vorgelegt von Michael
Oehry
Kirchstr. 351, FL-9491 Ruggell
Matrikelnummer 93-716-850
Angefertigt am Institut
für Informatik der Universität Zürich (IfI)
Prof. Dr. K. Bauknecht
Betreuer Thomas Gaugler
Abgabe der Arbeit 15. September1997
Angenommen am 3. Oktober 1997
Inhaltsverzeichnis
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungs- und Tabellenverzeichnis
Zusammenfassung
1 Einleitung
1.1 Einführung und Aufgabenstellung
1.2 Übersicht über die Arbeit
2 Grundlagen und Zusammenhänge
2.1 Electronic Data Interchange (EDI)
2.2 Standards für EDI
2.3 EDI und Kooperation
2.4 Risiko-Management und Sicherheit
2.5 Bestehende Frameworks für EDI und Risiko
3 Risiko-Framework für die Einführung
und den Einsatz von EDI
3.1 Umfeld des Unternehmens
3.1.1 Kooperation und Abhängigkeit
3.1.2 Cross-Vulnerabilities
3.1.3 Rechtliches Umfeld
3.1.4 Externe Bedrohungen
3.2 Organisatorische Aspekte
3.2.1 Aufbau- und Ablauf-Organisation
3.2.2 Das Management eines EDI-Projekts
3.2.3 Interne Kontrolle und Audits
3.2.4 Wirtschaftlichkeit
3.3 Informations- und Kommunikations-Systeme
3.3.1 EDI-Systeme und -Applikationen
3.3.2 Standards
3.3.3 Datenübertragung und -Sicherheit
3.3.4 Komplexität und technische Integration
4 Schlussbemerkungen
4.1 Beurteilung des Frameworks
4.2 Neue Technologien - Neue Risiken?
5 Literaturverzeichnis
Zusammenfassung
Die vorliegende Semesterarbeit hat zum Ziel, ein umfassendes Risiko-Framework für die Ein-führung und den Einsatz von EDI (Electronic Data Interchange) im Unternehmen aufzustellen. Dabei werden nicht nur die technischen Risiken, sondern auch verschiedene Arten von ök-ono-mischen Risiken beschrieben, analysiert und geeignete Gegenmassnahmen aufgeführt.
Das vorgeschlagene Framework gliedert sich dabei in die drei Hauptteile
· Umfeld des Unternehmens (Kapitel 3.1)
· Unternehmensinterne Aspekte (Kapitel 3.2)
· Informations- und Kommunikationssysteme (Kapitel 3.3).
Eine tabellarische Übersicht jeweils am Ende eines Kapitels zeigt
zusammenfassend die Beziehungen zwischen Risiken und Massnahmen. Diese
Beziehungen können grundsätzlich positiv sein (das Risiko kann
durch die aufgeführte Massnahme reduziert werden) oder negativ (die
Risikosituation wird durch die aufgeführte Massnahme verschlechtert).
Zusammen mit den Ausführungen sollen die Übersichts-Tabellen
des Frameworks als Check--liste für ein Unternehmen dienen können,
das plant, EDI einzuführen, oder das ein be-steh-endes EDI-Sys-tem
auf offene Risiken hin überprüfen möchte.
Grund--lage des Frameworks bilden die in einem ersten Teil vorgestellten
allgemeinen Kon-zepte zum Management von Risiko. Ebenfalls präsentiert
werden einleitend Grundlagen zu EDI sowie zu den verschiedenen sich durch
EDI ergebenden möglichen Kooperations-formen zwischen Unternehmen.
Das zentrale Resultat aus der Erarbeitung des Risiko-Frameworks besteht
in der Erkenntnis, dass mit der fortschreitenden technischen Entwicklung
die typischen technischen Risiken, wie sie im Kapitel 3.3 (Informations-
und Kommunikationssysteme) dargestellt werden, nicht mehr im Zentrum der
EDI-Risiko-Analyse stehen sollten. Diese Risiken sind heute umfassend analysiert
und können mit den bekannten Konzepten (Kapitel2.4) weitgehend beherrscht
werden. Bei diesen technischen Risiken handelt es sich typischerweise um
Bedingungsrisiken (zum Begriff: Kapitel 2.4).
Kaum umfassend untersucht und analyisiert wurden in der Literatur jedoch
Risiken, die sich aus der durch EDI entstehenden Zusammenarbeit, also auf
nicht-technischer Ebene, erge-ben. Im Gegensatz zu den Aktionsrisiken handelt
es sich hierbei häufig um Bedingungs-risiken (zum Begriff: Kapitel
2.4). Diese Bedingungsrisiken eröffnen einerseits für das EDI
ein--führende Unternehmen neue Chancen und Möglichkeiten, bringen
es aber auch in risiko-ex-ponierte Situationen, die im Rahmen des Frameworks
in den Kapiteln 3.2 und 3.3 dar-gestellt werden. Insbesondere sind dies
Risiken der Abhängigkeit, die bei sehr engen EDI-Bezieh-ungen entstehen
können, sowie rechtliche Unsicherheiten im EDI-Umfeld. Ebenfalls rele-vant
sind Risiken auf der unternehmensinternen, organisatorischer Ebene; hier
geht es insbesondere um Risiken, die durch eine ungenügende Anpassung
der inneretriebli-chen Orga-nisation bei der Einführung von EDI entstehen
können. Daneben ergeben sich auch Risiko-potentiale durch den Wegfall
der üblichen, papierbasierten Audit-Möglichkeiten oder aus einer
ungenügenden Wirt-schaftlichkeit des EDI-Projekts.
Abbildungsverzeichnis
Fig. 1.1 "Point-to-Point"-Kommunikation von EDI-Unternehmen Seite
5
Fig. 1.2 EDI-Netzwerk mit EDI-Provider Seite
6
Fig. 1.3 Zwei EDI-Netzwerke, über Gateways verbunden Seite
6
Fig. 1.4 Vergleich EDIFACT mit Formular und Normaltext Seite
7
Fig. 2.1 Übersicht EDI-Kooperationsformen
Seite 11
Fig. 2.2 ISO-Sicherheitsarchitektur Seite 18
Tabellenverzeichnis
Tab. 3.0 Beispiel zu den Erläuterungen der Tabellen
Seite 20
Tab. 3.1 Kooperation und Abhängigkeit Seite
26
Tab. 3.2 Cross-Vulnerabilities Seite
28
Tab. 3.3 Rechtliches Umfeld Seite 36
Tab. 3.4 Externe Bedrohungen Seite 38
Tab. 3.5 Aufbau- und Ablauf-Organisation Seite 45
Tab. 3.6 Managemenaspekte Seite 53
Tab. 3.7 Interne Kontrolle und Audits Seite
57
Tab. 3.8 Wirtschaftlichkeit Seite 63
Tab. 3.9 EDI-System und -Applikationen Seite 70
Tab. 3.10 Standards Seite 74
Tab. 3.11 Datenübertragung und -Sicherheit Seite
81
Tab. 3.12 Komplexität und technische Integration Seite
84
1 Einleitung
1. 1 Einführung und Aufgabenstellung
Seit nunmehr bald 30 Jahren werden Daten zwischen Unternehmen auch elektronisch
aus-getauscht. Während zu Beginn der Entwicklung anfangs der 70er
Jahre Electronic Data Interchange (EDI) noch als technische Spezialaufgabe
verstanden wurde, hat sich die In-formationstechnologie in der Zwischenzeit
so weit fortentwickelt, dass die Frage der tech-nischen Machbarkeit und
Umsetzung in den Hintergrund gerückt ist. Die technischen As-pekte
sind inzwischen beherrscht, neue Aspekte von EDI treten in den Vordergrund.
