnisses" (§ 4 Z. 7 DSG 2000) zu sehen ist, kann im Datenschutzgesetz nicht allgemeingtiltig geregelt werden . Ais Anhaltspunkt wird man die in den einzelnen Standardanwendungen definierten Aufgabengebiete heranziehen konnen . Der OGH41 hat klargestellt, dass bei einer Bank der Geschaftsbereich der Vermittlung von Bausparvertragen ein anderes Aufgabengebiet darstellt, als die Verarbeitung der sonstigen Bankgeschafte. Die Dbernahme von Daten von dem einen in den anderen Aufgabenbereich stellt daher eine Ubermittlung dar und ist nach den dafur geltenden Voraussetzungen zu beurteilen . Vereinfacht moglich sein soli aber die Weitergabe der Daten vom Auftraggeber an einen Dienstleister; diese Weitergabe fallt daher nicht unter den Begriff der "Dbermittlung", sondern wurde eigenstandig als Uberlassen von Daten definiert. (§4Z 11 DSG2000) Wenn das Ge setz von .V erwenden von Daten" spricht, dann umfasst das im Sinne eines Uberbegriffs jede Art der Handhabung von Daten. Neu ist die Definition des Informationsverbundsystems. Darunter wird "die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Bentitzung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfugung gestellt wurden" (§ 4 Z 13 DSG 2000). verstanden. Die moderne Entwicklung hat mit groBen Verbundsystemen Anwen41 Vgl. OGH Fremdbausparer, S. 91
3 Der Rechtsrahmen der Informationsgesellschaft
425
dungen geschaffen, die bisher datenschutzrechtlich nur mit Schwierigkeiten zugeordnet werden konnten. Diese Definition legt die Grundlage fur spezifische Regelungen fur derartige Verbundsysteme.
3.3.2.3 Offentlicher Bereich/Privater Bereich Im .alten" Datenschutzgesetz gab es jeweils eigene Gesetzesabschnitte, die die Regeln fur den offentlichen Bereich einerseits und den privaten Bereich andererseits enthielten. Diese in weiten Bereichen redundanten Regeln zu eliminieren, war der wesentliche Grund fur die Erlassung eines neuen Datenschutzgesetzes. Da aber aufgrund der Systematik unserer Rechtsordnung gewisse Unterschiede in der Rechtsdurchsetzung unvermeidlich sind, unterscheidet auch das neue Datenschutzgesetz die Auftraggeber in solche des offentlichen bzw. des privaten Bereichs. Zum offentlichen Bereich gehoren grundsatzlich aile Rechtstrager, die in Formen des offentlichen Rechts eingerichtet sind oder soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tatig sind . Ein Beispiel fur letztere ist die Telekom-Control, die als GmbH mit der Vollziehung des Telekommunikationsgesetzes betraut ist. Was nicht zum offentlichen Bereich gehort, ist dem privaten Bereich zuzuordnen. Grob kann man davon ausgehen, dass E-Business Anwendungen dem privaten Bereich, E-Govemment-Anwendungen dem offentlichen Bereich zuzuordnen sein werden .
3.3.2.4 Grundsiitze der Datenverwendung Die nunmehr in § 6 DSG 2000 ausdrUcklich normierten Grundsatze sind ebenfalls aufgrund der EU-Richtlinie neu in das Datenschutzgesetz hineingenommen worden. Sie haben two programmatischen Charakter und dienen als Interpretationsrichtlinien fur die folgenden, konkreten Bestimmungen. An sich entspricht die Referenz auf "fair use" eher angloamerikanischer Rechtssystematik als osterreichischer Gesetzespraxis. Im einzelnen sind folgende Prinzipen genannt: 1. Treu und Glauben: Daten durfen nur nach .T reu und Glauben" und rechtmabig verwendet werden. Wahrend Letzteres wohl eine in einem Gesetz uberflussige Aussage ist, bedeutet Treu und Glauben, dass der Betroffene uber die Zwecke und HintergrUnde der Datenanwendung informiert wird bzw. die Daten seiner Erwartung gemaf verwendet werden . Nach Abs. 4 leg. cit. konnen gesetzliche Interessenvertretungen (z. B. die Kammer der Wirtschaftstreuhander) usw . Verhaltensregeln ausarbeiten, die naher festlegen , was in bestimmten Branchen oder Anwendungsfeldem Treu und Glauben konkret bedeutet. 2. Zweckbindung: Sie durfen nur fur den definierten Zweck verwendet und nicht in einer damit unvereinbaren Weise weiterverwendet werden, wobe i fur wissenschaftliche oder statistische Weiterverwendung ausdruckliche gesetzliche
426
III Gestaltungsebenen von E-Business
Regelungen (§§ 46 f DSG 2000) gelten . Die Weiterverwendung von Daten aus Kunden- und Lieferantenbeziehungen fur Zwecke des Rechnungswesens und Controlling wird in den EB ausdrucklich als ein Beispiel erwahnt, in dem die Weiterverwendung nicht als unvereinbar anzusehen ist. 3. ZweckerfUllung : Die Daten durfen nur insoweit verwendet werden, als sie zur Erreichung des Zweckes der Datenanwendung wesentlich sind . Die Vcrwendung von Daten, die zur Erreichung des Zweckes keinen wesentlichen Beitrag leisten, ist nicht zulassig. 4. Richtigkeit: Die Daten milssen so verwendet werden, dass sie im Hinblick auf den Verwendungszweck sachlich richtige Ergebnisse bewirken. Sofem es sich aus dem Zweck ergibt, kann das auch die Aktualisierung der Daten erfordern. Dem deklarierten Zweck der Datenanwendung kommt daher eine MaBstabs funktion zu, welche Ergebnisse als richtig zu bewerten sind . 5. Zeitbindung: Die (personenbezogenen) Daten durfen solange verwendet werden, als es zur Erreichung der Zwecke notwendig ist; war die Verwendung einmal zulassig, so bleibt sie das nicht automatisch auf Ewigkeit, sondem nur solange es zur ZweckerfUllung notwendig ist; gesetzliche Vorschriften, etwa zur Archivierung, konnen diese Fristen naturlich entsprechend verlangern. 1m Abs. 2 ist dann nochmals die Verantwortung des Auftraggebers festgehalten; sofem dieser keine Niederlassung innerhalb der EU hat, muss er einen in Osterreich ansassigen Vertreter namhaft machen, der namens des Auftraggebers verantwortlich gemacht werden kann (§ 6 Abs. 3 DSG 2000).
3.3.2.5 Zulas sigkeit der Verarbeitung und Oberm ittlung Die Zulassigkeit der Verarbeitung orientiert sich an der bisherigen Zulassigkeitsregel fur den privaten Bereich . Es gibt zwei kumulative Voraussetzungen: • Berechtigter Zweck und • Keine Verletzung schutzwurdiger lnteressen. Der berechtigte Zweck ergibt sich im offentlichen Bereich aus der gesetzlichen Zustandigkeit, im privaten Bereich aus Tatigkeiten, die von der Rechtordnung grundsatzlich anerkannt sind und sich in idR in bestimmten Rechtsakten konkretisieren (z. B. Gesellschaftsvertrag, Satzung, Statut, Gewerbeberechtigung usw .) Verarbeitete Daten durfen uberrnittelt werden, wenn • sie aus einer zulassigen Datenanwendung stammen und • der Empfanger einen berechtigten Zweck nachweist und • keine schutzwurdige n Interessen verletzt werden . FUr den berechtigten Zweck gilt wiederum das oben Gesagte. In beiden Fallen hangt also vieI davon, ob schutzwUrdige Interessen verletzt werden oder nicht. 1m Gegensatz zum alten Datenschutzgesetz, das ebenfalls diesen unbestimmten Gesetzesbegriff enthalten hatte, ist jedoch in DSG 2000 detailliert, unter welchen
3 Der Rechtsrahmen der Informationsgesellschaft
427
Voraussetzungen schutzwurdige Interessen als verletzt anzusehen sind . Das Gesetz unterscheidet dabei zwischen sensiblen und nichtsensiblen Daten . Wahrend in der EU-Richtlinie eher der angloamerikanischen Tradition folgend mit der Aufzahlung von Beispielen gearbeitet wird , versucht der osterreichische Gesetzgeber in § 8 Abs. I DSG 2000 im Sinne der osterreichischen Tradition durch generelle Anordnungen umzusetzen. In § 8 Abs. I werden folgende Kategorien autgezahlt, in denen keine Vcrletzung von schutzwtirdigen Interessen anzunehmen ist: 1. eine ausdrtickliche gesetzliche Ermachtigung oder Verpflichtung zur Verwen dung der Daten besteht oder 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit moglich ist und die Unzulassigkeit der weiteren Verwcndung der Daten bewirkt, oder 3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder 4. tiberwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. (§ 8 Abs. I DSG 2000) Was Punkt 4. angeht, so ist dieser in Absatz 3 nochmals detailliert; dort sind Beispiele angefuhrt, unter denen der Gesetzgeber diese tiberwiegenden Interessen des Betroffenen (immer) schwcrer gewichtet als den Geheimhaltungsanspruch des Betroffenen. In § 8 Abs . 2 DSG 2000 wird weiters die Fiktion aufgestellt, dass bei der Verwendung von Daten , die zulassigerweise veroffentlicht wurden oder die nur indirekt personenbezogen sind, schutzwtirdige Interessen nicht verletzt sind. Die Verwendung der Daten der Personen, die im Studienfuhrer veroffentlicht wurden, kann daher keine schutzwtirdigen Interessen der Betroffenen mehr verletzen. Sic konnen daher z. B. fur die Anmeldung im Internet verwendet werden . Wahrend die in § 8 verwendeten Beispiele demonstrativ sind, d. h. noch weitere Beispiele existieren konnen, in denen ebenfalls keine Verletzung schutzwtirdiger Interessen vorliegt, ist dieses Prinzip fur sensible Daten umgedreht. Die Verwendung sensibler Daten wird grundsatzlich verboten und nur in Ausnahrnefallen, die im Gesetz taxativ aufgezahlt sind, gestattet. Daten tiber strafbare Handlungen sind nach der Richtlinie keine sensiblen Daten, haben aber sicher auch einen hoheren Grad an Sensibilitat als .normale" Daten . Der osterreichische Gesetzgeber hat daher in § 8 Abs . 4 eine Sonderbestimmung tiber den Umgang mit Daten tiber strafbare Handlungen oder Unterlassungcn einschlieBlich des Verdachts der Begehung solcher Taten verankert.?
42
(4) Die Verwendung von Daten tiber gerichtlich oder verwaltungsbehordlich strafbare Handlungen oder Unterlassungen, insbesondere auch tiber den Verdacht der Begehung von Straftaten, sowie tiber strafrechtliche Verurteilungen oder vorbeugende MaBnahmen verstobt - unbeschadet der Bestimmungen des Abs . 2 - nur dann nicht gegen schutzwtirdige Geheimhaltungsinteressen des Betroffenen, wenn 1. eine ausdrtickliche geset zlich e Ermachtigung oder Verpflichtung zur Verwendung solcher Daten besteht oder
428
III Gestaltungsebenen von E-Business
In folgenden Ausnahmefallen konnen sensible Daten verwendet werden : ,,1. der Betroffene die Daten offenkundig selbst offentlich gemacht hat oder 2. die Daten in nur indirekt personenbezogener Form verwendet werden oder 3. sich die Ermachtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen offentlichen Interesses dienen , oder 4. die Verwendung durch Auftraggeber des offentlichen Bereichs in Erfullung ihrer Verpflichtung zur Amtshilfe geschieht oder 5. Daten verwendet werden, die ausschlieBlich die Ausiibung einer offentlichen Funktion durch den Betroffenen zum Gegenstand haben, oder 6. der Betroffene seine Zustimmung zur Verwendung der Daten ausdrilcklich erteilt hat, wobei ein Widerruf jederzeit moglich ist und die Unzulassigkeit der weiteren Verwendung der Daten bewirkt, oder 7. die Verarbeitung oder Ubermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann oder 8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist oder 9. die Verwendung zur Geltendmachung, Ausiibung oder Verteidigung von Rechtsanspruchen des Auftraggebers vor einer Behorde notwendig ist und die Daten rechtmabig ermittelt wurden oder 10. Daten fur private Zwecke gemaB § 45 oder fur wissenschaftliche Forschung oder Statistik gemafs § 46 oder zur Benachrichtigung oder Befragung des Betroffenen gernaf § 47 verwendet werden oder 11. die Verwendung erforderlich ist, urn den Rechten und Pflichten des Auftra ggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach besonderen Rechtsvorschriften zulassig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberiihrt bleiben, oder 12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagn 0stik, der Gesundheitsversorgung oder -behandlung oder fur die Verwaltung von Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch arztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheirnhaltungspflicht unterliegen , oder 13. nicht auf Gewinn gerichtete Vereinigungen mit politischem, philosophischem, religiosem oder gewerkschaftlichem Tatigkeitszweck Daten, die 2. die Verwendung derartiger Daten fur Auftraggeber des offentlichen Bereichs eine wesentliche Voraussetzung zur Wahmehmung einer ihnen gesetzlich iibertragenen Aufgabe ist oder 3. sich sonst die Zulassigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwiirdigen Geheimhaltungsinteressen des Betroffenen iiberwiegenden berechtigten Interessen des Auftraggebers ergibt und die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach diesem Bundesgesetz gewahrleistet.
3 Der Rechtsrahmen der Informationsgesellschaft
429
RtickschlUsse auf die politische Meinung oder weltanschauliche Uberzeugung nattirlicher Personen zulassen, im Rahmen ihrer erlaubten Tatigkeit verarbeiten und es sich hiebei urn Daten von Mitgliedem, Forderern oder sonstigen Personen handelt, die regelmalsig ihr Interesse fur den Tatigkeitszweck der Vereinigung bekundet haben; diese Daten durfen, sofem sich aus gesetzlichen Vorschriften nichts anderes ergibt, nur mit Zustimmung der Betroffenen an Dritte weitergegeben werden ." (§ 9 DSG 2000) Die im Gesetz angeflihrten Griinde fur die Verwendung sensibler Daten sind abschlieBend - es gibt keine anderen. In diesem Bereich bringt das neue Datenschutzgesetz 2000 eine wesentliche Klarstellung, wei! im alten Gesetz nicht detailliert wurde, wann schutzwtirdige Interessen der Betroffenen verletzt sind .
3.3.2.6 Datenweitergabe in das AusJand Die inhaltlich grolsten Anderungen im Datenschutzgesetz 2000 sind zweifellos im Bereich der Weitergabe von Daten in das Ausland. Da mit dem Verlassen des Staatsgebiets regelrnabig der Bereich endet, in dem nationales Recht durchsetzbar ist, war es bisher Standard, die Daten nur dann ins Ausland zu lassen, wenn dort ein gleichwertiges Schutzniveau gewahrleistet schien. Diese Hiirden an den nationalen Grenzen waren aber gerade der Anlass fur das Tatigwerden der Europaischen Union; die erklarte Absicht bestand darin, innerhalb der EU Datenschutz auf hohem Niveau zu gewahrleisten und dieses Niveau durch eine Abschottung gegentiber Drittstaaten ohne ein vergleichbares Schutzniveau sicherzustellen. § 12 Abs. 1 DSG 2000 normiert daher, dass die Ubermittlung und Uberlassung von Daten an Empfanger in anderen Mitgliedstaaten keinen Beschrankungen unterworfen iSt,43 1m Anwendungsbereich des Gemeinschaftsrechts (d. h. z. B. nicht im Justizbereich) ist das gesamte Gebiet der EU "Datenschurz-Inland". Das gilt auch fur den Verkehr mit Daten juristischer Personen, obwohl diese durch die EU-Richtlinie nicht zwangsweise geschiitzt sind. Den EB zur RV ist zu entnehmen, dass dennoch davon ausgegangen werden kann, dass auch die Daten juristischer Personen durch Gesetze zum Schutz von Betriebsgeheimnissen u. a. so geschtitzt sind, dass der freie Datenverkehr mit Daten juristischer Personen ermoglicht werden kann . Der freie Datenverkehr mit Drittstaaten ist nur dann genehmigungsfrei, wenn diese ein vergleichbares Datenschutzniveau und entsprechende Garantien zur Durchsetzung aufweisen. Dies ist nach den bisher kundgemachten Verordnungen nur in der Schweiz und in Ungam der Fall." Die USA weisen dagegen kein angemessenes Datenschutzniveau auf, wei! dort gesetzliche Regeln zum Datenschutz nur in einzelnen Sektoren bestehen, aber kein allgemein anwendbares 43 AuGer es handelt sich urn Daten aus dern offentlichen Bereich , die nicht ED-Recht 44
unterliegen ; ein Beispiel dafUr waren etwa Daten des Bundesheeres . Verordnung des Bundeskanzlers tiber den angernessenen Datenschutz in Drittstaaten (Datenschutzangemessenheits-Verordnung - DSAV), in: BGBl. II Nr. 521/1999.
430
III Gestaltungsebenen von E-Business
Datenschutzgesetz. Die EU sieht daher keine Grundlage, die USA als Drittstaat mit gleichwertigem Datenschutz anzuerkennen ." Die USA streben nach dem "safe harbor" Konzept auch gar keine allgemeine Anerkennung an, sondern wollen Unternehmen den Rahmen eroffnen, in eigenem Bereich diese Gleichwertigkeit sicherzustellen. Eine Einigung ist bis dato nicht erfolgt. Neben diesen Grundsatzen der Genehmigungsfreiheit sind nunmehr auch noch viele Einzelfalle in Abs. 3 hinzugekommen, die den Datenverkehr ins Ausland ebenfalls genehmigungsfrei stellen. So wird ab sofort bei der Lehrveranstaltungsanmeldung (vgl. Abschnitt II Kap . 6) nicht mehr gepruft, von wo der Studierende sich anmeldet, da aIle dabei verwendeten Daten auch problemlos im Aus land verwendet werden konnen, Es handelt sich dabei einerseits urn Daten der Lehrveranstaltungsleiter und ihrer Lehrveranstaltungen, deren Verwendung im Ausland durch Abs . 3 Z.1 gerechtfertigt ist, weil sie zulassigerweise im Inland veroffentlicht wurden. Weiters werden die Daten des Studierenden verwendet. Indem er die Anmeldung aus dem Ausland verwendet, gibt er ohne jeden Zweifel seine Zustimmung, ihm diese Daten auch ins Ausland zuzustellen. Die Weitergabe von Daten an den Betroffenen ist zwar nach den Definitionen weder eine Ubermittlung noch eine Uberlassung, doch wird die Verarbeitung sicher auch zulassig sein, wenn selbst die mehr risikobehaftete Ubermittlung genehmigungsfrei ist. Weitere Falle, in denen vollige Genehmigungsfreiheit herrscht, sind etwa die Verwendung nur indirekt personenbezogener Daten oder die Datenanwendung fur private und publizistische Zwecke. Nattirlich stellt auch eine ausdrtickliche gesetzliche Anordnung eine Rechtfertigung dar, Daten ohne weitere Genehmigung in das Ausland zu tiberrnitteln oder zu tiberlassen. In allen diesen Fallen ist es nunmehr moglich, Daten im Internet zu veroffentlichen, weil nicht auf das Datenschutzniveau in bestimmten Empfangerstaaten abgestellt werden muss. § 12 Abs. 3 DSG 2000 beschreibt also im Wesentlichen den Umfang der Datenanwendungen, die im Internet ohne besondere Zugriffsbeschrankungen veroffentlicht werden konnen. Soweit nicht der Datenverkehr genehmigungsfrei ist, muss die Genehmigung der Datenschutzkommission eingeholt werden. In § 13 DSG 2000 ist festgelegt, unter welchen Voraussetzungen solche Genehmigungen erteilt werden.
45
"The European Commission has started discussions with the EU member states on the latest version of data protection "safe harbor" principles... Those principles represent the core of the regulatory package under discussion between the Commission and the US Government with a view to achieving both parties' declared goal of concluding their dialogue on data privacy .... On the one hand the EU Data Protection Directive, which became effective on 25 October 1998, requires that transfers of personal data to non-EU countries should take place only to such countries as provide an "adequate" level of privacy protection . On the other hand the United States uses a sectoral approach that relies on a mix of legislation, regulation, and self regulation ." In: http://www.echo.Iu/legaUen/news/9904/chapter7.html#1 (15. 2. 2000)
3 Der Rechtsrahmen der Informationsgesellschaft
431
3.3.2.7 Adressenverlage und Direktwerbeunternehmen Direct Mail als MarketingmaBnahme setzt voraus, dass Informationen tiber potenzielle Kunden verfUgbar sind . Diese allgemeine VerfUgbarkeit und Handelbarkeit von personenbezogenen Informationen steht in diametralem Gegensatz zum Ziel des Datenschutzes, namlich der grundsatzlichen Herrschaft der Einzelperson Uber ihre Daten. Daher bedarf es einer rechtlichen Grundlage, wenn diese Handelbarkeit und Verfligbarkeit von Informationen erlaubt werden solI. Unsere Rechtsordnung anerkennt grundsatzlich den Bedarf und den wirtschaftlichen Wert solcher Informationen im Wirtschaftsleben. Dieser "berechtigte Zweck" findet in der Normierung der Adressenverlage und Direktwerbeuntemehmen in der Gewerbeordnung (§ 151) ihre gesetzliche Bestatigung. Adressenverlage und Direktwerbeunternehmen sind demnach berechtigt, die erforderlichen Daten aus offentlich zuganglichen Quellen (z. B. Telefonbuch, Grundbuch, Firmenbuch), aus eigenen Erkundungen und aus Kunden- und Interessentendateien anderer zu beziehen. Der Bezug von Daten aus eigenen Erkundungen und aus Kunden- und Interessendateien anderer ist dabei nur fur bestimmte, in § 151 Abs. 2 Gewerbeordnung naher aufgezahlte Aufgaben , erlaubt: • • •
die Vorbereitung und DurchfUhrung von Direktwerbeaktionen fur Waren oder Dienstleistungen anderer oder die Gestaltung und den Versand der Werbemittel fur Waren und Dienstleistungen anderer oder die Tatigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateien (Listbroking).
Die Ubernahme von Kunden- und Interessendateien anderer ist auf bestimmte Datenarten beschrankt: Es durfen gem . § 151 Abs. 5 nur Namen, Titel , akademische Grade, Anschrift, Geburtsjahr, Berufs -, Branchen- und Geschaftsbezeichnung sowie die Zugehorigkeit des Betroffenen zu einer bestimmten Kunden- und Interessentendatei Ubermittelt werden . Die Ubermittlung ist nur zulassig, solange der Betroffene dies nicht ausdrUcklich untersagt hat. ("Opt-Out-Prinzip") . Wenn Daten schriftlich von Betroffenen ermittelt werden, ist auf diese Moglichkeit der Untersagung ausdrUcklich und schriftlich hinzuweisen. Zusatzlich zu den datensehutzreehtliehen Auskunfts-, Riehtigstellungs- und Losehungsreehten wurde in § 151 Abs. 4 festgelegt, dass ein Betroffener die Losehung von Daten bei einem Adressverlag aueh dann verlangen kann, wenn die Datenverarbeitung vollig rechtrnaflig durehgefUhrt wird (vgl. aueh das Widerspruehsreeht in Kap. 3.3.2.15). AuBerdem hat gem . Abs. § 151 Abs. 8 GewO jedermann das Recht , die Zustellung von Werbematerial fUr sich auszuschlieBen ("Robinson-Liste") . Adressenverlage und Direktwerbeuntemehmen dUrfen an die in dieser Liste eingetragenen Person en keine adressierten Werbemittel versenden oder verteilen und deren Daten aueh nieht vermitteln. Eine analoge Bestimmung findet sieh in Artikel 7 der E-Commeree-Riehtlinie.
III Gestaltungsebenen von E·Business
432
Durch die Erteilung einer entsprechenden Gewerbeberechtigung ist auch klargestellt, dass auch die Ubermittlung zum berechtigten Zweck des Rechtstragers gehort. Einc verfeinerte Methode des Adresshandels umgeht datenschutzrechtliche Schwierigkeiten. Angenommen das Versandhaus x wolle einem Unternehmen y seinen Adressenbestand fur die Durchfuhrung einer Direct-Mail-Aktion .verkaufen ". Die Weitergabe der Adressen von x an y ware ein Ubermittlungsvorgang und daher strengeren Voraussetzungen fur die Zulassigkeit der Ubermittlung unterworfen. Statt also die Adressen von x nach y zu geben, werden die zu bedruckenden Materialien von y an x gegeben. x druckt nun seine Adressen im Rahmen seiner Datenverarbeitung und sendet diese Werbemittel (oft mit einem Gewinnspiel verbunden) an seine Kunden aus. Es liegt keine Ubermittlung vor, weiI y die Daten gar nie erhalten hat. Die Ausscndung wird zwar den Eindruck erwecken, von y zu stammen, die auf den Ausdrucken vorhandene DVR-Nr. 46 wird Ihnen die Spur zu x weisen . Wenn nun ein Empfanger der Sendung entsprechend an y antwortet, so iibergibt er erstmals seine Daten an y. Wirtschaftlich ist mit dieser Vorgangsweise dassel be erreicht, datenschutzrechtlich ist diese Situation jedoch vollig anders zu beurteilen, weiI y nie die Daten von x erhalten hat, sondern nur die interessierten Person en sich selbst bei y gemeldet haben, also selbst ihre Daten an y erstmalig weitergegeben haben . § 25 Abs . 2 DSG 2000 soli diesem Problem insoweit entgegenwirken, als die Pflicht zur Offenlegung nunmehr sowohl den Auftraggeber als auch denjenigen, in dessen Namen die Mitteilung erfolgt, trifft.
3.3.2.8 Registrierungsverfahren und Informationspflicht Das bisherige Datenschutzgesetz war von einer nahezu vollstandigen Registrierungspflicht ausgegangen . Diese Pflicht zur Registrierung wurde eingeschrankt und im Gegenzug die auch im der Urfassung des DSG in Osterreich schon einmal vorhandene Informationspflicht entsprechend den Vorgaben der EU-Richtlinie wieder eingefuhrt. Grundsatzlich hat jeder Auftraggeber vor Aufnahme seiner Datenanwendung eine Meldung in das Datenverarbeitungsregister zu bewirken ; dieses ist nunmehr mit erweiterten rechtlichen Priifbefugnissen ausgestattet und wird daher von der Datenschutzkommission (und nicht mehr dem Statistischen Zentralamt) gefuhrt, Wie bisher nicht meldepflichtig sind Z. B. Datenanwendungen fur den Schutz der verfassungsmafsigen Einrichtungen (Gchcimdienstc), fur die Sicherung der Einsatzbereitschaft des Bundesheeres oder die Strafverfolgung, soweit der Zweck der Datenanwendung durch ihre Publizitat gefahrdet ware (siehe § 17 Abs . 3 DSG 2000). In § 17 Abs. 2 DSG 2000 sind aber neue Ausnahmen von der Meldepflicht hinzugekommen; insb . sind nun Standardanwendungen nicht mehr meldepflichtig. 46
Das Regi strierungsverfahren und damit die Herkunft der DVR-Nr. wird im folgenden Kapitel behandelt.
