Was ist ein Penetrationstest?

,
Penetrationstest

Ein Penetrationstest, abgekürzt als PEN-Test bezeichnet, ist ein Test zur Bewertung der Sicherheit einer IT-Infrastruktur. Ein IT-Experte führt den Test durch indem er einen Angriff simuliert und damit die externen und internen Bedrohungen.

Ein PEN-Test beinhaltet eine aktive Analyse des Systems durch IT-Experten auf mögliche Sicherheitslücken. Sicherheitslücken in einer IT-Infrastruktur können durch eine falsche Systemkonfiguration, Hardware- oder Softwarefehler oder organisatorische Schwachstellen entstehen. Die im Laufe des Penetrationstests gefundenen Sicherheitsprobleme werden analysiert und im Hinblick auf mögliche Auswirkungen auf die gesamte Organisation bewertet. Auf Grundlage dieser Analyse und Bewertung können gegebenenfalls Maßnahmen zur Verbesserung der IT-Sicherheit vorgenommen werden.

Angriffe von außen verursachen schwerwiegende Schäden

Die Vorteile von Penetrationstest

Die wichtigsten Vorteile von Penetrationstests sind:

  • Identifizierung von Fehlern, die mit einer Fehlererkennungssoftware nicht oder nur schwer identifiziert werden können
  • Identifizieren von Fehlern mit einem hohen Risiko für das System, die sich aus einer Verkettung von Schwachstellen mit einem geringen Sicherheitsrisiko ergeben und von Angreifern in einer bestimmten Reihenfolge ausgenutzt werden können
  • Beurteilung, welche geschäftlichen und betrieblichen Auswirkungen ein erfolgreicher Angriff auf die IT-Infrastruktur haben kann
  • Testen der Fähigkeit von Netzwerkadministratoren und internen IT-Experten, Angriffe zu erkennen und auf diese Angriffe richtig zu reagieren

Wie wird ein Pentest durchgeführt?

Für die Durchführung eines PEN-Test werden drei verschiedene Testszenarien genutzt.

Der Black-Box Pen-Test

Bei einem Black-Box Test wird der Penetrationstester in die Rolle eines durchschnittlichen Hackers versetzt, dem das interne Zielsystem nicht bekannt ist. Die für den Test eingesetzten IT-Experten erhalten keine Architekturdiagramme, keine Systeminformationen oder Quellcodes, die nicht öffentlich verfügbar sind. Ein Black-Box Penetrationstest ermittelt die Schwachstellen in einem System, die von außerhalb des Netzwerks ausgenutzt werden können.

Dies bedeutet, dass ein Black-Box Penetrationstest auf einer dynamischen Analyse der aktuell ausgeführten Programme und Systeme innerhalb des Zielnetzwerks basiert. Black-Box Penetrationstester müssen mit automatisierten Scan-Tools und Methoden für manuelle Penetrationstests gleichermaßen vertraut sein. Zudem müssen sie als IT-Experten in der Lage sein, auf der Grundlage ihrer Beobachtungen eine eigene Karte eines Zielnetzwerks zu erstellen, da ihnen kein solches Diagramm zur Verfügung gestellt wird.

Der Hauptnachteil dieses Ansatzes besteht darin, dass alle Schwachstellen interner Services unentdeckt bleiben und nicht gepatcht werden, wenn die IT-Experten nicht in das System eindringen können.

Penetrationstest

Bei PEN-Tests werden Angriffe simuliert

Der Gray-Box Pen-Test

Bei dieser Testmethode kennt der Tester die Zugriffs- und Wissensebenen eines Benutzers, möglicherweise mit erhöhten Rechten auf einem System. Gray-Box Pentester haben normalerweise ein gewisses Wissen über die Interna eines Netzwerks, möglicherweise einschließlich der Design- und Architekturdokumentation und eines internen Accounts im Netzwerk.

Der Zweck des Gray-Box-Pentesting besteht darin, die Sicherheit eines Netzwerks gezielter und effizienter zu bewerten als bei einem Black-Box-Test möglich ist. Die IT-Experten können sich auf Grundlage der Vorkenntnisse von Anfang an auf die Systeme mit dem größten Risiko und dem größten Wert konzentrieren, anstatt diese Informationen selbst ermitteln zu müssen.

Der White-Box Pen-Test

White-Box-Tests werden unter verschiedenen Namen wie „Clear-Box„, „Open-Box„, „Auxiliary“ und „Logic-Driven“ durchgeführt. Die Penetration Tester erhalten bei dieser Methode vollen Zugriff auf Quellcodes, Architektur-Dokumentation, Anwendungssoftware, Hardwarespezifikationen und mehr. Die größte Herausforderung bei White-Box-Tests besteht darin, die große Menge an verfügbaren Daten zu durchforsten, um potenzielle Schwachstellen zu identifizieren. Whitebox-Pen-Test ist die zeitaufwendigste Art von Penetrationstests.

Im Gegensatz zu Black-Box– und Gray-Box-Tests sind Whitebox-Penetration-Tester in der Lage, statische Code-Analysen durchzuführen und sich mit Quellcode-Analysatoren, Debuggern und ähnlichen Tools vertraut zu machen, die für diese Art von Tests wichtig sind. Dynamische Analysewerkzeuge und –techniken sind jedoch auch für White-Box-Tester wichtig, da die statische Analyse Schwachstellen ausschließen kann, die durch Fehlkonfigurationen von Zielsystemen entstehen. Ein White-Box Penetrationstest ermöglicht eine umfassende Bewertung interner und externer Schwachstellen.

Die Vor- und Nachteile der verschiedenen Testmethoden

Die wichtigsten Unterschiede zwischen einem Blackbox-, Gray-Box– und White-BoxPEN-Test bestehen in der Genauigkeit des Tests sowie in seiner Geschwindigkeit, Effizienz und Abdeckung.

PEN-Tests sollen Schwachstellen aufzeigen

Der Zweck eines Penetrationstests besteht darin, Schwachstellen zu identifizieren und zu patchen, die von einem Angreifer ausgenutzt werden können. Daher wäre die ideale Form des Penetrationstests eine Blackbox, da die Mehrheit der Angreifer vor Beginn ihres Angriffs keine Kenntnis über die internen Abläufe ihres Zielnetzwerks hat. Der durchschnittliche Angreifer hat jedoch viel mehr Zeit für seinen Prozess als der durchschnittliche Pentester. Die anderen Arten von Penetrationstests wurden daher entwickelt, um die Eingriffszeit zu verkürzen, indem das dem Tester zur Verfügung gestellte Informationsniveau erhöht wird.

Das Gegenteil zum Black-Box-Test ist der White-Box-Test, bei dem die IT-Experten vollständige Informationen über das Zielsystem erhalten. Die Befürchtung bei dieser Art von PEN-Test besteht darin, dass die erhöhten Informationen dazu führen, dass die Tester sich anders verhalten als Blackbox-Hacker. Dies könnte dazu führen, dass sie Sicherheitslücken übersehen, die ein weniger informierter Angreifer ausnutzen würde.

Gray-Box-Tests sind ein Kompromiss zwischen White-Box– und Black-Box-Tests. Durch die Bereitstellung eines Testers mit begrenzten Informationen über das Zielsystem simulieren Gray-Box-Tests den Wissensstand, den ein Hacker mit langfristigem Zugriff auf ein System durch Forschung und System-Footprint erreichen könnte.