Dazu gehört das Verstehen von EDI als eine "informationstechnische
Unterstützungsfunktion zur Neugestaltung von Geschäftsprozessen"
[Seff96, S. 2]. Damit verbunden sind verschiedene organisatorische Fragestellungen
und Aspekte der Zusammenarbeit mehrerer mittels EDI vernetzter Unternehmen.
Einher gehen im idealen Anwendungsfall verschiedene Stufen der Integration
von EDI in die Geschäftsprozesse des eigenen sowie der kooperierenden
Un-ternehmen.
Aus der Sicht eines Unternehmens sind damit viele Vorteile verbunden;
der Einsatz von EDI bringt jedoch auch eine Vielzahl von Risiken mit sich.
Dazu gehören nicht nur die üblichen Risikopotentiale auf technischer
Ebene, wie sie typischerweise in allen Informations- und Kommunikationssystemen
auftreten (Fragen der Übertragungssicherheit, der Vertrau-lichkeit,
der Datenintegrität etc.). Durch Kooperationen mittels EDI entstehen
zwischen den Unternehmen auch zahlreiche ökonomische Risiken. Diese
beziehen sich beispielsweise auf Fragen der Kooperation und Abhängigkeit
von Unternehmen oder auch auf rechtliche Unsi-cherheiten. Neben diesen
aus den Umweltbeziehungen eines Unternehmens entstehenden Risiken müssen
auch unternehmensinterne, die Ablauf- und Aufbau-Organisation des Un-ternehmens
betreffende Risikopotentiale beachtet werden. Beispielsweise sind Lösungen
für eine Aufrechterhaltung der internen Kontrollmechanismen zu suchen.
Auch Überlegungen zur Wirtschaftlichkeit des EDI-Einsatzes unter Einbezug
möglichst aller Bestimmungsfak-toren (Abschätzung zukkünftiges
Potential von EDI, Entwicklung der EDI-Partnerschaften etc.) müssen
gemacht werden.
In klassischen Risikomodellen und Sicherheitspolitiken werden solche
Risiken ökono-mischer Art kaum untersucht; sie spezialisieren sich
auf Risiken in technischen Bereichen. Hier will diese Semesterarbeit ansetzen.
Mit der Erstellung eines Risikoframeworks für die Einführung
und den Einsatz von EDI soll der Blickwinkel ausgeweitet werden und neben
den technischen Risiken auch Risiken auf anderen Ebenen in einem Rahmenkonzept
posi-tioniert werden. Neben einer Analyse der technischen Risiken bilden
deshalb Fragen zu Risiken auf der organisatorischen Ebene sowie zu Risiken
bezüglich des Unternehmensum-felds die Grundlage des Risikoframeworks.
1.2 Übersicht über die Arbeit
Die vorliegende Semesterarbeit will die mit dem EDI-Einsatz verbundenen
technischen und ökonomischen Risiken beschreiben und analysieren.
Dazu werden diese klassifiziert und in ein Framework eingeordnet.
Dem Framework vorangestellt ist ein Abschnitt über in der Arbeit
verwendete begriffliche Grundlagen und Zusammenhänge (Kapitel 2).
Neben einer umfassenden Definition des Be-griffs EDI werden in separaten
Kapiteln EDI-Standards (Kapitel 2.2) und mittels EDI real-isierbare Kooperationsformen
(Kapitel 2.3) vorgestellt. Kapitel über Risiko-Management-Konzepte
(2.4) sowie über die Anwendbarkeit bereits bestehender Frameworks
(2.5) für die Analyse von Risiken beim EDI-Einsatz schliessen den
Einleitungsteil ab.
Der Hautpteil, Kapitel 3 der Arbeit, stellt das Framework zur Analyse
der Risiken beim Ein-satz von EDI dar. Diese umfasst dabei in seiner Grobstruktur
die drei Bereiche
· Umfeld des Unternehmens (Kapitel 3.1),
· Organisatorische Aspekte (Kapitel 3.2) sowie
· Informations- und Kommunikationssysteme (Kapitel 3.3).
Im ersten Teil, Kapitel 3.1.1 und 3.1.2, werden dabei Risiken untersucht,
die aus dem Fragenkomplex über Kooperation und Abhängigkeit entstehen.
Kapitel 3.1.3 geht rechtli-chen Fragestellungen und daraus erwachsenden
Risiken nach, ein Kapitel über externe Bedrohungen (3.1.5) schliesst
den ersten, das Unternehmensumfeld analysierenden Teil ab.
Im Abschnitt 3.2 werden organisatorische Aspekte bezüglich der
Risiken eines EDI-Ein-satzes betrachtet. Nach der Analyse der möglichen
Auswirkungen von EDI auf die Organi-sation eines Unternehmens (3.2.1) wird
anschliessend auf das Management eines EDI-Pro-jektes eingegangen (3.2.2).
In den folgenden zwei Kapiteln werden Überlegungen zum Auditing in
einem EDI-Umfeld (3.2.3) sowie zur Wirtschaftlichkeit von EDI-Projekten
(3.2.4) angeführt.
Ausführungen zu Risiken und Sicherheit der IT- und Kommunikationseinrichtungen
kom-men im dritten Teil des Frameworks zur Sprache. In einem ersten Kapitel
(3.3.1) werden Risiken dargestellt, die aus EDI als "low complex technology"
und aus der technischen In-tegration in die Anwendungssysteme entstehen.
Ein zweites Kapitel (3.3.2) deckt das breite Feld der Standards für
EDI ab. Den Abschluss der Betrachtung der technischen Aspekte eines EDI-Einsatzes
machen Risiko-Überlegungen zur Datenübertragung und -sicherheit.
In einem Schlussteil (Kapitel 4) werden zukünftige Entwicklungen,
insbesondere der Einsatz der Internet-Technologien, aufgezeigt.
2 Grundlagen und Zusammenhänge
Im zweiten Kapitel werden die theoretischen Grundlagen und Konzepte
zur Analyse der Risiken bei der EDI-Einführung dargelegt. Nach einer
Definition des Begriffes "EDI" und der dazugehörigen Standards werden
mögliche EDI-Kooperationsformen vorgestellt. Anschlies-send wird der
Begriff des Risikos ausführlich betrachtet. Daraus leiten sich die
grundlegenden Ausführungen zum Management von Risiken ab. Ein Überblick
über bereits existierende Frameworks im EDI- und/oder Risiko-Bereich
sowie eine Einordnung dieser in den unter-suchten Zusammenhang schliesst
das Kapitel 2 ab.
2.1 Electronic Data Interchange (EDI)
Definition
Unter dem Begriff EDI (Electronic Data Interchange) wird der unternehmensweite
Austausch von Geschäftsdaten zwischen Computern in einer standardisierten,
maschinenlesbaren Form verstanden [vgl. Emme90, S. 4]. "Es handelt sich
dabei um den automatisierten Austausch von Geschäftsdaten zwischen
EDV-Anlagen über Telekommunikationsnetze und unter Ver-wendung von
strukturierten, standardisierten Formaten für die zu übertragenden
Informa-tionen" [Fisc94, S. C414.09].
Daraus lässt sich ableiten, dass EDI zum Ziel hat, Anwenderprogramme
bzw. Computersys-teme als Sender und Empfänger von Nachrichten anstelle
von Menschen einzusetzen. Somit wird ein Medienbruch verhindert und eine
schnellere, genauere Übertragung von strukturier-ten Daten zwischen
Unternehmungen erreicht.