3 Der Rechtsrahmen der Informationsgesellschaft
433
Standardanwendungen entsprechen den bisherigen Stand ardverarbeitungen; sie sind als "Massenprodukte" der Inform ationsgesellschaft jene Anwendungen, bei denen heute ohnedies jedermann davon ausgeht, dass seine Daten automatisationsunterstlit zt verwendet werden ; es bedarf daher keiner besonderen, formal abgesicherten Publizitat mehr . Die Pflicht zur Offenlegung (siehe unten) gilt jedoch auch flir diese nicht meldepflichtigen Anwendungen. Unter welch en Voraus setzungen der Bunde skanzler etwas zu einer Stand ardanwendung erklaren kann, ergibt sich aus § 17 Abs. 3 Z. 6 DSG 2000. Die bisherige Funktion der Standardanwendung war es, Erleichterung en fur die Registrierung zu bewirken . Da nunmehr Standardanwendungen von der Registrierung tiberhaupt ausgenommen sind, wurde diese Funktion auf die neu geschaffene .Jvlusteranwendung" tibertragen. Musteranwendungen sind .rricht ganz" Standardanwendungen - d. h. sie werden in gleichartiger Weise von einer grOBeren Zahl von Auftragg ebern vorgenommen, aber die tibrigen Voraussetzungen, die fur eine Standardanwendung erforderlich sind, liegen nicht vor. Fur solche Musteranwendungen beschrankt sich der Inhalt der Meldung auf die in § 19 Abs. 2 DSG 2000 genannten Daten." Die Formblatter fur die Meldung sind bereits im Internet auf der offiziellen Homepage der Datenschutzkommission (www .bka.gv.at/datenschutz) verfligbar; dort sind jeweils auch die aktuell en Regelungen tiber die Standard- und Musterverordnungen abrufbar.
3.3.2.9 Priifung und Genehmigung der Registrierung Die Daten verarb eitung darf grunds atzlich bereit s mit der Meldung beim Register aufgenommen werden . Kommt die Datenschutzkommi ssion bei der Prtifung der Meldung zur Auffassung, dass die Meldung mange lhaft ist, dann hat sie langstens innerhalb von zwei Monaten die Verbes serung des Mangels aufzutragen ; bei einer wesentlichen Gefahrdung schutzwtirdiger Geheimhaltungsinteressen vorlaufig zu untersagen (§ 20 DSG 2000) . Yom Anmeldeprinzip gibt es aber Ausnahmen: Der Vorabkontrolle unterliegen gernaf § 18 Abs. 2 DSG 2000 Datenanwendungen dann, wenn sie 1. sensible Daten enthalt en oder 2. strafrechtlich re1evante Daten gemaf § 8 Abs. 4 enthalten oder 3. Auskunfte tiber die Kreditwtirdigke it betreffen oder 4. in Form von Informationsverbundsystemen betrieben werden sollen .
In diesem Fall darf die Verarbeitung erst dann aufgenommen werden ," wenn die Datenschutzkommission die Anwendung genehmigt. Wird innerhalb von zwei
47
48
Bezeichnun g der Musteranwendung, Bezeichnung und Anschrift des Auftraggebers und seines berechtigten Zwecks, DVR-Nr. (sofern bereits vorhanden) . Kein e Vorabkon troll e ist dann notwendig, wenn es sich urn Mu steranwendungen handelt - diese wurden je bereits inhaltlich auf ihre Rechtm abigkeit gepruft- bzw. wenn
434
III Gestaltungsebenen von E-Business
Monaten kein Verbesserungsauftrag erteilt, so gilt die Genehmigung als erteilt und die Verarbeitung kann aufgenommen werden . Die genehmigte Durchftihrung der Registrierung ist dem Auftraggeber mitzuteilen. Diese Mitteilung hat in jedem Fall auch die zugeteilte Registernummer zu enthalten, die anlasslich der erstmaligen Registrierung vergeben wird (§ 21 Abs. 4 DSG 2000) . Die Registernummer ist eine siebenstellige Zahl. FUr einen Auftraggeber darf nur eine Registernummer vergeben werden. Bei Mitteilungen an den Betroffenen ist die Registernummer anzuftihren (§ 25 DSG 2000) . Mitteilung an den Betroffenen ist jedes Schriftstlick, das Daten aus einer Datenanwendung enthalt, auch wenn es sich dabei nicht urn einen Computerausdruck, sondern hand- oder maschinengeschriebene Schriftstucke handelt. Es ist nicht untersagt, die DVR-Nummer auch auf nicht automatisationsunterstutzte Daten enthaltenden SchriftstUcken zu fUhren, sodass vielfach die DVR-Nummer auf dem Briefpapier aufgedruckt ist. Die DVR-Nummer soli es dem Empfanger errnoglichen, herauszufinden, wer die betreffenden Daten verarbeitet. Uber das DVR kann er sich dann erkundigen, welche Datenarten in welcher Weise zu welchen Zwecken verarbeitet werden . Z. B. steht wahlwerbenden Gruppen das Recht zu, bestimmte Daten (Name, Anschrift) zu erhalten. Erhalt die wahlwerbende Gruppe diese Daten z. B. in Form einer Diskette und druckt sic diese Daten selbst aus, dann hat sie ihre eigene DVR-Nummer anzugeben ; erhalt sie dagegen die ausgedruckten Adressetiketten von der Universitat, dann muss dort die DVR-Nummer der Universitat aufgedruckt sein . Das Fehlen der DVR-Nummer ist eine Verwaltungsubertretung (§ 52 Abs. 2 DSG 2000) und mit Geldstrafe bis 9.445 Euro zu ahnden . 3.3.2.10 Informa tionspflicht
Der Auftraggeber ist gemaf § 24 DSG 2000 zur Information der Betroffenen verpflichtet, sofern sich "nach den Umstanden des Falles" nicht ohnehin klar ergibt, von wem Daten woftir verwendet werden. Die Information hat den Namen und die Adresse des Auftraggebers und den Zweck der Datenanwendung zu enthalten . Diese Informationspflicht ist eine Auswirkung der Umsetzung der EU-Richtlinie und war im bisherigen Datenschutzgesetz nicht enthalten . Nach Abs . 2 leg. cit. sind z. B. dann weitere Informationen anzugeben, wenn unklar ist, ob der Betroffene zur Beantwortung der Fragen verpflichtet ist oder wenn die Daten in Form eines Informationsverbundsystems verwendet werden sollen . Umgekehrt sind Erleichterungen dort vorgesehen (Abs . 3 leg. Cit.), wo Daten ohne Befragung des Betroffenen aufgrund gesetzlicher Vorschriften weitergegecs sic h urn innere Angelegcnheiten der anerkannten Kirchen und Rel igionsgemeinschaften handelt.
3 Der Rechtsrahmen der Informationsgesellschaft
435
ben werden oder die Beeintrachtigung on Interessen Betroffener unwahrscheinlich und die Kosten der Information der Betroffenen unverhaltnismalsig hoch waren, Die Informationspflicht ist kein Ersatz fur die Meldepflicht, denn fur nicht meldepflichtige Datenanwendungen besteht auch keine Informationspflicht; doch haben auch nicht meldepflichtige Auftraggeber bei Ubermittlungen und Mitteilungen an den Betroffenen ihre Identitat in geeigneter Weise offenzulegen, sodass den Betroffenen die Verfolgung Ihrer Rechte moglich ist. 3.3.2.11 Kontrollrechte Im Sinne des Publizitatsgrundsatzes werden dem Einzelnen individuelle Kontrollrechte eingeraumt, urn sich von der Einhaltung der Datenschutzbestimmungen uberzeugen zu konnen. Wahrend das Recht auf Einsicht in das DVR jedermann zusteht (§ 16 Abs. 2 DSG 2000), ist die Einsicht in den Registerakt ebenso wie die folgenden Rechte nur fur Betroffene, bzw. solche, die sich aus guten Grunden daflir halten durfen, vorgesehen . Die Ausubung der Kontrollrechte ist nicht von der Meldepflicht der Datenanwendung abhangig; die Rechte auf Auskunft, Richtigstellung, Loschung und das Widerspruchsrecht stehen auch bei nicht meldepflichtigen Datenanwendungen zu. Die Rechte konnen dann nicht geltend gemacht werden , wenn die Daten fur den Auftraggeber nur indirekt personenbezogen sind, weiI dieser den Nachweis der Identitat gerade nicht prtifen kann und damit nicht sichergestellt ware, dass Daten nur an den wahren Betroffenen mitgeteilt werden. 3.3.2.12 Auskunftsrecht Der Auftraggeber hat dem Betroffenen Auskunft tiber die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identitat in geeigneter Form nachweist. Die Auskunft hat die verarbeiteten Daten, die verfligbaren Informationen uber ihre Herkunft, allfallige Empfanger oder Empfangerkreise von Obermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hieflir in allgemein verstandlicher Form anzuflihren. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistem bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wird einem Auskunftsersuchen nicht nachgekommen, so ist es dem Betroffenen unter Angaben der Grlinde innerhalb von acht Wochen schriftlich mitzuteilen . (§ 26 Abs. 4 DSG 2000) Den Betroffenen trifft eine Mitwirkungspflicht; d. h., er hat konkret anzugeben, bei welchen Datenverarbeitungen er Betroffener zu sein glaubt. Die Beifligung einer entsprechenden Kopie eines Computerausdrucks bzw. einer Adressetikette wird jedenfalls als ausreichende Erfullung der Mitwirkungspflicht anzusehen sein. Das bloBe Begehren auf Auskunft ohne nahere Angaben wird aber in jenen Fallen, in denen mehrere Datenverarbeitungen gemeldet sind, nicht als ausreichende
436
III Gestaltungsebenen von E-Business
ErfUliung der Mitwirkungspflicht angese hen werden konnen . Der OGH49 hat festgestellt , dass der Betroffene aile jene Fragen des Auftraggebers beantworten muss, ohne deren Beantwortung die Auskunft nicht oder nur mit Aufwendungen ert eilt werden konnte, die auBer Relation zu dem bei der Beantwortung ent stehenden Aufwand de s Betroffenen stehen. Dieser Zweck der Mitwirkung wu rde nunmehr ausdrticklich in den Gesetz estext aufgenommen . Nicht ausjudiziert ist bisher, wie der Nachweis der Identitat zu erbringen ist. In der Literatur wird dazu meist die Meinung vertreten, das s es dem Ge set z genuge, wenn der Auskunftsw erber begehrt, dass ihm die Auskunft eingeschrieben und personlich bzw. zu eigenen Handen zugestellt werde.j" Der Gesetzgeber hat die Formulierung aus dem alten Ge setz tibernommen und daher darin offenbar kein Problem gesehen. Das Recht auf Erteilung einer Auskunft ist Basis fur die weitergehenden Rechte auf Richtigstellung und Loschung von Daten . Nach Ansicht des OGH ist dah er ein Auskunftsbegehren schikanos und rechtsmissbrauchlich , soweit der Betroffene aufgrund eines Vertragsverhaltnisse s mit dem Auftraggeber ohnehin Kenntnis der Daten hat und keinen begrtindeten Verdacht darlegen kann, dass diese Daten falsch waren." Die Auskunft ist unentgeltlich zu erteilen (§ 26 Abs . 6 DSG 2000), wenn sie den aktuellen Datenbestand betrifft und im laufenden Jahr noch kein Auskunftsersuchen das selbe Aufgabengebiet betreffend gestellt wurde. Als aktueller Datenbestand wird dabei der im Direktzugriff stehende angesehen; mangels eines solchen der letztgtiltige Datenbestand.
3.3.2.13 Richtigstellungsrecht Ergibt sich aufgrund einer erteilten Au skunft die Unrichtigkeit oder Unvollstandigkeit von Daten , so hat ein Betroffener das Recht, die Richtigstellung der Daten zu verlangen , wenn deren Richtigkeit fur den Zweck der Datenanwendung von Bedeutung ist (§ 27 Abs . 1 DSG 2000). Soweit die Daten nicht vom Betroffenen selbst kommen, obliegt dem Auftraggeber der Beweis fur die Richtigkeit. Wird eine Einigung tiber Richtigkeit oder Unrichtigkeit nicht erzielt, so ist tiber Verlangen des Betroffenen ein Vermerk tiber die Bestreitung bei zufUgen, der nur aufgrund eines rechtskraftigen Urteils geloscht werden darf (§ 27 Abs . 7 DSG 2000). Die Richtigstellung muss grundsatzlich phys isch erfolgen. Allerdings ist es erlaubt, aus wirtschaftlichen Grtinden vorlaufig die Daten nur log isch und im Rahmen von Reorganisationslaufen periodisch physisch richtigzustellen. Die Forderung nach de r physischen Richtigstellung der Daten ergibt damit die Anforderung
49 Vgl. OGH, Konto auskunft , S. 71 50 Vgl. Weissel1993, S. 71 5 1 Vgl. OGH, Kontoauskunft , S. 77
3 Der Rechtsrahmen der Informationsgesellschaft
437
von periodischen Reorganisationslaufen, falls Daten nicht unmittelbar physisch korrigiert werden.
3.3.2.14 Loscnunqsrecht Daten sind zu loschen, wenn ihre Erfassung oder Speicherung rechtswidrig ist, oder auf Antrag des Betroffenen, wenn ihre Erfassung oder Speicherung fur die Erftillung der Zwecke der Datenverarbeitung nicht mehr erforderlich ist und dem nicht tiberwiegende berechtigte lnteressen des Auftraggebers, eines Dritten oder gesetzliche Aufbewahrungspflichten entgegenstehen. Sobald Daten fur den Zweck der Anwendung nicht mehr benotigt werden, gelten sie als unzulassig verarbeitete Daen und sind zu loschen , sofem nicht ihre Archivierung gesetzlich angeordnet oder zulassig ist. (§ 27 Abs. 1 DSG 2000) Loschen bedeutet in diesem Zusammenhang wiederum physisches Loschen. Nur wenn aus wirtschaftlichen Grunden nicht sogleich die physische Loschung durchgeftihrt werden kann, gentigt die vortibergehende logische Loschung . Auch in diesem Fall muss jedoch sichergestellt sein, dass in periodischen Abstanden die Daten reorganisiert und damit physisch geloscht werden.
3.3.2.15 Widerspruchsrecht
Das Widerspruchsrecht gab es bisher im osterreichischen Datenschutzrecht nicht; es entstammt Art. 14 der Datenschutzrichtlinie. Es ist wohl eine Verallgemeinerung des Prinzips der .Robinson-Liste", wie es oben bei den Adressverlagen bereits ausgefuhrt wurde und auch in Art 14 lit. b) normiert ist. Diese Regelung findet sich im osterreichischen DSG nicht mehr, weil es ohnehin in § 151 GewO geregelt ist. Sofern Daten nicht aufgrund gesetzlicher Anordnung verwendet werden, kann ein einzelner Betroffener aufgrund seiner besonderen personlichen Situtation Widerspruch gegen die Datenanwendung erheben. Der (berechtigte) Widerspruch bewirkt die Unzulassigkeit der Verarbeitung der Daten des Betroffenen, aber nicht der Anwendung an sich. Den Erlauterungen ist zu entnehmen, dass insb. an Verzeichnisse (z. B. Einwohnerverzeichnisse, Verzeichnis Gewerbetreibender fur Exportforderungszweeke) gedacht ist, die damit grundsatzlich legalerweise existieren konnten, weil gleichzeitig der Einzelne durch sein Widerspruchsrecht sicherstellen konne, in einem solchen nicht aufzuscheinen, wenn dies seine Interessen verletzt.
3.3.2.16 Rechtsdurchsetzung
Der Rechtsschutz des Betroffenen bzw. die Instanz, bei denen er die Wahrnehmung seiner Interessen durchsetzen kann, hangt davon ab, welchem Bereich der Auftraggeber untersteht.
438
III Gestaltungsebenen von E-Business
Klagen im privaten Bereich sind auf dem ordentlichen Rechtsweg gel tend zu machen (§ 32). Zustandig ist grundsatzlich jene s Landesgericht, in dem der Betroffene seinen gewohnlichen Aufenthalt bzw. Sitz hat. Der Zivilrechtsweg gilt fur aIle Anspruche wegen Verletzung der Rechte des Betroffenen auf Geheimhaltung, Richtigstellung oder Loschung. Im offentlichen Bereich ist dafur die Datenschutzkommission zustandig ; und Antrage tiber behauptete Verletzungen des Rechts auf Auskunft sind in jedem Fall an die Datenschutzkommission zu richten. (§ 31 Abs. 1) Es wurde bereits darauf hingewiesen, dass dadurch der Beschwerdeweg deutlich erleichtert wurde. Nach § 34 DSG 2000 verjahren Ansprtiche innerhalb eines Jahres nach Kenntnis, aber spatestens innerhalb von drei Jahren, in dem das Ereignis stattgefunden hat. Die Erfahrung habe gezeigt, dass Hinger zurtickliegende Sachverhalte kaum zuverlassig geklart werden konnen, Durch die EU-Richtlinie erzwungen finden sich nunmehr auch Regelungen zum Schadenersatz im DSG 2000 (§ 33). Einer alten Forderung des Nationalrats folgend (vgl. AB 1024 BIg NR XIV GP) ist eine verschuldensabhangige Haftung vorgesehen, wobei jedoch der Auftraggeber auch fur das Verschulden seiner Leute wie fur eigenes haftet und zudem die Beweislast beim Auftraggeber liegt, der beweisen muss, dass ihn keine Schuld trifft. Bei schweren Verstoben, die einer BloBstellung im Medienrecht entspricht, ist analog zum Mediengesetz auch der Ersatz immaterieller Schaden festgeschrieben. 3.3.2.17 KontrolJorgane
Im DSG werden zur Wahrung des Datenschutzes zwei lnstitutionen eingerichtet: Die Datenschutzkommission und der Datenschutzrat. Wahrend der Datenschutzrat (§§ 41 ff) eher als politisches Beratungsgremium anzusehen ist (siehe auch die Zusammensetzung aus Vertretem politischer Parteien, der Kammem usw., vgl. § 42), ist die Datenschutzkommission (DSK) das eigentliche Kontroll- und Entscheidungsgremium . Die DSK ist eine quasi-richterliche Behorde; obwohl sie von ihrer Einordnung her eine Verwaltungsbehorde ist, fuhrt ein Richter den Vorsitz (§ 39 Abs. 2 DSG 2000) und unterliegen auch die sonstigen Mitglieder keinen Weisungen (§ 37 DSG 2000) . Die Kompetenzen der Datenschutzkommission sind durch Verfassungsbestimmungen abgesichert (§ 35 Abs. 2; § 37 Abs. 1; § 38 Abs. 1 DSG 2000). Die Aufgaben der DSK wurden gegentiber dem bisherigen Recht wesentlich erweitert. • • •
Prufung der Meldungen von Datenanwendungen einschlieBlich der VorabKontrollen (§ 20 DSG 2000); Ftihrung des Datenverarbeitungsregisters (§ 16 DSG 2000); Durchfuhrung von Kontrollen; bei Datenanwendungen, die der VorabKontrolle unterliegen , auch ohne Vorliegen eines Verdachts der Rechtswidrigkeit (§ 30 DSG 2000);
3 Der Rechtsrahmen der Informationsgesellschaft
• • • • • •
439
Entscheidung tiber Antrage wegen Verletzung des Auskunftsrechts (§ 31 Abs. I DSG 2000); Entscheidungen tiber Antrage wegen Verletzung der Geheimhaltung oder sonstiger Kontrollrechte im offentlichen Bereich (§ 31 Abs. 2 DSG2000); Prufung der Notwendigkeit der Geheimhaltung und Auskunftsverweigerung (§ 31 Abs. 4 DSG 2000) ; Mitwirkung an Beschwerden im privaten Bereich (§ 32 Abs . 5, 6 DSG 2000); Bewilligungen fur den intemationalen Datenverkehr (§ 13 DSG 2000); Berichte und Empfehlungen zu DatenschutzmaBnahmen (§ 38 Abs. 4 DSG 2000).
3.3.2.18 Dienstleister An den bisher genannten Rechten und Pflichten andert sich durch die Heranziehung eines Dienstle isters nichts, d. h. auch wenn der Auftraggeber die Daten nicht selbst verarbeitet, sondem sich eines Dienstleisters bedient, ist er selbst verpliditet, die Registrierung durchzufuhren, Ausktinfte zu erteilen usw. Nattirlich wird er im Innenverhaltnis seinen Dienstleister heranziehen, die gesetzliche Verpflichtung trifft aber immer den Auftraggeber. Wahrend im privaten Bereich die Heranziehung eines Dienstleisters frei disponierbar ist, ist dies im offentlichen Bereich dann meldepflichtig, wenn es sich urn Datenanwendungen handelt, die der Vorab-Kontrolle unterliegen und der heranzuziehende Dienstleister nicht in einem Uber- oder Unterordnungsverhaltnis mit dem Auftraggeber steht. Ftir die Dienstleister gelten folgende Pflichten (§ 11 DSG 2000): • Daten dtirfen ausschlieBlich im Rahmen der Auftrage des Auftraggebers verwendet werden . • Die nach § 14 DSG 2000 erforderlichen DatensicherheitsmaBnahmen zu treffen; insb. nur solche Mitarbeiter einzusetzen, die sich zur Einhaltung des Datengeheimnisses verpflichtet haben. • Die Weitergabe von Dienstleistungsauftragen an Sub-Dienstleister ist so rechtzeitig mitzuteilen, dass der Auftraggeber dies allenfalls untersagen kann. • Nach Beendigung der Dienstleistung sind aile Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu tibergeben bzw. in dessen Auftrag fur ihn weiter aufzubewahren oder zu vemichten. Unabhangig davon, ob die Datenverarbeitung(en) von einem Dienstleister oder vom Auftraggeber selbst durchgefuhrt werden, sind das Datengeheimnis zu beachten und die DatensicherheitsmaBnahmen einzuhalten.
3.3.2.19 Datengeheimnis Auftraggeber und Dienstleister sind verpflichtet, sich von ihren Mitarbeitem ausdrticklich vertraglich zusichem zu lassen, dass sie Daten nur nach dementspre-
440
III Gestaltungsebenen von E-Business
chenden Anordnungen liberrnitteln werden und sie das Datengeheimnis auch nach Beendigung des Dienstverhaltnisses einhalten werden. Fur den qualifizierten Bruch des Datengeheimnisses sieht § 51 DSG 2000 , sofern nicht nach anderen Bestimmungen strengere Strafen vorgesehen sind, Freiheitsstrafen bis zu einem Jahr VOL Eine bloBe vorsatzliche Verletzung des Datengeheimnisses ist als Verwaltungslibertretung mit Geldsstrafen bis zu 18.890 Euro bedroht.
3.3.2.20 Datensicherungsma13nahmen Unter Datensicherung versteht man die Summe aller technischen MaBnahmen gegen Missbrauch, Verlust, Zerstorung oder Diebstahl von Daten. Da die Beschrankung der Zulassigkeit der Verarbeitung und Ubermittlung von Daten sinnlos ware, wenn nicht ein sorgsamer Umgang mit diesen erlaubterweise verwendeten Daten sichergestellt ist, ist die Datensicherung ein wesentliches Mittel zur Erreichung eines wirksamen Datenschutzes. Daher verlangt § 14 DSG 2000 fur aile Daten verwendenden Organisationseinheiten beim Auftraggeber und Dienstleister entsprechende MaBnahmen zur Gewahrleistung der Datensicherheit. Dabei ist auf die Art der verwendeten Daten, auf Umfang und Zweck der Verwendung, den Stand der technischen Moglichkeiten sowie auf die wirtschaftliche Vertretbarkeit Bedacht zu nehmen. Was diese Formulierung im Einzelnen bedeuten soli, wird anhand der im § 14 Abs. 2 DSG 2000 autgezahlten Punkte ein wenig klarer: ,,(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitem ausdrlicklich festzulegen , 2. die Verwendung von Daten an das Vorliegen gultiger Auftrage der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter tiber seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschlieBlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Raumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datentrager vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgerate festzulegen und jedes Gerat durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichem, 7. Protokoll zu fuhren , damit tatsachlich durchgefuhrte Verwendungsvorgange, wie insbesondere Anderungen, Abfragen und Ubermittlungen, im Hinblick auf ihre Zulassigkeit im notwendigen AusmaB nachvollzogen werden konnen, 8. eine Dokumentation liber die nach Z 1 bis 7 getroffenen MaBnahmen zu fuhren, urn die Kontrolle und Beweissicherung zu erleichtem."(§ 14 Abs. 2 DSG 2000)
3 Der Rechtsrahmen der Informationsgesellschaft
441
Diese Aufzahlung ist als Orientierung fur die konkrete Festlegung der DatensicherheitsmaBnahmen im Einzelfall zu verstehen . Es mtissen nicht in jedem Fall aile MaBnahmen enthalten sein. So kann beispielsweise aufgrund der konkreten Situation eine Zutrittsbeschrankung unmoglich sein; man wird dies durch besonders strenge Regeln bei Zugriffs- bzw . Betriebsbeschrankungen kompensieren . Die Datensicherheitsvorschriften sind jedenfalls so zu erlassen und zur Verfugung zu stellen, dass sich die Bediensteten jederzeit dartiber informieren konnen. Daraus leitet sich ab, dass eine mtindliche Erlassung von Datensicherheitsvorschriften nicht gentigen wird . Gerade bei der Verwendung personenbezogener Daten im Internet wird diesen Datensicherheitsvorschriften oft nicht gentigend Aufmerksamkeit geschenkt; obwohl gerade die Verwendung in unsicherer Umgebung erhohte Vorsicht gebieten wurde, Das besondere Spannungsverhaltnis zwischen Freiheit auf Information und dem Datenschutz kommt im osterreich ischen Datenschutzgesetz darin zum Ausdruck, dass gem. § 54 DSG 2000 nur die §§ 19 bis 21 der einfachgesetzlichen Bestimmungen anwendbar sind , insoweit .Jvledienuntemehmen oder Mediendienste Daten ausschlieBlich fur ihre publizistische Tatigkeit" verwenden .P
3.4 Schutz geistigen Eigentums durch das Urheberrecht Eine weitere Beschrankung des Rechts auf Mitteilung von lnformationen ergibt sich aus dem ebenfalls verfassungsrechtlich gewahrleisteten Schutz auf Unverletzlichkeit des Eigentums (Art 5 StGG). Aufgrund der technischen Natur sind die Produkte, die via Netzwerke verbreitet werden, nattirlich keine Gegenstande im tiblichen Sinn, sondern Informationen im weiteren Sinn. Wahrend bei den .jraditionellen" Medien wie Buch , Zeitung, Grafik, Foto und Film die Bindung an das Tragermedium noch relativ dauerhaft ist, ist bei den .neuen" elektronischen Medien diese Bindung loser; die Uberrnittlung auch tiber weite Entfernungen funktioniert daher wei taus schneller und einfacher. Das eroffnet, wie es in der Vergangenheit am Beispiel Software sehr deutlich wurde, neue Chancen, aber auch neue Gefahrenpotenziale, die eine teilweise Anpassung der Regeln fur den Schutz geistigen Eigentums notwendig macht(e). Als wesentlichstes Schutzinstrument - sowohl fur die alten wie auch die neuen Medien - erweist sich dabei das Urheberrecht. Es wurde geschaffen, um dem Schopfer eines Werkes eine angemessene Vergtitung fur die wirtschaftliche Nutzung seines Werkes zu sichern , indem ihm das grundsatzliche Alleinentschei -
52
In § 31 des Mediengesetz ist der Schutz des sog. .Redaktionsgeheimnisses" verankert. Medienmitarbeiter mussen auch als Zeugen vor Gericht oder Verwaltungsbehorden ihre Informanten nicht preisgeben; auch die Uberwachung des Fernmeldeverkehrs ist nur dann erlaubt, wenn das Strafverfahren sich auf eine Handlung bezieht, die mit mehr als 10 Jahren Freiheitsstrafe bedroht ist.