Geschwindigkeit, Effizienz und Reichweite von Penetartionstests

Die drei Penetrationstests stellen einen Kompromiss zwischen Geschwindigkeit, Effizienz und Reichweite her. Im Allgemeinen ist der Blackbox-Penetrationstest der schnellste Penetrationstest. Die begrenzten Informationen, die den Testern zur Verfügung stehen, erhöhen jedoch die Wahrscheinlichkeit, dass Verwundbarkeiten übersehen werden, und verringern die Effizienz des Tests. Die Tester verfügen nicht über die Informationen, die notwendig sind, um ihre Angriffe auf die wertvollsten oder wahrscheinlich verletzlichsten Ziele zu richten.

Beim Grey-Box-Test kommt es im Vergleich zu Black-Box Penetrationstest zu einem leichten Kompromiss im Hinblick auf höhere Effizienz und Abdeckung. Der Zugriff auf die Design-Dokumentation ermöglicht es den IT-Experten, ihre Bemühungen besser zu fokussieren und der interne Zugriff auf das Netzwerk erhöht die Abdeckung der Analyse. Dies gilt insbesondere im Vergleich zu Black-Box-Tests, bei denen Tester keine Schwachstelle finden, die ihnen den Zugriff innerhalb des Netzwerk-Perimeters ermöglicht.

White-Box-Tests sind die langsamste und umfassendste Form des PEN-Test. Die große Menge an Daten, die den IT-Experten zur Verfügung stehen, benötigt Zeit für die Verarbeitung und Analyse. Das hohe Zugriffsniveau verbessert jedoch die Wahrscheinlichkeit, dass sowohl interne als auch nach außen gerichtete Schwachstellen identifiziert und behoben werden können.

Faktura oder Rechnungsstellung – der kleine Unterschied

Hinter dem Begriff der Faktura verbirgt sich die Stellung einer Rechnung. Umgekehrt bezeichnet der Buchhalter die Rechnungsstellung gern als Fakturierung. So stellt sich die Frage, ob es zwischen beiden Begrifflichkeiten einen bedeutungsvollen Unterschied gibt oder ob es nur Varianten für die Beziehung von ein und demselben Vorgang sind. Beides ist richtig. Sie können bei der Rechnungsstellung von einer Faktura sprechen, was vor allem in Österreich und in der Schweiz häufig praktiziert wird. Im Deutschen gibt es jedoch einen kleinen Unterschied zwischen beiden Begrifflichkeiten, den Sie vor allem dann kennen sollten, wenn Sie sich in der Finanzwelt sicher bewegen möchten.

Rechnungen für Waren oder Dienstleistungen empfangen

Mit der Rechnungsstellung erhebt der Händler oder Dienstleister den Betrag, der den Gegenwert seiner Leistung darstellt. Eine Rechnung enthält die einzelnen Posten für Waren oder für Tätigkeiten, die Sie beim Dienstleister in Auftrag gegeben haben. Rechnungen gehören zum täglichen Leben dazu. Wenn Sie einkaufen gehen, bekommen Sie einen Kassenbon, der nichts weiter darstellt als eine Rechnung für die Produkte, die Sie im Ladengeschäft gekauft haben. Jeder Händler und Dienstleister ist verpflichtet, Ihnen auf Nachfrage eine Rechnung auszuhändigen. Diese kann handschriftlich formuliert sein oder als Ausdruck vorliegen. Beim Online-Handel ist es außerdem üblich, eine Rechnung als PDF zum Download zu überstellen.

Haben Sie in Österreich oder in der Schweiz einmal Ihren Urlaub verbracht oder Kontakt zu Händlern aus diesen Ländern gehabt, ist Ihnen vielleicht aufgefallen, dass der Begriff Rechnung in diesen Ländern nicht so benutzt wird wie in Deutschland. Dort sprechen Händler von der Faktura, die sie Ihnen ausstellen. Gemeint ist jedoch die klassische deutsche Rechnung. Sprechen Sie hingegen hierzulande von einer Faktura, benutzen Sie eine Begrifflichkeit aus dem Finanzwesen. Die Faktura umfasst in unserem Sprachgebrauch nicht nur die klassische Rechnung, sondern weitere Dokumente, die in der Finanzwelt einen wichtigen Stellenwert haben.

Faktura – Oberbegriff für verschiedene Dokumente

Eine Rechnungsstellung kann handschriftlich oder elektronisch erfolgen

Der Begriff der Faktura kann grundsätzlich allein für eine Rechnung stehen. Genau genommen handelt es sich im Deutschen jedoch um einen Oberbegriff, der mehrere Dokumente umfassen kann. Der Begriff der Fakturierung entstammt der Rechnungslegung. Die klassische Rechnung ist einer von drei Belegen, die im Rahmen der Fakturierung als Dokument einen Auftrag belegen. Auf der Rechnung ist ersichtlich, welche Dienstleistungen der Auftragnehmer zu welchem Preis erbracht hat. Darüber hinaus werden die Mehrwertsteuer und eventuelle Zusatzkosten ausgewiesen.

Neben der Rechnung gibt es auch Quittungen und Eigenbelege, die ebenfalls unter dem Oberbegriff der Fakturierung zusammengefasst werden. Auch diese beiden Belege unterscheiden sich in ihren Details, sodass in der Rechnungslegung alle drei Elemente einen wichtigen Stellenwert einnehmen. Möchten Sie sich Grundkenntnisse in der Finanzwelt aneignen, ist es wichtig, dass Sie den Unterschied kennen.

Die klassische Rechnung

Kaufleute und Dienstleister arbeiten trotz der Digitalisierung nach wie vor mit einer Rechnung. Zwar hat sich die Art der Rechnungslegung verändert, nicht aber der Zweck und Nutzen. Immer weniger Rechnung werden handschriftlich auf dem Papier gestellt, obwohl dies theoretisch immer noch möglich und erlaubt ist. Ein Problem ergibt sich aus der Archivierung und Vervielfältigung der handschriftlichen Rechnungen. Oftmals gibt es nur ein einziges Exemplar. Sollte dies abhanden kommen, ist es sowohl für den Händler als auch für den Kunden schwierig, die Dienstleistung nachzuweisen. Auch erweist sich das Stellen einer handschriftlichen Rechnung schwieriger als die elektronische Form.

Die elektronische Rechnung hat sich mittlerweile im Handel und im Dienstleistungsbereich etabliert. Neben der einfachen und automatischen Erstellung ergeben sich weitere Vorteile aus der elektronischen Rechnungsstellung. Diese kann beliebig oft vervielfältigt werden. Auch das Archivieren gestaltet sich einfacher, als dies bei einer handschriftlichen Rechnung möglich ist. Darüber hinaus ist es sehr einfach möglich, die Dokumente an die Finanzämter oder an eine andere Stelle zur Rechnungslegung zu überführen. Aus diesen Gründen konnte sich die elektronische Rechnungsstellung mittlerweile in der Finanzwelt durchsetzen.

Erstellen einer Quittung

Faktura

Quittungen sind Zahlungsbelege

Eine Quittung dient als Beleg für eine Zahlung, die sofort und in bar ausgeführt wird. Da sich der Anteil der Barzahlungen zugunsten des elektronischen und bargeldlosen Zahlungsverkehrs in den letzten Jahren deutlich verringert hat, gibt es auch immer weniger Quittungen.