Damit die automatisch gesendete Nachricht bei beiden Kommunikationspartnern
gleich in-ter-pretiert wird, d.h. die gleiche Sinnbedeutung gewahrt
ist, muss Inhalt und Form der EDI-Nachricht stark strukturiert sein. Das
wiederum bedeutet, dass für jedes Feld der elek-tronischen Nachricht
eine eindeutige Bedeutung vereinbart wird. Diese Bedeutung ist in sogenannten
Standards festgelegt, auf deren Funktion und Bedeutung im Kapitel 2.2 (Standards
für EDI) eingegangen wird.
Abgrenzungen
EDI ist von der elektronischen Kommunikation mittels unstrukturierter
Nachrichten abzu-gren-zen. Unstrukturierte Nachrichten zeichnen sich dadurch
aus, dass die Darstellung ihres Inhalts an keine detaillierten Formvorschriften
gebunden ist. Als Beispiele können der Aus-tausch von E-Mails über
das Internet, das Versenden von beliebigen Dateien via den Internet-Dienst
FTP (File Transfer Protocol) oder ältere Techniken wie die Faxübertragung
genannt werden.
EDI muss zudem von anderen Formen der zwischenbetrieblichen Zusammenarbeit,
beispielsweise elektronischen Märkten, abgegrenzt werden. Darauf wird
detailliert im Kapitel 2.3 (EDI und Kooperation) eingegangen.
Das EDI-System
Um EDI in einem Unternehmen einsetzen zu können, braucht es ein
EDI-System, das aus Software- und Hardware-Komponenten besteht. Zudem müssen
die partizipierenden Un-ternehmen bzw. deren EDI-Systeme durch ein Netzwerk
physisch verbunden sein.
Bezüglich Software können in einem EDI-System folgende Kern-Komponenten
unter-schieden werden [Marc93, S. 16f]:
· Telekommunikations-Software übernimmt und kontrolliert
die eigentliche Übertragung der EDI-Meldungen. Verbindungsaufbau,
Aufzeichnen der Aktivitäten in einem Log-File sowie beschränkte
Funktionalität zur Fehlererkennung sind Aufgaben dieser Software-Kompo-nente
in einem EDI-System.
· Translations- (Konverter-) Software nimmt eine zentrale Rolle
in einem EDI-System ein. Dieses Software-Modul übersetzt Daten, die
von der Anwendungssoftware erzeugt wurden, von einem unternehmens-spezifischen
Format in ein breiter akzeptiertes Standard-Format, beispielsweise EDIFACT
oder ein branchendefiniertes Format. Beim Empfangen von EDI-Nachrichten
spielt sich der Übersetzungs-Prozess in umgekehrter Reihenfolge ab.
Die Translations-Software ist somit Verbindungsstück zwischen der
Anwendungs- und Kom-munikationssoftware im Unternehmen. Anstatt vom Unterneh-men
selbst können die Translations-Funktionen auch von einem EDI-Provider
übernommen werden
· Interne Applikationen (Anwendungs-Programme) liefern den Dateninput an das EDI-Sys-tem und nehmen vom EDI-System ankommende Daten zur Weiterverarbeitung auf. Sie ge-hören somit zwar nicht direkt zum EDI-System, meist sind jedoch Anpassungen oder Er-weiterungen an den bestehenden Applikationen im Unternehmen nötig. Dies vor allem, um die ein- und ausgehenden Meldungen möglichst automatisch in die internen Applika-tionen des Unternehmens integrieren und somit automatisch weiterverarbeiten zu können.
Bezüglich Hardware werden, je nach Anforderungen und Ausmass des
EDI-Einsatzes, in der Praxis verschiedene Lösungen eingesetzt. Emmelhainz
unterscheidet grundsätzlich drei Möglichkeiten: Der Einsatz eines
Grosscomputers (Mainframe), eines Mikrocomputers (PC) oder eines PC als
Benutzer-Schnittstelle zu einem Mainframe. [Emme90, S. 97] Daneben sind
bezüglich Hardware noch das firmeninterne Netzwerk sowie evtl. weitere
Komponenten zur Kommunikation (z.B. Modem) erforderlich. Hardwareseitig
sind demnach die meisten Kom-ponenten oft bereits im Unternehmen vorhanden.
Kommunikationsmöglichkeiten
Der Empfänger einer EDI-Nachricht kann entweder direkt der gewünschte Kommunika-tionspartner (Unternehmen) sein oder aber ein sogenannter EDI-Service-Provider, der ein "value-added-network" (VAN) unterhält. Insgesamt können grundsätzlich vier verschiedene Typen von EDI zugrundeliegenden Netzwerken unterschieden [Salt93, S. 31f]:
1. Point-to-Point: Bei dieser Variante kommunizieren zwei Handelspartner
über eine direkte Verbindung. Diese kann entweder über ein Wählleitung
(mit einem Modem) aufgebaut werden oder aber permanent bestehen (Stand-
bzw. Mietleitung). Generell empfiehlt sich eine Punkt-zu-Punkt Verbindung
nur, "wenn grosse Datenvolumen mit einer geringen Anzahl von Part-nern
ausgetauscht werden" [Häus93, S. C516.07]. Bei steigender Zahl von
Teilnehmern am EDI-Netzwerk steigt auch die Komplexität des gesamten
Netzwerkes an, was wiederum hohe Unterhaltskosten zur Folge hat. Auf Studien
abgestützt empfiehlt Emmelhainz den Ein-satz von Punkt-zu-Punkt Verbindungen
bis zu höchstens sechs Teilnehmern.
2. Value-Added-Network (VAN): Als zweite Verbindungsmöglichkeit
können die Handelspartner ein VAN benutzen. Hinter dem Value-Added-Network
steht ein EDI-Service Provider (EDI-Dienstanbieter), der verschiedene Dienste
übernimmt, die die Kommunikation unter den an das VAN angeschlossenen
Partnern vereinfachen. Wie aus Fig. 1.2 zu erkennen ist, werden sämtliche
EDI-Nachrichten aller Teilnehmer beim Service-Provider zentral ge-sammelt.
Dieser unterhält für jeden Teilnehmer eine Art elektronischen
Briefkasten (Mailbox), in die die ankommenden Meldungen zum Abholen bereitgestellt
werden. Durch die zentralis-ierte Struktur über einen EDI-Provider
mit Verteil- und Vermittlungsfunktion wird die Kom-plexität vor allem
bei vielen Teilnehmern entscheidend reduziert. Zudem lassen sich neue Un-ternehmen
problemlos an das Netzwerk anschliessen.
Häussler definiert das VAN abstrakt als "generalisiertes System,
das die unterschiedlichen Hard- und Softwareprobleme löst und die
Anpassung an organisatorische, unternehmensspezi-fische Voraussetzungen
erlaubt" [Häus93, S. C516.06]. Dazu gehört beispielsweise die
Kon-vertierung von verschiedenen EDI-Formaten Ebenfalls bedeu-tungsvoll
im Zusammenhang mit dem Hauptthema dieser Arbeit sind verschiedene vom
EDI-Service-Provider angebotene Si-cherheitsdienste oder auch das vorhandene
Fachwissen über EDI. Darauf sowie auf eine detail-liertere Gegenüberstellung
von Vor- und Nachteilen eines VANs wird an verschiedenen Stellen im Hauptteil
(Kapitel 3) näher eingegangen.
Neben den Begriffen "VAN" und "Service-Provider" findet sich vor allem
im deutschen Sprachraum auch der Begriff "Clearing Center".
3. Zwei VANs: Zwei Handelspartner können unterschiedliche VANs
bzw. EDI-Service-Pro-vider einsetzen. In diesem Fall ist eine Verbindung
der beiden VANs notwendig. Dies geschieht typischerweise über einen
sogenannten Gateway, der den Datenaustausch zu einem andersartigen Netzwerk
ermöglicht.
