Was tatsächlich dran ist am IT-Fachkräftemangel

Egal wie sich die Konjunktur entwickelt oder wie viele Arbeitslose es hat – Firmen klagen immer wieder über Fachkräftemangel. Wenn man pro zu besetzender Stelle nicht aus Dutzenden von Bewerbern auswählen kann oder diese es gar noch wagen Forderungen nach anständiger Bezahlung und humanen Arbeitsbedingungen zu stellen dann ist Holland in Not.

Tatsächlich dürfte der Fachkräftemangel zu großen Teilen ein inszenierter Fake der Industrieverbände wie BITKOM & co. gewesen sein. Zumindest in den letzten Jahren.

Doch inzwischen scheint sich diese selbsterfüllende Prophezeiung ganz allmählich zu bewahrheiten. Kürzlich las ich in der Zeitung dass Deutschland erstmals seit Anfang der 90er wieder weniger als 82 Millionen Einwohner hat. Bereits seit mehreren Jahren verringert sich die Anzahl Menschen im erwerbsfähigen Alter jährlich um einige Hunderttausend. Und jedes Jahr gibt es in Summe weniger Schulabgänger als im Jahr zuvor. Auch wandert inzwischen jährlich eine sechsstellige Zahl gut qualifizierter Menschen in andere Länder mit attraktiveren Arbeitsbedingungen und niedrigeren Steuern ab.

Allerdings haben wir auch jedes Jahr einen Produktivitätsanstieg durch Rationalisierung, so dass dieser zahlenmäßige Rückgang lange Zeit nur ein paar Statistiker und Demographen beunruhigte. Und die Abwanderung der Hochqualifizierten wurde zumindest zahlenmäßig durch Zuwanderung Geringqualifizierter in die Sozialsysteme kompensiert, wie Hans-Olaf Henkel kürzlich im Cicero bemängelte.

Doch Firmen sparten und sparen auch an der Aus- und Weiterbildung ihrer Beschäftigten, so dass aus willigen Arbeitnehmern kaum gefragte Fachkräfte werden konnten. Oder sie erwarten, dass ihnen die Fachkräfte vom Staat gratis geliefert werden. Doch der hat als Folge der Finanz- und Wirtschaftskrise anderes zu tun, als den Personalabteilungen in den Unternehmen Kosten und Arbeit abzunehmen. Selbst wenn die Arbeitsagenturen Milliardenbeträge für Kurzarbeit, Sozialbeitragssubventionierung und Fortbildung von Kurzarbeitern ausgeben (und damit ihre über Jahre aufgebauten Reserven innerhalb von nur neun Monaten aufbrauchten). Dieser in den letzten Jahren aufgelaufene Qualifizierungsstau wird die Verfügbarkeit von Experten aller Art in den kommenden Jahren zusätzlich drosseln.

In vielen Firmen scheitet die Fachkräfteaquise trotz krisenbedingt ergiebigem Arbeitsmarkt auch an unseriösem Auftreten oder schlichter Dummheit. So rät der Betreiber von „Code ist War“ Firmen bei der Suche nach Webentwicklern u.a. auf Personalvermittler zu verzichten, Anforderungsprofile mit Hilfe interner Fachleute statt durch Personaler zu erarbeiten, mögliche Kandidaten zur Bearbeitung einer Probeaufgabe oder für einen Probetag einzuladen und eher zwei statt einen Bewerber einzustellen. Entweder hat man so „auf Vorrat“ rekrutiert und nun Expansionspotential. Oder man kann sich innerhalb der Probezeit problemlos wieder trennen.

Aber auch in Internet-Foren artikuliert sich eine zunehmende Kritik an Personalern in Unternehmen sowie der Personalpolitik generell. Es scheint wohl etwas Grundsätzliches zwischen Unternehmen und Beschäftigten nicht mehr zu stimmen. Die bonigetriebene manageriale Quartalswirtschaft im Namen des Shareholder Value scheint durch zusätzliche Fehlsteuerung den Fachkräftemangel gerade erst herbeizuführen, den Industrieverbände bei jeder unpassenden Gelegenheit bejammern.

Das wird man in den kommenden Jahren auch im Bereich der IT-Sicherheit oder der Softwarequalität in den Unternehmen zu spüren bekommen. Denn auch dafür benötigt man erfahrene Experten. Sowie Leute, die bereits sind, solche Experten zu werden.