Eine Quittung kann handschriftlich erstellt oder über einen PC oder Laptop ausgedruckt werden. Sie enthält den gezahlten Betrag und den Verwendungszweck. Der Empfänger der Geldleistung unterschreibt auf der Quittung. Handelt es sich um eine Zahlung an die Behörden, ist die Quittung nur mit einem Stempel und der entsprechenden Unterschrift gültig.

Es ist empfehlenswert, wenn Sie Quittungen mindestens drei Jahre aufheben. Die Quittung ist neben der Anwesenheit eines Zeugen die einzige Möglichkeit, eine Barzahlung nachzuweisen. Ausstehende Zahlungen können mindestens drei Jahre eingefordert werden. Erst danach gelten sie als verjährt. Bevor Sie eine Quittung verwerfen, sollten Sie beachten, dass die Verjährungsfrist erst ab dem Ende des Jahres beginnt, in dem die Quittung erstellt wurde. Haben Sie im Januar eines Jahres eine Quittung für eine Barzahlung erhalten, beginnt die Verjährungsfrist erst am ersten Januar des darauffolgenden Jahres zu laufen und währt somit fast vier Jahre.

Eigenbeleg ausstellen

In der Buchhaltung ist es ein wichtiger Grundsatz, dass alle Posten eines Belegs bedürfen. Kann für einen Posten kein Beleg nachgewiesen werden, ist eine Verbuchung nicht möglich. Dies gilt nicht nur für größere Posten, sondern auch für Kleinbeträge. Möchten Sie eine von Ihnen geleistete Zahlung nachweisen, ist es erlaubt, einen Eigenbeleg auszustellen. Auf diesem Eigenbeleg stellen Sie dar, wie hoch die Zahlung war, die Sie verbuchen lassen möchten, und wer diese Zahlung empfangen hat.

Die Ausstellung von Eigenbelegen ist grundsätzlich anerkannt. Es gibt jedoch eine Einschränkung, und diese betrifft die Nachweispflicht. Da Sie den Eigenbeleg selbst unterschreiben, ist eine Willkürlichkeit in jedem Fall auszuschließen. Möchten Sie beispielsweise ein Trinkgeld steuerlich absetzen und dafür einen Eigenbeleg ausstellen, weil Sie das Trinkgeld bar entrichtet haben, ist es empfehlenswert, wenn Sie auch eine Kopie der Rechnung einreichen. So gelingt Ihnen der Nachweis, dass Sie das Restaurant zur angegebenen Zeit auch tatsächlich besucht haben.

Für die Anerkennung eines Eigenbelegs fordern die Finanzämter häufig eine Begründung. Diese stellt die Grundlage für die Akzeptanz des geltend gemachten Betrages. Möchten Sie keine Zweifel und Nachfragen aufkommen lassen, liefern Sie diese Begründung für den Eigenbeleg sofort bei der Geltendmachung des Betrages. So beugen Sie Nachfragen vor und stellen eine schnelle Bearbeitung sicher.

Bargeld als wichtiges Zahlungsmittel in Deutschland

Bargeld ist in Deutschland noch sehr beliebt

Neben der Rechnung sind die Quittung und der Eigenbeleg gerade in Deutschland wichtige Elemente der Faktura. Im Gegensatz zu anderen Ländern ist Bargeld in Deutschland trotz moderner elektronischer Zahlungsvarianten sehr beliebt und kommt weiterhin in allen Bereichen zum Einsatz. Dies ist einer der Gründe dafür, dass der Begriff der Faktura in Deutschland weiter differenziert wird, während er in anderen Länder ausschließlich für die Rechnungsstellung verwendet wird. Deutschland ist eines der wenigen europäischen Länder, in denen Bargeld nach wie vor einen sehr großen Stellenwert hat.

Fakturierung – ein Element der Buchhaltung

In der Finanzwelt umfasst die Fakturierung alle Abläufe, die mit der Zahlung von Rechnungen in Zusammenhang stehen. Bei pünktlicher Begleichung der Rechnung wird diese auf das Konto des Kunden gebucht, sodass es ausgeglichen ist. Aber auch Mahnverfahren, die notwendig sind, wenn ein Kunde nicht zahlt, werden zu der Fakturierung hinzugezählt.

Die Fakturierung umfasst auch weitere Tätigkeiten, die im Rahmen der Rechnungslegung anfallen. Dazu gehört unter anderem die Erstellung von Gutschriften, wenn Kunden eine Ware zurückgesendet oder per Vorlasse bezahlt haben. Bei der Arbeit mit Rabattsystemen ist es ebenfalls wichtig, die entsprechenden Vorteile auf die Konten der Kunden einzuspielen.

Fazit:

Der Unterschied zwischen einer Rechnung und der Faktura kann in der Finanzwelt definiert werden. Im allgemeinen Sprachgebrauch ist es jedoch auch üblich, die Begriffe Rechnung und Faktura einheitlich zu verwenden. Dies ist vor allem in Ländern wie Österreich und der Schweiz zu beobachten, weil sich der Sprachgebrauch von dem in Deutschland in Details unterscheidet.

WLAN: Was es ist und wie es funktioniert

,

WLAN ist die geläufige Abkürzung für „Wireless Local Area Network“ und beschreibt sämtliche drahtlosen Netzwerke. In der Regel sind damit Funknetz-Standards aus einer bestimmten Normreihe gemeint. In manchen Ländern außerhalb Deutschlands werden diese WLAN-Standards unter der Bezeichnung Wi-Fi zusammengefasst. Zum WLAN gehören im Prinzip sämtliche Techniken und Standards, mit denen Sie lokale Funknetzwerke aufbauen können, darunter auch Bluetooth und Home RF.

Warum hat das WLAN sich so deutlich durchgesetzt?

Das digitale Zeitalter setzt nicht nur in der Arbeitswelt eine nachhaltige Mobilität voraus. Selbst wenn es hier in erster Linie um die Verarbeitung und Übertragung von Daten betrifft, nimmt das Funknetz auch im privaten Bereich immer größeren Raum ein. Das Wireless LAN erfüllt dabei gleich wenigstens drei unterschiedliche Anforderungen:

1. Der Zugang zum Netz wird für mobile Endgeräte deutlich vereinfacht.
2. Die Reichweite kabelgebundener Netzwerke kann vor allem an Stellen effektiv erweitert werden, die nur schwer zugänglich sind.
3. Für den provisorischen Aufbau eines Netzwerks auf Funktechnik-Basis ist WLAN eine häufig genutzte Option.

Der IEEE-Standard

WLAN

Mithilfe des WLAN das ganze Haus steuern

Der Begriff WLAN wird ausdrücklich für Funknetzwerke verwendet, die auf der IEEE-Norm aufbauen. Die Abkürzung IEEE steht für „Institute of Electrical and Electronics Engineers. Dieses Institut hat im Jahr 1997 zum ersten Mal den heute noch genutzten IEEE 802.11-Standard verabschiedet.

Der mehr als 20 Jahre alte Standard ist längst überholt und wurde zwischenzeitlich mehrfach ergänzt und aktualisiert. So existiert heute zum Beispiel der 802.11 ad. Er ermöglicht sehr hohe Bandbreiten, erlaubt aber lediglich eine Reichweite von einigen Metern.

Seit der Einführung des Standards 802.11 n kann WLAN häufiger auf ein 5 GHz-Band zurückgreifen. Bis dahin stand lediglich das 2,4 GHz-Band zur Verfügung, die Übertragungsraten lagen unter zwei Mbit/s.