4. Dedicated Network: Bei dieser Möglichkeit bauen die EDI-Partner
eigens für den elek-tronischen Datenaustausch ein Netzwerk auf. Die
Initiative zu einem "dedicated network" geht dabei meist von einem dominierenden
EDI-Partner aus, der das Netzwerk aufbaut, be-treibt und die angeschlossenen
Unternehmen fachlich betreut. Dadurch, dass das EDI-Netzwerk von einem
teilnehmenden EDI-Partner selbst aufgebaut und auch unterhalten wird, unterscheidet
es sich von einem VAN gemäss den oben dargestellten Varianten 2 und
3: dort schliessen sich alle EDI-Partner an ein externes Netzwerk an. Physisch
besteht jedoch zwischen den Varianten 3 und 4 (VANs) und dem Dedicated
Network kein Unterschied.
2.2 Standards für
EDI
Grundlage für EDI sind einerseits verschiedene Standards, die die
Struktur der EDI-Nachrich-ten festlegen. Dies ist erforderlich, damit zwei
oder mehr Kommunikationspartner einer EDI-Nachricht eindeutig dieselbe
Bedeutung zuordnen. Andererseits müssen auch Standards bezüglich
der Kommunikation (Kommunikationsprotokolle) vorhanden sein.
Nachdem sich in den Anfängen von EDI vor allem Branchenstandards
(z.B. ODETTE, einge-setzt in der europäischen Automobilindustrie)
etablierten, wurde 1978 in den USA der ANSI-Standard X.12 definiert. Somit
war erstmals ein industrieübergreifender, einheitlicher Standard geschaffen.
UN/EDIFACT
In den 80er Jahre wurden unter der Schirmherrschaft der UNO-Wirtschaftskommission
und der ISO (International Standardisation Organisation) auf der Grundlage
von ANSI X.12 die Arbeiten für einen weltweiten, für alle Industrien
einsetzbaren EDI-Standard aufgenommen. Entstanden ist der UN/EDIFACT-Standard
(United Nations/Electronic Data Interchange For Administration, Commerce
and Transport). Der ausführliche Standard umfasst unter anderem generisch
vordefinierte Standardnachrichten, EDIFACT-Syntaxregeln, Datenelemente
und Segmente, verschiedene Code-Listen sowie einheitliche Durchführungsregeln
für den Daten-austausch via Telekommunikation [Sike96b, S. 6]. Beim
EDIFACT-Standard wird eine EDI-Nachricht (z.B. eine Bestellung) in Segmente
und Datenelemente strukturiert. Die Form der EDI-Nachricht wird durch eine
festgeschriebene Syntax eindeutig definiert.
Folgende Gegenüberstellung (Fig. 1.4) verleicht die Struktur
bzw. die Elemente von EDI-Meldungen mit einem Formular, wie es einer EDI-Nachricht
in Papierform zugrunde liegen kann und mit normalem Text.
| EDIFACT | Formular | Normaler Text |
| Nachrichten | Formulare | Paragraphen, Kapitel |
| Segmente | Formularbereich | Sätze |
| Datenelemente | Formularfelder | Wörter |
| Syntax | Formularkonventionen | Grammatik |
Innerhalb des EDIFACT-Standards existieren verschiedene Subsets, die für bestimmte Branchen weiterentwickelt wurden. Mittels EDIFACT bzw. den erwähnten Untermengen (Subsets) davon "lässt sich die Mehrzahl der heute als Formulare gängigen Geschäfsinfor-ma-tionen abbilden" [Sike96b, S. 6].
Die oben dargestellten Standards (EDIFACT, ANSI X.12 etc.) beziehen
sich alle auf die In-halts- und Struktur-Ebene der EDI-Nachricht. D.h.,
mit den EDI-Standards wird sowohl die Struktur von Daten- und Dateien standardisiert
(Zeichenlänge, Datentypen etc.) als auch als auch implizit eine Übereinstimmung
auf der semantischen Ebene erreicht, da für jedes Datenelement eines
EDI-Standards dessen Inhalt klar definiert ist. Trotzdem kann in Aus-nah-mefällen
nicht verhindert werden, dass zwei Partner unter einer ausgetauschten EDI-Nachricht
verschiedene Inhalte verstehen [Sand88, S. 73].
Kommunikations-Standards
Der semantischen Ebene und der Ebene der Daten- und Dateiformate liegt
die Kommunika-tionssebene zugrunde. Sie regelt die direkte Übertragung
der Daten unabhängig von der Be-deutung der Daten. Stark verbreitet
im Einsatz ist X.25, ein paketvermittelnder Übertra-gungsdienst, der
auf OSI (Open Standards Interconnection) der ISO (International Standardi-zation
Organization) basiert. Neben vielen weiteren Übertragungsmöglichkeiten,
die im Rahmen dieser Arbeit nicht weiter interessieren, findet der Einsatz
von ISDN (Integrated Services Digital Network) heute vermehrt Verbreitung.
Auf die Übertragungsebene bauen weitere Protokolle auf, die der
Übermittlung und Organi-sation von Nachrichten dienen (Message Handling).
Ein häufig im Zusammenhang mit EDI verwendeter Standard ist diesbezüglich
X.400, eine Serie von Protokollen der OSI-Reihe [Tall93, S. 27]. Aufgrund
der nur unbefriedigenden Eignung von X.400 zur Übertragung von EDI-Nachrichten
wurde darauf aufbauend der Standard X.435 spezifiziert. X.435, auch bekannt
als "PEDI", beschreibt die Struktur des Inahalts einer EDI-Meldung. X.435
er-möglicht, bildlich gesprochen, das Einstecken einer EDI-Nachricht
in einen X.400 Briefumschlag. Da X.435 nicht an einen bestimmten
EDI-Standard gebunden ist, können be-liebige EDI-Formate wie EDIFACT,
ANSI X.12 u.a. übertragen werden. Neben zahl-reichen EDI-spezifischen
Funktionen, die in das X.435-Protokoll integriert wurden, interess-ieren
im Kapitel 3.3.3 (Datenübertragung und -sicherheit) insbesondere eingebaute
Sicher-heitsfunktionen.
2.3 EDI und Kooperation
"Kooperation wird als geregeltes, auf das Erreichen eines gemeinsamen
Ziels hin gerichtetes Zusammenwirken von Personen verstanden" [Grim94,
S. 76]. EDI ersetzt dabei wenigstens Teile der herkömmlichen Kommunikationsformen
(Telefon, Brief, Fax etc.) zwischen Un-ternehmen mit einem automatisierten,
strukturierten Datenaustausch. Diese mittels Informa-tionstechnologie (IT)
unterstützte Zusammenarbeit wird in der Literatur mit verschiedensten
Begriffen umschrieben: "Value-adding Partnerships", "Inter-organizational
Systems", "Information Partnerships" oder "Electronic Integration" sind
Beispiele, die die begriffliche Vielfalt und Uneinigkeit zeigen [Bens94,
S. 450].
Die hier vorgestellten Kooperationsformen bilden die Grundlage für
die Ausführungen zum Kapitel 3.1.1 (Kooperation und Abhängigkeit).
Überblick über mögliche, EDI-unterstützte Kooperationsformen
Zur Einordnung der verschiedenen, durch EDI unterstützten Kooperationsformen
existieren verschiedene Konzepte und Sichtweisen. Kilian unterscheidet
beispielsweise aufgrund des zu-grundeliegenden Integrationsgrades "marktliche
Austauschbeziehungen, Kooperations-formen sowie vertikale Beherrschungsformen"
[Kili94, S. 74]. Die meisten Autoren lehnen sich bezüglich der Klassifikation
an ein Kontinuum der Strukturen für EDI-Geschäftsabwick-lungen
von rein marktlichen Formen über Zwischenformen wie netzwerkartige
Kooperations-formen bis zu rein hierarchischen Formen an [Holl94, S. 412ff].