Für diejenigen, die jedoch bereits Experten in gefragten Sachgebieten sind oder die Mittel hatten, selbst in ihre Weiterbildung zu investieren, könnten bald goldene Zeiten kommen…

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.

House of open Scrum 2009

Gestern habe ich an einer Vortragsveranstaltung zum Thema Scrum in Oberhaching teilgenommen. Scrum ist ein Vorgehensmodell für Softwareentwicklungsprojekte, das aus der Welt der agilen Methoden stammt. Scrum fördert die lokale Selbstorganisation von Entwicklerteams, indem es Konzepte aus dem Total-Quality-Management sowie dem Toyota-Produktionssystem auf die Softwareentwicklung überträgt.

Mehrere Referenten stellten Teilaspekte von Scrum sowie konkrete Anwendungen in der Praxis vor.

Andrea Tomasini erläuterte die wichtigsten Grundprinzipien von Scrum. Dazu zählen das Kontrollieren der arbeitslast und des Arbeitsflusses sowie die Vermeidung von Verschwendung (unnötige Entwicklung, Overengineering), das Fördern informeller Lernprozesse und der Austausch von Wissen, die schrittweise Verfeinerung von Produkten ebenso wie das häufige Bereitstellen von sauber durchgetesteten und dokumentierten Zwischenständen und Teilergebnissen.

Scrum bedeutet  im Prinzip, Entscheidungen soweit wie möglich auf die Entwicklerebene zu verlagern und Entwicklerteams lokale Selbstorganisation im Gegenzug für Ergebnisverantwortlichkeit zu ermöglichen. Während definierter Zeitfenster (Sprints) des konzentrierten Arbeitens am Produkt werden Anforderungen und Zielsetzungen stabil gehalten, während sie sich beim Wechsel von einem Sprint zum nächsten verändern dürfen. Auch Einmischungen und Störungen des Entwicklungsprozesses von außen werden so systematisch minimiert, um so Termintreue und Ergebnisqualität zu verbessern.

Christian Binder von Microsoft stellte die Prozessmodelle von Microsoft im Bereich der Entwicklung von Visual Studio vor und zeigte, wie man agiler Ansätze wie Scrum mit formalen Entwicklungsprozessen mit Tausenden von Beteiligten zusammenbringen kann. Interessant auch sein Hinweis auf die hohe Anzahl an Softwaretestern und Qualitätssicherern bei Microsoft. Auf jeden Entwickler kommt bei Microsoft ein Tester. Die Sicherheit und Qualität von Microsoft-Produkte soll als Konsequenz so mancher Kritik der letzten Jahre dauerhaft verbessert werden.

Jens Trompeter von itemis erklärte, wie man bei Festpreisprojekten zu guten Aufwandsabschätzungen kommt, in dem man die Beteiligten mit speziellen Spielkarten „Planning Poker“ spielen lässt. Das agiles Vorgehen in Softwareentwicklungprojekten nicht mit der Abwesenheit von Planung verwechselt werden darf. Und das es neben den „offiziellen“ Scrum-Rollen des Teams, des Scrum-Masters und des Product Owners auch die ebenso einflussreichen Rollen des Kunden, des (späteren) Nutzers der zu entwickelnden Software sowie des Managements gibt. Alle können sowohl zur Förderung als auch zur Behinderung des Projektfortschritts beitragen. Daher sieht das Scrum-Modell deren intensive Beteiligung am Projekt vor.

Susanne Mühlbauer von Hood zeigte, dass auch im iterativ vorgehenden Scrum-Modell ein systematisch betriebenes Anforderungsmanagement essentiell für gute Ergebnisse ist. Und wie es sich in die Teildisziplinen des Software-Engineerings mit einfügt.

Gerhard Müller und Martin Wagner vom Hauptsponsor TNG Technology Consulting stellten ihre Praxiserfahrungen mit Tools und Vorgehensweisen in Scrum-Projekten anschaulich zusammen und gaben Tipps zum Aufsetzen und Ausrüsten von Scrum-Projekten mit nützlicher Infrastruktur und Technik.

Mehrere Anbieter von Projektmanagement-Tools stellten vor, wie man mit Hilfe ihrer Produkte Scrum-Projekte einfach aufsetzen und managen kann. Zumindest was die administrativen Aspekte des Projektmanagements angeht, die man mit Tools gut handhaben kann.