Die so genannten Mesh-Netzwerke sind die neueste Entwicklung und tragen die Bezeichnung IEEE 802.11s. Es handelt sich dabei um vermaschte bzw. sich selbst vermaschende Netzwerke, die niemals aus nur einem Access Point bzw. WLAN-Router bestehen, sondern sich immer aus mehreren Access Points zusammensetzen.

Die unterschiedlichen Modi der Datenübertragung

Hinsichtlich der Art und Weise, wie Sie Daten zwischen den Clients im Netzwerk übertragen möchten, stehen Ihnen im WLAN-Betrieb zwei unterschiedliche Modi zur Verfügung: der Infrastruktur-Modus und der Ad-hoc-Modus.

1. WLAN im Infrastruktur-Modus

Den Datenverkehr koordinieren WLAN-Router oder ein Access Point. Diese stellen die so bezeichnete Basisstation dar und steuern grundsätzlich die Kommunikation. Für die Einbindung von Clients in solche Netzwerke benötigen Sie sowohl den Namen des Netzwerks als auch die verwendete Verschlüsselung.

Im Infrastruktur-Modus können Sie die Reichweite des Funknetzes per WLAN-Repeater jederzeit erweitern.

2. Wireless LAN im Ad-hoc-Modus

Sicherheit spielt hier auch eine Rolle

Im Ad-hoc-Netzwerk können sämtliche Clients direkt miteinander Daten austauschen, ohne dass sie auf einen Access Point oder einen Router zugreifen müssen. Die Einrichtung dieses Netzwerks ist vergleichsweise einfach, außerdem zeichnet sich dieser Modus durch ein hohes Übertragungstempo aus.

Auch hier müssen sich die Teilnehmer über den Netzwerknamen sowie über eine Verschlüsselung identifizieren, um sich einschalten zu können. Aufgrund der direkten Kommunikation der einzelnen Clients ist die Reichweite eines Ad-hoc-Netzwerks allerdings stark eingeschränkt.

Die Grundlagen für ein Ad-hoc-Netzwerk schafft ein Wireless Distribution System (WDS). Dabei handelt es sich um ein Adressierungs-Verfahren, das dem IEEE-Standard 802.11 entspricht und auch anspruchsvolle Netzwerk-Aufbauten ermöglicht.

Sicherheit und Verschlüsselung

WLAN-Netze müssen insofern abgesichert werden, dass weder ein unerlaubter Zugriff von außen noch ein Abfangen der Datenströme möglich ist. Handelsübliche Router ermöglichen dem Nutzer dazu drei unterschiedliche Verschlüsselungs-Varianten:

– WPA
– WPA2
– WPA + WPA2

Die drei Standards wirken sich sowohl auf die Sicherheit des Netzwerks aus als auch auf die Geschwindigkeit der Datenübertragung im WLAN. WPA steht für Wireless Protected Access.

Mit WPA nutzen Sie die Methode TKIP zur Verschlüsselung. TKIP steht für Temporal Key Integrity Protocol. Die Übertragungsgeschwindigkeit ist hier auf 54 Mbit/s beschränkt. Die aktuell sicherste Verschlüsselung erreichen Sie mit WPA2. Diese nutzt die Methode CCMP. Hier sind Geschwindigkeiten von mehr als 150 Mbit/s möglich.

Darüber hinaus gibt es den Mixed Mode, der sich aus WPA und WPA2 zusammensetzt. Damit können Sie sowohl ältere als auch moderne Geräte ins Netzwerk einbinden. Die Geschwindigkeit der Funkverbindung ist allerdings langsamer.

WEP: veraltet und nicht sicher

Das WLAN sollte verschlüsselt sein

WEP steht für Wired Equivalent Privacy. Dieser Verschlüsselungsstandard stammt aus dem Jahr 1999 und entspricht dem Standard IEEE 802.11. Seit 2013 dürfen Access Points die Verschlüsselung per WEP nicht mehr anbieten; seit 2014 dürfen auch WLAN-Geräte wie Sticks und Notebooks kein WEP mehr unterstützen.

Das grundsätzliche Problem liegt darin, dass WEP für die Verschlüsselung, für die Authentifizierung und für die Integritätsprüfung immer die gleichen Schlüssel verwendet. Der WEP-Schlüssel lässt sich verhältnismäßig einfach berechnen, und selbst ein nicht professioneller Hacker hat sich innerhalb weniger Minuten Zugriff zum WLAN verschafft.

Der neue Standard: WPA3

Dieser Standard stammt aus dem Jahr 2018 und kann als Update des WPA2 betrachtet werden. Er enthält neue Funktionen, vereinfacht die Authentifizierung und erhöht die Sicherheit der Verschlüsselung.

Insgesamt bietet der neue Standard folgende Vorteile:

– Die Authentifizierung ist robuster, die Kryptografie deutlich verbessert.
– Jedes einzelne Gerät lässt sich individuell verschlüsseln.
– Die Verschlüsselung der Geräte ohne Bedienelemente lässt sich einfacher konfigurieren.
– WPA3-Geräte können mit WPA2-Geräten zusammenarbeiten.

Optimierung des WLAN durch effiziente Maßnahmen

1. MIMO-Technologie (MIMO = Multiple Input Multiple Output)

WLAN ist kabellos

WLAN-Router arbeiten mit Funkwellen, die gelegentlich interferiert und reflektiert werden. Trifft ein Funkwellenberg auf ein Wellental, löschen die Wellen einander aus, der Funkverkehr bricht zusammen.

Router mit der MIMO-Technik verfügen über mehrere Antennen und können die Reflexionen aktiv für die Datenübertragung nutzen. Aktuell sind Router mit der Multi-User-MIMO-Technik auf dem Markt. Diese Technologie ermöglicht es den Basis-Stationen, bis zu vier Clients gleichzeitig anzufunken. Bei Bedarf können Sie entsprechende Repeater nutzen, um die Reichweite zu verstärken.

2. Band Steering

Das Band Steering ist die aktuellste Entwicklung, mit der sowohl die Stabilität als auch die Leistungsfähigkeit eines Wireless LAN signifikant verbessert werden. Diese Technik konzentriert vor allem auf Dual-Band-Geräte wie Smartphones und Tablets: Entweder werden diese mobilen Endgeräte gleich einer weniger stark belasteten WLAN-Frequenz zugeordnet, oder sie werden bei Bedarf dorthin umgebucht.

Die beiden Frequenzbänder weisen unterschiedliche Reichweiten auf. Nutzen Sie einen Router oder einen Access Point mit integriertem Band Steering, berücksichtigt er dies. Er weist den Dual-Band-Geräten das jeweils optimale Frequenzband zu – auch in Abhängigkeit der jeweiligen Signalstärke.

Was ist eine SSD?

,
SSD

Die drei Buchstaben SSD sind das Akronym für „Solid State Drive“. Eine SSD ist ein Massenspeicher für Daten ähnlich einer Festplatte (HDD). Im Gegensatz zu einer HDD nutzt eine SSD jedoch keine rotierenden Scheiben und bewegliche Schreib- / Leseköpfe sondern spezielle Chips, um Daten zu speichern. SSDs sind daher in der Regel weniger anfällig für Erschütterungen und Stöße. Sie sind zudem leise und bieten schneller Zugriffszeiten sowie geringere Latenzzeiten als eine HDD.