442
III Gestaltungsebenen von E·Business
dungsrecht zugeordnet wird, ob bzw . wie das Werk der Offentlichkeit zuganglich gemacht wird . Obwohl die Entstehungsgrtinde fur den Schutz des geistigen Schaffens im kontinentaleuropaischen Bereich und im angloamerikanischen Bereich, wo der Begriff Copyright und die entsprechende Symbolik © herstammt, durchaus unterschiedlich sind, besteht heute im Ergebnis in weiten Bereichen Obereinstimmung in den erzielbaren Losungen, Diese Vereinheitlichung beruht auf internationalen Vertragen, z. B. der RBO. Zuletzt wurde der Schutz speziell fur Software und Datenbanken-' im Rahmen des WTO-Abkommens (TRIPS) erneut bekraftigt.
3.4.1 Schutz von Software Ohne auf die besondere Problematik einzugehen, ob das Urheberrecht das geeignete Schutzinstrument'" fur den .xlynamischen" Charakter der Software in ihrer Eigenschaft zur Losung von Problemen durch das Laufenlassen auf einem Computer ist, steht doch fest, dass internationale Obereinstimmung besteht, dass Software dem urheberrechtlichen Schutz zuganglich ist. Mit der Urheberrechtsgesetznovelle 1993 wurde auch festgeschrieben, dass ein Computerprogamm dann ein Werk im Sinn des Urheberrechtsgesetzes ist, wenn es .Ergebnis der eigenen geistigen Schopfung ihres Urhebers"> ist. Andere Kriterien sind zur Bestimmung der Schutzfahigkeit nicht anzuwenden. Wer also ein fremdes Computerprogramm benutzt, muss sich , soferne nicht sein Schopfer das Programm .freigegeben" hat (sog. Public Domain (PD) Software), auf einen entsprechenden Rechtsgrund stiitzen konnen . Dies wird in aller Regel im PC-Bereich ein Kaufvertrag sein; es kommen aber auch Mietvertrage oder Nutzungsvereinbarungen anderer Art in Frage." Wer also z. B. ein Programm, mag er auch eine einzelne Version redlich durch Kauf erworben haben, auf einem FTP Server per anonymus ftp anbietet, handelt schon dann rechtswidrig, wenn kein einziger Benutzer Gebrauch von diesem Angebot macht und das Programm tatsachlich herunterladt, Er verstofst damit namlich gegen das Verbreitungsrecht (§ 15 UrhG).
53
54 55 56
In diesem Bereich war der Schutz im klassischen Urheberrecht ltickenhaft; die EU hat daher eine Richtlinie erlassen , nach der die Staaten zum Schutz der Datenbanken einen eigenstandigen, dem Urheberrecht nachgebildeten Schutz gewahren mussen , So konnte etwa ein WWW-Server als strukturierte Gesamtheit auch dann als .Datenbank" geschUtzt sein, wenn keinem der enthaltenen Elemente fur sich SchutzwUrdigkeit zukommt. In Osterreich wurde dazu Abschnitt VIb: "Sondervorschriften fur Datenbankwerke" in das Urheberrechtsgesetz aufgenommen sowie ein entsprechendes Leistungsschutzrecht in den §§ 76c - 76e. In Deutschland wurde die Richtlinie durch Artikel 7 des IuKDG umgesetzt: http://www.iid.de/rahmen/iukdg .html#a7 (April 1999) VgI. Samuelson et aI. 1994, S. 2332 ff. Art. 1 Abs. 3 Softwareschutz-Richtlinie; vgI. auch § 40 UrhG Der ublicherweise verwendete Begriff .L izenzvertrag" sagt nichts tiber die tatsachliche rechtliche Einordnung aus; vgI. dazu ausfuhrlich Holler 1995, S. 180
3 Der Rechtsrahmen der Informationsgesellschaft
443
Ebenso handelt rechtswidrig, wer ein urheberrechtlich geschutztes Werk von einem solchen Server herunterladt. Selbst wenn er von der Rechtswidrigkeit des Angebots nichts wissen konnte, dann wird das zwar seine strafrechtliche Verantwortung ausschlieBen, aber nicht dazu fuhren, dass er das Programm weiter nutzen kann . Dabei gilt der Schutz de s osterreichischen Urheberrechts nicht nur fur inlandische Programme, sondern auch fur die von auslandischen Urhebern , wenn in seinem Heimatstaat auch osterreichischen Urhebern Schutz gewahrt wird (Gegenseitigkeitsprinzip, vgl. § 96 UrhG) . Auch existieren mehrere Staatsvertrage , die einen Schutz auslandischer Software begrunden. Grundsatzlich wird man aber davon ausgehen durfen, dass Software, die auf FTP Servern mit anonymem Zugang gespeichert ist , auch rechtlich zula ssigerweise herunterkopiert werden darf - gerade dazu ist dieses Instrument geschaffen worden . Ob die Nutzung allerdings auf Dauer ohne Entgelt erlaubt ist (PO-Software) oder nur z. B . fur den nichtkommerziellen Gebrauch oder nur fur beschrankte Zeit (z. B. bei Shareware zum Testen), ist den Bedingungen der jeweiligen Software zu entnehmen. Der Vertrieb von Software wird oftmals dergestalt gehandhabt, dass eine nur beschrankt funktionsfahige Software via FTP heruntergeladen und damit getestet werden kann . Will der Benutzer nach dem Test die Software in voller Funktionalitat erwerben, dann bestellt er diese und erhalt eine Codezahl bzw . ein Kennwort, mit dem er diese volle Funktionsfahigkeit herstellen kann, ohne dass es einer tatsachlichen Neulieferung bedUrfte. Diese Vertriebsform bietet fur be ide Seiten Vorteile: Der Kunde kauft nicht die .Katze im Sack", sondern kann das Softwarepaket testen ; der Softwareverkaufer kann wohl seine Gewahrleistung in groberem MaBe einschranken als er es konnte, wenn der Kunde das Programm vorher nicht kennt, und schlieBt das Risiko von Raubkopien doch in wesentlich grolserem Umfang aus als die s bei der konzeptionell sehr ahnlichen Vertriebsform der Shareware der Fall ist. Updates, die im Wesentlichen Bugfixes darstellen, wird der Softwareanbieter aus eigenem Interesse moglichst schnell und umfassend an den Kunden bringen wollen, weil eine fehlerfreiere Software nicht nur seinen Ruf fordert, sondern auch seine Hotline entlastet. Man wird daher davon ausgehen mussen, dass ein Hersteller, der Updates auf einem FTP-Server bereitstellt, den Kaufern seines Produkts das Recht einraumt, auch dieses Update herunterzukopieren und seine rechtmaliig erworbenen Exemplare damit auf den neuesten Stand zu bringen.
3.4.2 Schutz von bestehenden Dokumenten vor Digitalisierung Wiewohl Software derjenige Informationstyp war, an dem sich die Diskussion tiber den Urheberrechtsschutz im Computerbereich am umfassendsten entwickelt hat, wird im Zeichen der wachsenden Multimedialitat, insb. seit dem rasanten
444
III Gestaltungsebenen von E·Business
Aufschwung des WWW-Dienstes im Internet," auch die Frage des Schutzes sonstiger Werkkategorien im Internet immer mehr an Bedeutung gewinnen. Eine Homepage anzubieten, ist im E-Business Zeitalter zur Selbstverstandlichkeit geworden; heute verfugen nicht nur die Mehrzahl der Unternehmen, sondern auch bereits viele Private tiber eigene Homepages . Viele dieser Homepageanbieter hatten davor mit urheberrechtlichen Fragen gar nicht oder nur am Rande zu tun, so dass eine groBe Unsicherheit dartiber herrscht, was man denn eigentlich tun dtirfe oder nicht. Von groBer Angstlichkeit - eigentlich stehe jeder WWW-Server-Anbieter mit einem FuB im Gefangnis - bis zur auBersten Sorglosigkeit - im Internet sei sowieso alles frei kopierbar - reichen dabei die Einstellungen. Es tiberrascht nicht, dass die Wahrheit in der Mitte liegen wird. Wer auf elektronischem Weg nur das publiziert, was er auch auf klassischen Medien publizieren wurde, wird in aller Regel den richtigen Mittelweg finden . Allerdings sind Werbeagenturen aufgefordert, ihre Vertragsmuster zu prufen. In solchen Standardvertragen tiber die Nutzung von Logos, Sounds etc. sind oftmals nur die klassischen Medien berticksichtigt, nicht jedoch die Nutzung im Internet. Jedenfalls ist die Vorstellung, dass grundsatzlich alles aus dem Internet kopiert und fur eigene Arbeiten wiederverwendet werden durfe, nach deutschem oder osterreichischem Recht nicht nachvollziehbar. Grundsatzlich muss man davon ausgehen, dass das Urheberrecht sich nicht andert, wenn das Werk digitalisiert, also in eine elektronische Form gebracht wird . Jede Art der Abspeicherung eines Werkes ist eine Vervielfaltigung gemals § 15 UrhG.58 Ob ein konkretes Objekt urheberrechtlich geschtitzt ist oder nicht, hangt davon ab , ob es ein Werk darstellt oder nicht. Das Urheberrecht fordert als Voraussetzung fur die Werkqualitat das Vorliegen einer "eigentlimlichen geistigen Schopfung" . Eigentumlich" bedeutet nach der standigen Formel des OGH59, "daB die Personlichkeit des Urhebers, die Einmaligkeit seines Wesens in der Schopfung so zum Ausdruck kommen muB, daB auch dieser dadurch der Stempel der Einmaligkeit und der Zugehorigkeit zu ihrem Schopfer aufgepragt wird ." Ein asthetischer oder ktinstlerischer Wert ist nicht Voraussetzung. Ein urhebcrrechtlich geschtitztes Sprachwerk liegt also nur dann vor, wenn es sich .riurch seine Individualitat von der Masse alltaglicher Gebilde abhebe. MaBgebend sei die geistige Leistung, die in Form oder Inhalt des Werkes seinen Niederschlag findet.:"? Die wirtschaftliche Verwertbarkeit ist kein Kriterium fur das Urheberrecht.
57
Vgl. Abschnitt I, Kap. 1.4.6
58 Da die Abbildung eines Bauwerkes bereit s eine Vervielfaltigung darstellt, kann es nicht zweifelhaft sein, dass auch z. B. das Einscannen cines Textes oder Bildes eine Vervielfaltigung darstellt. 59 Z. B. OOH Werbespruch, S. 93 60 OOH Werbespruch, S. 94
3 Der Rechtsrahmen der Informationsgesellschaft
445
Neben diesem hohen urheberrechtlichen Schutzansprucb" gibt es fur manche Objekte (Z. B. Lichtbilder) noch einen Schutz auf niedriger Ebene, die sog. Leistungsschutzrechte. Diese Leistungsschutzrechte werden bestimmten Personen eingeraumt, die an der Herstellung oder Aufflihrung von Schopfungen mitarbeiten, ohne dass diese Tatigkeit das hohe Niveau einer Werkschopfung erreichen wilrde . Der angloamerikanische Rechtsbereich kennt diese Unterscheidung nicht; dort wird alles unter "Copyright" subsumiert. Auf den Schutz von einzelnen Werkarten wird in Kap. 3.6 .5 am Beispiel der lnformationskategorien beim Betrieb eines WWW-Servers noch naher eingegangen. Die erste Quelle fur Verletzungshandlungen besteht also bei der Ubernahme fremder Werke; insb . das Scannen von Fotos und deren Bearbeitung in Programmen wie Photoshop ist eine Verletzung des Urheberrechts - und zwar auch dann, wenn das Bild nachher nicht wiede rerkennbar ist. Dies wird zwar den Beweis der Rechtswidrigkeit sehr erschweren, kann aber die passierte Rechtswidrigkeit nicht beseitigen. Selbst wenn die Vervielfaltigung Z. B. aufgrund eines Vertrages erlaubt ist, bedeutet das noch nicht, dass auch die Bearbeitung zulassig ist. Als Bearbeitung ist dabei nicht nur die Verfremdung, sondem bereits die Verkleinerung/Vergrollerung oder auch nur die Verwendung eines Ausschnittes anzusehen.f Das Bereitstellen von Werken auf einem Medium, das potenziell offentlich ist, d. h. mehreren nicht durch organisatorische Bande verkntipften Person en den Zugriff erlaubt, ist als Verbreitung im Sinn des Urheberrechts zu qualifizieren und bedarf daher einer entsprechenden urheberrechtlichen Genehmigung.s'
3.4.3 Schutz von originar elektronischen Dokumenten Wahrend im vorigen Kapitel davon ausgegangen wurde , dass ein Werk bereits auf "traditionellen" Medien vorliegt und dieses schon bestehende Werk auf elektronische Medien tibemommen wird, sei hier der Fall behandelt, dass das Werk direkt auf elektronischem Weg geschaffen wird. Dies konnte beispielsweise bei elektronischen Zeitschriften der Fall sein , deren Beitrage nattirlich am Computer entstehen und auch nur in dieser Form publiziert werden . In diesem Fall gibt es also keine .Papierform" mehr, die in das digitale Medium kopiert wird, sondem das elektronische Medium ist das "Original". Die Problematisierung dieser Fragestellung, die manchem Intemetbenutzer als Forderung nach einem "transmission right" schon begegnet sein mag , ist nur aus der Copyright-Tradition erklarbar. Dort kntipft namlich der Schutz an das Vorlie61
62 63
Die - wahrscheinlich noch etwas strengere - deutsche Judikatur, die der .Jnkassoprogramm "-Entscheidung des BGH zugrundelag, wurde durch die EU-Softwareschutzriehtlinie flir den Softwarebereieh korrigiert ; fur andere digitalisierte Werke ist diese jedoch nieht anwendbar. Vgl. OGH Wirtshausgeschichten Vgl. OGH-APA Bildfunknetz
446
III Gestaltungsebenen von E-Business
gen einer Kopie in einem "tangible medium"64 an - und ob die elektronische Spei cherung ein solches darstellt, wird teilweise in Zweifel gezogen. Aus Sicht des osterreichischen Urheberrechts stellt sich diese Fra ge nicht auch die Verkorperung des Werkes in elektronischer Form ist eine taugliche Grundlage fur die Gewahrung des Urheberrechtsschutzes. Es ergeben sich daher auch bei Dokumenten, die nur in Form von elektronischen .Driginalen" vorliegen, keine Unterschiede im Hinblick auf den Urheberrechtsschutz im Vergleich zu herkommlich festgehaltenen Originalen.
3.5 Rechtsverbindlichkeit elektronischer Kommunikationswege Bei der Uberrnittlung von Nachrichten an individuell bestimmte Adressaten stellen sich regelmalsig gan z andere Fragen als bisher behandelt." 1m Vordergrund steht dabei die Frage, inwieweit man sich auf elektronische Kommunikationswege .verlassen" kann, wenn der iibermittelte Erklarungsinhalt rechtliche Auswirkungen nach sich ziehen soil. Dabei ist zu unterscheiden, ob es sich urn privatrechtliche Erklarungen oder urn solche im Rahmen eines behordlichen Verfahrens handelt. Weiters ist zu unterscheiden, wofur die Technik eingesetzt wird: Einerseits konnen Erklarungen , die von Menschen abgegeben werden, mithilfe der Telekommunikation transportiert werden, andererseits kann bereits die Abgabe der Erklarung automatisiert erfolgen . AbschlieBend wird dann noch auf die Frage der Vertraulichkeit der Kommunikation eingegangen.
3.5.1 Angebote, Bestellungen, Rechnungen Angebote bzw. Bestellungen sind hier als wohl am haufigsten vorkommendes Beispiel fur Willenserklarungen pars pro toto genannt. Wer ein Versprechen (vgl. § 861 ABGB) zum Abschluss eines Vertrages macht bzw . ein solches annimmt, erklart damit seinen Willen, den entsprechenden Vertrag zu schlieBen. Das Zivilrecht unterscheidet be ziiglich der Frist fur die Ann ahme eines Angebots, sofeme diese nicht ausdriicklich festgelegt ist, zwischen Antragen, die unter Anwesenden oder "mittels Fern sprechers von Person zu Person" gemacht wurden und solchen, die einem Abwesenden gemacht werden (§ 862 ABGB). Es stellt sich die Frage, wie die elektronischen Kommunikationsmedien einzuordnen sind. Das ABGB stellt offensichtlich auf die Gleichzeitigkeit der Anwesenheit der Kommunikationspartner ab : Bei "face to fac e"-Kommunikation wie
64 65
Vgl. Gendreau 1995, S. 304 f. Es kann zwar auch hier, z. B. durch Ubersendung eines urheberrechtlich geschiitzten Programms, eine Verletzung geistigen Eigentum s vorliegen, doch sind solche Faile nur ausnahmsweise fur Dritte erkennbar.
3 Der Rechtsrahmen der Informationsgesellschaft
447
auch beim Telefonat ist die Anwesenheit beider (bzw . mehrerer) Kommunikationspartner zum selben Zeitpunkt erforderlich; ein so gemachter Antrag muss sogleich angenommen werden . EDI , Electronic-Mail oder andere, elektronisch basierte Telekommunikationsdienste sind grundsatzlich so konzipiert, dass die gleichzeitige Anwesenheit der Kommunikationspartner nicht notwendig ist. Ein so gemachter Antrag wird daher als unter Abwesenden gestellt zu beurteilen sein : das ABGB definiert die fur die Annahme zustehende Frist dynamisch: "... bis zu dem Zeitpunkte..., in welchem der Antragsteller unter der Voraussetzung, dass sein Antrag rechtzeitig angekommen sei, bei rechtzeitiger und ordnungsgemaser Absendung der Antwort deren Eintreffen erwarten darf'. (§ 862 ABGB) Die Frist fur die Annahmeerklarung besteht also aus drei Komponenten: der Zeit fur die Ubermittlung der Nachricht an den Empfanger, dessen Zeit zur Uberlegung tiber die Entscheidung, das Angebot anzunehmen oder nicht und die Zeit fur RUckUbermittlung der Anwort. Da die Ubermittlungszeiten im elektronischen Verkehr in der Regel sehr viel kurzer sind als der traditionelle Postweg - dies ist ja mit ein Element fur ihren Einsatz - ergeben sich auch insgesamt kurzere Bindungsfristen. Das ABGB normiert als Grundprinzip fur den Vertragsabschluss die Formfreiheit. .Diese Verschiedenheit der Form macht, auBer den im Gesetze bestimmten Fallen, in Ansehung der Verbindlichkeit keinen Unterschied" (§ 883 ABGB). Sofem nicht ein solcher Fall gesetzlicher Formvorschriften'" vorliegt, ist zwei fellos die Erklarung via E-Mail rechtswirksam. Ob die Erklarung via E-Mail alIerdings schriftlich ist, muss nach der gesetzlichen Definition stark bezweifelt werden . .Ein Vertrag, fur den Gesetz oder Parteiwille Schriftlichkeit bestirnmt, kommt durch die Unterschrift der Parteien ...zustande. Eine Nachbildung der eigenhandigen Unterschrift auf mechanischem Wege ist nur da genugend, wo sie im Geschaftsverkehr ublich ist ." (§ 886 ABGB) Bei Erklarungen via E-Mail wird es an dieser eigenhandigen Unterschrift aus technischen Grunden zwangsweise fehlen miissen; daher ist sie grundsatzlich nicht als schriftlich zu werten/" Sofem die Schriftlichkeit auf dem Parteiwillen beruht, steht es naturlich den Parteien auch frei, Schriftlichkeit anders zu definieren und auch Telefax und E-Mail als Schriftform gelten zu lassen . Unter Umstanden kann sich eine solche Anderung der gesetzlichen Schriftformdefinition auch aus konkludentem Verhalten able iten las-
sen."
66
67 68
Solche gibt es etwa fur die Erklarung einer Biirgschaft ; § 1346 Abs. 2 ABGB sieht ebenso die Schriftform vor; wie das Mietengesetz fur die gerichtliche Kiindigung (§ 33 MRG). Fiir den vergleichbaren Fall der Nutzung von Telefax gibt es jedoch bereits seit langerern einige einschlagige Entscheidungen. Vgl. z. B. BFH Telefax, BPatG Fax, Hahne 1995, S. 174; Vgl. aber die .anodeme'' Definition der Schriftlichkeit in § 86 a BAO; Naheres dazu unter Kap. 3.5.4 Vgl. Hartmann 1998, S. 115
448
III Gestaltungsebenen von E-Business
3.5.2 Digitale Signaturen Dieses Fehlen einer Unterschrift im Rechtssinn ist ein Hindernis fur die Verwendung elektronischer Kommunikationswege - und dementsprechend ein Feld fur das Tatigwerden der EU. Die schon mehrfach angesprochene Eigenschaft von Information , beliebig vervielfaltigbar zu sein, macht dann ein Problem, wenn es wie bei der Unterschrift im Gegenteil darum geht, eine Information eindeutig zuzuordnen. Das Einscannen einer manuellen Unterschrift ist zwar problemlos moglich aber die Funktion einer Unterschrift ist damit zunichte gemacht. Jeder Empfanger kann diese Information kopieren und ohne Zusammenhang mit dem Aussteller weiterverwenden. Die sog. "elektronische Unterschrift" hat also in der Form nichts mit der .manuellen" Unterschrift zu tun - es geht nicht um eine bildliche Nachbildung, sondern um die Implementierung der Funktionen der Unterschrift auf digitalen Medien. Das Gesetz verwendet daher auch den korrekteren Ausdruck .xligitale Signatur". Die technische Realisierung der digitalen Signaturen ist in Kap. 2.2.2 beschrieben - die Verwendung im Signaturgesetz'? (in der Signaturverordnung) geregelt. Das Signaturgesetz unterscheidet in "sichere" Signaturen und solche, die das nicht sind ; diese werden im Folgenden als einfache Signaturen bezeichnet. Eine sichere elektronische Signatur erfullt nach § 4 Signaturgesetz das Schriftlichkeitserfordernis des § 886 ABGB . Das Problem dabei : Die Anforderungen , die der Gesetzgeber an sichere Signaturen stellt, sind so hoch, dass es bisher keinen Anbieter gibt. Es ist zu befurchten, dass sich daher fur die Anwendung sicherer elektronischer Signaturen nur ein sehr beschrankter Markt entwickeln wird - und damit hohe Gebuhren wahrscheinlich sind. Diese werden den Trend dann wohl noch verstarken . Der Einsatz einfacher digitaler Signaturen stellt aber ebenfalls einen groBen Schritt in Richtung Sicherheit dar, auch wenn daran keine besonderen Rechtswirkungen geknupft sind . Auch der Einsatz solcher Sicherungsinstrumente wird fur die Durchsetzung im Prozessweg von Bedeutung sein." Zu unterscheiden von der materiell-rechtlichen Frage , wie ein Vertrag zustandekommt, ist namlich das Problem, im Streitfall das Vorliegen der entsprechenden Voraussetzungen auch zu beweisen. Die Schwache mlindlicher Vereinbarungen besteht in den Schwierigkeiten, den konkreten Inhalt von Vereinbarungen nachzuweisen." Dasselbe gilt im Prinzip fur E-Mail s, weil diese im Regelfall keinerlei .Authentizitatsmerkmale" tragen. Urkunden als Beweismittel liegen nur dann vor,
69
70 71
Bundesgesetz tiber elektronische Signaturen (Signaturgeset z - SigG), 8GB\. I Nr. 190/1999 idF BGB\. I Nr. 15212001 ; Verordnung des Bundeskanzlers tiber elektronische Signaturen (Signaturverordnung - SigV), 8GB\. II Nr. 30/2000 Vg\. Wolfsteiner 1995, S. 26 rr. Vg\. BGH Tonbandaufnahme, Nowotny 1989, S. 214
3 Der Rechtsrahmen der Informationsgesellschaft
449
wenn sie auf einem dauerhaften Medium verkorpert sind; "elektronische" Urkunden sind daher derzeit nicht rechtli ch anerkannt. Wenn nun aber durch technische MaBnahmen (vgl. Kap . 2.2 .2) die Auth ent izitat einer Nachricht nachgewiesen werden kann, so wird di es im Rahmen der freien Beweiswi.irdigung auch bei Fehlen der formalen Gleichstellung mit einer eigenhandigen Untersch rift anerkannt werden. Im osterreichischen Steuerrecht wird inzwischen die Urkundenqualitat von Datentragern anerkannt. Rechnung ist nach § I lAbs. 2 UStG 1994 .j ede Urkunde, . .. gleichgi.iltig wie diese Urkunde ... bezeichnet wird." Durch den Verwei s auf § 132 Abs. 2 der Bunde sabgabenordnung ergibt sich , dass dies auch Belege sein konnen , die nur auf Datentragem vorliegen. Digitale Signaturen sind nicht vorgeschrieben, werden im Streitfall aber sehr hilfreich sein , die Authentizitat des Ausstellers der Rechnung nachzuweisen.
3.5.3 Automatisierte Rechtserklarunqen Von automatisierten Rechtserklarungen kann man dann sprechen, wenn nicht bloB der Tr ansport des Nachrichteninhalts, sondern auch die Er zeugung des Inhalts durch programmgesteuerte Akt ionen erfolgt. Durch die Verknlipfung mehrerer, rechtlich selbstandiger Untern ehm en zu einem .virtuellen Unternehmen" wird der bish er schon aus EDI-Anwendungen bekannte Trend, auch Willenserklarungen via Computer abzugeben, sicherl ich noch verstarkt, Das grundsatzliche Problem besteht darin, dass Maschinen kein en Willen haben und dah er auch definitionsgemaf keine Willenserklarungen abgeben konnen. Da durch die Willenserklarung eine rechtliche Verpflichtung eingegangen wird, muss sie jemandem zurechenbar sein. Diese Frage ist analog zu den sonstigen Vertretungsregeln zu losen : Auch wenn sich ein Unternehmer eines Mitarbeiters bedient, urn etwa Angebote bzw. Bestel lungen zu erstellen, dann wird diese Erklarung des Mitarbeiters dem Unternehmer zugerechnet. Eben so gilt dies auch fur die automatisierte .Willenserkl arung'': Wenn sich der Untern ehm er eines Programms bedient, das Erklarungen erzeugt, die nach auBen den Anschein erw ecken, als ob sie von ihm starnmen, dann muss er auch daflir einstehen. Die Koppelung eines PPS des Produzenten via ED! mit dem Auftragsverwaltungssystem des Lieferanten, indem vollautomati sch Lieferabrufe erzeugt und ausgefi.ihrt werden, ist daher rechtlich genau so zu behandeln wie ein System, in dem die einzelnen Abrufe durch Mitarbeiter getatigt werden . Jeder haftet - sofern nicht ausdrlicklich andere Vereinbarungen getroffen wurden - in seinem Bereich fur Fehler, die dadurch entstehen, dass er die Erklarung mithilfe der Technik abgesetzt bzw. entgegengenommen hat und nicht durch Mitarbeiter. Die se Beurteilung folgt der Uberlegung, dass derjenige, der durch den Technikeinsatz wirtschaftliche Vorteile zieht , auch diejenigen Foigen zu tragen hat , die sich aus dem hoheren Fehlerrisiko dieser Nutzung ergeben.