Als zweites Klassifikationsmerkmal wird in Fig. 2.1 die wirtschaftliche
Selbständigkeit auf-ge-führt. Diese Dimension sol l den Grad
der wirtschaftlichen Abhängigkeit schwächerer EDI-Partner von
einem oder mehreren dominierenden Partnern zeigen.
In der weiter unten aufgeführten Fig. 2.1 werden die folgenden
Formen unterschieden und kurz beschrieben:
· Elektronische Hierarchien: "Eine elektronische Hierarchie stellt
eine längerfristig geschloss-ene, elektronische Integration der Informationsverarbeitung
zwischen zwei rechtlich selbständigen Unternehmen dar, an der andere
Unternehmen nicht unmittelbar partzipieren können" [Neub94, S. 52f]
Kennzeichen sind unter anderem die wiederholten Transaktionen im Zuge gemeinsamer
Aufgabenbewältigung sowie intensive und beständige Geschäfts-beziehungen.
Oft sind es von einem Partner beherrschte (hierarchische) Abhängigkeitsbeziehungen
zwischen Produzent und Lieferant. Neuere Konzepte wie die forcierte Auslagerungsbestrebungen
im Rahmen von Just-in-Time kön-nen dabei zu mehrstufigen elektronischen
Zulieferhierarchien führen. Für solche zeit-kritischen Konzepte
wie Just-in-Time Fertigung ist EDI ein unabdingbares Kommunika-tionsmittel.
Sowohl Produktions-Konzepte wie auch die starke Integration zwischenbetrieblicher
Com-putersysteme und Geschäftsprozesse können Ursachen für
die Bildung elektronischer Hier-archien sein. Neuburger spricht dann von
einem "electronic integration effect" von EDI [Neub94, S. 50].
Verschiedene Formen von elektronischen Hierarchien sind speziell in
der Automobilin-dustrie festzustellen [Kili94, S. 323].
Die organisatorisch-technischen Verflechtungen in elektronischen Hierarchien
können soweit führen, dass ein Unternehmen im Rahmen langfristiger
Lieferbeziehungen eine wirt-schaftliche Abhängigkeit erlangt und damit
zum grösstenteils seine Selbständigkeit verliert. Neuburger und
Kilian sprechen dann von einem "faktischen Konzern", der ent-steht [Neub94,
S. 122f; Kili94, S. 208f]. Die abhängigen Unternehmen nehmen dabei
den Verlust an Selbständigkeit zur Sicherstellung der weiteren Geschäftsabwicklung
in Kauf; als Alter-native bleibt ihnen oft nur der vollständige Abbruch
der Geschäftsbeziehungen.
· Netzwerkartige Kooperationsformen: Mittels einer Verbindung
verschiedener gleich-berechtigter Partner entstehen "EDI-Netze". Oft handelt
es sich dabei um eine Verbindung verschiedener Partner mit häufigem
Informationsaustausch, beispielsweise zwischen In-dustriebetrieb, Banken,
Versicherungen, Speditionen oder öffentlicher Verwaltung. Da es sich
dabei um gleichberechtigte Partner handelt, können kaum hierarchischen
Formen ent-stehen [Kili94, S. 50 und S. 323].
Ebenfalls in die Kategorie der netzwerkartigen Kooperationsformen können
"operative Netzwerke" eingeordnet werden. Hier bildet eine grössere
Anzahl von Unternehmen einen Verband; strategisch nicht bedeutende Funktionen
werden auf hierfür spezialisierte Ver-bandsunternehmen ausgelagert.
[Kili94, S. 95]
Neben den operativen Netzwerken unterscheidet Neuburger auch "strategische
Netzwerke" und "kooperative Netzwerke". In strategischen Netzwerken übernimmt
ein Unternehmen die strategische Führung im Netzwerk. Meist basiert
diese Kooperationsform jedoch nicht auf EDI und ist daher in diese Zusammenhang
nur beschränkt von Interesse. Auch in kooperativen Netzwerken spielt
die EDI-Unterstützung eine untergeordnete Rolle. Ver-standen wird
unter kooperativen Netzwerken beispielsweise die zwischenbetriebliche Koop-eration
im Forschungs- und Entwicklungsbereich [Neub94, S. 139ff].
Eine letzte, zur Zeit stark diskutierte Form von kooperativen Netzwerkstrukturen
sind die virtuellen Unternehmen. "Ein virtuelles Unternehmen ist eine Kooperatonsform
rechtlich unabhängiger Unternehmen, Institutionen und/oder Einzelpersonen,
die eine Leistung auf der Basis eines gemeinsamen Geschäftsverständnisses
erbringen. Die kooperierenden Ein-heiten beteiligen sich and er Zusammenarbeit
vorrangig mit ihren Kernkompetenzen und wirken bei der Leistungserstellung
gegenüber Dritten wie ein Unternehmen. Dabei wird auf die Institutionalisierung
zentraler Managementfunktionen zur Gestaltung, Lenkung und Entwicklung
des virtuellen Unternehmens durch die Nutzung geeigneter Informations-
und Kommunikationstechnologien weitgehend verzichtet" [Fisc96, S. 40].
Ziel eines virtuellen Unternehmens ist im Normalfall das Ausnützen
von zeitlichen beschränkten Marktpoten-tialen. Daher führen virtuelle
Unternehmen tendenziell zu kürzer dauernden Koopera-tionen.
Unterstützt werden die verschiedenen Formen netzwerkartiger Kooperationsformen
(Operative Netze, Strategische Netze, Virtuelle Unternehmen) unter anderem
von neueren Tendenzen und Konzepten wie "Outsourcing" (Auslagerung von
Unternehmensfunktionen, die nicht auf Kernkompetenzen beruhen) oder "Lean
Management" (Schaffung schlankerer Unternehmensstrukturen) [Neub94, S.
139].
Bei den verschiedenen Formen netzartiger Kooperationen schafft EDI
jeweils die Voraus-setzungen auf der IT-Seite. Die Kooperationsform bewegt
sich dabei im Mittelfeld des Kontinuums zwischen Hierarchie bzw. Markt
(vgl. Fig. 1.5).
· Elektronische Märkte: "An electronic market system is
an interorganizational information system that allows the participating
buyers and sellers to exchange information about prices and product offerings"
[Bako91, S. 296]. Sie sind eine geeignete Struktur für den häufigen
Austausch standardisierter Güter und Leistungen. Die Geschäftsbeziehungen
sind eher flexibel. Charakteristisch ist das Zusammentreffen von Angebot
und Nachfrage, das den Preis des auf dem elektronischen Markt gehandelten
Gutes bestimmt.
Elektronische Märkte können unter anderem mittels EDI-Unterstützung
realisiert werden. Neben dem Einsatz von EDI erleichtert vor allem der
Einsatz von offenen Systemen den Zugang zu Elektronischen Märkten.
EDI-Kooperationsformen in der Praxis
Die Literatur ist sich uneins, ob der praktische Einsatz von EDI die
zwischenbetrieblichen Kooperationsformen eher Richtung Markt oder Richtung
hierarchische Formen verschiebt. Wird eine Verschiebung Richtung elektronischer
Hierarchie angenommen, so wird gleichzeitig auch eine Verringerung der
Geschäftsbeziehungen propagiert oder sogar in Studien festgestellt
[Emme90, S. 38]. Mit den relativ wenigen Partnern wird dann eine engere
und langfristige Geschäftsverbindung angestrebt. Meistens werden diese
engeren Bindungen von den be-teiligten Unternehmen als vorteilhaft gesehen,
wie beispielsweise eine englische Studie zeigt [Cox96, S. 26]. Allerdings
resultieren aus einer engen wirtschaftlichen Bindung der Un-ternehmen auch
verschiedene Risikopotentiale, die es im Kapitel 3.1.1 (Kooperation und
Ab-hängigkeit) zu untersuchen gilt.