Geschichte der SSD

SSDs haben ihren Ursprung in den 50ern

Solid State Drives haben ihren Ursprung in den 1950er Jahren. Die ersten Geräte nutzten Magnetkernspeicher und sogenannte Card Capacitor Read-Only Store (CCROS). Diese damals noch als Hilfsspeichereinheiten bezeichneten SSDs entstanden während der Ära der Vakuumröhrencomputer. Mit der Einführung von billigeren Trommelspeichersystemen und den darauf folgenden HDDs wurde diese Technik wegen der hohen Kosten jedoch wieder aufgegeben.

In den 1970er und 1980er Jahren wurden SSDs in Halbleiterspeichern für frühe IBM-, Amdahl– und Cray-Supercomputer genutzt. Sie wurden wegen des unerschwinglich hohen Preises jedoch nur selten verwendet. Anfang 1995 wurde die Einführung der ersten Flash-basierten Solid-State-Laufwerken angekündigt. Diese Speicher hatten den Vorteil, dass keine Batterien erforderlich waren, um die Daten im Speicher zu halten, was bei den früheren flüchtigen Speichersystemen erforderlich war.

Ab diesem Zeitpunkt wurden SSDs zunehmend als Ersatz für Festplatten zunächst durch die Militär- und Luftfahrtindustrie sowie für unternehmenskritische Anwendungen eingesetzt. Diese Anwendungen erfordern eine außergewöhnlich lange Zeit zwischen Ausfällen (MTBF) des Speichermediums. Diese Eigenschaft bieten Solid-State-Drives aufgrund ihrer Fähigkeit, extremen Schock-, Vibrations– und Temperaturbereichen zu widerstehen.

Wie funktioniert eine SSD?

Im Prinzip besteht eine SSD nur aus einigen Speicherchips auf einer Platine mit einer In / Out-Schnittstelle, die Energie zuführt und Daten überträgt. Im Gegensatz zu herkömmlichen Festplattenlaufwerken gibt es bei einer SSD keinen Aktuatorarm, der sich über eine drehende Magnetplatte bewegen muss, um Daten zu lesen oder zu schreiben.

Die meisten SSDs verwenden „Negative AND“ Speicherchips, die sogenannten NAND-Flash-Speicher. NAND-Speicher sind relativ stabil und halten jahrelang. In diesen Speichern werden die Daten als Bits gespeichert. Es gibt drei Arten von Speichern, die bei SSDs verwendet werden:

Single-level cell (SLC)
Multi-level cell (MLC)
Triple-level cell (TLC)

Erläuterung der drei Arten

SSD-Zellen können ein bis drei Datenbits speichern

Single-level cell (SLC): Diese Zellen können jeweils nur ein Daten-Bit speichern – entweder eine 1 oder eine 0. Es gibt also nur zwei mögliche Werte, die in jeder Zelle gespeichert und wieder gelesen werden können. Aus diesem Grund ist der SLC-Speicher beim Schreiben von Daten sehr schnell und präzise. Zudem benötigen sie von allen NAND-Flash-Speichern die geringste Menge an Energie und halten am längsten. Allerdings ist diese Technologie auch die teuersteSLCSSDs werden normalerweise aufgrund ihres hohen Preises in Unternehmen verwendet, sind jedoch auch für private Nutzer für verfügbar.

Multi-level cell (MLC): Diese Zellen können jeweils zwei Datenbits pro Zelle speichern – eine 1 und eine 0. Da eine Multi-Level-Zelle beide Bits enthalten kann, gibt es vier mögliche Werte: 00, 01, 10 und 11. Ein MLC-Speicher kann somit eine größere Datenmenge speichern, ohne dass die physikalische Größe des Speichers zunimmt. Sie sind zu einem günstigeren Preis verfügbar, haben jedoch langsamere Schreibgeschwindigkeiten und sind weniger genau. Sie verbrauchen zudem mehr Strom und verschleißen aufgrund des erhöhten Stromverbrauchs etwa 10 mal schneller als der SLC-Speicher.

Triple-level cell (TLC): Diese Zellen können jeweils drei Datenbits pro Zelle speichern und sind in großen Speichergrößen zu einem günstigen Preis verfügbar. Der Kompromiss besteht bei Triple-Level-Zellen in einer langsameren Lese- und Schreibgeschwindigkeit und einer geringeren Präzision sowie in einer verringerten Lebensdauer durch den erhöhten Stromverbrauch.

Mehr Speicherkapazität durch neue Technologien

Die ersten SSDs enthielten nur 5 bis maximal 10 NAND-Chips mit einer ansprechend begrenzten Speicherkapazität. Zudem waren diese SSD noch sehr teuer. Neue Technologien ermöglichen NAND-Chips mit einer wesentlich größeren Speicherkapazität. Vertikales NAND (V-NAND) ist ein relativ neuer Ansatz, bei dem die Zellen übereinander gestapelt werden. Die Zellen behalten dabei die gleiche Leistung. Dadurch können große Speicherkapazitäten erreicht werden, ohne, dass die Chips selbst wesentlich größer werden. Beispielsweise kann ein einzelner V-NAND-Chip mit 48 Ebenen 32 GB Daten speichern. Eine 4 TB SSD enthält dementsprechend 125 separate V-NAND-Chips.

Alle NAND-Speicher sind mit einem sogenannten ECC (Error Correcting Code) ausgestattet. Der ECC dient zur Behebung von Fehlern, die beim Schreiben und Lesen von Daten auf der SSD auftreten. Die Zellen funktionieren dadurch weiterhin ordnungsgemäß, und die Funktionsfähigkeit der SSD bleibt erhalten.

Die Vorteile von SSDs

SSD

SSDs arbeiten zuverlässig und sind langlebiger

Solid State Drives bieten viele Vorteile gegenüber herkömmlichen mechanischen Festplattenlaufwerken. Die meisten dieser Vorteile ergeben sich aus der Tatsache, dass SSDs keine beweglichen Teile verwenden. Sie arbeiten daher sehr zuverlässig in Umgebungen mit hohen Schock- und Vibrationsbelastungen und extremen Temperaturen. Dieses Merkmal ist für tragbare Systeme ein wichtiger Faktor. Das Risiko eines mechanischen Versagens wird durch den Mangel an beweglichen Teilen nahezu vollständig eliminiert.

In Bezug auf Messungen, Tests und industrielle Anwendungen sind Datenzugriffszeiten von großer Bedeutung. Da eine SSD keine Laufwerksköpfe wie bei einer herkömmlichen Festplatte bewegen oder hochfahren muss, können Daten fast ohne Verzögerung abgerufen werden. Aufgrund des Fehlens der mechanischen Verzögerungen zeigen SSDs signifikant höhere Lese- und Schreibraten.

Dieser Leistungsschub erhöht die Benutzerproduktivität, da durch die hohen Datenlese– und –schreibgeschwindigkeiten ein schnelleres Laden von Anwendungen und eine geringere Systemstartzeit möglich sind. SSDs bieten nicht nur schnellere Lese- und Schreibgeschwindigkeiten als herkömmliche Festplatten, sondern auch eine bessere deterministische Leistung. Im Gegensatz zu normalen HDDs ist die Leistung einer SLC SSD über den gesamten Speicherplatz nahezu konstant. Dies liegt an den konstanten Suchzeiten, die ein Solid-State-Laufwerk bietet.

Für tragbare Systeme, die von Akkus mit Energie versorgt werden, spielt der Stromverbrauch eine wichtige Rolle. In diesem Punkt sind SSDs den HDDs deutlich überlegen. SSDs verbrauchen wesentlich weniger Energie als herkömmliche HDDs, da kein Strom zum Antrieb von Motoren benötigt wird.