450
III Gestaltungsebenen von E-Business
Auch die zunehmend Verbreitun g findenden "Online-Shop s" sind teilweise als Anwendung automatisierter Willenserklarungen anzu sehen . Wenn der Shop so aufgebaut ist, dass er einem konkreten Benutzer Angebote tiber Ware, Preis und Lieferbereitschaft gibt, dann wird ein solcher Shop als Ang ebot zu werten sein und nicht bloB als Aufforderung, ein Angebot zu stellen . Dieser Eindruck wird verstarkt, wenn die Zahlung dann per Kred itkarte erfolgt. In dies em Fall ist der Vertrag mit dem Zugang der vom Benutzer abgesandten Bestellung des Warenkorbe s zustandegekommen . Wenn dieser Shop etw a auf einem fremden Ser ver installiert ist und die Benachrichtigung des Unternehmens nicht oder verspatet erfolgt, dann ist dieser Fehler dem Machtbereich des Unt ernehmens zuzuordnen und dieses daher auch fur die Folgen verantwortlich. Ein Sonderfall automatisierte r Will enserklarungen - teilweise sogar schon beidseitig, sind Internet-Auktionen . Dabe i wird demjenigen, der bei Ablau f einer bestimmten Frist das hochste Gebot abgegeben hat, von einem Softwaresystem der .Z uschlag" erteilt. Beide Vertragspartner - Verkaufer wie Bieter - haben dabei regelmafsig Vertrage mit dem Anbieter des Auktion ssystems abgeschlossen, in denen der Ablauf des Verfahrens geregelt wird. Es liegen zwei ausdrtickliche Willenserklarungen vor, die Annahme des (hochsten) Gebots erfo lgt jedoch nicht durch die Person selbst, sondern programmgesteuert. Inzwischen gibt es auch auf Bieterseite Agentensysteme, die autom atisch eine Auktion tiberwachen und bis zu einer bestimmten einstellb aren Hohe mitbieten und dafUr sorgen , das s jeweils das eigene Angebot das hochste ist. Es ist inzwischen durch die Gerichte klargestellt, dass solche Intemetauktionen rechtsverbindlich sind." 3.5.4 Behordenantraqe bzw. Erledigungen
Die Beantwortung der Frage, inwieweit Antrage bzw . Meldungen an Behorden, deren Entscheidungen bzw . Berufungen gegen solche Entscheidungen, auf elektronischem Weg e zulass ig sind , ist sehr viel vielschichtiger, weiI sie von den jeweils anzuwendenden Verfahrensvorschrift en abhangt . Als relativ "computerfreundlich" ist die osterreichische Finanzverwaltung anzusehen, die sehr frtih und umfassend Computer fur ihre Verwaltungsaufgaben eingesetzt hat. § 85 BAO bestimmt, dass Anbringen zur Geltendmachung von Rechten oder zur ErfUliung von Verpflichtungen grundsatzlich schriftlich einzureichen sind . Als Schriftlichkeit wird jedoch auch die telegrafi sche, fern schriftliche oder, soweit dies durch Verordnung des Bund esministers fur Finan zen zugelassen wird , die Ubertragung im Wege automatisationsuntersttitzter Datentibertragung oder in jeder anderen technisch moglichen Weise anerk annt. In diesen Fallen gelten die
72
Als lehrbuchhaftes Beisp iel kann das Verfahren tiber die Versteigerung eine s PKW angesehen werden , der urn ca. die Halfte seines Wertes ersteigert wurde . Das Verfahren ging bis zurn BGH, der die Recht swirks arnkeit des Vertrage s bestiitigte. (BGH InternetAuktion)
3 Der Rechtsrahmen der Informationsgesellschaft
451
fur schriftliche Anbringen geltenden Vorschriften mit der MaBgabe , dass das Fehler der Unterschrift keinen Mangel darstellt. Wenn es die Wichtigkeit des Anbringens zweckmafsig erscheinen lasst, kann die Abgab enbehorde die unterschriebene Bestatigung des Anbringens auftrag en ; erfolgt diese nicht fristgerecht, gilt das Anbringen als zurUckgenommen (§ 86 a BAO). Die Mitteilung von Erledigungen erfolgt grundsatzlich durch Zustellung" (§ 97 Abs. I BAO). Auch hier sieht Abs. 3 leg. cit. jedoch ersatzweise die Moglichkeit der telegrafischen oder femschriftlichen Mitteilung vor bzw . nach MaBgabe einer Verordnung des Bundesmin isters fur Finanzen auch auf im Wege automatisationsunterstiitz er Datenverarbeitung oder in jeder and eren technisch moglichen Wei se . Dabei sind in der Verordnung technische oder organisatorische MaBnahmen festzulegen, die gewahrleisten, dass die Mitt eilung in einer dem Stand der Technik entsprechenden sicheren und nachprufbaren Wei se erfolgt und den Erfordemissen des Dat enschutzes genugt. AuBerdem muss der Empfanger der Erl edi gung fur das Verfahren, in dem sie ergeht, ausdrucklich und schriftlich dieser Art der Mitteilung zugestimmt haben . Die Formulierung .sie hat an das vom Empfanger bekanntgegebene Empfangsgerat zu erfolgen" deutet wohl darauf hin , dass der Gesetzgeber primar an die TelefaxUbermittlung gedacht hat, weil die Bestimmung fur einen E-Mail-Anschluss sinnlos ware. Im Rahmen des Allgemeinen Verwaltungsverfahrensgesetze s (A VG) ist ebenfalls die Einbringung von Antragen im Wege von Telefax und automatischer Datenverarbeitung zulassig, Seit Janner 1998 ist auch klargestellt, dass E-Mails erst mit dem nachfolgenden Werktag als zugegangen gelten." FUr die Zustellung behordlicher Schriftstucke" sieht seit 199F6 auch das Zustellgesetz - ahnlich wie die BAO - die Mitteilung telegrafisch, femschriftlich , im Wege automatisationsunterstlitzter Datenubertragung oder in einer anderen technisch moglichen Weise VOL Eine nahere Festlegung durch Verordnung ist hier allerdings nicht vorgesehen. Irn Zweifel hat gemal; § 26 Abs . 2 ZustellG die Behorde die Tatsache und den Zeitpunkt der Zustellung zu beweisen. Die rechtlichen Rahmenbedingungen fur elektronische Antrage und Erledigungen sind also zum indest im Anwendungsbereich der angesprochenen Gesetze sehr offen - und werden im zwar beschlossenen, aber noch nicht veroffentlichen Verwaltungsreformgesetz noch erweitert" : die tatsachlichen technischen Moglichkeiten der Ausstattung sowohl bei den Antragstellem wie auch den Verwaltungsbehorden scheinen den moglichen Rahmen noch keineswegs auszuschopfen, Die Erweiterung dieses Anw endungsfeldes scheitert also weniger an rechtlichen Hurden,
73 74
75
76
77
Vg!. dazu unten die Ausfiihrungen tiber das Zustellges etz Vg!. § 13 Abs. 5 AVG : "gelten erst mit dem Wiederbeginn der Amts stunden als bei ihr eingelangt" Vg!. Bundesgesetz vom 1. April 1982 tiber die Zustellung behor dlicher Schriftstticke (Zustellge setz), BGB!. 200/1982 BGB!. 357/1990 Verwaltungsreformgesetz 2001 , Regierun gsvorlage und Erlautemde Bemerkungen, in: http://www .parlinkom.gv.at/pd/pmlXXI/I/hi s/007/100772_.html
III Gestaltungsebenen von E-Business
452
als an technischen Grtinden der Verftigbark eit wie wohl auch der Akzeptanz - sowohl auf Seiten der Btirger wie auch der Mitarbeiter in der Verwaltung."
3.5.5 Schutz der Vertraulichkeit elektronischer Kommunikation
3.5.5.1 Schutzanspruch der Kommunikationspartner Wie bereits erwahnt, gehort das Prinzip der Vertraulichkeit der Kommunikation zu den Grundrechten eines demokrati schen Staates. Schon im Staatsgrundg eset z von 1867 ist der Schutz des Briefgeheimn isses - als damals aktueller Form der Kommunikation zwischen Individuen - verankert. Dieser wurde 1974 um den Schutz des Fernmeldegeheimnisses erweitert, um den neu hinzugekommenen technischen Moglichkeiten Rechnung zu tragen. Es besteht kein Zweifel, dass auch E-Mail und sonstige auf elektronischen Diensten basierende Kommunikationsarten durch das Brief- und Fernmeldegeheimnis erfasst werden . Der Staat schtitzt also die Geheimhaltung der Nachrichten, die zwischen Individuen kommuni ziert werden - allerdings mit bestimmten Ausnahmen : Mit richt erlicher Anordnung kann diese Geheimhaltung durchbrochen werden, wenn etwa der Verdacht einer strafbaren Handlung besteht.
3.5.5.2 Verschliisselung oder Monopol des Staates
In dieser hohen Wirksamkeit des Schutzes liegt auch der Kern der Diskussion tiber die Zulassigkeit der Verschli.isselung .79 An sich erscheint es j a nur konsequent, dass ein Staat, der die Vertraulichkeit der Kommunikation garantiert, die Kommunikationspartner darin untersttitzt, diese Inhalte auch techni sch so gut als moglich zu sichern, um den tatsachl ichen Erfolg der Vertraulichkeit zu gewahrleisten." Da die Obertragungswege im Internet bekanntermaBen aufserst unsicher sind, bietet es sich daher an, kryptografische Methoden anzuwend en, die dem Abhorer der Nachricht zumindest einen so hohen Aufwand der Entschli.isselung abverlangen, dass die Entschltisselung wenn schon nicht technsch unmoglich, so doch wirtschaftlich unpraktikabel wird. Die Problematik aus Sicht der Sicherheitsbehorden besteht darin, dass diese kryptografischen Method en so wirksam sind, dass auch die juristische .Hintertur" nicht s mehr ntitzt: Selbst in den Fallen, in denen die Geheimhaltung rechtl ich
78
79
80
Es ist das erklarte politische Ziel, die Verwaltung in Richtu ng Internet zu modern isieren. 1m Rahm en der e-Governme nt-Konfe rnz "F rom Polic y to Pract icien Brus sel (http://europa.eu.int/information_society/eeurope/egovconf/projects/index_en .htm) stammten von insgesamt 47 ausgew ahlten Projekten gleich 6 aus Osterreich, wahrend z. B. aus Deutschland nur 3 Projekte ausgewahlt wurden, Vgl Kap. 4.2.1.; In DuD 4/1997 ist fast das ganze Heft dieser Problematik gewidmet. Vgl. Bizer 1997
3 Der Rechtsrahmen der Informationsgesellschaft
453
erlaubtermaBen durchbrochen werden darf, ist sie tatsachlich nutzlos, wenn die abgehorten Inhalte verschliisselt sind. In den USA wurde ein Standard der Verschliisselung definiert, der parallel zur juristischen Hintertiir auch eine "technische Hintertur" vorsieht; also eine Moglichkeit fur den Staat, die abgehorten Daten zu entschlusseln." Dies setzt selbstverstandlich voraus, dass nur die vorn Staat erlaubten Verschliisselungsmethoden verwendet und die jeweils verwendeten Schliissel bei staatlichen Stellen hinterlegt werden miissen. Dieser EES-Standard konnte jedoch keine groBe Verbreitung erlangen. Auch in Europa gab es ahnliche Diskussionen." Allerdings sind solche Versuche nicht besonders zielflihrend. Die Begriindung, dass bei Erlaubnis beliebiger Verschliisselungsmethoden insb . das organisierte Verbrechen davon profitieren wiirde, erscheint nicht besonders stichhaltig. Wenn man davon ausgeht, dass jemand illegale Aktivitaten setzt und potenziell mit dem Abhoren rechnet, dann ist selbst bei der Verwendung der staatlich erlaubten Verschliisselungssysteme nicht zu verhindem, dass die Daten bereits einer .Vorverschlttsselung" unterzogen werden, die das Abhoren erst recht unmoglich machen." Die Gefahren fur den Geheimnisbruch scheinen also wesentlich grolser als die tatsachlichen Chancen, kriminelle Organisationen durch Abhoren von Computerdaten zu uberfuhren.f Eine Absicherung der Abhorbarkeit konnte nur dann erreicht werden, wenn die Staaten ein absolutes Monopol fur die Verschliisselung durchsetzen; dies nicht nur im nationalen Bereich, sondem auch fur aIle grenziiberschreitenden Daten. Damit ist aber gleichzeitig die Gefahr verbunden, dass der Staat die gesamten Kommunikationsinhalte kontrollieren muss, urn die Einhaltung dieser Vorschriften zu kontrollieren. Die Gefahr des Missbrauchs derartiger Organisationsstrukturen erscheint evident.
3.5.6 UnerwOnschte Kommunikation
E-Mail ist ein sehr einfaches und kostengiinstiges Kommunikationsmedium - es kann jedoch vom Segen auch zur Plage werden, wenn die Kommunikation vom Empfanger unerwiinscht ist. Die als "Spam-Mail" bezeichnete massenhafte Aus81 82
83
84
Vgl. Blaze 1997 Die Empfehlung der OECD geht nunmehr ebenfalls in Richtung grobrmoglicher Freiheit bei der Wahl von VerschlUsselungsfunktionen; schlieBt aber deren Kontrolle - aufgrund heftiger Widerstande einiger Mitgliedsstaaten - auch nicht aus. (RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES FOR CRYPTOGRAPHY POLICY (http ://www.oecd.org/dsti/stilitlsecur/index.htm (April 1999); vgl. auch Hortmann 1997 Es gibt z. B. technisch die Moglichkeit, vertrauliche Informationen in ein Bild zu verpacken, ohne dass dies beim Betrachten des Bildes festgestellt werden konnte, Die Steganographie beschaftigt sich damit, Informationen so zu verstecken, dass diese Informationen kaum auffindbar sind und daher auch nicht beweisbar ist, dass Uberhaupt eine verschlUsselte Information vorhanden ist. (vgl. Gerling 1997, S. 200) Vgl. Kelrn/Kossakowski 1997, insb. S. 194 f; Hamm 1997
III Gestaltungsebenen von E-Business
454
sendung von Mails filr oftmals dubiose Geschaftsideen lasst daher nicht nur die Frage aufkommen, wie man E-Mail sicher machen kann, sondern wie man sich sieher vor solchen Mails schUtzen kann. Deutsche Gerichte sehen unter verschiedenen Rechtstiteln (UWO, BOB) unerwUnschte Werbemails als rechtswidrig an und gewahren den Klagern jeweils Unterlassungsanspruche." In Osterreich ist dies auch gesetzlich klargestellt worden . Nach § 101 TKO sind unerbetene Anrufe verboten . "Die Zusendung einer elektronischen Post als Massensendung oder zu Werbezwecken bedarf der vorherigen jederzeit widerruflichen - Zustimmung des Empfangers." (§ 101 TKO) Diese Regelung der vorherigen Zustimmung wird als "Opt-In "-System bezeichnet. NatUrlich ist es im E-Business Zeitalter verstandlich, dass die werbetreibende Wirtschaft auch die Werbung auf elektronischem Weg ermoglicht sehen will und daher gegen ein Verbot von Direct Marketing per E-Mail auftritt. In manchen Landern ist es daher generell zulassig, Direct Marketing per E-Ma il zu betreiben. In diesem Fall muss die Werbung entsprechend gekennzeichnet werden (§ 7 Abs.l ECO) AuBerdem kann sich jede Person kostenlos in eine .Robinsonv-Liste eintragen lassen(§ 7 Abs. 2 ECO), wie dies bereits in Kap. 3.3.2.7 fur klassische papiergestUtzte Directrnailing-Aktionen geschildert wurde . ("Opt-Out"-Prinzip). Aus der Tatsache, dass das E-Commerce Gesetz solche Regelungen enthalt, kann jedoch nicht geschlossen werden , dass nunmehr auch in Osterreich das Opt-Out-System gelten wilrde . In § 7 Abs. 3 wird klargestellt, dass das Verbot in § 101 TKO aufrecht bleibt und die Bestimmungen vor allem deshalb notwendig sind, weiI das in anderen Landern anders geregelt sein kann . In diesem Punkt gibt es also keine Rechtsvereinheitlichung durch die E-Commerce-RL. Spam- Versender nutzen oftmals nicht ihre eigenen Mailserver, sondern fremde, nicht genUgend abgeschottete Mailserver, urn ihre Identitat zu verschleiern. Oftmals reagieren dann die Provider von Spam-Empfangern, in dem sie den Mailhost des Spamversenders von jedem Mailverkehr ausschlieBen . Dieses Verhalten, das im nationalen Recht wohl oftmals als rechtswidrig zu qualifizieren ware, bleibt mangels der Durchsetzbarkeit international verbindlicher Regeln oftmals ungesUhnt. Auch diese "Wild-West-Methoden" sind daher als Beleg filr eine noch schwach entwickelte Rechtskultur anzusehen - sie werden wohl erst dann verschwinden, wenn die Rechtsordnung mit tatsachlich durchsetzbaren Regeln ein alternatives Ordnungssystem bieten kann .
3.6 Fallbeispiel: Der Betrieb eines WWW-Servers AbschlieBend soli eine breite Palette moglicher rechtlicher Probleme anhand des Beispiels des Betriebs eines WWW-Servers nochmals zusammengefasst und ggf. erganzt werden.
85
Vgl. LG Berlin E-Mail-Werbung
3 Der Rechtsrahmen der Informationsgesellschaft
455
3.6.1 Kategorien von Providern Urn einen solchen Server im Internet anzubieten, ist notwendig: • Ein Zugang zum Internet (Access) • Eine Server-Maschine oder zumindest Speicherplatz darauf (Space) • FUr WWW aufbereitete Inhalte (Content). Um tiberhaupt Zugang zum Internet zu haben, bedarf es eines oder mehrerer "Provider", die die oben genannten Funktionen erfullen, Dabei kann ein Provider aile Funktionen erfUllen ; ein Kunde kann aber fur se in Angebot auch drei ver schiedene Provider mit den einzelnen Funktionen betrauen bzw. diese - idR mit Ausnahme des Access - selbst wahrnehmen.
3.6.1.1 Access-Provider Dem Access-Provider steht es nicht zu, den Verkehr seines Kunden mit anderen Internetteilnehmern zu kontrollieren; dieser Geheimhaltungsanspruch des Kunden ist gleichzeitig ein Schutz fur den Access-Provider. Was er nicht kontrollieren darf, dafur kann er auch nicht haftbar gemacht werden . Durch Art. 10 Abs. 2 MRK wird sogar der Empfang von Nachrichten geschutzt, die in Osterreich selbst nicht verbreitet werden durften .w § 12 ECG87 stellt daher auch klar, dass Dienstanbieter fur fremde rechtswidrige Inhalte dann nicht verantwortlich sind, wenn sie lediglich Zugang zu diesen vermitteln.
3.6.1.2 Space Provider Wer anderen Speicherplatz zur Verfugung stellt, damit diese dort ihre Inhalte ablegen und damit im Internet verfugbar machen konnen, muss diese nicht .vorzensurien"; er haftet also auch grundsatzlich nicht dafur, wenn der Kunde rechtswidrige Inhalte auf dem ihm bereitgestellten Webs pace speichert, sofem er "von einer rechtswidrigen Tatigkeit oder Information keine tatsachliche Kenntnis hat und sich in Bezug auf Schadenersatzanspruche auch keiner Tatsachen oder Umstande bewusst ist, aus den en eine rechtswidrige Tatigkeit oder Information offensichtlich wird?". Ebenso trifft ihn die Haftung, wenn er diese Kenntnis oder dieses Bewusstsein erhalten hat , ohne unverzuglich tatig zu werden, urn die Information zu entfernen oder den Zugang zu ihr zu sperren." So wurde der Betreiber von last-minute.com verurteilt, weil er Reiseveranstaltern die Moglichkeit geboten hatte, ihre Angebote dort zu veroffentlichen, ohne zu Beispiel Nazi : Man darf amerikanische Progranda lesen, sie aber nicht kopieren und damit weiter mitteilen . 87 Vgl. § 5 Abs. 3 des TOG (http ://www.iid.de/rahmen/iukdg.html(Janner 2002) 88 § 16 ECG 89 Analog die Regelung in § 5 Abs . 2 TOG; vgl. auch Brohl 1996, S. 75 86
456
III Gestaltungsebenen von E-Business
uberprufen, ob es sich tatsachlich nur um "Last-Minute" Angebote handelt. Das Gericht fuhrte aus, es ware dem Provider moglich und zumutbar gewesen, vor Veroffentlichung eines Angebots zu prufen, ob zwischen der ersten Veroffentlichung und dem Abreisetermin mehr als 14 Kalendertage liegen - er hatte also wettbewerbswidriges Handeln verhindern konnen. Er musse daher dafur einstehen, dass er dieses pflichtgernalse Verhalten unterlassen habe.?' 3.6.1.3 Content Provider
Die primare Haftung trifft in jedem Fall den Anbieter des Inhaltes ; dies entspricht dem allgemeinen Grundsatz, dass jeder fur sein Handeln verantwortlich ist. Jeder Content-Provider hat die Verpflichtung, dafur zu sorgen , dass sein Angebot nicht rechtswidrig iSt.9 1 Wenn auch die Anwendung einiger Vorschriften des "traditionellen " Presse und Medienrechts auf Content-Provider nicht ausgeschlossen scheint , ist doch die Mehrzahl dieser Vorschriften fur Online-Content-Provider nicht anwendbar," In Deutschland wird dieser Bereich durch das Teledienstgesetz'" bzw. einen eigenen Staatsvertrag tiber Mediendienste gerege lt. Auf die Problematik der internationalen Verflechtung wurde bereits in Kap. 3.2 hingewiesen : Auch wenn der Content-Provider aile Gesetze "seines" Heimatstaates einhalt, ist es nicht auszuschl ieBen, dass ein anderer Staat sein Angebot als rechtswidrig ansieht. 3.6.2 Das Problem der Domain-Namen
Aufgrund der schwer merkbaren TCP/IP-Nummern hat man parallel dazu als "benutzernahere" Adressierung sprechende Namen eingefuhrt." Die Vergabe dieser Namen wurde und wird, getrennt nach den Top-Level-Domains , von unterschiedlichen Organisationen dezentral durchgefuhrt . Dabei galt lange Jahre widerspruchslos das Prinzip "first come - first served". Da im Netz der Wissenschafter und Forscher nur Originalitat und two Humor Parameter der Namen swahl waren, warf dieses Prinzip auch kaum Probleme auf. Die Kommerzialisierung des Internets fuhrte jedoch dazu, dass dieses bewahrte Prinzip plotzlich problematisch wurde: Zur modernen Unternehmenskommunikation gehort auch eine Internet Adresse - und diese muss, urn einpragsarn zu sein, natiirlich mit dem Firmen- oder Markennamen korrelieren. Es gibt also ein berechtigtes - und rechtlich geschtitztes - Interesse von Unternehmen , ihren Firmen90
91 92
93 94
Vgl. OLG Mtlnchen 29 U 4466/97 v. 26. 2. 1998, in: CR 1998, 300 Vgl. Art. 5 Abs . 1 TDG Das LG DUsseldorf (29.4. 1998, 120 132/98) , in: CR 7/1998 hat einen Anspruch auf Gegendarstellung auf der Homepage abgelehnt, weil es sich nicht urn ein periodisches Medium im Sinn des Mediendienste-Staatsvertr ages handle . http://www .iid.de/rahmen/iukdg .html (Janner 2002) Vgl. dazu auch Abschnitt I Kap. 2.2
3 Der Rechtsrahmen der Informationsgesellschaft
457
namen - nach MaBgabe der technischen Moglichkeiten - auch fur ihre InternetPrasenz zu verwenden . Da Domain-Namen aus technischen Grunden weltweit eindeutig sein mussen, haben geschaftstuchtige Internet-User versucht, nach dem alten Prinzip Namen von groBen Unternehmen fur sich zu reservieren, urn diese dann im Anlassfall dem Unternehmen gegen Zahlung eines entsprechenden Entgelts zu ubertragen. Dieser als Domain-Name "Grabbing" bekannt gewordene Missbrauch der .alten" Vergaberegeln hat zu einer Serie von Gerichtsurteilen in Deutschland - und mit einigen Jahren Verspatung - auch in Osterreich gefuhrt. Die Spielregeln der Domainnamensvergabe sind inzwischen von den Gerichten weitgehend geklart; das Prinzip des "first come - first served" ist nicht mehr das Hauptkriterium, sondern nur mehr subsidiar anzuwenden - namlich dort, wo sich zwei Partner gegenuberstehen, die ein gleich gutes Recht auf den Domain-Namen geltend machen konnen. Ansonsten sprechen die Gerichte demjenigen den Domain zu, der die starkere Rechtsposition fur sich beanspruchen kann; als Rechtsposition kommen dabei nicht nur Markennamen, sondern auch zivilrechtliche Namensrechte oder Unternehmenskennzeichen in Betracht. Es gibt bereits eine Unmenge derartiger Entscheidungen, die nahezu vollstandig durch Internet-Dokumente erschlossen sind."
3.6.3 Die Serversoftware Rechtlich ausreichend klar ist die Tatsache , dass die fur den Betrieb des WWWServers notwendige Software - einschlieBlich aller gegebenenfalls verwendeten Zusatzprogramme - entsprechend rechtmalsig erworben werden. Sofern die Beschaffung durch Kauf des Programms erfolgt, wird beiliegenden .Lizenzbestimmungen" regelmahig keine Rechtswirksamkeit zukornmen." Sofern die Programme via FrP aus dem Internet bezogen werden und fur bestimmte Nutzergruppen (z. B. Lehre und Forschung an Universitaten) der Hersteller die kostenlose Nutzung erlaubt, dann wird solchen Lizenzklauseln, die meist mit "ENTER" zu bestatigen sind, eine bestimmte Rechtswirkung nicht abzusprechen sein: Wer ein Programm nutzt, ohne dem lizenzvertraglich privilegierten Benutzerkreis anzugehoren, ist nicht als .zur Benutzung Berechtigter" (§ 40 d UrhG) anzusehen und daher fur die daraus sich ergebende Urheberrechtsverletzung verantwortlich. FUrgekaufte Programme wird die ENTER-Vereinbarung dagegen regelmabig keine Rechtswirkung entfalten.
3.6.4 Logfile
Praktisch jeder WWW-Server bietet die Moglichkeit, diverse Daten der Nutzung des Servers in einem Logfile zu protokollieren. Einige Daten, z. B. die TCP/IP95
96
Vgl. etwa die Entscheidungssammlungen bei www.internet4jurists.at oder www.onlinerecht.de (Kennzeichenrecht) Vgl. Holler 1995, S. 171 ff
III Gestaltungsebenen von E-Business
458
Nummer sowie der dazugehorige Nameservereintrag bzw. ggf. die E-MailAdresse sind daraufhin zu prufen , ob diese datenschutzrechtlich relevant sind. Eine E-Mail-Adresse lasst mit relativ hoher Wahrscheinlichkeit einen Personenbezug zu. Die TCP/IP-Nummer, der meistens ein bestimmter NameserverEintrag zuordnet ist, kennzeichnet zwar eine Maschine und muss daher nicht gezwungenermaBen einen Hinweis auf den Benutzer geben, auch wenn die tatsachliche Erfahrung zeigt, dass viele Benutzer ihre Maschinen mit dem Benutzemamen versehen . Grundsatzlich ist davon auszugehen, dass der Logfile umso eher datenschutzrechtlich unproblematisch ist, je weniger Daten er enthalt. Wenn nicht besondere Umstande hinzukommen, werden im Normalfall nur indirekt personenbezogenen Daten vorliegen; das ist z. B. auch dann der Fall, wenn die IP-Adresse via DHCP vergeben wird. Den Personenbezug herstellen kann jedenfalls der Access-Provider. Fur diesen gelten aber nicht nur die allgemeinen Bestimmungen des Datenschutzgesetzes, sondem zusatzlich die Sondervorschriften tiber den Datenschutz bei Telekommunikationsdiensten. Es handelt sich beim Logfile urn Vermittlungsdaten, die nur dann bzw . solange gespeichert werden dtirfen, als sie fur Verrechnungszwecke benotigt werden. Sofem der Dienst kostenlos ist, ist die Ftihrung des Logfiles an sich schon unzulassig;" die Daten waren nach Abbau der Verbindung zu loschen.