Diese Management-Tools dürften dort, wo man sie einführt, auch das Interesse der Betriebsräte und Datenschutzbeauftragten (sofern vorhanden) wecken. Denn sie verarbeiten personenbezogene Daten und müssten deshalb Bestandteil des betrieblichen Verfahrensverzeichnisses werden. Und sie ermöglichen eine ins Detail gehende Leistungs- und Verhaltensüberwachung der in Scrum-Projekten Beschäftigten. Zum Teil ist das für die operative Kapazitätsplanung durch die Projektmanager zwar erforderlich. Aber die betriebliche Praxis zeigt leider auch, dass mit solchen Funktionen oftmals Missbrauch und Unsinn getrieben wird, falls man keine klaren Regelungen für ihre Nutzung trifft.

Alles in allem eine für mich sehr vielfältige und erkenntnisreiche Veranstaltung.

Methodentag Projektmanagement 2009

Gestern habe ich an einem Tagesseminar zum Thema Projektmanagementmethoden in der Fachhochschule Augsburg teilgenommen. Veranstalter waren das pm-forum Augsburg, eine lokale Community mit Fokus auf die Themen Projektmanagement und regionalen Wissenstransfer, in Kooperation mit der Gesellschaft für Arbeitsmethodik e.V. und der GPM, einem Fachverband für Projektmanagement, die Infostände zu ihren Aktivitäten im Bereich Projektmanagement und PM-Zertifizierungen anboten.

Projektmanagement ist ein Querschnittsthema, das einem in immer mehr Bereichen der Wirtschaft begegnet – nicht nur in der IT-Sicherheit, der IT-Koordination oder bei der Softwarequalität.

Dementsprechend reichte das Spektrum der wohl etwa 120 – 150 Teilnehmer quer durch alle Branchen. Teilweise parallelisiert wurden Vorträge zu Themen wie projektbezogene Ressourcenplanung, Projektstart-Workshop, Projektmanagementprozesse, Kommunikation im Projekt, Zielsetzung und Entscheidungsfindung, Zeitmanagement, Wege sich als Projektleiter zu behaupten sowie der Umgang mit Projektrisiken angeboten.

Alles in allem eine gelungene und sehr gehaltreiche Veranstaltung.

Kopiergeschützte Produkte verkaufen kann teuer werden

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.

Abgefischte WoW-Rollenspieler

Teilnehmer des beliebten Online-Rollenspiels World of Warcraft entwickeln sich zunehmend zu einer interessanten Zielgruppe für Phishing-Attacken. Schließlich lassen sich die Zugangsdaten zu WoW-Konten von Spielern ebenso weiterverkaufen wie seltene und daher wertvolle Gegenstände im Besitz der Spieleravatare.

Kürzlich erreichte eine Phishing-Mail die Spielergemeinde, die den Anschein hatte, als dass sie vom Betreiber Blizzard Entertainment verschickt wurde und in der es um die freiwillige Teilnahme an einem Test neuer Spielfunktionen ging. Konkret wurde ein neues spieltechnisch verbessertes Reittier versprochen (exotische Reittiere sind in WoW ein zum Teil recht wertvoller und schwer zu erlangender Besitz).

Wer an dem Test teilnehmen wollte, hätte einen Link anzuklicken und sich mit seinen Spielerdaten auf einer Website anzumelden, die auch den Begriff „worldofwarcraft“ mit im Namen trug.

So berichteten es kürzlich die Malware-Experten bei Sophos, die den Hergang der Phishing-Attacke analysierten.

Generell sollte man Mails, die einem besondere Spielvorteile wie mehr Gold, bessere Waffen, besondere Zauber oder sonst etwas Interessantes versprechen, sehr skeptisch begegnen. Insbesondere wenn die versprochenen Dinge nichts kosten und den Login mit eigenen Account-Informationen auf einer unbekannten Website erfordern.

Außerdem darf davon ausgegangen werden, dass Blizzard Entertainment Tests von professionellen Testern durchführen lässt und öffentliche Betatests von Spielfunktionen auf seiner Website ankündigt.