Nachteile von SSDs

Nach wie vor sind Consumer-SSDs teurer als HDDs mit gleicher Speicherkapazität. Der Preis pro GB Speicher ist bei SSDs immer noch höher. Die Speicherchips in einer SSD ermöglichen zudem nur eine begrenzte Anzahl von Schreibzyklen, was zu einem nicht wiederherstellbaren Datenverlust führen kann. Eine SSD kann kein einzelnes Informationsbit schreiben, ohne zuerst sehr große Datenblöcke zu löschen und dann erneut zu schreiben. Wenn eine Zelle diesen Zyklus durchläuft, „verschleißt“ sie ein wenig.
Dieser langsam voranschreitende Prozess beeinflusst jedoch nicht die Lesefähigkeit der gesamten SSD. Zudem übersteigt die Lebensdauer einer SSD aufgrund technologischer Fortschritte in der Regel den Produktlebenszyklus eines Computers, sodass dieser Nachteil kaum zum Tragen kommt. Allerdings, wenn der Controller-Chip, der Speichercache oder einer der Speicherchips physisch beschädigt wurde, sind die Daten möglicherweise vollständig unzugänglich.

Berühmt, berüchtigt, digital – was sind eigentlich Hacker?

,

In der öffentlichen Wahrnehmung sitzen sie in dunklen Stuben vor ihrem Computer. Sie lehnen in schwarzen Hoodies über ihrem Laptop und prellen Unschuldige um ihr Erspartes: Hacker. Doch was steckt tatsächlich hinter dem Computerhacker. Wie verschaffen sie sich Zugriff auf Rechner und Netzwerke und sind Hacker wirklich immer Kriminelle?

Hier geht es um den Begriff des Hackers, die Definition und die wichtigsten Persönlichkeiten. Und natürlich auch um die gängigsten Klischees und deren Entkräftung.

Der Computer gehört nicht zwangsläufig zum Hacker

Klischeebild eines Hackers

Der Begriff des Hackens hat inzwischen seine ursprüngliche Bedeutung in der Popkultur fast schon zurückgewonnen. Bei kreativen Lösungen und beim Tüfteln spricht man vom HackenZopfgummis als Kabelsortierer etwa sind ein Life-Hack.

Entsprechend ist der Begriff des Hackens auch älter als der des Computerhackers. Es geht beim Hacken eher darum, kreative Lösungen zu finden und Probleme zu lösen. Das können kleinere Probleme des Alltags sein, aber eben auch Sicherheitslücken in Programmen und Websites. Der Begriff ist eigentlich gleich mehrfach neutral besetzt, auch moralisch.

Hacker früher und heute

In den 1950er Jahren fanden Hacker dann im Computer ein neues Tool. Sie suchten sich Wege, die Programme und die Technik auszuloten. Mit der Einführung der Vernetzung und der Verbreitung des PC in Haushalten in den 1980er Jahren gewannen Hacker und die gesamte Hackerszene zunehmend an Bedeutung.

Durch das Sammeln privater Nutzer- und Bankdaten, das Aufbrechen von Sicherheitsmechanismen und das Knacken von Datenbanken von Websites oder Phishing bekam der Begriff eine negative Konnotation. Dabei ist der Sammelbegriff für diese Form der Internetkriminalität und den Cyber-Terrorismus eigentlich Cracker.

Phishing, Mal- und Ransomware – die kriminellen Methoden der Cracker

Hacker

Ein Hacker ist nicht zwangsläufig kriminell

In der Hackerszene ist man darauf bedacht, den Begriff des Hackers von dem des Crackers deutlich zu trennen. Angelehnt an den klassischen Western ist im Englischen auch von „White Hats“ und den böswilligen „Black Hats“ die Rede.

So sind es eben Cracker, die mit verschiedenen Formen der Cyberkriminalität versuchen, auf Computer von Nutzern Zugriff zu erhalten. Dies kann verschiedene Formen annehmen. Mal geht es nur darum, blanken Schaden anzurichten. In solchen Fällen werden Anhänge verschickt, welche Computer mit einem Virus infizieren und eine Nutzung unmöglich machen.

Solche Malware kann aber auch nach sensiblen Informationen wie Bankdaten oder persönlichen Fotos suchen oder aber den Computer als Geisel nehmen. Ransomware übernimmt den Rechner und macht eine Nutzung unmöglich, es sei denn der Nutzer zahlt ein Lösegeld.

Auch Phishing-Versuche wie falsche Warnungen zu Konten, Kreditkarten, PayPal oder Phishing-Versuche (wie der nigerianische Prinz) werden oft landläufig als Hacking bezeichnet. Allerdings sind solche Taktiken eher verpönt.

In der Hackerethik ist die verbreitete Sichtweise, dass ein Eindringen (auch böswilliges) in geschlossene Systeme so lange in Ordnung ist wie kein Schaden angerichtet wird.

Hacker und ihr Nutzen für Unternehmen

Große Unternehmen setzen auf Hacker. Start Ups wie Facebook und Google veranstalten regelmäßig sogenannte Hackathons. Hier probieren die Programmierer sich in langen Sessions aus und lassen ihre Kreativität arbeiten.

Auch im Sicherheitsbereich braucht die Industrie Hacker, ansonsten werden Sicherheitslücken am Computer oder in einem Programm eben erst dann bemerkt, wenn es zu spät ist. Wird eine Lücke frühzeitig entdeckt (entweder intern oder durch vergleichsweise harmlose Hacks), so kann sie geschlossen werde, ehe es wirklich zu spät ist.

Denn durch böswillige Hacks wie die massenhafte Erbeutung von Kreditkartendaten bei Sony, Brute Force-Attacken gegen Apples iCloud oder die vorgebliche Akquise von Nutzerdaten der Datingseite Ashley Madison können Unternehmen in ernsthafte Schwierigkeiten geraten. Mit dem Verlust des Kundenvertrauens geht schließlich auch ein finanzieller Verlust einher. Alleine deswegen sind „gesunde“ Hacks auch im wirtschaftlichen Interesse von Unternehmen.

Sind Hacker eine Gefahr für die moderne Informationswelt?

Hacking kann auch sinnvoll sein

Eine große Gefahr, die derzeit am Computer entsteht, und wirklich massive Auswirkungen auf unsere Informationslandschaft und die westliche Demokratie hat, hat mit Hacks nicht einmal etwas zu tunCyberangriffe wie die koordinierten Desinformationskampagnen vor den US-Wahlen fallen nicht unter die Kategorie Hacking. Plattformen wie Facebook und Twitter wurden nicht gehackt, sondern wie vorgesehen genutzt und so missbraucht.

Organisationen wie der deutsche CCC (Chaos Computer Club) haben sich sogar einer sehr deutlichen Ethik verschrieben. Und diese steht eigentlich im Sinne einer besseren Informationskultur und des Datenschutzes der Nutzer: weniger Überwachung, dafür mehr Information und Archivierung durch Verbreitung.

Die Entstehung von „Open Source“

Bereits in den 80ern entwickelte sich in den USA eine Open Source-Kultur, welche quelloffene Programme erstellte. Oder aber die Quellcodes von Programmen veröffentlichte. Daraus entstanden etwa die Betriebssysteme Linux, die Variante Ubuntu, die Photoshop-Alternative GIMP oder Open Office. Die Öffnung des zugrunde liegenden Codes ermöglichte es der Community, beständig Verbesserungen vorzunehmen und entzog die Programme einer zentralisierten Kontrolle. Zudem kann man Lücken und Fehler im Code schneller finden und ausmerzen.