3.6.5 Die Elemente der WWW-Seiten WWW (vgl. Abschnitt I, Kap. 1.4.6) wurde als "multimediales" Informationsmedium konzipiert und eignet sich daher fur ganz unterschiedliche Publikationszwecke mit jeweils spezifischem Problempotenzial.
3.6.5.1 Texte Die auf einer WWW-Seite vorzufindenden Texte sind meist relativ kurz und durch die Aufgabe gepragt, Sie werden daher meist nicht die fur die Werkqualitat notwendige Schopfungshohe" aufweisen . Texte sind jedenfalls nur dann geschtitzt, wenn sie ein urheberrechtliches Werk darstellen . Wenn der Text mit Zustimmung des Autors veroffentlicht wird und dieser nicht das ausschlieBliche Recht jemand anderem tibertragen hat, dann bestehen jedenfalls keine Hindemisse fur die Publizierung am WWW . Das Zitatrecht (§ 46 UrhG) gilt ebenso wie fur schriftliche Werke .
97
98
Vgl. § 87 Abs 3 iVm § 93 TKO. Siehe auch Jahne12001, S. 89 Die Lange ist zwar kein Kriterium fur die Zubilligung der erforderlichen Schopfungshohe: Dem Satz "man tragt wieder Herz" wurde etwa Werkqualitat zugebilligt; andere Sprtiche wie "Den Brand loscht die Feuerwehr, fur den Durst muf Stadtbrau her" wurden als durch die Aufgabe naheliegend und daher nicht besonders schopferisch angesehen.
3 Der Rechtsrahmen der Informationsgesellschaft
459
Im wissenschaftlichen Bereich stellt sich oft die Frage, ob der Autor, der einen Beitrag zu einer Konferenz eingereicht hat, diesen auch noch via WWW veroffentlichen darf. Gemaf § 36 UrhG bleibt der Urheber berechtigt, das Werk anderweitig zu vervielfaltigen und zu verbreiten, wenn es als Beitrag zu einer periodisch erscheinenden Sammlung (Zeitschrift, Jahrbuch ... ) angenommen wurde und nichts anderes vereinbart wurde und auch aus den Umstanden sich nicht ergibt, dass der Verleger ein ausschlieBliches Recht erwerben solI. Die Zweifelsregel spricht also dafur, dass es dem Autor unbenommen bleibt, seine Arbeit auch noch auf elektronischem Weg zu publizieren. Nach Absatz 2 leg . cit. erlischt selbst ein dem Verleger eingeraumtes ausschlieBliches Recht bei Zeitungen sofort nach Erscheinen, bei anderen periodischen sowie den nicht periodischen Sammlungen, fur deren Uberlassung dem Urheber kein Anspruch auf Entgelt zusteht," ein Jahr nach dem Ende des Kalenderjahres, in dem der Beitrag in der Sammlung erschienen ist.
3.6.5.2 Fotos
Lichtbildwerke sind .xlurch ein photographisches oder durch ein der Photographie ahnliches Verfahren hergestellte Werke ." (§ 3 Abs . 2 UrhG) . Lichtbilder sind .xlurch ein photographisches Verfahren hergestellte Abbildungen. Als photographisches Verfahren ist auch ein der Photographie ahnliches Verfahren anzusehen." (§ 73 Abs. 1 UrhG). Das Urheberrechtsgesetz schutzt also nicht nur die "Kunst" mit einem entsprechend Grad an Schopfungsqualitat, sondern jede Abbildung auf diesem technischen Weg . Dieser mindere Schutz wird als " Leistungsschutzr echt" bezeichnet und ist analog"? dem Schutz fur urheberrechtliche Werke gestaltet. Wer ein Lichtbild aufnimmt, wird als sein Hersteller bezeichnet. Bei gewerbsmabig hergestellten Lichtbildern gilt der Inhaber des Unternehmens als Hersteller. Er hat mit den gesetzlich bestimmten Beschrankungen das ausschlieBliche Recht , das Lichtbild zu vervielfaltigen, zu verbreiten usw . Ein auf dem Original angebrachter Herstellerhinweis ist auch auf jede Vervielfaltigung zu libernehmen (vgl. § 74 UrhG) . Das Schutzrecht erlischt 30 Jahre nach der Aufnahme; wenn es vor Ablauf dieser Frist veroffentlicht wird, 30 Jahre nach Veroffentlichung. Ist das Lichtbild mit einer Gegenstandsbezeichnung versehen , so ist auch diese grundsatzlich zu libernehmen; Anderungen sind nur gemall der Ubung des redlichen Verkehrs zulassig . (Vgl. § 74 Abs. 4 UrhG) . Die beliebte Praxis, Fotos aus verfUgbaren Quellen wie Prospekten oder Blichern einfach zu scannen und weiterzuverwenden, ist daher urheberrechtlich eindeutig verboten. Das Scannen eines Lichtbildes stellt zweifellos eine Vervielfalti-
99
100
Dies ist fur die Publikation von Beitragen in Tagungsbanden rcg elm allig de r Fall. Vgl. insb. § 74 Abs. 7, der eine ganze Reihe der fur Werke geltenden Vorschriften als sinngemaf fur Lichtbilder anwendbar erklart,
460
III Gestaltungsebenen von E-Business
gung dar; selbst wenn die Vervielfaltigung bewilligt wurde, umfasst dieses nicht das Recht zur Bearbeitung; diese bedarf einer gesonderten Genehmigung. Die Urheberrechtsverletzung begeht einerseits derjenige, der die unberechtigte Vervielfaltigung vornimmt, andererseits auch derjenige, der die durch diese unberechtigte Vervielfaltigung entstandene WWW-Seite auf seinem Server installiert und damit eine unberechtigte Verbreitungshandlung setzt. Gernaf den allgemeinen Regeln bei Vorliegen der sonstigen Voraussetzungen ist fur die Str afbarkeit nicht nur der unmittelbare Tater, sondern auch der Inhaber des Unternehmens haftbar, der solche Eingriffe nicht verhindert. (§ 91 Abs. 2 UrhG)
3.6.5.3 Grafiken Zu den Werken der Literatur zahlen gemaf § 2 Z. 3 UrhG auch .Werke wissenschaftlicher oder belehrender Art, die in bildlichen Darstellungen in der Flache oder urn Raume bestehen, sofern sie nicht zu den Werken der bildenden Kiinste gehoren." Fiir Grafiken gilt daher das fur Texte ausgefiihrte sinngemab, Fiir das Zitatrecht von solchen Darstellungen gilt gemaf § 46 Z. 2 UrhG , dass sie nur zur Erlauterung des Inhalts in ein die Hauptsache bildendes wissenschaftliches Werk aufgenommen werden diirfen .
3.6.5.4 Sounds Auch Werke der Tonkunst werden gemaf § I UrhG geschiitzt. Fur den Werkcharakter gel ten die allgemeinen Ausflihrungen . Analog zum Lichtbildhersteller gibt es jedoch auch hier ein Leistungsschutzrecht fur den Schalltragerhersteller. Dieses Recht schutzt - unabhangig ob es sich urn Werke der Tonkunst oder "bloBe" akustische Vorgange handelt - den Hersteller, der diese zu ihrer wiederholbaren Wiedergabe auf dem Schalltrager aufzeichnet. (§ 76 UrhG). Dem Schalltragerhersteller wird das ausschlieBliche Recht zur Vervielfaltigung und Verbreitung zugeordnet. Die Schutzfrist fur Schalltrager betragt 50 Jahre; der Beginn der Frist ist so wie bei den Lichtbildern geregelt.
3.6.5.5 Layout elnscnlietslich Navigationsstruktur Die einzelnen Texte und grafischen Elemente ergeben ein Gesamtbild, das typischerweise auch fur die gesamte Site durchgezogen wird. Dazu gehort insbesondere auch die Anordnung von Kopf- Navigationsbereichen. Dieses gesamte Erscheinungsbild einer Website wird hier als "Layout" bezeichnet. Unabhangig von der Schutzfahigkeit einzelner Elemente stellt sich die Frage nach der Schutzfahig-
3 Der Rechtsrahmen der Informationsgesellschaft
461
keit eines Layouts. Im Fall .relering"'?' hatte sich der OGH mit der Frage zu beschaftigen , ob das Layout ein urheberrechtlich geschtitztes Werk ist oder nicht. Er hat dies - im Gegensatz zur Unterinstanz - bejaht und das Layout aIs Werk der angewandten Kunst eingestuft und dazu ausgefUhrt: .D as Layout ist das Ergebnis einer gestalterischen Tatigkeit, die regelmaliig von einem Webdesigner erbracht wird . Insoweit besteht kein Unterschied zur gestalterischen Tatigkeit (zB) eines Grafikers, der ein Layout fUr einen Werbeprospekt oder fur eine Zeitung erstellt .... ... Fur das Vorliegen eines Werks der bildenden Kunst ist nur entscheidend, dass das Schaffensergebnis objektiv als Kunst interpretierbar ist. Diese Voraussetzung ist erfullt, wenn es mit den Darstellungsmitteln der bildenden Ktinste durch formgebende Tatigkeit hervorgebracht und zum Anschauen bestimmt ist ... Schutzvoraussetzung ist aber, dass die Leistung individuell eigenartig ist: Sie muss sich vom Alltaglichen, Landlaufigen, tiblicherweise Hervorgebrachten abheben . Beim Werkschaffenden mtissen personliche Ztige - insbesondere durch die visuelle Gestaltung und durch die gedankliche Bearbeitung - zur Geltung kornmen . Eine Gebrauchsgrafik ist daher nur dann urheberrechtlich geschutzt, wenn sie in diesem Sinn individuell und originell ist. Das gilt auch fur das Layout einer Website: Sein urheberrechtlicher Schutz setzt voraus, dass es sich urn eine individuelle Schopfung handelt. Nicht geschtitzt ist eine rein handwerkliche, routinemallige Leistung, die sich im Rahmen des Alltaglichen und Ublichen bewegt , weil sie sich (zB) auf die Standardlayouts der Erstellungssoftware beschrankt und keine individuellen Gestaltungselemente einsetzt. Im Regelfall wird der Schutz urn so eher zu bejahen sein, je kompIexer eine Website aufgebaut ist. Werden diese Grundsatze im vorliegenden Fall angewandt, so muss die Schutzfahigkeit des Layouts der Website der Klagerin bejaht werden: Bei dem in Rot und WeiB gehaltenen Layout fallt die besondere GestaItung des Banners auf, das die Marke der Klagerin, den schrag gedruckten und von einer Klammer umschlossenen Buchstaben "i" und die (rhetorische) Frage "Wo ist die 1012 Privat Website geblieben?" enthalt. Der Gestalter der Website legt damit an einer Stelle, die auf Websites haufig fur Fremdwerbung genutzt wird, dem Nutzer eine - durch die auf der Website gebotenen Informationen beantwortete - Frage in den Mund und lasst ihn auf diese Weise in einen "Dialog" mit der Website eintreten. Originell ist auch die Verwendung des der Marke der Klagerin entnommenen und aus zwei tibereinander gestellten quadratischen Flachen bestehenden Zeichens am Anfang der Frage im Banner und am Anfang der Haupttiberschrift. Ein pra gender Bestandteil der Marke wird damit auf eine Weise in den Text integriert, die zuerst an ein Satzzeichen den ken lasst, dann aber urn so wirksamer einen Zusammenhang mit der Marke schafft. Auch das Navigationsdesign unterscheidet sich durch die grafische Ausgestaltung von dem anderer Websites und wird damit als individuell und eigenartig empfunden.
lOl
Vgl. OGH telering
III Gestaltungsebenen von E-Business
462
Die Beklagten haben die Schutzfahigkeit de s Layouts der Klagerin begrundenden Elemente fur ihre Website tibernommen . Das gilt auch fur die seit der Abmahnung durch die Klagerin verw endete Version , bei der die Bekl agt en nur das Banner geandert, das tibrige Layout aber be ibehalten haben . Die Beklagten haben sich nicht darauf beschrankt, die in der Website der Klagerin verwi rklichten abstrakten Gestaltungsideen und -techniken zu nutzen, sondern die konkrete Ausgestaltung die ser Ideen und Techniken fur ihre Website verwendet und sich damit eine eigene grafische Ge staltung erspart. Es kann daher ke ine Red e davon sein, dass durch den Schutz des Layouts einer Web site die tiblich en Elemente der grafischen Gestaltung monopolisiert wurd en ; Schutz- und Verletzungsgegen stand ist allein die konkrete Au sdrucksform, die Gestaltungselemente wie Banner und Navigationsleisten im Layout der Web site der Klagerin gefunden haben."102
3.6.5.6 Gesamtanordnung Neben den einzelnen Komponenten, mogen sie nun urheberrechti ich ge schtitzt sein oder nicht, kommt auch die Strukturierung des Gesamtinhalts als schutzbegrtindend in Betracht. Ge rade die Hypertextfahigkeit von WWW bietet ein unheimlich machtiges Instrument zur schopferi schen Anordnung und Verkntipfung de r einzelnen Info rmationselemente. Wenn entsprechende gei stige Schopfungsqu alitat in diesen Bereich investiert wurde und auch erkennbar ist , dann wird der gesamte Server als Sammelwerk (§ 6 UrhG) zu quali fizieren sein . Das Duplizieren 103 eines Servers ware eine Verletzung des Urheberrechts - das Ubemehmen der Idee als Vorbild fur eigenstandige Entwicklungen ist dagegen urheberrechtlich nicht verboten. Einfache Sammlungen, die diesen Werkcharakter nicht aufw eisen, konnen zudem als Datenbank geschtitzt sein . Nach § 40 f UrhG sind Datenbanken Samrn lungen von Werken, Daten oder anderen unabhangigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit elektro nische n Mitteln oder auf andere Weise zuganglich sind. Sie genieBt Schutz nach § 76 c UrhG auch dann , wenn sie kein Sammelwerk ist, aber fur die Beschaffung, Uberprufung oder Darstell ung ihres Inhaltes eine nach Art od er Umfang wesentliche Investition erforderlich war .'?'
3.6.6 Verbotene Inhalte Wahrend im privatrechtiichen Bereich den hand elnden Personen im Wesentlichen die Entscheidung tiber die Wahl von Rechtsordnung und Ge richtsstand freisteht,
102 Vgl. ebenda 103 Vgl. dazu unten Kap . 3.6.8 104 Der deut sche Gesetzgcbcr hat den Datenbankschut z im Rahmen des IuKDG eben falls durch eine Novelle des Urh eberrechts gesetzcs (insb. §§ 87a - 87c) umgesetzt, Vgl. http://www .iid.de/rahmen/iukdg.html#a7 (April 1999).
3 Der Rechtsrahmen der Informationsgesellschaft
463
dominiert im offentlichen Recht das staatliche Interesse, das gesellschaftliche, kulturelle und politische Interessen widerspiegelt. Es ist daher nicht tiberraschend, dass sich in diesem Bereich auch die Vielfalt der Welt zeigt. Die beiden - zumindest in unserem Sprachraum - meistdiskutierten Themenbereiche sind dabei NAZI-Propaganda und Pomografie.'?'
3.6.6.1 Nationalsozialistisches Gedankengut Aufgrund der Erfahrungen der jiingeren Vergangenheit sind sowohl Deutschland wie auch Osterreich sehr sensibel gegeniiber jeder Art von Wiederbetatigung. Nach der Verbotsgesetz-Novelle 1992 ist jedenfalls auch die Verbreitung von Inhalten im Internet, die den national-sozialistischen Volkerrnord oder andere nationalsozialistische Verbrechen gegen die Menschlichkeit leugnen , groblich verharmlosen, gutheiBen oder zu rechtfertigen suchen, strafbar. 106 In unserer Rechtsordnung ist also ganz klar anerkannt, dass der Schutz der Meinungsfreiheit es nicht rechtfertigt, derartige Inhalte zu verbreiten. Die selbe Frage stellt sich in Amerika - sie wird dort aber anders beantwortet. Von den obersten Gerichten wird dem Schutz der Meinungsfreiheit der Vorrang eingeraumt - was dazu fuhrt , dass eine Vielzahl derartiger Inhalte auf amerikanischen Servern zu finden iSt.107 Da die Moglichkeit der Verbreitung nationalsozialistischer Propaganda in den USA verfassungsrechtlich geschtitzt ist, existiert ein weltweit abrufbares Informa tionsangebot. Da demokratische Staaten sich verpflichtet haben , den einzelnen Biirgern den freien Empfang von Informationen zu gestatten, darf nicht die gesamte Kommunikation tiberwacht werden. Grundsatzlich hat der Btirger also sogar ein Recht, auch solche Inhalte zu empfangen. Eindeutig rechtswidrig ware es aber, solche Server zu spiegeln, da dadurch die Information verbreitet wurde . Dies ist jedoch, wie oben ausgefuhrt, strafbar.
3.6.6.2 Pornografische Inhalte Mit teilweise umgekehrten Vorzeichen verlauft die Diskussion im Bereich der Pornografie. Die Diskussion tiber unterschiedliche Wertvorstellungen wird dabei nicht nur zwischen Staaten, sondern auch inncrhalb der USA gefiihrt. Die einzelnen Bundesstaaten, in deren Kompetenz die Regelung der Pornografie Iiegt, haben durchaus unterschiedliche Vorstellungen von Erlaubt und Unerlaubt. Auch dort wird die Diskussion gefuhrt , nach welchem Recht der Inhalt zu beurteilen ist (vgl. Kap. 3.2.1). 105
106 107
Ein EU-Bericht befasst sich ebenfalls mit diesen Problemen und deren Bekampfung: BERICHT tiber die Mitteilung der Komm ission tiber illegale und schad igende Inhalte im Internet (KOM(96)0487 - C4-0592/96), http ://www.europarI.eu.int/dgl/a4/de/a497/a4-0098.htm (April 1999) VgI. § 3h VerbotsG; Schrnolzer 1995, Kap. 3.2.2.5 VgI. Nening-Schofbanker 1995, Kap . 2.3.3.
464
III Gestaltungsebenen von E-Business
Neben den Bestimmungen des Pornografiegesetze s und den dort enth alten en Strafbestimmungen ist auch auf § 207 a StGB hinzuweisen , der pornografische Darstellung en mit Unmlindi gen unter Strafe stelit. 1m Bericht des Justizausschusses wurde dazu ausdrlicklich festgestelIt , dass auch Datentrager wie Disketten und CD-ROM s von dieser Bestimmung erfasst sind. 108 In dieser Bestimmung wird nicht nur die Verbreitung, sondern auch schon der Besitz entsprechender Darstellungen mit Strafe bedroht. Der Justizau sschuss stellt aber fest, dass das Abrufen von Bildern aus dem Computernetz noch nicht strafbar nach § 207a sei, wei! dieser auf ein Sich-Verschaffen oder den Besitz von korperlichen Gegenstanden abstelle. Erst das Abspeichern auf Diskette oder Festplatte schaffe ein mogl iches Objekt fur unerlaubten Besitz bzw. unerlaubte Weitergabe.'?" Denkt man an die fur die Ubertragung am meisten verwendeten InternetDienste News FrP und WWW , dann ist allerdings das Betrachten kaum vorstelIbar, ohne dass das Dokument auf der Festplatte - wenn auch moglicherweise vom Benutzer nicht wahrgenommen - abgelegt wird. Offen bar sollen hier nur vom Benutzer bewusst angefertigte Kopien Grundlage der Strafbarkeit bilden; das reine .B etrachten" ware danach straffrei . Viel Staub aufgewirbelt hat in diesem Zusammenhang die Verurteilung des Geschaftsfuhrers von Compuserve Deutschland.'!" Dieser wurde verurteilt, weiI von News-Servern der Compuserve USA pornografis che Inhalte zum Abruf bereitgestellt wurden und er nichts dagegen unternommen hatte . Das Urteil wurde vielfach kritisiert!" und in zweiter Instanz aufgehoben. 3.6.7
.Kopleren" und Iinken? Wie bereits festgestellt, konnen eine Reihe von inhaltlichen Elementen und Design-Kombinationen rechtlichem Schutz unterliegen . Das Kopieren solcher lnformationen - sei es einzeln oder als Kombination - kann daher vom Urheber - bzw. dem von ihm Bevollmachtigen - verhindert werden. Der hypermediaartige Aufbau des WWW errnoglicht es nun aber, nicht nur auf eigene Elemente zu verweisen, sondern genau so auch fremde Elemente zu "linken" . Dabei wird nichts kopiert, sondern der Benut zer holt die Information direkt vom Originalserver. Nachdem bei dieser Vorgangsweise derjen ige, der den Link verwendet, weder das fremde Element verbreitet, vervielfaltigt noch es bearbeitet, greift er in die urheberrechtlich geschlitzten Rechte nicht ein. Grundsatzlich kann daher nicht verhindert werden , dass jemand einen Link auf das eigene Angebot setzt; es muss auch nicht vorher gefragt werden , ob ein Link gesetzt werden darf.!"
108 109 110 III 112
Bericht JA, 1848 BIGStenProt NR XVIII. GP, S. 1 Vgl. Bericht JA, 1848 BIGStenProt NR XVIII . GP, S. 3 http://www .online-recht.de/vorent.html?AGMuen chen980528 (April 1999) Vgl. z. B. Liesching/Liesching 1998 Vgl. LG Verden (7.12.1998,10 0117/98) in: ci 5/1999 , S. 86 f
3 Der Rechtsrahmen der Informationsgesellschaft
465
Die Setzen eines Links ist daher grundsatzlich urheberrechtlich nicht zu beanstanden.!!' Eine andere Beurteilung kann sich alIenfalls bei der Verwendung von .Jnline-images" ergeben. Wer z. B. ein Bild so in seine Webseite einbaut, dass es als integrierter Bestandteil erscheint, verletzt damit wohl das Vortrags-, Auffuhrungs- und Vorftihrungsrecht des Urhebers. Dasselbe kann gelten, wenn in einem Frame ein fremd es Angebot so in das eigene Angebot integriert wird, dass es als Teil des eigenen Angebots erscheint. In diesen Extremfallen ist auch eine wettbewerbsrechtliche Unzulassigkeit einer solchen Vorgangsweise vorstellbar. Wenn ein Anbieter praktisch lauter fremde Inhalte via Links nutzt, dabei es aber anstrebt und schafft, diese Tatsache zu verbergen und das Angebot als selbst geschaffen zu prasentieren, wird das eine Wettbewerbswidrigkeit bewirken. Die inzwischen vorliegende Rechtsprechung zum Thema "Links" weist eine ahnliche Tendenz auf: Wer einen Link setzt , urn sich zwar formal von einer Rechtswidrigkeit abzusetzen, aber inha1tlich den Eindruck vermittelt, sich mit dem Link bzw. dem dortigen Inhalt volI zu identifizieren, dem wird dieser Inhalt auch zurechenbar sein . Das LG Hamburg!" etwa hat die Haftung fur einen ehrverletzenden Link bejaht, da dieser bewusst und in voller Kenntnis des Inhalts der Zielseiten erfolgte. Das Setzen eines Links verpflichtet aber nicht dazu, standig zu uberprufen, ob die gelinkte Web-Seite nicht plotzlich Inhalte aufgenommen hat, die rechtswidrig sind oder sein konnten, denn grundsatzlich ist die Verantwortlichkeit bei Links gemaf § 17 E-Commerce Gesetz ausgeschlossen. 3.6.8 Proxy -Se rver
Wie im vorigen Punkt ausgefuhrt, kann man grundsatzlich davon ausgehen, dass es nicht erlaubt ist, Teile fremder Server ohne Zustimmung von deren Betreibern ganz oder teilweise zu kopieren, urn sie von seinem eigenen Server weiterzuverbreiten. Genau das aber machen Proxy-Server: Sie speichern eine definierte Anzahl der zuletzt vom Kreis der betreuten Benutzer abgerufenen Seiten . Kommen dann aus diesem Benutzerkreis Anfragen, werden sie, soweit vorhanden, gar nicht mehr vom Original-Server abgerufen, sondern vorn Proxy-Server unmittelbar beantwortet. Obwohl damit der Proxy-Server urheberrechtlich geschtitzte Inhalte vervielfaltigt, urn sie weiter zu verbreiten - ist diese Architektur als zulassig anzusehen. Die rechtliche Bestatigung bietet seit 1. 1. 2002 § 15 E-Commerce-Gesetz, der den Ausschluss der Verantwortlichkeit bei Zwischenspeicherungen normiert.
113
114
Nach § 17 ECG ist die Verantwortlichkeit bei Links wie beim Space-Provider grundsatzlich ausgeschlossen. Vgl. LG Hamburg (12. 5.1998,312085/98), in: CR 8/1998
466
III Gestaltungsebenen von E-Business
3.7
Zusammenfassung
Wie die tiberblicksweise Darstellung der rechtlichen Rahmenbedingungen gezeigt hat, gibt es noch einige Unklarheiten in Bezug auf Geschafte mithilfe oder tiber Internet - aber es werden viel mehr Prozesse tiber Streitigkeiten gefuhrt, die Internet nicht betreffen. Viele der Risiken sind auch durch den Einsatz van Techniken, die im Internet zur Verftigung stehen (insb . zur Gewahrleistung einer entsprechenden Sicherheit) minimierbar, sodass der Anwendung von Electronic Business die fehlenden rechtlichen Rahmenbedingungen nicht wirklich entgegenstehen. Dies gilt vor allem im Business-to-Business Bereich, wo auch durch entsprechende vertragliche Vereinbarungen vorgesorgt werden kann . Das Internet bietet ein breites Spektrum an Diensten mit ganz unterschiedlichen Qualitaten an Sicherheit, Vertraulichkeit und Beweisbarkeit. Es liegt an den Geschaftspartnern, jene Klasse von Qualitatskriterien zu definieren, die sie fur ihren Zweck als angemessen ansehen rechtliche Rahmenbedingungen hinderu sie daran nicht.