Im Gegensatz zur Bildung von hierarchischen Strukturen durch den Einsatz
von EDI wird in der Literatur auf den erhöhten Wettbewerb verwiesen,
der dank dem verbreiteten Einsatz von EDI möglich ist. Dies kann das
Entstehen von elektronischen Märkten fördern. Als Gründe
dafür werden unter anderem die tieferen Transaktionskosten angegeben
[Giam95, S. 32]. In der Praxis allerdings haben Studien in Deutschland
gezeigt, das der "Wunsch nach flexiblen Geschäftsbeziehungen gering"
ist, d.h., ein marktmässiges Aushandeln mittels EDI ist kaum erwünscht
[Kili94, S. 319f].
Die gleiche Studie kommt zudem zum Schluss, dass die Zukunft der EDI-Praxis
wohl in einer Form zwischen Markt und Hierarchie liegen wird: "Die zunehmende
Bedeutung zwischen-be-trieblicher Koordinationsstrukturen wie auch die
Bildung interorganisatorischer Netzstruk-turen zeigen einen steigenden
Trend in Richtung Koordinationsmechanismen, die zwischen Markt und Hierarchie
anzusiedeln sind. Sie tendieren einerseits mehr in Richtung von Marktmecha-nismen,
wie etwa Kooperationsverhältnissen. Die Hierarchiestrukturen entspre-chen
anderer-seits eher den im Zuge von Beherrschungsverhältnissen entstehenden
elek-tronischen Hierar-chien. Hier handelt es sich um längerfristige,
elektronische und wirtschaftli-che Integration der Informationsverarbeitungssysteme
zweier rechtlich selbständiger Un-ternehmen, an der andere Unternehmen
nicht unmittelbar partizipieren können" [Kili94, S. 99].
2.4 Risikomanagement und Sicherheit
Ziel diese Kapitels ist es, grundlegende Begriffe und Konzepte vorzustellen,
auf denen die fol-genden Hauptteile aufbauen können. Dabei werden,
soweit für das weitere Verständnis der Arbeit nötig sind,
Zusammenhänge zwischen den Begriffen Risiko, Sicherheit, Bedrohung,
Ri-siko-analyse und -management geschaffen und erklärt.
Risiko
Unter dem Begriff "Risiko" wird allgemein die "Wahrscheinlichkeit des Eintretens eines uner-wünschten Ereignisses ("Bedrohung") in einem bestimmten Zeitraum und der mit diesem Er-eignis verbundene Schaden, also die Wahrscheinlichkeit mal Schadenshöhe" verstanden [Hein92, S. 405]. Risiko bezeichnet also im wesentlichen das Produkt "aus dem beim Ereig-niseintritt zu erwartenden Schadensausmass sowie der zu erwartenden Häufigkeit eines ge-fährdeten Ereignisses" [Kyas96, S. 21].
Unterschieden werden können Aktionsrisiken und Bedingungsrisiken
[Bauk95, S. 53]. Letz-tere werden auch als "reine Risiken" bezeichnet und
umfassen Naturereignisse, menschliches Fehl- Verhalten sowie technisches
Versagen. Die Folgen von Bedingungsrisiken können durch ge-eigne-te
Prävention gemildert werden und sind auch teilweise versicherbar.
Bedingungsrisiken zeichnen sich weiter dadurch aus, dass bei ihrem Vorhandensein
nur Ver-luste, jedoch keine Gewinne wie bei den anschliessend aufgeführten
Aktionsrisiken möglich sind. In dieser Arbeit spielen Bedingungsrisiken
eine untergeordnete Rolle; ihnen ist das Kap-itel 3.1.5 (Externe Bedrohungen)
sowie zum Teil Kapitel 3.3.3 (Datenübertragung und -sicher-heit) gewidmet.
Die zweite Risikokategorie, die schwerer handhabbaren Aktionsrisiken
(Wagnisrisiken) um-fassen Veränderungen in bezug auf das politische,
soziale, wirtschaftliche und technologische Umfeld. Im Gegensatz zu den
Bedingungsrisiken sind Aktionsrisiken nicht versicherbar und haben spekulativen
Charakter. Die ebenfalls verwendete Bezeichnung "Wagnisrisiken" deutet
an, dass beim Vorhandensein dieser Risikoart sowohl Gewinne als auch Verluste
möglich sind. Ein bewusstes Eingehen dieser Risiken bzw. "Wagnisse"
eröffnet somit nicht nur Ver-lust- sondern vor allem auch erhofftes
Gewinn-Potential. Ausser den oben angegebenen Teilen weisen alle im folgenden
dargestellten Framework aufgeführten Risiken eindeutig den Charak-ter
von Aktionsrisiken auf.
Es entspricht dem Charakter wirtschaftlichen Handelns, dass jede Handlung
mit einem (Aktions-)Risiko verbunden ist. Die wirtschaftliche Handlung
ist im Falle dieser Arbeit die Einführung von EDI in einem Unternehmen,
die daraus entstehenden Aktionsrisiken werden im Risikoframework analysiert.
Sicherheit
Unter Sicherheit ("Security") wird in der allgemeinen Definition "die Eigenschaft, das Ent-stehen von Gefährdungszuständen vermeiden, entstandene Gefährdungszustände erkennen und ihre Auswirkungen verhindern oder zumindest einschränken zu können" verstanden [Hein92, S. 224]. Mittels Sicherheitsmassnahmen und Sicherheitstechniken wird versucht, einen höheren Grad von Sicherheit für ein Objekt (z.B. ein EDI-System) zu erlangen. Ent-gegen der klas-sischen Annahmen, es existiere eine 100prozentige Sicherheit, kann bei offenen Systemen, wie es insbesondere EDI eines ist, nie von vollständiger Sicherheit ausgegangen werden. Ein Grund dafür ist insbesondere die Unmöglichkeit, in so einem komplexen, möglicherweise globalen EDI-System, im voraus alle Gefahren zu spezifizieren und ent-sprechende Gegenmassnahmen einzurichten [Grim94 S. 13]. Das nach Einsatz aller Sicher-heitsmassnahmen verbleibende Risiko wird als Rest-Risiko ("Residual Risk") bezeichnet.
Folgende Sicherheits-Ziele wollen in einem technischen System erreicht werden [Grim94, S. 30]:
· Vertraulichkeit (Confidentiality): Unter Vertraulichkeit wird ein unbefugter Informations-gewinn verstanden [Grim94, S. 31]. Dieser kann beispielsweise durch eine Verkehrsana-lyse des Datenflusses über eine Kommunikationsleitung oder durch deren Beobachtung bzw. Abhören er-folgen.
· Integrität (Integrity): Mit Integrität wird die Eigenschaft
bezeichnet, dass Daten nachweis-bar frei sind von Modifikation. Die Modifikation
kann dabei aus böswilliger Absicht er-folgen oder auch aufgrund technischer
Fehler entstehen.
· Verfügbarkeit (Availability): Verfügbarkeit bezeichnet
die Eigenschaft eines Systems, auf Verlangen eines Berechtigten verfügbar
und benutzbar zu sein [ISO1, S. 3].