Gutes Lizenzmanagement wird für Unternehmen zunehmend wichtiger

Immer mehr Unternehmen schaffen neue Positionen für Lizenzmanager. Deren Aufgabe ist es, den allgemeinen Wildwuchs an Software-Lizenzen im Unternehmen einzudämmen und sicherzustellen, Dass ein Unternehmen weder über- noch unterlizenziert ist. D.h. dass zu jedem benutzten Softwareprodukt die richtige Lizenz und der benötigten Menge erworben wird.

Überlizenzierung bedeutet, dass mehr Lizenzen gekauft wurden, als Software eingesetzt wird. Das ist z.B. bei falsch dimensionierten Volumenslizenzprogrammen oft der Fall und kann rasch teuer werden.

Ebenso kritisch ist Unterlizenzierung zu sehen. Das kann ebenfalls teuer werden, wenn ein Softwarehersteller zu unpassendsten Zeit Überprüfungen im Unternehmen durchführt (das Recht dazu behalten sich Anbieter oft im Kleingedruckten ihrer Lizenzverträge vor) oder schlicht Druck ausübt bzw. hart an Betrug und Schutzgelderpressung grenzende Geschäftsmodelle verfolgt.

Hinzu kommt die, durch das recht verwerterfreundlich gestaltete Urheberrecht ermöglichte enorme Vielfalt an Lizenzmodellen. Da lizenziert ein Hersteller nach Nutzern, der nächste nach Installationen, ein anderer nach Prozessoren im Rechner und wieder einer anderer nach Berechtigungsgruppen. Standardisierte, einheitliche Lizenzen haben sich nur im Open-Source-Bereich mit der GPL und Creative Commons durchgesetzt.

Auch können Schäden, die einem Unternehmen durch Falschlizenzierung entstehen, zur persönlichen Haftung der Geschäftsführer und Vorstände aufgrund verletzter kaufmännischer Sorgfaltspflichten führen – wenn dem nicht durch ein funktionierendes Lizenzmanagement vorgebeugt wird.

Das Thema Dokumentation des Lizenzbestandes ist zudem revisionsrelevant und wird zudem durch allesamt erst in den letzten Jahren neu erwachsene Pflichten wie SOX-Compliance oder Bewertungsvorschriften immaterieller Wirtschaftsgüter (zu denen die Lizenzen zählen) mit tangiert.

Hilfsmittel der Lizenzverwaltung ist ein funktionierendes Software Asset Management (SAM), also eine möglichst tagesaktuelle Bestandsverwaltung von Softwareprodukten und dazugehörigen Lizenzen, so dass ein Soll/Ist- Abgleich durchgeführt werden kann.  Dieses Monitoring erfordert aber im Prinzip eine dauerhafte und automatisierte Überwachungs- und Inventarisierungsmöglichkeit aller auf einen beliebigen Firmenrechner installierten Programme sowie ggf. eine Verknüpfung mit Personen. So wünschenswert das aus der Sicht der IT-Sicherheit sein mag, so problematisch ist es aus Sicht des Datenschutzes. Auch kann die dabei bewegte Datenmenge beträchtlich sein und entsprechend ausgestattete Datenbankserver erforderlich machen.

Mit dem Einsatz einer SAM-Software ist es jedoch noch nicht getan. Lizenzmanagement ist eine Funktion, die sowohl bei der Produktauswahl und der Softwarebeschaffung, als auch beim Vertragsmanagement (nicht jedes Lizenzmodell kann in jeder Lizenzmanagementsoftware abgebildet werden) sowie auch im Systembetrieb (Anbindung des Lizenzmanagements an die zentrale CMDB und die Inventarisierungssysteme) mit zu beteiligen und zu berücksichtigen ist.

Insgesamt ist das Handling der betrieblichen Lizenzvielfalt ein nicht zu unterschätzender Komplexitäts- und Kostentreiber. Das erfordert kluges Lizenzmanagement, um die damit verbundenen Kosten in Grenzen zu halten.

Hacking at Random 2009

Heute geht in den Niederlanden das viertägige Hacker-Sommerfestival „Hacking at Random“ (HAR) zuende. Es war bereits vor Wochen ausverkauft. Auch aus Deutschland nahmen viele Hacker, Netzaktivisten und digital Natives daran teil.