Auch im Sinne einer Software-Archivierung ist die „Erbeutung“ von Programmen relevant, diese Form der Piraterie ist oftmals die einzige Möglichkeit der Erhaltung. Wenn Unternehmen ältere Programmversionen aus ihrem Angebot nehmen, verschwinden diese inzwischen ganz. Ohne physische Medien geht so ein Teil der Informationsgesellschaft verloren. Hacking und Piraterie sind hier – wenn auch nicht legal – die einzigen Wege eines schlüssigen Informationsverzeichnisses.

Hacking auf staatlicher Ebene

Die Guy Fawkes-Maske verbinden viele mit Hackern

Auch auf staatlicher Ebene werden indes Hacker eingesetzt, Deutschland zog mit einer Cyber-Initiative der Bundeswehr vor einigen Jahren erst etwas spät nach. Der Cyber-Terrorismus stellt eine reale Gefahr dar, die im großen Stile sensible Daten erbeuten kann und Infrastruktur wie Stromnetze gefährdet.

Staaten wie Nordkorea stehen seit längerem im Verdacht, durch Hacking an Bitcoin-Börsen eine unauffällige Finanzquelle zu unterhalten. Auch Russland unterhält mehrere Divisionen der Cyber-Kriegsführung. Die Gefahr ist also durchaus real, typisch für den Hacker und die klassische Ethik der Freiheit ist dies allerdings nicht.

Dies hat seit einigen Jahren sogar zu einer besonderen Kategorie unter Hackern geführt, den sogenannten Hacktivists. Diese Mischung aus Hackern und Aktivisten nutzen nichtautorisierte Zugriffe auf Systeme, um auf Missstände und Gefahren hinzuweisen oder gegen illegale Aktivitäten (auch von Regierungen) aufmerksam zu machen.

Die „Namen“ der Szene – einige der größten Hacker

Ein Bild, das immer wieder mit Hackern assoziiert wird, ist der Mann mit der Guy Fawkes-Maske, der am Rechner sitzt. Die Maske erlangte durch den Film „V for Vendetta“ Berühmtheit in der Popkultur und ist ein Symbol des Putsches, historisch bedingt durch den Kanonenpulverplot gegen das britische Parlament.

Die Maske steht außerdem in Verbindung zur Gruppe Anonymous, die seit den frühen 2000ern vage organisiert für soziale Gerechtigkeit steht bzw. stand. Anonymous sind eher digitale Whistleblower, die sich vor Jahren einen Streit mit Scientology lieferten.

Beispiele einzelner bekannter Hacker

Die meisten Hacker bleiben anonym

Einer der Urväter des Hackings ist der US-Amerikaner Kevin Mitnick, in den frühen 80ern hackte er sich ins nordamerikanische Verteidigungsnetzwerk NORAD, später verkaufte er Sicherheitslücken an Meistbietende.

Ein klassisches Beispiel für einen „White Hat“ ist der Amerikaner Adrian Lamo, der aufgrund seiner minimalistischen Ausrüstung und seines Auftretens mit nichts als einem Rucksack auch obdachloser Hacker genannt wurde. Lamo manipulierte etwa Presseartikel und kontaktierte seine Opfer, bisweilen beseitigte er den von ihm zugefügten Schaden sogar.

Deutlich gefährlicher wurde es etwa im Falle des Hackers ASTRA. Ein griechischer Mathematiker, dessen Identität nie öffentlich wurde, erbeutete Software und Datensätze zu Waffentechnologien, die er verkaufte – 2008 wurde er allerdings verhaftet.

Kein System ist sicher

Hacker rein moralisch zu beurteilen ist zu kurz gegriffen. Die teils legale, teils illegale und teils in der Grauzone befindliche Arbeit am Computer ist ein komplexes Feld. Deswegen sollte Hacking keinesfalls auf CyberkriminalitätPhishing und Trojaner reduziert werden.

Vielmehr geht es bei dem Begriff des Computerhackers – ohne Wertung – um die kreative Ausnutzung von Sicherheitslücken, Schwachstellen und Exploits (also ausnutzbaren Fehlern). Diese Denkweise ist, solange kein Schaden entsteht, wichtig für die Softwareoptimierung und die Sicherheit jedes Einzelnen am Computer.

Doch natürlich ist Hacking ein stetes Spannungsfeld zwischen Lausbubenstreich, Freiheitsstreben, böswilligen Angriffen und koordiniertem Aktivismus. Aber so ist dies natürlich nicht nur beim Computerhacking, sondern bei allen kreativen Strategien, die neue Prozesse zu erkunden suchen.

Elektronische Archivierung – Herausforderungen und Lösungen

,

Viele denken bei elektronischer Archivierung an eine andere Form der Ablage. Statt dem Abheften in Ordnern erfolgt ein Scannen der Dokumente. Die elektronischen Dateien wandern digitalisiert in Computersysteme, sind beispielsweise auf Festplatten und anderen Speichermedien abgelegt. Der altvertraute Ordner verwandelt sich also in Bits und Bytes im Computer, abgelegt in Foldern und Files.

Diese Vorstellung reflektiert einen kleinen Teil des Übergangs von der manuellen Form auf Papier in ein elektronisches Format. Elektronische Aufbewahrung beinhaltet mehr. Sie ist Teil eines Systems der Wertschöpfung zur Umformung von Informationen zu Wissen in elektronischer Form. Wie geschieht diese Transformation und wozu führt sie?

Parallelität der Inhalte von Dokumenten und Daten

Die digitale Archivierung ist weiter auf dem Vormarsch

Analoge Achive gibt es immer weniger

Es besteht eine Unterscheidung von Inhalten (Content) zwischen physischen Dokumenten und elektronischen Daten, mit denen die Inhalte gespeichert sind. Verträge und Begleitdokumente sind in Papierform die meistgenutzte Form. Die durchgehend elektronische Erstellung, Verarbeitung und Ablage ist in Teilbereichen der Industrie und Verwaltung erfolgt. Gleichförmige, wiederkehrende Geschäftsprozesse sind eine Voraussetzung. Aus rechtlichen Gründen sind für viele Vorgänge Unterschriften notwendig. Dokumente und Daten zu den gleichen Vorgängen sind mehrfach vorhanden.

Es stellt sich die Aufgabe der Reduzierung von Duplikaten (Deduplizierung)Deduplizierung ist in der Informationstechnik allerdings eine der größten technischen Herausforderungen. Eine Automatisierung nach logischen Prinzipien bedingt darüber hinaus menschliche Prüfvorgänge des Qualitätsmanagements durch Spezialisten (Revisionen, Audits).

Lebenszyklus elektronischer Archivierung

Der Lebenszyklus besitzt folgende fünf Phasen:

1. Entstehungsprozess von Dokumenten

Beispiel ist das Eröffnen eines Kontos bei einer Bank. Zu den Dokumenten sind hierzu Begleitunterlagen in Papierform notwendig wie Geschäftsbedingungen und rechtliche Hinweise, die vertragsbindend sind.

2. Transport

Die physischen Dokumente gelangen anschließend an einen Ort der Weiterverarbeitung (beispielsweise zum Scannen), zur Integration in andere Dokumente und Ablage, in physischer und elektronischer Form. Die Kosten von Transport und Weiterverarbeitung sind zudem ein großer Kostenblock im Lebenszyklus von Dokumenten und elektronischer Verarbeitung.