· Verbindlichkeit (Nicht-Abstreitbarkeit, Unwiderrufbarkeit,
Non-Repudiation): Unter dem Begriff Verbindlichkeit wird die Gewährleistung
verstanden, "dass keiner der Kommuni-kationspartner seine Teilnahme an
der Kommunikation bestreiten kann" [Muel95, S. 119]. Nicht-Abstreitbarkeit
bezeichnet dabei die Voraussetzung für die Verbindlichkeit elektro-nischer
Dokumente. Unterschieden werden kann zwischen dem Bestreiten des Sendens
oder dem Bestreitens des Empfangens einer Nachricht. Beides verletzt die
Verbindlichkeit.
· Authentizität (Authentisierung, Authenticity): Die Authentizität
ist eine Eigenschaft, die die Echtheit einer behaupteten Identität
eines Kommunikationspartners oder einer Daten-quelle garantiert. Authentizität
bezieht sich auf verschiedene Entitäten wie beispielsweise Be-nutzer,
Prozesse, Systeme und, im Fall von EDI-Systemen, insbesondere EDI-Nachrichten
[Muel95, S. 119; ISO1, S. 3]. Unterschieden werden kann weiter zwischen
der Authentizität des Inhalts und der Authentizität der Kommunikationspartner.
Auf letz-teres bezieht sich die sogenannte Maskierung, das Vortäuschen
falscher Identitäten.
Die hier dargestellten fünf Sicherheitsziele sind die Werte, die
es im technischen Bereich von EDI vor verschiedenen Bedrohungen zu schützen
gilt. Als solches bilden sie eine Art Frame-work, an dem sich insbesondere
Kapitel 3.3.3 (Datenübertragung und -sicherheit) ausrichten wird.
Trustworthy System
Die oben angeführten Sicherheitsziele sind schützenswerte, abstrakte Informationswerte der IT-Sicherheit und als solche mit entsprechenden Sicherheitstechniken zu schützen [Grim94, S. 30]. Ein mit ausreichenden Grundfunktionen und Mechanismen der Sicherheitstechnik aus-gestattetes System wird als "sicheres System" oder "Trustworthy System" (vertrauenswürdiges Systems) bezeichnet. Diese Grundfunktionen sind [Bauk95, S.9]:
· Identifikation und Authentisierung,
· Rechteverwaltung,
· Rechteprüfung,
· Beweissicherung,
· Wiederaufbereitung,
· Fehlerüberbrückung,
· Gewährleistung der Funktionalität,
· Übertragungssicherung.
Vor allem im Kapitel 3.3 (Informations- und Kommunikationssysteme) wird
aufgezeigt werden, wie diese Kriterien eines vertrauenswürdigen Systems
beim Aufbau eines sicheren EDI-Systems umgesetzt werden können.
Bedrohungen
Wie bereits definiert wurde, heisst Sicherheit, Bedrohungen gegen ein
System abzuwehren. Unter Bedrohung wird im Informatik-Umfeld "jede Art
von Gefahr, die auf die Informa-tionsinfrastruktur einwirken und zu einem
Schaden führen kann" verstanden [Hein92, S. 415].
Die Analyse und Positionierung der Bedrohungen, die einerseits auf
das, gemäss dieser Defini-tion, technische EDI-System einwirken und
der Bedrohungen, die andererseits nicht-tech-nischen Ursachen aufweisen,
ist Hauptgegenstand dieser Arbeit.
Dabei wird im folgenden der Begriff Risiko (im eher umgangssprachlichen
Sinn) als Syno-nym für den hier definierten Begriff Bedrohung verwandt
und nicht streng definitorisch als das Pro-dukt aus Schadenshöhe und
dessen Eintretens-Wahrscheinlichkeit.
Risikoanalyse
Die Risikoanalyse ist zentraler Bestandteil jedes Risikomanagement-Modells
(siehe nächster Abschnitt). Ziel und Zweck einer Risikoanalyse ist
es, spezifische unerwünschte Ereignisse (Bedrohungen) zu identifizieren,
indem die möglichen Auswirkungen der erkannten Gefahren und Verwundbarkeiten
festgestellt und analysiert werden [Hein92, S. 409]. Eine Risiko-Ana-lyse
identifiziert Risiken, die in der Folge gemanagt werden müssen. Die
analysierten Risiken beziehen sich auf die oben genannten Sicherheitsziele
Integrität, Vertraulichkeit, Nicht-Abstreitbarkeit, Verfügbarkeit
und Authentizität. Ein Risiko liegt vor, wenn mindestens eines diese
Sicherheitsziele in irgendeiner Art nicht erfüllt wird.
Nach einer Abgrenzung des zu untersuchenden Risikobereichs folgt eine
Erfassung der Risiken. Zwei häufig angewandte Methoden sind Szenarioanalysen
und Simulationsstudien. Bei der Untersuchung eines Bereichs mittels Szenariotechnik
werden hypothetische Ereig-nisse konstruiert und dessen Auswirkungen bezüglich
Risiko- und Sicherheitsaspekten be-trachtet. Man beschränkt sich dabei
auf die Erörterung von möglichst unterschiedlichen Fall-beispielen
und kann so in relativ kurzer Zeit differenzierte Aussagen für verschiedene
mögli-che Zu-kunftssituationen erhalten.
In Simulationsstudien hingegen wird der (oft technische) Analysebereich
detailgetreu nach-gebildet ("simuliert"). Anhand des detaillierten Modells
werden die Einwirkungen von Ge-fahrenquellen simuliert und analysiert.
Der Aufwand von Simulationsstudien ist im allge-meinen grösser als
das Arbeiten mit der Szenariotechnik und wird oft durch Software-Werkzeuge
unterstützt [Kyas96, S. 22].
In der Risikoanalyse wird zudem versucht, die Risiken zu bewerten.
Dabei wird einerseits das Schadensausmass im Falle des Eintreffens einer
Bedrohung und andererseits die Eintretens-Wahrscheinlichkeit dieser Bedrohung
berücksichtigt. Da die Kosten von Sicherheitsmass-nahmen sich meistens
relativ einfach in Geldwerten angeben lassen, wird mit sogenannten kardinalen
Bewertungskonzepten versucht, auch das Risiko entsprechend zu quantifizieren,
um Vergleiche zu ermöglichen [Bauk94, S. 193]. Messgrössen beziehen
sich dabei auf die pro Jahr durchschnittlich erwarteten Verluste bzw. Kosten
(Annualized Loss Expectancy) oder auf den Totalverlust bei Eintreffen einer
Bedrohung (Single-Occurrence Loss) [Salt93, S: 9f]. Kardinale Bewertungskonzepte
bereiten in der Praxis erhebliche Probleme, sie sind aber dennoch häufig
eine Forderung, wenn Sicherheitsinvestitionen mit einer quantitativen Aufstel-lung
der Risiken gegründet werden müssen.
Traditionellerweise werden in der Literatur Risikoanalysen praktisch
ausschliesslich für Bedingungsrisiken vorgenommen. Für Aktionsrisiken
wären jedoch insbesondere Szenario-techniken wertvolle Instrumente
zur Einschätzung der mit einer Handlung (Aktion) verbun-denen Risiken.
Im Falle der Einführung von EDI wäre beispielsweise das Analysieren
von Szenarien mit verschiedenen Partnern eine Möglichkeit der Anwendung.
Schwierigkeiten ergeben sich jedoch bei der Risikoanalyse von Aktionsrisiken
bezüglich der Bewertung. Beispielsweise wäre die Bewertung des
Risikos, dass durch das Eingehen einer engen EDI-Partner-schaft die wirtschaftliche
Unabhängigkeit abnimmt, sehr schwierig. Dies, weil die Aus-wirkungen
von Aktionsrisiken meistens vieldimensional sind und sich nicht mit einfachen
kar-dinalen oder ordinalen Masstäben messen lassen.