Literatur BFH Telefax (26.3.1991, VIII B 83/90), in: CR 5/1992, S. 278 BGH Ausschwit zltige im Internet (12. 12. 2000, I StR 184/00) in: JurPC Web-Dok . 3812001 , www.jurpc.de/rechtspr/20010038.htm (Janner 2002) BGH Internet-Auktion, (7. II. 2001, VIII ZR 13/01) in: JurPC Web-Dok . 255/2001 , www.jurpc.de/rechtspr/20010255.htm (Janner 2002) BGH, Heimliche Tonbandaufnahme und das Recht auf informationelle Selbstbestimmung, in: CR 7/1988, S. 559 Bizer (1997), Johann, Rechtliche Bedeutng der Kryptographie, in: DuD 4/1997, S. 203-208 Blaze (1997), Matt, Kryptopolitik und Informations-Wirtschaft, in: DuD 4/1997, S. 209 -215 BPatG Fax (11.11.1991, 4w(pat», in: CR 12/1992, S. 714-717 Brandl/Fallenbock (1999), Brandl, Margit und Markus Fallenbock, Dcr Schutz von Internet Domain Namen nach UWG, in: RdW 1999/4a, S. 186 - 190. Brohl (1997), Georg. M., Rechtliche Rahmenbedingungen fur neue Informations- und Kommunikationsdicnste, in: CR 2/1997, S. 73 - 79. EU-Kommission (200Ia), Auswirkungen der E-Economy auf die Untcrnehmcn in Europa: Analyse der wirtschaftlichen Aspekte und Einfliisse auf die Politik, Mitteilungen der Kommission an den Rat und das Europaische Parlament v. 29. II. 2001, KOM(2001) 711 end., in: httplleuropa.eu.intieur-lex/de/cornlcnc/2001lcom2001_07lldeOl.pdf (Janner 2002) EU-Kommission (200Ib), Das ganze Potential der Union ausschopfen: Konsolidierung und Erganzung der Lissabonner Strategie, Beitrag der Europaischen Kommission zur Friihjahrstagung des Europaischen Rates Stockholm , 23. Und 24. Marz 2001 v . 7. 2. 2001, KOM(2001) 79 endg. Teil I, in: http://europa.eu.intieur-lex/de/cornlcncI2001lact79de02/ com200 1_0079de02-0I.pdf (Janner 2002) EU-Kommission (2002), eEurope 2002, Eine Informationsgesellschaft fUr aile; Aktionsplan, vorbereitet von Rat und Europaischer Kommission zur Vorlage auf der Tagung des Europaischen Rates am 19.120. Juni 2000 in Feira v. 14.6.2000, in:
3 Der Rechtsrahmen der Informationsgesellschaft
467
http://europa .eu.intlinformation_society/eeurope/action_plan/pdf/actionplan_de.pdf (Janner 2002) Gendreau (1995), Ysolde , Multimedia Challenges To Copyright, in: Brunnst ein, Klaus und Peter Paul Sint , Intellectual Property Rights and New Technologies, Proceeding s of the KnowRight '95 Conference, Wien Miinchen 1995, S. 304-308 Gerlin g (1997) , Rainer W., Verschli.isselungsverfah ren, Eine Kurzube rsicht, in: DuD
4/1997,S.197-202 Hamm (1997), Rainer, Kryptokontroverse, in: DuD 4/1997, S. 186-191 Hartmann (1998) , Matthi as, Geschafte mittels Telefax, PC-Fax und Email, in: ComputerrechtIntern 7/1998 , S. 113 - 116. Holme (1995), Thomas, Fristgerecht faxen, in: trend 3/95, S. 174 Holler (1995), Johann , Softw are - im Recht, Rechtliche Aspekte der Herstellung, des Vertriebs und der Anwendung von Software in Osterreich, Linz 1995 Holler (1999) , Johann, The influence of law on telemat ics - and vice versa; 4 th Intern ational Conference on Networking Entities: Neties '99, Krems. Hortm ann (1997) , Michael, Kryptoreguli erun g weltw eit - Uberblick, in: DuD 4/1997, S.214f Jahnel (2001), Dietmar, Datenschutz im Internet, in: ecolex 2001, S. 84 - 89 Kelm/Ko ssakowsk i (1997), Keirn, Stefan und Klaus-Peter Kossakow ski, Zur Notwend igkeit der Kryptographie, in: DuD 4/1997, S. 192-196 Kuri (1999), Jurgen, Canned Heat, Die neue Internet-Ve rwaltung nimmt Gestalt an, in: ct 5/1999 , S. 32. LG Berlin E-Mail-Werbung (13 . 10 1998 - 16 0 320/98) in: http: //www .onlinerecht.de/voren t.html?LGBerlin981013 (Janner 2002) LG Mtlnchen I, Schrotthaufen (17.10.1996, 4 HKO 12190/96), in: CR 3/1997 , S. 155-157 LieschinglLi esching (1998), Liesching, Patrick und Marc Liesching , Urteilsanmerkung zu AG Munchen , in: http://www.jura.uni-tuebingen .de/-kuehl/mat_set4 .htm (April 1999) Mayer-Schonberger (1995), Vikto r, Grund satzliche Probleme und mogliche Losungen einer Informationsregulierung, in: Netz ohne Eigenschaften , Nation ale und internationale Net zkommunikation im Spannungsfeld von Meinung sfreiheit, informationeller Selbstbestimmung und staatlicher Reglementierung, in: http ://dpub36.pub.sbg.ac.at:80/ niktlnoe/index.htm (Janner 2002) Munchkomrn (1990) : Miinchner Kommentar zum Biirgerlichen Gesetzbuch, Band 7, Einflihrungsges etz zum Burgerlichen Geset zbuche, Internationales Priva trecht , Munchen 1990 Nening-Schofbanker (1995) , Georg , Potentiell strafre chtlich relevante Vorkommni sse im Internet und der osterreichischen .Netz-Landschaft'', in: Netz ohne Eigen schaften, Nationale und internationale Netzkommun ikation im Spannun gsfeld von Meinung sfreiheit , informationeller Selbstbe stimmung und staatlicher Reglement ierung, Nowotn y (1989), Chri stian, Ist das Aufzeichnen eines geschaftlichen Telefonates verboten?, in: RdW 198917a,S. 214 OGH APA-B ildfunknet z (4.10.1994, 4 Ob 1091/94), in Medien und Recht 4/95, S. 143 OGH BOSS im Internet (29.5 .2001 ,4 Ob llO/Ol g), in: www.ris.bka.gv.atljus OGH Datei - Akten (28. 6. 2000, 6 Ob 148/00h), in: www.ris.bka.gv.atljus OGH telering (24. 4. 2001,4 Ob 94/01d) in: www.ris.bka.gv.atlju s OGH Werbe spruch (18. 2.1964,4 Ob 301/64) in: SZ 37/27 OGH Wirtschaftsgeschichten (mit Anmerkung Walter) , ( 12.10.93, 4 Ob 101/93), in: MR 6/94, S. 293-244
468
III Gestaltungsebenen von E·Business
Samueslon et al (1994) , Samuel son, Pamel a, Randall Davis , Mitch ell D. Kapor und J. H. Reichman, A Manifestor concernin g the legal protecti on of computer programs , in: Columbia Law Review , 12/1994, S. 2308-2431 Schmel zer (1995) , Gabriel e, Rechtli che Situ ation der Informati onsregulierung in: Netz ohne Eigenschaften, Nationalc und interna tionale Netzkommunikation im Spannungs feId von Meinungsfreiheit, inform ationeller Selb stbestimmung und staatlicher Reglementierung, http://dpub36 .pub.sbg.ac.at:80/niktlnoe/index.htm V. MangoldtlKlein/Starck (1985), V. Mangoldt, Hermann, Friedrich Klein und Christian Starck , Das Bonner Grund gesetz - Kornmentar, Band 1, 3. vollstandig neu bearbeitete Auflage , Munchen 1985 Walter (1995) , Micha el M., Zur urheberrechtlichen Einordnung der digitalen Werkve rmittlung, in: Medien und Recht 4/95, S. 125 f Weigel (1999) , Dirk, Influence of regulation and liberalisation ; 4 th International Conference on Networking Entities : Neties '99, Krems. Weissel (1993) , Georg, Zur Durchsetzung des Auskunftsrechts nach § 25 DSG, in: EDV & Recht 1/1993, S. 70 ff Wolfsteiner (1985), Hans, Elektronischer Rechtsverkehr , Einflihrung in die rechtliche Problematik, in: Bundesnotarkamm er (Hrsg.), Elektronischer Rechtsverkehr, Digitale Signaturverfahren und Rahmenbed ingungen, Kaln 1995, S. 25-35
IV Anhang
1 Glossar
ACONET (Academic Computer Network) ist das Internet-Teilnetz der osterreichischen Universitaten. ActiveX ist eine Erweiterung der OLE-Technik (Qbject Linking and Embedding Controls) von Microsoft fur Internet- und Intranet-Anwendungen. Controls sind wiederverwendbare Programme, also Funktionen, die in derselben Art und Weise fur verschiedene Anwendungen in identischer Form verwendbar sind. Diese Verfahrensweise ermoglicht ActiveX auch fur die Entwicklung von Web-Anwendungen. Bestehende Windows-Programme konnen in Web-Anwendungen eingebunden werden . Es ist nicht zu erwarten, dass ActiveX auf mehreren verschiedenen Plattformen verfiigbar sein wird, daher ist ActiveX weitgehend proprietar. ADSL (Asymmetric J2igital S.ubscriber Line) Technologie zur Dateniibertragung mit vergleichsweise hohen Geschwindigkeiten (bis 6 MBit/s zum Teilnehmer , bis 1 MBit/s zum Provider) tiber das Telefonnetz: die aktuell erreichbaren Geschwindigkeiten sind allerdings von verschiedenen Faktoren (u. a. die Qualitat der verlegten Kabel und die Entfernung zum nachsten Wahlamt) abhangig. AES (Advanced Encryption S.tandard) ein von den beiden belgischen Kryptografen Dr. Joan Daemen und Dr. Vincent Rijmen entwickeltes symmetrisches Verschliisselungsverfahren, das als Nachfolgestandard fur DES approbiert wurde; AES erlaubt Schlusselgrolsen von 128, 192 und 256 Bit, urn Datenblocke von 128 Bit zu verschliisseln. Archie ist ein Suchsystem, urn Programme und andere Dateien auf Anonymous FTP-Servern zu suchen. ARPANET (Advanced Research frojects Agency Network) Dieser Vorlaufer des Internets wurde 1969 gegriindet. Bei ARPANET handelte es sich urn ein akademisch/rnilitarisches Versuchsnetzwerk, das zum Erforschen der Konzepte und Programme diente, auf denen Internet heute basiert. ASCII (American S.tandard .code for Information Interchange) Ein aus sieben Bit bestehender Code, der von der ANSI (dem American National S.tandards Institute) genormt wurde. Durch diesen Code konnen 128 Zeichen des Alphabets dargestellt werden; dazu zahlen GroB- und Kleinbuchstaben, Ziffern und einige Sonderzeichen wie z. B. (:,! :?) sowie das Leerzeichen; nicht enthalten sind europaische nationale Sonderzeichen wie 0 ti a und B. ASP (1) (Active S.erver fages) der Firma Microsoft ermoglichen durch Einbeziehung von Programmen (Scripts) das Generieren dynamischer Web -Dokumente. Dem Benutzer werden .reine" HTML-Dokumente iibertragen. Zur Erzeugung dynamischer Web-Dokumente konnen auch das Common Gateway Interface (CGI),
472
IV Anhang
Server Side Includes (SSI) sowie Java-Servlets und Java Server Pages (JSP) verwendet werden. (2) (Application S.ervice Erovider) Provider, die Server mit Anwendungssystemen betreiben, die tiber eine Web-basierte Benutzeroberflache den Kunden des Providers zur Verftigung gestellt werden. Asymmetrische Verschliisselungsverfahren (public key cryptosystems) Verschltisselungsverfahren, bei denen zwei unterschiedliche, gegengleich funktionierende Schltissel zum Ver- und Entschltisseln von Daten verwendet werden. Einer der beiden Schltissel (der offentliche Schltissel) wird dabei in einem allgemein zuganglichen Verzeichnis (z. B. X.500) publiziert, wahrend der andere Schltissel (der geheime Schltissel) nur dem befugten Empfanger bekannt ist; in das Verfahren eingebaute mathematische Problemstellungen sorgen daftir, dass das Bestimmen des geheimen Schltissels aus dem offentlichen Schltissel viel zu aufwendig ist, urn fur praktische Zwecke brauchbar zu sein. Bekanntestes Beispiel fur ein asymmetrisches Verschltisselungsverfahren ist RSA. ATM (Asynchronous Iransfer Mode) ist eine Datentibertragungstechnologie auf Basis der Paketvermittlung, die mit Paketen (bzw. .Zellen") fester GrOBe (53 Byte, davon 48 Byte Nutzinformation) arbeitet. Ein ATM-Netz ist in der Lage, die EinhaItung verschiedener "quality of service"-Parameter - in Abhangigkeit vom gewahlten Anwendungsfeld - sicherzustellen und ist daher nicht nur fur klassische Datenkommunikation, sondern auch fur die zuverlassige Ubertragung von Sprache, Filmen, Videokonferenzen, ... in Echtzeit geeignet. ATM ist als Basistechnologie fur Breitbanddienstleistungen der Transportmechanismus des B-ISDN . BBS @ulletin .lioard s.ystem) (1) i.e.S. entspricht einem schwarzen Brett. BBS werden in erster Linie zum Meinungs- und Erfahrungsaustausch verwendet. (2) i.w.S. im angelsachsischen Raum wird dieser Begriff umfassender definiert. BBS ist der Uberbegriff fur ein System, das Mailing , BBS i.e.S. und Filetransfer untersttitzt. B-ISDN Breitband-ISDN ist eine Technik, die im Vergleich zu ISDN eine hohere Bandbreite ermoglicht. Auf Basis von ATM untersttitzt B-ISDN neben den klassischen ISDN Anwendungen spezifische Applikationen, die hohe Anforderungen an Bandbreite stellen, wie Bildtelefon , Telekonferenzen, Video-Dienste, interaktives TV ... Bit kleinste darstellbare Informationseinheit, die genau zwei verschiedene Zustande annehmen kann. Browser (engl. .Herumstoberer") ist ein anderer Name fur ein Web Client Programm . Netscape Navigator und Microsoft Internet Explorer sind die derzeit am meist verbreiteten WWW-Clients. Typische Browser ermoglichen nicht nur die Nutzung von WWW, sondern auch von anderen Internet-Diensten wie E-Mail, NetNews, FTP, ... Byte Gruppe von 8 Bit; in der Datenkommunikation haufig auch als "Oktett" bezeichnet. CeITT Der Ausschuss ~omite ~onsuItatif International Ielegraphique et IeIephonique der lTD (International Ielecommunication lInion) erarbeitet
1 Glossar
473
Empfehlungen fur die Standards internationaler Telekommunikation (Kommunikationsprotokolle). CERN Europaisches Zentrum fUr Teilchenphysik mit Sitz in Genf. "Geburtsstatte" des World Wide Web. CERT (C.omputer ,Emergency Response learn) wurde - als Antwort auf den von Jim Morrison jr. entwickelten Internet-Wurrn - als Anlaufstelle fur Sicherheitsprobleme in Computersystemen und - netzwerken ins Leben gerufen. CGI (hommon Qateway Interface) ist eine standardisierte Programmierschnittstelle zur AusfUhrung von externen Programmen auf WWW-Servern. Chipkarte (auch "smart card") ist eine Plastikkarte im Scheckkartenformat, in die ein Mikroprozessor mit Speicher sowie eine Systemschnittstelle integriert sind. Wesentliche Vorteile der Chipkarte sind ihre Portabilitat, .Jntelligenz" und Sicherheit. Die Konzeption der Chipkarte zielt auf einen vielfaltigen Einsatz z. B. als Debitkarte (Telefonkarte, Kopierkarte etc.), Kreditkarte und Benutzeridentifikationskarte. Ein und diesel be Chipkarte kann fur mehrere Anwendungen eingesetzt werden. Datenkompression ist ein Verfahren, Dateien durch Reduktion oder Elimination von Redundanz zu verkleinern, urn Speicherplatz zu sparen oder die Dauer einer Datentibertragung zu reduzieren. Komprimierte Daten sind zur Durchfuhrung von Be- und Verarbeitungsoperationen ungeeignet, sie mtissen vorher dekomprimiert werden. Man unterscheidet verlustfreie (d. h., das Original ist aus der komprimierten Version exakt wiederherstellbar) und verlustbehaftete (d. h., beim Dekomprimieren erhalt man ein vom Original sehr ahnliches Bild, Video-Clip, Sound-File, ...) Datenkompressionsverfahren. Datenverschliisselung bezeichnet eine Sammlung von Verfahren, bei denen Daten fur unbefugte Empfanger (unter Verwendung eines Schli.issels) unkenntlich gemacht werden. Die Verfahren der Datenverschli.isselung werden in symmetrische und asymmetrische Verschltisselungsverfahren unterteilt. Datex-P ist ein offentllches digitales Wahlnetz speziell fur die Datentibertragung . Die Datenendeinrichtung sendet die zu tibertragenden Daten in paketierter Form an eine Vermittlungsstelle. Dort werden die Datenpakete zwischengespeichert und ggf. tiber verschiedene Netzknoten und mit verschiedener Ubertragungsgeschwindigkeit an die gewtinschte Adresse weitergeleitet. Das Datex-P-Netz ttbermittelt und ubertragt nur genormte Datenpakete gemal; X.25. DES illata ,Encryption ~tandard) ist ein von der Firma IBM entwickeltes und von der NSA (der National ~ecurity Agency der USA) approbiertes symmetrisches Verschltisselungsverfahren; DES verwendet 56-Bit-Schltissel, urn Datenblocke von 64 Bit zu verschli.isseln. Zur Verstarkung der Eigenschaften von DES (auch gegen die jungst erfolgreichen Attacken gegen dieses Verfahren) wird DES haufig (im sog. "Triple-DES-Verfahren") dreimal hintereinander (mit drei verschiedenen DES-Schltisseln) ausgefuhrt, wobei beim zweiten Durchgang das Verfahren durch die inverse Operation (beim Verschltisseln also die Entschltisselungsoperation) eingesetzt wird.
474
IV Anhang
DFN CQeutsches Eorschungsnetz) Internet-Verbund der deutschen Universitaten. DHTML (!2ynamic HTML) Erweiterung von HTML urn die Moglichkeiten, Komponenten einer HTML-Seite (z. B. ein Bild) zu animieren (z. B. tiber den Bildschirm zu bewegen) . Digitale Signaturen s. Elektronische Unterschriften DNS (Qomain Name .s.ystem) Das DNS ordnet den IP-Adressen logische Namen von Rechnern im Internet zu. So konnen Kommunikationspartner anstatt mit der IP-Adresse (z. B. 140.78.40.61) tiber Namen (z. B. ftp.idv.uni-linz.ac.at, www.idv .uni-linz [email protected] ) angesprochen werden . DOM (!2ocument Qbject Model) Komponentenmodell, das es erlaubt, von einer geeigneten Programmiersprache aus gezielt Teile eines HTML- bzw. XMLDokuments anzusprechen ; wichtiger Bestandteil des DHTML-Konzepts. E-Business umfasst alle Bereiche der Geschaftstatigkeit, in denen AuBenbeziehungen mit elektronischen Medien und Methoden gestaltet werden. Oblich ist eine Einteilung der AuBenbeziehungen in B2B (Business to Business) und B2C (Business to Consumer). EBone Netzwerk, das die europaischen national en Forschungsnetze verbindet; es gibt Ubergange auch zu Datennetzen anderer Access-Provider sowie in andere Kontinente (z. B. USA). EDI (Electronic )Lata Interchange) ist der elektronische Austausch von strukturierten Daten zwischen zwei oder mehreren Partnern. EDIFACT (Electronic )Lata Interchange for Administration, kommerce and Transport) ist eine internationale Norm fur die Darstellung von strukturierten Daten zwischen Partnern. Elektronische Unterschriften (electronic signatures) Anwendung von asyrnmetrischen Verschltisselungsverfahren zum Nachweis, dass ein bestimmtes elektronisches Dokument nur von einem bestimmten Absender erzeugt worden sein kann. E-Mail Electronic Mail bildet die Funktionen der Post in Rechnernetzen nach o Dabei werden alle Nachrichten elektronisch erstellt, versendet , empfangen und gespeichert. Dies ermoglicht den papierlosen Austausch verschiedener Informationsarten. Enduser Computing ist eine dezentrale Form der Systementwicklung und des Systembetriebs. Der Autgabentrager, die Aufgabenstellung, die unmittelbare Arbeitsumgebung sowie der individuelle Arbeitsstil bestimmen weitgehend Art, Ausgestaltung und Einsatz des verwendeten Kommunikationssystems. Ethernet ist der am weitesten verbreitete LAN-Standard. Das Ethernet ist relativ kostengtinstig, bietet eine hohe Betriebssicherheit und arbeitet mit Ubertragungsgeschwindigkeiten von 10 Mbit/s, 100 Mbit/s ("Fast Ethernet") bzw . 1 Gbit/s ("Gigabit Ethernet"). Das Zugangsprotokoll ist CSMA/CD (harrier .s.ense Multiple Access with kollision )Letection, Wettkampfverfahren). Extranet ist die Erweiterung eines Intranets urn identifizierte Partner einer Organisation. Der Kommunikationsfluss wird tiblicherweise entlang einer erweiter-
1 Glossar
475
ten Wertschopfungskette aufgebaut, mit der Tendenz zur Ausgliederung einzelner Unternehmensbereiche. FAQ (Erequently Asked Questions) ist eine Liste, in der zu einem bestimmten Thema haufig gestellte Fragen und deren Antworten aufgelistet werden. Die Quelle dieser Listen sind in erster Linie Newsgruppen, Mailing-Listen bzw. Anonymous FTP-Server. Fidonet ist ein internationales nichtkommerzielles Mailboxsystem, das tiber Gateways vom Internet aus erreichbar ist. Firewall ist ein Sicherheitssystem, das einerseits ein Netz vor unerlaubten Zugriffen von auBen schutzt, andererseits aber auch den Zugriff nach auBen (auf das Internet) einschrankt. Ein Firewall-System muss mit dem Internet verbunden sein, wobei der gesamte Datenverkehr zwischen dem Internet und dem geschutzten Netz tiber die Firewall geleitet wird. FTP (Eile Iransfer frotocol) ist das Internet Protokoll (und Programm) zur Ubertragung von Dateien zwischen Hosts. Als Anonymous FTP wird das Login ohne personliche Benutzerkennung in einen FTP-Server bezeichnet. GAN (Qlobal Area Network) ist ein weltumspannendes Datennetz. Gateway ist in der Telekommunikation ein Knotenrechner, der inkompatible, aber ahnliche Kommunikationsdienste miteinander verbindet. So ermoglicht beispielsweise ein E-Mail-Gateway den Mailaustausch zwischen zwei unterschiedlichen E-Mail-Systemen (z. B. Microsoft Mail und SMTP); ein DatenbankWWW-Gateway erlaubt das Abfragen, aber auch Einfugen, Andern und Loschen von Daten in Datenbanken von einem Web-Browser aus. Die Daten werden so umformatiert, dass sie im anderen Kommunikationsdienst verwendet werden konnen. Der Ausdruck Gateway wird manchmal auch falschlicherweise anstatt der Bezeichnung Router angewendet. GIF (Qraphics Interchange Eormat) ist ein von der Firma CompuServe entwickelter Grafikstandard, der Bilder bis zu 256 Farben verlustfrei komprimiert; eignet sich vor allem fur Diagramme und Piktogramme. Gopher internetweit verteiltes , hierarchisch aufgebautes und menuorientiertes Informationssystem, das Zugang zu unterschiedlichen Daten bietet; wurde durch das WWW abgelost. Groupware stellt eine breite Klasse von Applikationen dar, deren Ziel die Unterstutzung von Kommunikationsprozessen ist. Durch Groupware (und die dadurch erzielte grofsere Effizienz von Kommunikationsprozessen) soilletztlich das gemeinschaftliche Losen von Problemen (durch Kommunikationspartner, die U. U. weltweit verteilt sind) besser unterstutzt werden. Basis des Workgroup Computing. GSM (Global s.ystem for Mobile Communications) ist ein digitales Mobiltelefonsystem, das europaweit (und auch in anderen Teilen der Welt) grenzuberschreitend verfugbar ist und die Ubertragung von Sprache und Daten ermoglicht. Host Wirtsrechner. 1m Internet wird jedes angeschlossene Gerat als Host bezeichnet.
476
IV Anhang
HTML (Hypertext Markup Language), basiert auf SGML, ist die Sprache zur Beschreibung von WWW Seiten. Normungsempfehlungen werden vom W3C in Zusammenarbeit mit flihrenden Soft- und Hardwareherstellern ausgearbeitet. HTTP (Hypertext Transfer f.rotocol) ist das Protokoll fur die Ubertragung von Hypertext Dokumenten. Auf diesem Protokoll basiert das World Wide Web. HypertextIHypermedia ist eine Methode zur Prasentation und Vernetzung unterschiedlicher Informationen. Verbindungen (sog. "Links") kennzeichnen die Beziehungen zwischen den einzelnen Dokumenten. Durch einfaches Anklicken einer Referenz (z. B. Text, Bildsymbol) mit der Maus kann direkt von einem Textelement zum nachsten gesprungen werden. Damit wird die Fahigkeit des menschlichen Gehirns, Informationen assoziativ zu verarbeiten, auf dem Computer nachgebildet. Das Hypermedia-Konzept funktioniert analog zum Hypertext-System, wobei auch Bild- und Tondokumente eingebunden werden konnen . IDEA (International nata Encryption Algorithm) ist ein symmetrisches Verschltisselungsverfahren, das u. a. in PGP verwendet wird; IDEA verwendet 128Bit-Schlussel, urn Datenblocke von 64 Bit zu verschltisseln . IEEE (Institute of Electrical and Electronical Engineers) ist ein Verband, der sich u. a. mit der Erarbeitung von LAN-Standards beschaftigt. IETF (Internet Engineering Iask Eorce) Organisation von (themenbezogenen und offen en) Arbeitsgruppen, die unter der Leitung der IESG (Internet Engineering S.teering Qroup) Protokolldefinitionen fur verschiedene Internet-Protokolle ausarbeiten und in Form von RFCs publizieren. IMAP (Internet Mail Access f.rotocol) Protokoll zum Verwalten der empfangenen E-Mails im elektronischen Postfach; (funktional reichhaltigere) Alternative zu POP; erlaubt u. a. das Definieren von Mail-Ordnern (neben der InBox) am MailServer, urn die empfangenen Mails (ev. regelgesteuert) geeignet kategorisieren zu konnen, sowie (urn z. B. bei langsamen Telefonverbindungen Telefonkosten zu sparen) die Auswahl der Nachrichtenteile, die auf den Mail-Client geladen werden sollen. Internet TCP/IP basiertes weltweites Netz von Netzen , das aus dem Arpanet entstand. Intranet ist ein durchgangiges Unternehmens-Netzwerk auf Basis des TCPI/P, in dem Anwendungen mit Internet- (insbesondere WWW-) Technologie realisiert sind. IP (Internet f.rotocol) Protokoll der Schicht 3 (Netzwerkschicht) der TCP/IPProtokoll-Suite; leitet Datenpakete aufgrund der IP-Nummer des Empfangers zielgerichtet durch das "Netz der Netze" namens Internet. IP-Adresse ist eine 32-Bit groBe Adresse durch die jeder Rechner im Internet eindeutig identifiziert ist. Die IP-Nummer wird durch vier, durch Punkt getrennte Zahlen zwischen 0 und 255 (z. B. 140.78.40.61) notiert. IPSec (Internet f.rotocol Security Extension) definiert Formate fur verschlusselte (urn den korrekten Empfanger sicherzustellen) oder digital signierte (urn die Unverfalschtheit der Absenderangaben sicherzustellen) Datenpakete auf Basis von IPv6 (wurde aber auch auf das gegenwartig verwendete IPv4 adaptiert).