3. Hintergrundbearbeitung (Backoffice)

Elektronische Archivierung erfolgt in fünf Phasen

Prüf– und Verarbeitungsvorgänge dieser Instanz gewährleisten beispielsweise, dass alle Vorgänge fehlerfrei erfolgen (Validierung und Verifizierung). Die Hintergrundbearbeitung ist wie die Transportphase ebenfalls kostenintensiv. Qualifizierte Mitarbeiter sind notwendig.

4. Lagerung

Die Dokumente sind – ob Papier oder elektronisch – zu lagern, also zu archivieren. Elektronisch geschieht die Lagerung in Systemen der Informations- und Kommunikationstechnologie. Der Aufbau der Infrastruktur erfordert ebenfalls entsprechende Investitionen, laufende Unterhaltskosten und Expertenwissen.

5. Entsorgung

Nach Ablauf der Aufbewahrungsfristen sind die Dokumente allerdings zu entsorgen. Das gleiche geschieht mit den Daten. Während physische Dokumente sichtbar sind, ist es mit Daten komplizierter. Daten werden kopiert und die gleichen Daten sind mehrfach aufbewahrt.

Die Entsorgung (Löschung) von Daten stellt zudem hohe Anforderungen an Nachvollziehbarkeit durch Revisionsvorgänge (Audits). Hierfür sind Spezialisten aus den Bereichen von Informatik, Recht und aus der Betriebsorganisation notwendig.

Wertschöpfung

Eine Wertschöpfung entsteht, da Dokumente und Daten zur Erzeugung von Produkten und Dienstleistungen beitragen und notwendig sind (rechtliche Formvorschriften). Die Ablage in elektronischer Form ist ein Prozess aus dem genannten Lebenszyklus. Die Aufbewahrung erfolgt sowohl in den einzelnen Phasenschritten als auch abschließend mit der Endablage und Entsorgung.

Am Markt kann für die Produkte und Dienstleistungen ein bestimmter Preis erzielt werden, der profitabel ist. Die Verarbeitung der Dokumente und Archivierung in elektronischer Form stellt allerdings einen Kostenblock dar, der gering zu halten ist. Werte – der Gewinn – sinken, wenn beispielsweise die Kosten der elektronischen Verarbeitung und Archivierung durch Mängel der Geschäftsprozesse ungenügend sind.

Die gleichen Prinzipien gelten auch für den öffentlichen Sektor. Budgets aus Steuermitteln sind rationell einzusetzen.

Verminderung von Werten

Das Suchen von Dokumenten beansprucht viel Zeit

Hauptgründe für die Verminderung von Werten sind außerdem unzureichende Rationalisierung in den Hintergrundprozessen und die Vermehrung gleicher Daten in heterogenen elektronischen Archiven. Die Deduplizierung ist in der Informatik eine der größten Herausforderungen. Ein weiterer Faktor ist ferner das Suchen, Finden und Auswerten von elektronischen Dokumenten in den Archiven (Serversystemen). Untersuchungen in Großunternehmen ergaben dementsprechend einen beträchtlichen Werteverlust durch administrative – nicht wertschöpfende – Vorgänge.

Ein Viertel bis ein Drittel der Arbeitszeit wendet beispielsweise ein durchschnittlicher Mitarbeiter mit dem Suchen von relevanten elektronischen Dokumenten und zum aktuellen Stand (Versionstatus) auf. Teams verschwenden ebenfalls viel Zeit mit der Abstimmung unterschiedlicher Versionsstände, nicht auffindbaren und mit fehlerhaften elektronischen Dokumenten.

Technische und betriebswirtschaftliche Notwendigkeiten

Die elektronische Verarbeitung stellt daher hohe Anforderungen an die technische Infrastruktur. Die Daten sind in optimaler logischer Struktur zu erfassen, damit eine effiziente elektronische Ablage und Weiterverwendung erfolgt. Hauptanforderungen sind ergonomisch durchdachte Eingabesysteme für Mitarbeiter und automatisierte Erfassungssysteme durch Scannen.

Die Speicherung erfolgt in Datenbanksystemen. Herkömmliche Systeme arbeiten nach dem Prinzip von Zeilen und Spalten (relationale Zuordnung). Das heutige Datenaufkommen erfordert allerdings zunehmend ad-hoc Zugriffe, die schwer prognostizierbar sind. Neue Datenbanktechnologien sind demzufolge entstanden (nicht-relationale Verfahren wie NO-SQL). Bestehende technische Infrastrukturen müssen in neue Umgebungen kostenintensiv migriert werden.

Diesen Notwendigkeiten muss auch die Betriebsorganisation folgen. Der herkömmliche Aufbau einer klassischen hierarchischen Organisationsstruktur ist für moderne elektronische Ablageverfahren oftmals ungeeignet. Die schwer prognostizierbaren ad-hoc elektronischen Dokumentprozesse erfordern flexible, agile Organisationsformen. Das kann beispielsweise eine Matrixorganisation erfüllen. Ebenso sind die Geschäftsprozesse dem Wertschöpfungsprozess der genannten fünf Phasen des Lebenszyklus von elektronischer Dokumentation und Ablageverfahren anzupassen.

Gesetzliche Regeln und Anforderungen

Archivierung ist gesetzlich geregelt

Das Gesetz regelt die elektronische Archivierung

Die Ablage von Dokumenten in elektronischer Form ist überdies gesetzlich reglementiert. Das betrifft Themen der Revisionsfähigkeit(lückenloser Nachverfolgbarkeit) der Dokumente in materieller und elektronischer Form. Datensicherheit, Datenschutz und diverse Aufbewahrungsfristen stellen zudem hohe technische und organisatorische Anforderungen an die Betriebsorganisation und die Bereiche des öffentlichen Sektors.

Eine weitere Herausforderung ist die Identitätsprüfung und Zugriffsberechtigung (IAM=Identity & Access Management). Die Rollen und Berechtigungen erfordern Systeme, die organisatorisch und technisch den gesetzlichen Regeln und internen betrieblichen Bestimmungen entsprechen müssen.

Ob Privatpersonen, kleine, mittlere oder große Unternehmen, alle müssen sich diesen Herausforderungen des Gesetzesgebers stellen, die dazu von Jahr zu Jahr komplexer werden.

Fazit und Ausblick

Elektronische Archivierung ist ein umfangreicher Prozess, der den gesamten Prozess der betrieblichen Wertschöpfung betrifft. Privatpersonen sind durch gesetzliche Auflagen ebenso von der Thematik betroffen.

Die Realisierung eines optimalen Systems erfordert eine ganzheitliche Betrachtungsweise. Sie betrifft die durchgängige Gestaltung der Geschäftsprozesse zur elektronischen Ablage. Die Betriebsorganisation in Aufbau- und Ablauf muss für die entsprechende technische Infrastruktur gerüstet sein. Das betrifft vor allem die Beseitigung redundanter Vorgänge und Ablage mehrfacher gleicher Dokumente und Versionen. Das Suchen, Finden und Verwerten von Dokumenten hat ein beträchtliches Rationalisierungspotential.

Gesetzliche Auflagen und Anforderungen, die in Zukunft eher zunehmen, verlangen eine durchdachte Planung, Umsetzung und Weiterentwicklung elektronischer Archivierung.