Risiko-Management
Bei der Vielzahl von existierenden Risiko-Management Modellen handelt
es sich typischer-weise um Rahmenkonzepte zur möglichst vollständigen
Erfassung der auf ein System (IT-System, Gebäude, Gesamtunternehmen
etc.) einwirkenden Risiken. Zentraler Bestandteil des Risiko-Managements
ist, nach einer Abgrenzung des zu untersuchenden Systems, die im vor-hergehenden
Abschnitt beschriebene Risikoanalyse. Aufgrund der umfassenden Risikoanalyse
werden, unter Berücksichtigung der grundsätzlichen verfolgten
Risikopolitik des Un-ter-nehmens, Sicherheitskonzepte aufgestellt. Diese
umfassen eine Definition der Schutzziele, eine Liste der möglichen
Massnahmen, eine Kostenschätzung der Massnahmen, eine Ein-schätzung
der erzielten Risikoreduktion sowie schliesslich eine Auswahl der umzusetzenden
Massnahmen [Bauk91, S. 154].
Wie schon bei der Risikoanalyse stehen normalerweise auch beim Risikomanagement
die Bedingungsrisiken im Zentrum der Betrachtungen. Für ein Risikomanagement
im Sinne dieser Arbeit, das insbesondere auch ökonomische Risiken
umfassen soll, muss das Risikomanage-ment auch auf Aktionsrisiken ausgeweitet
werden.
Erklärtes Ziel des Risiko-Managements ist es, das Risiko auf ein
individuell tolerierbares Restrisiko zu reduzieren. Dieses verbleibende
Restrisiko wird vom Unternehmen bewusst in Kauf genommen. Es gilt dabei
insbesondere, eine ökonomisch optimale Lösung zu finden zwischen
einer (theoretisch unendlich teuren) perfekten, 100prozentigen Sicherheit
und einem nicht-adäquaten Sicherheitslevel, der zu potentiell unnötig
hohen Verlusten führt [Salt93, S. 7].
Allgemein gültige Strategien zum Umgang mit einem gegebenen Risikopotential
richtet sich dabei an folgendem Raster aus:
1. Risiko vermeiden,
2. Risiko vermindern (Bedrohungen sichern, Verletzlichkeiten
sichern),
3. Risiko versichern (Überwälzen des Risikos),
4. Risiko selbst tragen.
Dieses "klassische" Vorgehen orientiert sich wiederum an Bedingungsrisiken.
Im Falle der Aktionsrisiken muss zumindest der erste Schritt, das Vermeiden
von Risiko aufgehoben werden, da sich Aktionsrisiken gerade in der Suche
nach Risiken, die neue Geschäfts-möglichkeiten eröffnen
können, begründet. Besondere Relevanz erhählt für Aktionsrisiken
der zweite Schritt, das Vermindern von Risiken indem Bedrohungen und Verletzlichkeiten
gesi-chert werden. Dieser Schritt wird im Risikoframework der vorliegenden
Arbeit durch die jeweils aufgeführten "Massnahmen" repräsentiert.
2.5 Bestehende Frameworks
Unter dem Begriff Framework wird ein Rahmenmodell verstanden, mit dem verschiedene Facetten bzw. Aspekte eines abgegrenzten Problembereichs ausgeleuchtet werden können. Ein Framework ist problembezogen und kann im Anwendungsfall an die jeweilige konkrete Prob-lemstellung der Praxis angepasst werden [Hein92, S. 406].
Bezüglich des in dieser Arbeit behandelten Themas existieren verschiedene
Frameworks, die jeweils jedoch nur unterschiedliche Teilgebiete abdecken.
Sehr viele Frameworks behandeln das Risiko-Management allgemein oder bestimmte
Bereiche davon. Das Risikomanagement als solches bietet unter anderem die
Grundlage für das gesamte in dieser Arbeit vorgestellte Framework.
Einleitend darauf eingegangen wurde bereits im Kapitel 2.4 (Risikomanagement
und Sicherheit).
Ein zweites Gebiet, auf dem in der Literatur bereits diverse Frameworks
existieren, betrifft das Risikofeld der IT-Sicherheit auf der technischen
Ebene. Diese bereits existierenden Konzepte konnten teilweise an die Erfordernisse
von EDI angepasst und im Kapitel 3.3 übernommen werden. Insbesondere
wurde die in Sicherheitsframeworks übliche Gegenüber-stellung
von Bedrohungen (Risiken) und Massnahmen konsequent als Gliederung in der
ganzen Arbeit übernommen [Grim94, S. 35].
Frameworks der IT-Sicherheit
Eines der bekanntesten Beispiele eines Sicherheits-Frameworks ist nach der Farbe seines Umschlags benannte "Orange Book" des amerikanischen Verteidigungsminsteriums. Es stammt in seiner ersten Version aus dem Jahre 1983 und ist ein Katalog von Sicherheitsanforderungen, die ein sicheres Computer-System erfüllen muss. 1987 folgte das "Red Book", das Kriterien für den sicheren Einsatz eines Netzwerkes beschreibt.
Ein weiteres bekanntes Framework ist die OSI-Sicherheitsarchitektur
der ISO. Es handelt sich dabei um eine im Jahre 1989 eingeführte Ergänzung
des OSI-Referenzmodells. Beschrieben werden in einem ersten Teil Sicherheitsmassnahmen
("Services") wie Nicht-Abstreitbarkeit, Authentifikation etc. In einem
zweiten Teil werden Sicherheitsmechanismen wie Digitale Sig-naturen, Verschlüsselung
etc. dargestellt. Eine tabellarische Übersicht schliesslich ordnet
bestimmten Sicherheitsmassnahmen entsprechende Sicherheitsmechanismen zu.(vgl.
Fig. 1.2).
Derzeit laufen Arbeiten der ISO und damit verbundenen Organisationen
an mehreren Frame-works bezüglich der Sicherheit für offene Systeme
[Stud96, S. 13/18]. Es sind dies ein Se-curity Audit Framework, Confidentiality
Framework, Non-Repudiation Framework, Integrity Frame-work, Access Control
Framework sowie ein Authentification Framework. Alle diese Frame-works
bieten Sicherheits-Dienste und -Mechanismen, deren Detailliertheitsgrad
den Rahmen dies-er Arbeit sprengen würden. Trotzdem haben die grundlegenden
Konzepte im Kapitel 3.3.3 (Daten-übertragung und -sicherheit) Eingang
gefunden.
EDI-spezifische "Problemkataloge"
Neben wenigen, eigentlichen Frameworks sind in der Literatur vor allem
Kataloge und Aufzählungen von Risiken bzw. Problemfeldern im Zusammenhang
mit EDI vorhanden. Dabei werden aber meistens nur die Bedrohungen oder
Risiken aufgezeigt, jedoch keine Massnahmen präsentiert. Sind Massnahmen
dargestellt, so fehlt meistens die für ein Framework typische Ausarbeitung
der Beziehungen zwischen Risiken auf der einen Seite und Gegenmassnahmen
auf der anderen.
Ein Beispiel hierfür findet sich bei Saltman, wo die Risiken bezüglich
eines EDI-Systems de-tailliert dargestellt werden. Auch Emmelhainz spricht
unter der Überschrift "EDI-Barriers" zwar viele mit EDI zusammenhängende
Problemfelder an, eine konsequente Ausarbeitung und Gegenüberstellung
von Bedrohungen und detaillierten Massnahmen wird jedoch vermisst
[Emme90, S. 155ff]. Zudem werden praktisch ausschliesslich technische Problemfelder
angesprochen.Der Extremfall einer ausschliesslichen Auflistung von (technischen)
Risiken bieten Checklisten, wie sie beispielsweise Heinrich darstellt [Hein92,
S: 418ff].