1 Glossar
477
IPv6 (Internet Protocol Yersion .6.) bzw. IPng (Internet frotocol new generation) geplantes Nachfolgeprotokoll fur das dzt. verwendete IP-Protokoll (V. 4), das versucht, einige Mangel des IP-Protokolls zu beheben; u. a. verwendet IPv6 16 Byte (statt 4 Byte) groBe IP-Adre ssen , erlaubt (zusammen mit RSVP) die Reservierung von garantierten Ubertragungsbandbreiten (z. B. fur die Ubertragung von Multimedia-Inhalten in Echtzeit) sowie (zusammen mit IPSec) die Absicherung der Ubertragung mit kryptografischen Mitteln gegen unbefugtes Abhoren bzw . Falschung des Absenders; besonderes Augenmerk wurde ferner (fur die Phase des Ubergangs) auf Merkmale, die eine reibungslose Koexistenz mit dem .alten" IPv4 erlauben, gelegt. IRC (Internet Relay .chat) ist ein Protokoll und Dienst, der Echtzeitkommunikation tiber die Tastatur mit beliebig vielen Teilnehmern ermoglicht. Ein IRC-Be nutzer hangt sich an einen der zahlreichen aktiven Channels und kann sich dann live an der dort laufenden Diskussion beteiligen. Die IRC-Server sind auch weltweit untereinander vernetzt, sodass auch IRC-Benutzer auf verschiedenen Servern miteinander kommunizieren konnen. ISDN (Integrated .s.ervices Qigital Network) bedeutete ursprtinglich, dass Text-, Grafik-, Bild- , Sprach- und Datenaustausch tiber ein einziges digitales Netzwerk gefuhrt werden. ISDN besitzt als Basisanschluss (Schnittstelle SO) zwei Basiskanale (B-Kanal) mit je 64 KBit/s fur die Ubertragung von Informationen und einen D-Kanal mit 16 KBit/s fur die Signalisierung (fur Verbindungsaufbau und -abbau, Fehlerbehandlung, Verbindungssteuerung). Ais Primarmultiplexkanal (Schnittstelle S2M) stehen 30 B-Kanale zur Verfugung. Beim Euro-ISDN (in Osterreich und Deutschland im Jahre 1993 eingefllhrt) wird das europaische ISDN-Protokoll DSS 1 verwendet. Auch nationale ISDN Protokolle werden (noch) alternativ zum Euro-ISDN eingesetzt (z. B. in Deutschland: lTR6-Protokoll, in Frankreich: VN-Protokoll). Seit 23. 12. 1994 regeln die Interims CTR (.common Iechnical Regulations) die Zulassung fur Euro-ISDN-Endgerate: Letztere konnen bei einem Euro-ISDNNetzbetreiber europaweit zugel assen werden. Ftir Deutschland und Frankreich sind Zusatzprtifungen erforderlich. ISO (International .s.tandards Qrganization) Verband nationaler Normungsgremien, dessen Aufgabe es ist, weltweit einheitliche Standards zu definieren. ISOIIEC 10646 Zeichensatzdefinition, die letztlich aile auf der Welt verwendeten Zeichen umfassen soli und im Gleichklang mit dem UniCode-Standard weiterentwickelt wird. In UCS-4 (llniversial .character .s.et) ist vom Konzept her ein Bereich mit ca. 4.000.000.000 (2 32 ) Code-Punkten vorgesehen, der in .Ebenen" mit jeweils 65536 Code-Punkten unterteilt ist; die "Basic Multilingual Plane" (Ebene 0, die bisher einzige Ebene , in der Code-Punkten Zeichen zugewiesen wurden) bildet das UCS-2-Subset (die Verga be von Code -Punkten in der Ebene 1 ist in Planung; weitere Ebenen werden vermutlich nicht benotigt); zur Darstellung in Computern wurden drei "Transformationsformate" definiert: UTF-8 (liCS bzw . llniCode Iransformation Eormat) kann aile Code-Punkte der ersten 32768 Ebenen in Foigen von ein bis funf Byte langen Sequenzen darstellen und ist so definiert,
478
IV Anhang
dass jeder (reine) ASCII -Text gleichzeitig sein gultiges UTF-8-Aquivalent ist; UTF-16 definiert Folgen von einer oder zwei 16-Bit-Gruppen, urn aile CodePunkte der Ebenen 0 - 16 darzustellen; UTF-32 schlieBlich stellt jeden UCS-4 Code-Punkt in einer 32-Bit-Gruppe dar. ISO-OSI Modell Das ISO-Referenzmodell (=International ~tandards Qrganisation) fur offene Systeme (Qpen ~ystems Interconnection) spezifiziert eine universell anwendbare Struktur, die moglichst aile Anforderungen an die Datenkommunikation zwischen unterschiedlichen Systemen erfasst. Das Referenzmodell definiert sieben Schichten, urn komplexe Ubertragungsprobleme zu strukturieren. lTV (International Ielecommunication .linion) s. CCITT Java von Sun entwickelte, von C++ abgeleitete objektorientierte Programmiersprache; besonderes Kennzeichen von Java ist, dass die in ihr entwickelten Programme nicht fur ein bestimmtes Zielsystem, sondern fur eine allgemeine ,,Java Virtual Machine" ubersetzt werden, sodass die entstehenden Programme auf allen Systemen ablauffahig sind, die eine Implementierung dieser "Java Virtual Machine" bieten; dies sollte es ermoglichen, Web-Komponenten (sog. .A pplets") zu entwickeln , die auf beliebigen Browsern ablauffahig sind und Leistungsmerkmale jenseits von "einfachem" HTML (von Animationen bis hin zum Durchgriff auf andere Anwendungen, z. B. fur Telebanking) bieten sollen ; aufgrund der Langsarnkeit ihrer Ausfuhrung und der Inkompatibilitaten der ersten Implementierungen der "Java Virtual Machine" konnte sich dieses Konzept bislang nicht durchsetzen, jedoch spielen Java-Anwendungen, die auf der Seite des Web-Servers z. B. aus einer Datenbank dynamisch HTML erzeugen (sog. "Servlets") eine bedeutende Rolle . JavaScript von NetScape entwickelte und von Java abgeleitete Scripting-Sprache; Java-Script-Code wird in HTML eingebettet, urn verschiedene Aspekte der Darstellung der HTML-Seite (vom einfachen Uberblenden verschiedener Bilder bis zum Validieren von Eingaben in HTML-Formularen, bevor diese an den WebServer gesendet werden) zu kontrollieren ; erste Implementierungen von JavaScript in verschiedenen Browsern unterschieden sich z. T. stark im unterstlitzten Funktionsumfang, jedoch soilten diese Probleme mit den Normungen der ECMA (European k.omputer Manufacturer Association) und des W3C (Objekt-Definitionen in HTML 4) nunmehr der Vergangenheit angehoren; JavaScript ist als die Sprache, in der die Animationen von HTML-Objekten beschrieben werden konnen, auch ein wesentlicher Bestandteil des DHTML-Konzepts. JPEG (Joint ~hotographic .Experts Qroup) ist ein Kompressionsverfahren fur Grafikdateien. JPEG beschrankt sich nicht nur auf das Packen von Daten nach den ublichen Algorithmen , sondern beinhaltet auch Verfahren , die einzelne Bildinformationen verlieren, ohne den optischen Gesamteindruck des Bildes zu zerstoren. Mit hoheren Kompressionsraten ist allerdings immer auch ein grofsererVerlust der Bildqualitat verbunden. JPEG ist vor allem zur Darstellung von Fotografien geeignet. JSP (Java ~erver ~ages) Technologie zur dynamischen Erzeugung von HTMLSeiten auf Basis der Programmiersprache Java; im Gegensatz zu Java Servlets (je-
1 Glossar
479
doch ahnlich ASP) wird der Java-Programmcode in statisches HTML - gekennzeichnet durch spezielle Tags - eingebettet. Kabelfernsehen ist ein (vor allem in Ballungsraumen verbreitetes) Netz, das (bei entsprechender UmrUstung) auch die Datenubertragung mit hohen Datenraten (theoretisch bis zu 30 MBit/s zum Teilnehmer) erlaubt. Key recovery Sammelbegriff fur Verfahren, die es erlauben, mit Hilfe von Hilfsdiensten (z. B. einem oder mehreren ,,Key Recovery S.ervice £rovidern") den KIartext von Nachrichten auch ohne Mithilfe des Inhabers des betreffenden geheimen Schltissels wiederzugewinnen. Kryptoanalyse Wissenschaft, die sich mit der Sicherheit von Verfahren zur Datenverschltisselung beschaftigt. Kryptografie Wissenschaft von der Konstruktion von Verschltisselungsverfahreno LAN (Local Area ~etwork) ist ein lokales Netz, welches die Kommunikation zwischen mehreren unabhangigen Datenstationen in einem begrenzten geografischen Gebiet ermoglicht. Als Grenzen der raumlichen Ausdehnung werden ublicherweise angegeben: • die Grenzen eines Grundstlicks (dies gilt insbesondere fur Staaten mit einem Fernmeldemonopol) oder • eine maximale Ausdehnung von 10 km. Netzwerke, die diesen Bereich ttberschreiten, werden als Wide Area Networks (WANs) bezeichnet. Mailbox (1) Das personliche Postfach des einzelnen Teilnehmers fur E-Mail. (2) Bezeichnung fur ein Telekommunikationsservice, das Postfacher fur seine Teilnehmer verwaltet. Mailboxsysteme bieten haufig Zugang zu den Internetdiensten Mail und News an, seltener den vollen Internetzugang. 1m angelsachsischen Sprachraum ist dafur auch die Bezeichnung BBS iiblich. MAN (Metropolitan Area ~etwork) stellt eine Variante von Weitverkehrsnetzen dar, die fur den Einsatz in Grolistadten und Ballungszentren konzipiert wurden; MANs erlauben Ubertragungsgeschwindigkeiten bis zu 1.000 MBit/s bei einer Ausdehnung von bis zu 100 km. MHS (Message Handling s.ystem) ist ein System zum Austausch von E-Mails. Wird oft als Synonym fur XAOO verwendet und wurde von der ISO erstmals 1994 genonnt. MTA (Message Iransfer Agent) XAOO-Mail-Server, der empfangene Mitteilungen an den nachsten MTA bzw. an die Zielstation (UA) weiterleitet. MIME (Multipurpose Internet Mail Extensions) ein Satz von Format-Konventionen, welcher es erlaubt, nicht nur ASCII-Texte, sondern Daten jedes Formats (z. B. auch Grafiken, Audio- und Videosequenzen) tiber E-Mail im Internet zu versenden. Modem zusammengesetztes Wort aus MOdulator und DEModulator. Ein Modem ist eine Datenubertragungseinrichtung, welche die digitalen Signale des Computers an analoge Ubertragungssignale des Telefons oder Breitbandweges an-
480
IV Anhang
passt. Modems gibt es als externes Gerat und seit Mitte der 80er Jahre auch als Steckkarte fur den Computer. MPEG (Moving £ictures Expert Qroup) ist eine Gruppe, die Standards fur die Komprimierung von Film- und Audiodaten und fur die Synchronisation von Video- und Audio-Datenstromen entwickelt hat. Netiquette Dieser Begriff setzt sich aus Network und Etikette zusammen und bezeichnet Regeln tiber das Verhalten im Internet. NetNews ist ein weltweites offentliches Diskussionsforum, das aus dem Usenet stammt und auch tiber Internet genutzt werden kann. Netnews ist in Newsgruppen (themenbezogene Diskussionsforen) gegliedert. Ein Benutzer kann eine Frage 0der einen Diskussionsbeitrag zu einem bestimmten Thema abrufen oder selbst abschicken ("posten"). NSA (National S-ecurity Agency) US-Geheimdienst, der sich vor allem mit der Uberwachung der Telekommunikation beschaftigt; der Welt grofster Arbeitgeber fur Kryptografie- und Kryptoanalyse-Experten und Beschaffer von Supercomputern. Offene Systeme basieren auf herstellerunabhangigen Standards. Wichtige Schnittstellen zwischen unterschiedlichen Komponenten stehen nicht unter Kontrolle eines einzelnen Anbieters, sondern werden entsprechend veroffentlichter Standards gestaltet. Die ISO versteht unter einem offenen System ein System von einem oder mehreren Rechnern, Software , Peripherie und Ubertragungsmedien, das einem Satz von Standards fur den Informationsaustausch mit anderen offenen Systemen gehorcht. PGP (£retty Qood £rivacy) ist ein von Phil Zimmerman entwickeltes Programm, das seinen Benutzern starke kryptografische Verfahren zur Verschltisselung von Dateien und E-Mail-Nachrichten sowie zur Erzeugung von elektronischen Unterschriften bereitstellt. Die Open-PGP-Spezifikation (die als Alternative zu S-MIME definiert wurde) definiert, wie mit PGP verschltisselte oder unterzeichnete Nachrichten in einer MIME-codierten E-Mail eingebaut werden konnen. PING (£acket Internet Qroper) ist ein Programm, mit dem die Erreichbarkeit eines Zielcomputers getestet werden kann. PING sendet ein spezielles Datenpaket an den Zielcomputer und wartet auf die Antwort. Plug-In ist ein Zusatzprogramm zur Erweiterung des Funktions- und Leistungsumfangs eines WWW-Browsers, z. B. zur Darstellung von Video- und Audiosequenzen oder fur 3D-Animationen . POP (1) (£ost Qffice £rotocol; zuletzt in Version POP3 verfugbar) InternetProtokoll zum .A usheben" des eigenen elektronischen Postfachs; als Nachfolgeprotokoll zeichnet sich IMAP abo (2) (£oint Qf £resence) ist der Einwahlpunkt eines Internet Providers , der dem Benutzer vor Ort Zugriff auf samtliche Internetdienste gewahrt. PNG (£ortableNetworkQraphics) Grafik-Format, das Bilder mit bis zu 248 (ca. 250.000.000.000.000) Farben verlustfrei komprimiert speichert; als nicht Patenten unterliegender Ersatz fur das GIF-Format entworfen .
1 G10ssar
481
PPP (£oint to £oint £rotocol) Nachfol ger von SLIP . PPP untersttitzt Router to Router und Host to Network Verbindungen tiber synchrone und asynchrone Leitungen . Protokoll Urn die Kommunikation von Rechnern bzw. Anwendern in einem offenen heterogenen Verbund zu realisieren, braucht man a priori Regeln , denen der Nachrichtenaustausch zwischen den Kommunikationspartnern gehorcht. Diese Regeln werden in der Datenkommunikation als Protokolle bezeichnet. Proxy (engl. .V ertreter") ist ein Server , der Anforderungen stellvertretend fur einen anderen (den "echten") Server entgegennimmt. Proxies dienen einerseits zur Effizienzsteigerung, indem sie haufig abgefragte Informationen lokal bereithalten ("Caching"), andererseits der Sicherheit, indem sie den .echten" Server gegen unbefugte Kontakte abschirmen (s. auch "Firewall"). Public key cryptosystem s. asymmetrische Verschliisselung sverfahren RFC (Request for Comments) ist eine 1969 begonnene, von der IETF herausgegebene, durchnummerierte Dokumentenreihe, die Standards, Protokolle, gebrauchliche Praktiken , ... fur das Internet beschreibt. Router ist eine Verbindungseinheit, die Daten zwisch en zwei Netzwerken, die dassel be Protokoll (z. B. TCP/IP) benutz en, zwischenspeichert und weiterleitet. Die physikalischen Netzwerkeigenschaften konnen differieren (z. B. Datentransfer zwischen Ethernet und ATM). RSA ist ein asymmetri sches Verschltisselungsverfahren, das nach seinen Urhebern Ronald Rivest, Adi S.hamir und Leonard Adleman benannt ist. RSA kann mit Schliisseln und damit Datenblocken beliebiger Grolle arbeiten . RSVP (Re§.eryation £rotocol) (zuktinftiges) Protokoll zur Reservierung von garantierten Ubertragungskapazitaten, z. B. fur Ubertragungen von Videos in Echtzeit; benutzt dabei auch Reservierungsmechanismen der zugrundeliegenden Datennetze (z. B. ATM). RTP (Real lime £rotocol) (zuktinftiges) Protokoll der Schicht 4 (Transportschicht) der TCP/IP-Protokoll-Familie; versucht, einen Strom von Datenpaketen (z. B. zur Ubertragung eines Videos in Echtzeit) mit moglichst geringen Ubertragungsfehlern und einer begrenzten Ubertragungsverzogerung zum Empfanger zu leiten; bedient sich dabei des RSVP , urn garantierte Ubertragungskapazitaten zu sichern. Schliisselmanagement die bei (symmetrischen oder asymmetrischen) Verschltisselungsverfahren notwendigen organi satorischen MaBnahmen , die das sichere Erzeugen, Verteilen und Verwenden von Schliisseln gewahrle isten sollen . Secret key cryptosystem s. symmetrische Verschltisselungsverfahren SET (Secure Electronic lransaction specification) elektronisches Zahlungssystem auf Basis von Kreditkarten. SGML (5.tandard Qeneralized Markup Language) ist eine ISO-Norm (ISO 8879) zur Definition von strukturierten Texten. SLIP (S.erial Line Internet £rotocol) ist ein Internet Protokoll, das eine Kommunikation mit TCP/IP tiber serielle Leitungen ermoglicht, wie Telefonschaltkrei-
482
IV Anhang
se oder RS232-Kabel, die zwei Systeme miteinander verbinden. SLIP ist mittlerweile weitgehend durch PPP ersetzt worden. SMIL (S.ynchronized Multimedia Integration Language) XML-basierte Sprache ; dient der Beschreibung, wie verschiedene Elemente (z. B. Bilder, VideoClips, Sounds, ...) zu einer Multimedia-Prasentation .znsammengebaut" werden; verschiedene Profile sollen auch die Kombination mit anderen XML-basierten Sprachen erlauben, z. B. mit SVG (zur Beschreibung von animierten Vektor-Grafiken) oder mit XHTML (zur Erzeugung von Powerpoint-ahnlichen Effekten fur HTML-Dateien). Smiley Zeichenkombination, mit denen ein Autor von E-Ma ilsversucht.seine Gefuhle auszudrticken; z. B. :-) ;-) oder :-(. Die Bedeutung ist bei einer Drehung des Symbols urn neunzig Grad erkennbar. S-MIME (S.ecure MIME) definiert, wie verschlusselte und digital signierte Nachrichtenteile in einer gemall der MIME-Spezifikation aufgebauten Nachricht codiert werden; Alternative zu (Open-) PGP . SMTP (S.impleMail Iransfer £rotocol) ist das im Internet verwendete ProtokoIl, mit dem E-Mails im elektronischen Postfach des Empfangers abgelegt werden. SQL (S.tructured Query Language) ist eine nichtprozedurale, international weitgehend standardisierte Sprache zur Definition und zum Zugriff auf relationale Datenbanken. Die durch ANSI (dem American Nat ional S.tandards Institute) und ISO normierte Sprache wird von einer Reihe einschlagiger Softwarepakete verwendet, SSI cs.erver S.ide Includes) bieten Funktionen fur das Gestalten von dynamischen WWW-Seiten . SSI-Kommandos werden als HTML-Kommentare in ein HTML-Dokument eingebaut . Wird die betreffende Seite tiber das Internet oder Intranet abgerufen, so werden vom WWW-Server die SSI-Kommandos ausgefuhrt und HTML-Code gene riert. Dem Benutzer konnen z. B. in Abhangigkeit von Datum, Uhrzeit, DomainNamen oder Browser vollig unterschiedliche Informationen aufbereitet werden. Eine weitere Mogl ichkeit besteht im Einfugen von Textdokumenten, etwa eines HTML-Dokumentes in ein anderes H'I'Ml.-Dokument. Typische Extensions fur mittels SSI's generierte Web -Seiten sind "shtml" sowie "ssi". Nicht aIle WWWServer unterstutzen SSI's . SSL cs.ecure S.ocket Layer) Erweiterung der TCP/IP-Protokolle zur Absicherung der Datenkommunikation sow ie zur wechselseitigen Authentifikation der Kommunikationspartner; wird bisweilen ausschlieBlich im Zusammenhang mit WWW verwendet, obwohl ein Einsatz mit anderen (TCP-basierten) Internet-Diensten (z. B. FTP, Telnet, ...) auch denkbar ware. Die in SSL realisierten Sicherheitsfunktionen stellen eine wesentliche Voraussetzung zur Verwendung des Internets (insbesondere des WWW) fur den elektronischen Geschaftsverkehr dar. Style Sheets erlauben detaillierte Kontrolle tiber die Darstellung von HTMLSeiten; anfanglich wurde die gewunschte Formatierung einer HTML-Seite ausschlieBlich tiber HTML-Tags definiert; aufgrund von Restriktionen in HTML erforderte dieser Ansatz jedoch haufig Klimmzuge, urn ein bestimmtes Aussehen
1 Glossar
483
dieser Seite zu erreichen (z. B. Einsatz von Frames, Tabellen und leeren Bildem bestimmter Grobe, urn eine bestimmte Plaz ierung eines Elements zu erreiehen); zur besseren Kontrolle des Aussehens wurde HTML urn die Moglichkeit erweitert, Style Sheets zu definieren, mit denen die visuelle Darstellung von HTML-Elementen, die mit bestimmten HTML-Tags gekennzeichnet sind, genau kontrolliert werden kann; das Konzept wurde schlieBlich mit XML ins Extrem weitergetrieben, das keine Tags fur bestimmte Darstellungszwecke (Uberschriften, Absatze, Fettdruck, ...) mehr vorsieht und die visuelle Darstellung der mit bestimmten Tags gekennzeichneten Elementen ausschlieBlieh tiber Style Sheets definiert. SVG (Scaleable y.ector Qraphics) XML-basierte Sprache, die der Beschreibung von Bildem auf der Basis gewisser geometrischer Grundelemente (Linien, Rechtecke, Ovale, ...) dient ("Vektor-Grafiken ") . Symmetrische Verschliisselungsverfahren (secret key cryptosystems) verwenden zum Ver- und Entschlusseln von Daten ein und denselben Schlussel, der nur den befugten Kommunikationspartnem bekannt sein darf. Beispiele fur symmetrische Verschlusselungsverfahren sind AES , DES und IDEA. TCP (Iransmission ~ontrol £rotocol) Protokoll der Schicht 4 (Transportschicht) der TCP/IP-Protokoll-Suite; siehert einen Strom von Datenpaketen (sofern moglich) vollstandig gegen Ubertragungsfehler ab und garantiert, dass die Datenpakete vollstandig, unverfalscht und in der richtigen Reihenfolge beim Empranger ankommen; da dazu ein einzelnes Datenpaket im Fall von Ubertragungsfehlem mehrfach ubertragen wird, kann keine Garantie fur eine gesieherte Ubertragungsdauer ubernommen werden ; Alternativen sind UDP und (in Zukunft auch) RTP . TCPIIP (Iransmission ~ontrol £rotocol I Internet £rotocol) Bezeichnung fur die Basisprotokolle des Intemets. Das Internet Protocol (IP) sorgt fur das Routing (Schicht 3 des ISO-OSI Modells), das dartiberliegende TCP (bzw. in geringerem AusmaB dessen .Schwesterprotokoll'' UDP -llser Qatagram £rotocol) garantiert, dass alle Pakete fehlerfrei und in der richtigen Reihenfolge ankommen. TCPIlP ist Voraussetzung fur alle Internet Dienste bzw. Protokolle wie z. B. Telnet, HTTP, SMTP, FTP etc . (Schicht 7 des ISO-OSI Modells). Telematik ist ein Kunstwort, welches die Begriffe Telekommunikation und Informatik verbindet; wurde 1978 von Nora Simon und Alain Mine erstmals in einem Bericht an den franzosischen Staatsprasidenten verwendet. Telnet ist das Internet Standardprotokoll und Dienst fur Remote Terminal Access (Datenfemverarbeitung). Erlaubt einem Client, eingegebene Befehle an einem Host verarbeiten zu lassen und das Ergebnis am Client anzuzeigen. Ressourcen, die tiber Telnet genutzt werden konnen sind z. B. Bibliothekskataloge oder andere Datenbanken und das PAN-System. Viele Dienstleistungen, die fruher tiber Telnet angeboten wurden, sind aber mittlerweile mit einer komfortablen WWW-Schnittstelle verfugbar. UA (1lser Agent) ist ein X.400 Mail-Empfanger UCS-2, UCS-4 s. ISOIlEC 10646
484
IV Anhang
UDP (llser Qatagram £rotocol) Protokoll der Schicht 4 (Transportschicht) der TCP/IP-Protokoll-Schicht; stellt sicher, dass die empfangenen Datenpakete unverfalscht sind, jedoch nicht, dass die Datenpakete vollstandig , in der richtigen Reihenfolge bzw. in einer garantierten Zeit ankommen ; diese weitergehenden SicherungsmaBnahmen sind Aufgabe des darauf aufbauenden anwendungsorientierten Protokolls, das diese Sicherungsaufgaben in einer anwendungsspezifischen Weise erledigen kann (bei der Ubertragung eines Videos kann z. B. auf die Wiederholung von fehlerhaft ubertragenen Datenpaketen, die schon abgespielt hatten werden sollen, verzichtet werden ; diese spezifische Sicherungsaufgabe wird in Zukunft aber von RTP Ubemommen werden); Altemativen sind TCP und (in Zukunft auch) RTP. UniCode s. ISOIlEC 10646 URL Olniform Ressource Locator) Bei der Recherche nach Dokumenten im Intemet tritt das Problem auf, Ressourcen auf eine bestimmte Art zu identifizieren. Das URL Konzept bietet nun eine Moglichkeit, Ressourcen im Netz auf eine einheitliche Art und Weise zu identifizieren, zu benennen und direkt abzurufen. FUr Letzteres sind lediglich Browser notwendig, urn die URLs verarbeiten zu konnen . Der URL besteht in der Regel aus drei TeiIen: dem Namen des Zugangsprotokolls, des Rechners sowie einer Pfad- bzw. Dateinamensangabe. Usenet (User Network) Das Usenet begann 1979 als ein Bulletin Board zwischen UNIX-Rechnem zweier amerikanischen Universitliten; es wurden dabei regelmliBig zwischen den angeschlossenen Rechnem Uber das Telefonnetz Verbindungen aufgebaut, urn mittels UUCP Nachrichten (z. B. fur E-Mail oder NetNews) auszutauschen. UTF-16, UTF-32, UTF-8 s. ISO/lEC 10646 UUCP (llnix to llnix Q012Y) war ursprUnglich ein Befehl (und ein von diesem Befehl verwendetes Protokoll) unter Unix, das den Dateitransfer uber Telefonleitungen von einem Unix System zum anderen ermoglichte. Heute wird der Ausdruck hauptslichlich zur Kennzeichnung des Usenet, eines groBen, internationalen, auf dem UUCP-Protokoll basierenden Netzwerkes zum Austausch von Nachrichten und E-Mails, verwendet. VANS (Yalue Added Network .s.ervices) sind Mehrwertdienste, die tiber das reine Ubermitteln von Informationen (Basisdienst) hinausgehen. Videoconferencing Dieser Dienst ermoglicht dem Benutzer uber gesprochene Sprache und Bewegtbilder zu kommunizieren . Dem durchschnittlichen Intemetbenutzer stehen jedoch die entsprechenden Bandbreiten zur Ubertragung (mindestens ISDN, besser jedoch ATM) nicht zur VerfUgung. W3C (World Wide Web Qonsortium) ist ein unabhangiges, intemationales Konsortium aus Forschungs- und Industrieeinrichtungen, deren Hauptziel die Erstellung einheitlicher Protokolle fur das WWW ist. Das Konsortium wird von Tim Bemers-Lee, dem Initiator des WWW, geleitet. WAN (Wide Area Network) ist ein Datennetz zur DatenUbertragung tiber groBere Distanzen (grolser als 10 km). Typischerweise werden die Femmeldewege der Post (z. B. Standleitungen oder Datex-P) verwendet.
1 Glossar
485
Workflow Management Vorgangsbearbeitung; ist eine flexibel gestaltbare, nach einem organisatorischen Regelwerk arbeitende, aktiv einwirkende Software, die einen tiber mehrere Arbeitsplatze gehenden Vorgang steuert und dabei bestehende technische Basiskomponenten (z. B. bereits existierende Anwendungsprogramme) einbindet. Workgroup Computing ist die Anwendung einer gemeinschaftlich nutzbaren computerbasierten Umgebung, die Teams bei der Erfullung einer gemeinsamen Aufgabe unterstlitzt. Hierbei werden vorrangig die Koordination, das Treffen von Gruppenentscheidungen, die Kommunikation und das gemeinsame Bearbeiten eines Objektes untersttitzt WWW (World Wide Web; auch W3) ist der neueste und wichtigste, auf Hypertext basierende Informationsdienst, der am Internet angeboten wird. Verschiedene Erweiterungen (Plug-Ins, Java, ...) ermoglichen die dynamische Ausweitung der in einem WWW -BrowserdarstelIbaren Informationen. Mit typischen Web-Browsern konnen nicht nur das WWW, sondern auch weitere Internet-Dienste, wie E-Mail, NetNews, FfP, ... genutzt werden. X.25 (l) ProtokolI fur paketvermittelte Datennetze, das die unteren 3 Schichten des ISO-OSI ModelIs abdeckt. (2) Dienst zur Datentibertragung, der als Datex-P (paketvermittelt) bezeichnet wird. X.400 Standard zum Austausch (Senden und Empfangen) von interpersonelIen Mitteilungen. Wird auch als Message Handling System (MHS) bezeichnet. X.500 ist ein Standard, der einen verteilten Verzeichnisdienst auf der Basis von hierarchisch aufgebauten Adressen (bzw. Namen) beschreibt. Der Einsatz des Directory Service macht es moglich, die immer komplexer werdenden Netzwerke sinnvolI zu administrieren. Die dadurch realisierte einheitliche Adressbasis kann fur unterschiedliche Dienste (z. B. X.400 Nachrichten) verwendet werden . XHTML (Egtensible HyperText Markup Language) Eine auf XML basierende Neudefinition von HTML; die erste Version brachte .Jediglich" die Anwendung der strikten XML-Grammatik auf HTML 4 (was den Verlust seines fehlerverzeihenden Charakters bedeutet); Version 2 solI die Gliederung in verschiedene Komponenten (u. a. das minimale "XHTML Basic", das auch auf mobilen Geraten wie z. B. Handies darstelIbar sein solI; dazu "Add-an-Module" fur TabelIen, Formulare, ...) bringen, die dann untereinander und mit anderen XML-basierten Sprachen (z. B. SMIL) kombinierbar sein solIen. XML (Extensible Markup Language) SGML zeichnet sich zwar durch eine groBe Vielfalt von Anwendungsmoglichkeiten, jedoch auch durch eine groBe Komplexitat in seiner Anwendung aus; als Tim Berners-Lee am CERN die Grundlagen des WWW legte, leitete er aus SGML HTML als eine einfache Sprache zur Darstellung von Dokumenten im WWW ab; HTML bietet jedoch nur die Darstellungsmoglichkeiten, die darin vorgesehen wurden - gerade dies fuhrt jedoch in Zeiten des E-Business zu z. T. gravierenden Beschrankungen, wenn z. B. verschiedene Informationen (z. B. Artikelbezeichnung, Angebotspreis, ...) von im WWW publizierten Angeboten verschiedener Anbieter einheitlich gekennzeichnet werden sollen, urn z. B. automatisierte Angebotsvergleiche zu ermoglichen. Das
486
IV Anhang
W3C normiert z. Zt. als Antwort darauf XML, eine Sprache, die die Einfachheit von HTML mit der Offenheit der Kennzeichnungsmoglichkeiten von SGML zu kombinieren versucht. Zertifizierungsstelle Stelle, die fur asymmetrische Verschltisselungsverfahren die Authentizitat eines offentlichen Schltissels (d. h. die Tatsache, dass ein offentlicher Schltissel einem bestimmten Empfanger zugeordnet werden kann) uberpruft und durch ihre elektronische Unterschrift beglaubigt.
2 Index
2,5G 84 2G84 3G84 4G-Technologie 93 4th Dimension 259
Application Service Provider 117,150,422 Application-Server 151 Applikationsschicht 126 Archie 58 ARPANET 23, 28
Access-Provider 155,332,456 ACONET 23 Active Server Pages 143,347
ASCII 308 ASP 150,303
ActiveX 334
asymmetrisches VerschlUsselungsverfahren
Activity-Response- Werbung 336
ASP-Markt..l50,151 369,373,375
Ad-Hoe-Mode 73
Attacke 365
Adressenverlag 431 Advanced Hosting Service 139
Audit 395 Aufbereitung statistischer Daten 273
Alert 394
Auftraggeber 422
Altavista 59
Ausfalle von technischen Einrichtungen 365
Anfangsinvestition 137 Anmeldeprinzip 434 Anmeldung zu Lehrveranstaltungen 287
Ausfallsicherheit 137 Auskunftsrecht 436 AuBenbeziehung 3, 7
Anonymisierer 337
Auszeichnen 169
Anonyrnitat 385
Authentifikation 377
Anonymous 43 ANSI X.12 196
Authentizitat 37,450 automatische Mauterfassung und
Anti-Spy-Software 334 Anti-Zensur-Too l 337
-abrechnung 329 Automatisierte Rechtserklarung 450
Antrag 452
Autor 260 B2B 9
Antragstellung mittels elektronischem Formular 282
B2C 9
Anwendungssystem 17 AOL 60
B2C 159 back door 393
API 190
Backup 395
Appliances 120
Bandbreite 140, 141,280
488
IV Anhang
Bandbreiten-Engpasse 138 BAO 452
cgi 342 CGI- Common Gateway Interface 46
Bearbeitung 446
cgi 140, 143, 157
Bedienungsfehler 395
cgi-Skript 346
Behorde 4
cgi-Skript 143
Benotung 297
C-Gtiter 216
Benutzerauthentifikation 389
Chat 36
Benutzerprofil 165
Chipkarte 381
Benutzerverhalten 18
CHTML 106
Beschaffungsmarketing 205
City Net 60
Beschaffungsmarktforschung 241
Clickab1e Image 51
Beschaffungswerbung 242
Clickstream 334
Betroffener 416,420,435
Click-Stream-Analyse
Bildsch irmschoner 389
Client/Server-Computing 28
Binary WML 95
CMS 259
biometrisches Merkmal 382
Code-Page 308
Biometrisches Verfahren 338,357
Collaborative Filtering 350
Bluetooth 71,74
Compact HTML
Bluetooth-Netzwerk 75
Computerprogamm 443
165
93
BMEcat 235
computeruntersttitzte Anmeldung 289
BPI 195
Computeruntersttitzte Prtifung 296
BPM 194
Content Provider 365, 457
Briefgeheimnis 415,453
Content-Management-System 258
Browser 56
Cookie 332,351 ,352
brute force-Attacke 371
COP 394
Business Process Management 194
Copyright 443 , 446
Business to Business 9
CRL 404
Busine ss to Private 9
CRM 12
Buy-S ide 222
CSS 52
Card 96
Curl 192
C-Artikel -Beschaffung 228
Customer Relation Management 165
Cascading Style Sheets 52
Customer Relationship Management 12
Cascading Style Sheets 170
CyberCash 145,344
CDMA 89
Cyberland 409,411
CD-ROM 397
Cyberspace 410
CERN 44
Data Mining 125,168
CERT 394
Data Warehouse 125
CGI 208
Data Warehousing 209
Index
Datei 423 Datenanwendung 423, 425 Datenbank 303 Datenbank-Server 151
Domain Name 29, 142,458 DORIS 314,323 dreidimensionale virtuelle Welten 277 Drill Down 129
Datenbank-Web-Gateway 303 Datengeheirnnis 441 Datenintegration 289 Datenmodell 289 Datenschutz 339,416,417 Datenschutzkommission 420, 433, 434,
dual signature 399 DVR-Nr. 433, 435 Dynamic-HTML 47 EAI 193 E-Business 3,7, II, 14,426 E-Business-Planning 339 E-Business-Strategie 21
439 Datenschutzrat 439 Datensicherheit 361 Datensicherheitsvorschrift 442 DatensicherungsmaBnahme 441 DB2 290 Deck 96 DECT 76 Deregulierung 407 DES 368 Desktop Purchasing 227 Desktop-Mapping-Produkt 316 Dezentrale Wartung 268 Dial Back 379 Diensteanbieter 457 Dienstleister 138, 139 Dienstleister 422, 440 digitale Gurer 14, 161 Digitale Katastralmappe 281 digitales Gelandemodell 315 Digitalisierung 445 Direct Mail 431 Direct-Mailing-Aktion 328 Direktwerbeunternehmen 432 Diskussionsforum 40 Document Type Definition 175 Dokumentation 442 DOM 191
489
EbXML 200 Echtzeit-Tracking 336 E-Commerce 9, 129, 159, 161 E-Commerce-RL 413,414,456 e-CRM 128 EDGE 88 EDI 6,196,448,450 EDIFACT 196 eEurope 408 E-Government 426 EGPRS 88 einer 4th Dimension 264 Einkaufsinformationssystem 213,214,215 Einwegfunktion, kryptografisch 375 Einwohnerinformationssystem 344 Electronic Business 3 Electronic Data Interchange 196 Electronic Government 265,281 electronic signature 375 Electronic-Business 137 Electronic-Business-Planning 339 elektronische Medien 7, 14 elektronische Unterschrift 373,375,377,449 elektronischer Zahlungsverkehr 364, 396 elektronisches Formular 282 elektronscher Marktplatz II Elementtyp 177
490
IV Anhang
E-Mail 29, 36, 142, 152, 153, 396,399, 450,453,459 E-Mail-Adresse 29 Empfangsbestiitigung 377
Geheimhaltung personenbezogener Daten 419 Geheimhaltungsanspruch 428
Enhanced Messaging Service 102
Gemeinde 281 Geo-Daten 314
Enterprise Application Integration 193 ENTER-Vereinbarung 459
Geografie 313 geografische Information 322
Entwicklungssystem 17
geografische Karte 320
E-Payment 167 E-Procurement 198,223 E-Procurement-Strategie 224
Geografisches Informations-System 313 Gerichtsstand 4 I I Geschaftsprozess 14
Ermitteln 424 E-Shop 160
Geschaftstatigkeit 7 Geschasftprozessintegation 195
ETL-Schicht 126
Gesetzliche Bestimmungen 138
EuroJournal 257 EU-Wahl 265
Gesichtserkennung 383
Excel-Tabelle 273,276 Exportdateiformat 171
GIS und WEB-Technologie 318 GIS-System 318
Exportrestriktion 374,397 Extranet 34, 138, 146,287
GIS-System, Web-basierte s 321
Fernmeldegeheimnis 415,453 Filternde Router 390 Fingerabdruckle ser 383 Firewall 157,341 ,343,350,390,403
GIS 313
GIS-Werkzeug 314 Global Sourcing 205,213 Globalisierung 12,412 Global-Procurement-Web 212
Firmen-Standort 150
GML 173 Gopher 44
First Mover 8
GPRS 78, 79, 85, 115, 117
Flughafen Frankfurt Main AG 227
GPS-Empiinger 115
FOMA 91, 105, 106, 110
GPS-Routenplanung 114
Foto 461 Foto-Datenbank 280
Grafik 462 Gratisdienst 8, 152
Frame 51
Greiner Bio-One 247
Freier Datenverkehr 430
Groupware 210
FTP 42,142
Grundrecht auf Datenschutz 420
Fiihrungsinformations system 125, 128
GSM 78, 79, 81, 84
G2C 9
H2U 92 Handformleser 383
G2G 9 Gefahrenpotenzial 363
Handheld Device Markup Language 104 head mounted display 80
Index
Herkunftslandprinzip 413,414
Inlandsbezug 411
Hintertiir 393
Instant-Messaging 36
HIPERACCESS 78
Integrationsstrategien 194
HiperLAN/1 77
intellectual property rights 150
HiperLANI2 76
intelligentes Formular 282
Homepage 260
lntensitat 13 interaktive Ausftillhilfe 282
HomeRF 71,74 Hops 155
Internet 6,7,23,34, 138,363
Host 25
Internet2 141
Hosting-Service 137,155,327
Internet-Auktion 451
Hotmail 61
Internet-ED! 196
HREF (HyperText Reference) 50 HSCSD 85
Internet-Standard 16 Internet- Telefonie 208
HTML-Editor 275
Internorm Fenster AG 250
HTML-Tag 48
Interoperabilitat 205
HTTP 46
Intranet 34, 138, 146, 156,203,206,276,
Hyper Text Transfer Protocol (HTTP)
277, 287, 323 Intranet der oberosterreichischen Behorden
46 Hypertext Markup Language (HTML)
282 Intrusion Detection Systems 395
45,46 Hypertext 169
IP-Nummer 29
Identifikation 377
IPSec 147
IEEE 802.l1a 77
Irisscanner 383
IEEE802.11b 71,72,73
ISO-I0646 310
Image Map Support 143
ISO-8859 308
IMAP 36
ISO-8859-l 308
i-Mode
491
105, 106, 107, 109, 123
ISO-8859-2 308
IMT-2000 89
IuKDG 408 i-uppli 106, 110
Individualisierung 116, 120,284,285
J2ME 93, 120, 123
Informationelles
Java 17,20,54,156,157,334,342,351,352
i-Mode-Server 109
Selbstbestimmungsrecht 418,420 Informationsgesellschaft 407, 408, 414, 415
Java Applet 320 Java Server Pages 143,347 Java-for-i-Mode 106, 110
Informationspflicht 433, 435
JavaScript 56,282,320,334,351 ,352
Informationssysteme im Einkauf 243
JDBC 144,208
Informationsverbundsystem 425,434
Kapitalgeber 4
Infrastructure Mode 72
Karte 320
492
IV Anhang
Karte, geografische 320 Karte, thematische 320, 322 kartografische Darstellung 316 kartografische Ergebnisdarstellung 316 Kennwort 379 Kerberos 385 keyescrow 374 Kleinverlag 257 Know-How 137 Kommunikationsart 5 Kommunikationsmedien 5 komplexer Datentyp 185 komplexes Element 183 Konsument 9 Kontextverlust 339, 353 Kooperationsform 13 Kosten 137 Kreditwlirdigkeit 434 Kryptoana1yse 363, 372 Kryptografie 361 Kulissenlosung 20 Kunde 4 Kundenbeziehung 12 Kundeninformationssystem 344 Kundenverhalten 129 LAN 27 Landesarchiv 278 Landesverwaltung 265, 314 Landkarte im WWW 317 Landtags- und Gemeinderatswahl 271 Latin-1 308 Latin-2 308 Layoutgestaltung 169 Legacy-System 20 Lehrveranstaltungsadministrat ion 289 Leistungsschutzrecht 446,461 ,462 Leserbrief 264 Liberalisierung 407
Lichtbild 446,461 Lieferant 4 Lieferbereitschaft 164 Link 50,466 Listserv 42 Local Based Service 111 Local Navigator 75 Local Worlds 68,70,75 Location Based Services 114,122,152,331 Location-Based-Information-Servic eProvider 115 Log 394 Log-File eines WWW-Servers 345 Logfile 459 Loschungsrecht 438 Luftgliteinformation 276 Lycos 59 Management Support System 204, 209 MapObject 320 Map-Server 318,323 Markup 169 Master-Slave-Prinzip 74 Medienbruch 13, 16,20 Medienlandschaft 16 Meinungsfreiheit 415,416,465 Meldung von Datenanwendungen 439 menschliches Versagen 365 Messaging 194 Metadaten 127 Migration 20 MIME 38 MiniSQL 144 Mirror 155 Mitarbeiter 4 Mittlerfunktion 285 Mitwirkungspflicht 436 MMS 122 Mobile Banking 111
Index
493
Mobile Broking 113 Mobile Business 67,107,331 ,341
Next Generation Internet 141 NGI 141
Mobile Entertainment 119 Mobile Intranet 68, 70
Notenauskunft und Evaluierung 297
Mobile Office 67,80,117,120
NTT DoCoMo 105,109
Mobile Payment III Mobile Ticketing 118, 122
Nutzenpotenzial 7,205 oberosterreichischen Landesverwaltung 265
Mobiles Internet im Auto 120
Offentlichkeit 4
Mobilkommunikation 364
Office Manager 117
Monitoring-Programm 352
OLAP 133,168
MRO-GUter 198
One-Stop-Shop-Philosophie 283
MS-Internet Explorer 56 MSN 60
One-to-One Marketing 129,336 Online Analytical Processing 133 Online-Shop 17, 145, 159, 160, 161, 163,
MSXML 4.0 191 MTA 387
Novell NOS 385
165,451
Multidimensionalitat 133
OpenTrans 236
Multilinguale Web-Anwendung 299 Multimedia Messaging Service 102
optimaler Standort 155 Opt-Out-Prinzip 432,455
Multimedia 445
Organisationsguide 274
Multiple-Choice-Fragen 289
Out-of-Line Mehrfachverweise 186
Musteranwendung 434
Outsourcing 157
MySQL 144
Parsen 190
Nachrichtenkennung 377 Namensraum 179
Partizipation 339 Paybox 112
Namespace 179
PCS 103
nationale Sonderzeichen 305
PDA 69,79,331,342
NAT-Router 147
PDC 89,105
Navigationselement 267 Navigation sleiste 463
Peering-Punkt 141 Perrnission-Based-Marketing 336
NAZI-Propaganda 464
Personal Area 75
Netiquette 41,408
Personal Digital Assistant 79
Netscape 56
Personal Information Manager 79
NetScape Navigator 370 Netzwerkschicht 390
Personalinforrnationssystem 340, 358 Personalisierung 116, 129, 164
Neuerscheinung 260 New Economy 8
Personenbezogene Daten 328,421 PGP 81,374,390,396,399
Newsgroup 40
PHP 145,347
News-Server 40
PHP4 143
494
IV Anhang
Piconet 74 PIM 79
Registrierungsverfahren 433
PIN 113 Planung 21
RelaxNG 182 Retinascanner 383
Plug-In 320
Richtigkeit 426
POP (Post Office Protocol) 36 Pornografie 412,465
Richtigstellungsrecht 437
Portaldienst 11
Robinson-Liste 432,455
Portaldienst 152
Routenplanung 330
Portalfunktion 283
RSA 369
relationale Datenbank 144
Risikoanalyse 365
Posting 40
safe harbor 430
Power-On-Kennwort 389 Prasentationsschicht 126 Privatsphare 417
SATAN 394 SAX, SAX2 191 Scannen 461
Procurement-Hornepage 250
Scatternet 75
Projektorganisation 271
Schalltrager 462
Provider fur Mobile Business 152 Provider 139, 140, 155,456
Schemasprache 181 Schlussel 367
Proxy 147,338
Schlusselmanagement 373
Proxy-Cash 350
Schnittstelle 156
Proxy-Server 343,391,467
Schopfungsqualitat 461
Pseudozufallszahlengenerator 372
Schriftlichkeit 449, 452
public key cryptosystem 369 Publishing 209
Schutzwurdiges Interesse 427
Qualitiy-of-Service 85
Search-Engine 58, 142, 152,357
Schutz geistigen Eigentums 443
Quellcode 48
secret key cryptosystem 368
Quelldatenschicht 126
Sehbehinderte 285
Rationalisierung 12 raumliche Information 313
selektives Marketing 352 Sell-Side 166,222
RAX 191
semantische Firewall 187
Real Video 143
semantische Middleware 194
Rechtsangleichung 412 Rechtsfreier Raum 410,413
Sensibilitat 153
Rechtsrahmen 407
Sensibilitatsgrad 340 Sensible Daten 421,434
Rechtsschutz 438
Sensible Systeme 327
Rechtsverbindlichkeit 447
Sensible Systeme, Kategorien 328
Regionaldaten 274 Regionalinformation 272
Seriennummer 336 Server (DNS) 29
Index
Server Renting 138 Server Side Include 143,208,346,347 Server 464 Server-Farm 139 Server-Hosting 139 Server-Housing 138 Serverscript 143 Service Provider 137 Servlet 143,354 SET 396 SGML 172 Shared-Hosts-Umgebung 144 Shareware 444 Shopping Cart System 145 Shopping Mall 166 Shopping-Software 163 Short Message Service 100 Sicherheit 282, 361 Sicherheitsmanagement 358 Sicherheitsservice 385 Sicherheitsstrategie 365 Sicherheitssystem 18 Sichtweise 15 Siemens 211 Skalierbarkeit 205 Smartphone 80, 342 S-MIME 399 SMS 112,115,117,118,119,121 SMS-Trailer 100 SMTP 36 SOAP 194 Softgoods 161 Software 443 SOHO 78 Sonderzeichen, nationale 305 Sonstige Sensible Systeme 344 Sound 462 Source-Level-Routing 33
495
SOX 182 Space Provider 457 Spam-Mail 455 Spyware 333,341 SQL 303 SSH 73 SSI (ServerSideInclude) 46, 143,346,347, 351,354 SSL 81, 113, 142, 145, 148, 149,335,357, 396,399 Standardanwendung 425, 433 Star Office 6.0 171 statistische Daten 272, 273 Statistischer Dienst 265 Stealth Virus 393 Stimmtiberprtifung 383 strategischer Wettbewerbsvorteil 19 strategisches Beschaffungsmanagement 240 Styleguide 267,271,272,273 Suchmaschine 59 symmetrisches Verschllisselungsverfahren 368,373 SyncML 81 Systeme der 4. Generation 92 Systemgruppe DORIS 265 T-1-Verbindungen 141 Tags 169 TAN 113 Tastaturzeitnehmung 383 TCPIIP 23, 27 TDMA 89 Telearbeit 146 Teledienstgesetz 458 Telefax 6 Telefon 5 telematische Infrastruktur 138 Telnet 39, 142 Territorialitatsprinzip 409
496
IV Anhang
thematische Karte 320, 322 Thin Client 127,135,151 Third-generation (3G) 89 Ticket 118 TLS 148,335 Trace-Routing 153, 154, 155 Transaktionskosten 13 Transaktionsnummer 399 Transparenz 8 Transportschicht 390 Treu und Glauben 426 Trojaner 333 Trojaner-Scanner 334 Trojanisches Pferd 392 TID 90
Ubermitteln 424 Ubersetzung 305 Oberwachungsprogramm 333 Uberwachungstool 335 UCS-2 310 UCS-4 310 UDm 200 U~TS 68,77,79,90,91 ,92,122 U~TS-Lizenz 90 Umweltinformation 276 UNDELETE-Utilitiy 390 UNICODE 310 Uniform Resource Locator 46 UN-Kaufrecht 410 Unterschrift 452 Unterschriftenprtifung 383 Urheberrecht 443, 445 USENET 40 User Profiling 336 User Tracking 328, 336 UTF-8 310 Validitat 190 VBA 273
Verarbeiten 424 Verborgene Information 337 Verbotene Inhalte 464 verdeckte Kommunikation 385 Vergessene Passworter 293 Verlagslandschaft 257, 258 Verschliisselung 145,367,390,454 Vertragsdauer 150 Vertraulichkeit 453 Verzeichnisdienst 385 Videoconferencing 208 Vielfachzustandigkeit 411,413,414 Virtual Private Network 73, 146, 148, 157, 358 Virtual Tourist 60 virtuelle Untemehmung 146 virtueller Einkaufskorb 145 virtueller Server 139 virtuelles Amt 283 Virus 393 Visualisierung von Daten im WWW 273 VoiceX~L 93 VPN 86,146,358 VPN-Client 148 VR~L 64,277 Wahl im WWW 316 Wahlberichterstattung 271 WAP 79,81,94,100,106,115,116,119, 122 WAP-Anwendung 107 WAP-Gateway 95, 107 WAP-Gerat 98 WAP-Server 113 Warenkorb 166, 261, 262, 263 Wartung 258 WC~ 170 Web Content Management 170 Web Service 195
Index
Web-Anwendung, multilinguale Decision Support Systems 313 Web-Based Administration 287 Web-basiertes GIS-System 321 Webcrawler 59 Web-Database-Integration 17,20,137, 143 Web-Datenbank-Integration 269 Web-ED! 197 Web-Formular 52 WebGIS 320 Web-Hosting 138, 140 Web-Publishing 209 Web-Server-Hosting 139 Web-Services 194,200 Web-Shop 152, 168 Website-Layout 462 Webspace 152 WEP 147 Werbebanner 163 Werk 445,461 Widerspruchsrecht 432, 438 Wired Equivalent Privacy 73 Wireless Application Environment 93 Wireless Application Protocol 94 Wireless Java 93 Wireless Markup Language (WML) 96 Wireless Personal Area Network 74 WLAN 73,76,79,90,122,147,342 WML 95 WML-Dokument 95 WMLScript 99 Wohlgeformtheit 189 Workflow 275 Workflow-Anwendung 211 World Wide Web 44 WPAN 74 WSDL 195
497
WTLS 97,113 Wurm 394 WWW 396,397,399,460 WWW-Datenbankanbindung 290 WWW-Server 456 X.400 343, 387 X.500 38,343,369 XDR 182 XHTML Basic 93 XHTML 79 Xllink 186 XML Spy 4.2 190 XML 81,173 XML-Schema 182 XMLSpy 190 Xpointer 186 XSL 175,188 XSL-FO 188 XSTL 188 YAHOO 60 Zahlen und Fakten tiber Oberosterreich 272 Zahlungssystem 18 Zeitbindung 427 ZensurmaBnahmen 416 Zero Knowledge Proof 378 Zertifikat 373 Zertifizierung 401 Zertifizierungsstelle 373, 402 Zielgruppenspezifischer Einstieg 284 Zugriffsberechtigung 441 Zugriffsrecht 389 Zugriffsstatistik 143 Zulassigkeit der Verarbeitung 427 Zustandigkeit 411 Zustellung 452 Zutrittsbeschrankung 379 Zweckbindung 426 Zweckerfiillung 426
3 Autorenverzeich nis
Ebert, Thomas, Mag . Systemgruppe DORIS, Amt der oberosterreichischen Lande sregierung, KlosterstraBe 7, A-4020 Linz [email protected] Filsecker, Thomas, Mag . Dr. Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften, Johannes Kepler Universitat Linz, AltenbergerstraBe 69, A-4040 Linz filsecker@idv .edu Hinterholzer, Stefan, Mag. Dr. FH-Studiengang Software Engineering in Hagenberg HauptstraBe 99, A-4232 Hagenberg stefan [email protected] Holler, Johann, A. Univ .-Prof. Mag . Dr. Dr. Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften, Johannes Kepler Universitat Linz , AltenbergerstraBe 69, A-4040 Linz [email protected] Kerschbaumer, Berthold, Mag . Dr. FH-Studiengang sofware Engineering fur Business und Finanz, HauptstraBe 99, A-4232 Hagenberg [email protected] Novacek, Alfred , Dipl.-Ing. Institut fur Datenverarbeitung in den Sozial - und Wirtschaftswissenschaften, Johannes Kepler Universitat Linz, AltenbergerstraBe 69, A-4040 Linz [email protected] Pils, Manfred, Univ.-Prof. Mag . Dr. Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften, Johannes Kepler Universitat Linz, AltenbergerstraBe 69, A-4040 Linz [email protected]
500
IV Anhang
Quirchmayr, Gerald, Univ.-Prof. Dipl.-Ing. Dr. Dr. lnstitut fur Angewandte Informatik und Informationssysteme, Universitat Wien Liebiggasse 4/6, A-lOlO Wien [email protected] Zlabinger, Robert, Prof. Mag. Institut fur Datenverarbeitung in den Sozial- und Wirtschaftswissenschaften, Johannes Kepler Universitat Linz, AltenbergerstraBe 69, A-4040 Linz [email protected]