Zumal eines der Kernthemen dieses Jahr der digitale Selbstschutz vor Privacy-Gefahren durch Staat und Wirtschaft war. Dazu wurden Projekte wie die „Surveillance Self-Defense“ der Electronic Frontier Foundation (EFF), das Portal für geleakte Geheimdokumente aller Art Wikileaks aber auch selbstgebaute Geräte zum Detektieren von RFID-Lauschern oder eine Demonstration des CCC, wie sich NEDAP-Wahlcomputer anhand kompromittierender Abstrahlung ausspähen lassen. Denn auch Wahlcomputer senden elektromagnetische Strahlen aus, die mit einer entsprechenden Antenne noch aus einigen Metern Entfernung gemessen werden können. Offen ist allerdings noch, welche Informationen sich aus diesen Daten gewinnen lassen.

Auch Methoden zur Umsetzung sowie zur Umgehung von Internetzensur waren ein heiß diskutiertes Thema auf der HAR. Ebenso wie „traditionelle“ Themen aus dem Umfeld der IT-Sicherheit und des kreativen Umgangs mit Technik.

Natürlich durften auch echte Hacker-Wettbewerbe nicht fehlen, bei denen zu diesem Zweck speziell vorbereitete Systeme gehackt werden mussten.

Fast alles was auf der HAR vorgetragen wurde kann im HAR-Wiki nachgelesen oder heruntergeladen werden. Schließlich sollen solche Informationen ja im Sinne der Veranstalter möglichst frei fließen …

Neues Blog zur Softwarequalität gestartet!

Nachdem ich schon Mitte 2008 zu den Themen IT-Sicherheit, IT-Recht, Datenschutz & Compliance auf itsicherheit.wordpress.com blogge, habe ich beschlossen, Beiträge zum Thema Softwarequalität künftig verstärkt in meinem neuen Blog softwarequalitatet.wordpress.com, dem Blog zu Softwaretest, Testmethoden, Testmanagement und Teststandards zu veröffentlichen.

Was dabei einen Bezug zum Thema IT-Sicherheit oder Softwarequalität generell hat, erscheint parallel auch hier. Beiträge zu Themen wie Softwaretest, Testmethoden, Testmanagement, Teststandards ohne Bezug zur IT-Sicherheit werden künftig ausschließlich auf softwarequalitatet.wordpress.com erscheinen.

Beginnen werde ich damit, meinen Artikelbestand zur Softwarequalität in diesem Blog auch dort einzustellen.

Viel Spaß beim Lesen meiner Artikel!

Wenn das Internet vergesslich wird

Das Internet vergisst nichts. Alles was an Informationen hineingerät ist potentiell für ewig darin gespeichert. Weil es von Suchmaschinen indiziert und in Cache-Speicher kopiert wird. Weil öffentliche Internetarchive es erfassen und langfristig speichern. Weil Informationen über P2P-Netzwerke, Filesharing, Blogs, Chats oder Aggregationsdienste weitergetragen und verteilt werden. Oder weil zunächst „flüchtig“ angelegte Systeme wie Usenet-Newsserver mit einer Informationsvorhaltezeit von einigen Wochen mittlerweile Archive haben, die zehn und mehr Jahre zurückreichen (bsp. Google-Groups). Das Internet ist aufgrund seiner verteilten, dezentralen und redundanten Infrastruktur der wohl ausfallsicherste und stabilste Datenspeicher der Welt.

Datenschützer fordern daher schon länger „das Internet müsse vergessen lernen“. Was an sich widersprüchlich klingt, wurde kürzlich von Informatikern der University of Washington softwaretechnisch realisiert. Sie entwickelten „Vanish“, ein Open-Source-Programm dass dem Internet Alzheimer einpflanzen würde, wenn es in der Fläche zum Einsatz käme.

Mit ihm kann der Ersteller einer Information jedem Posting, jeder Mail und jedem anderen Informationsfragment, das er in die Welt setzt, ein Verfallsdatum zuteilen, nach dessen Erreichen die Information automatisch verschwindet.

Vanish erzeugt für jede Information, die mit einem Browser online gestellt wird, einen geheimen Schlüssel, mit dem diese verschlüsselt wird. Niemand, auch nicht der Sender, kennt diesen Schlüssel. Der Schlüssel wird anschließend aufgeteilt und zufällig auf mehrere Computer verteilt, die P2P-Netzwerken angehören. Da sich solche Netze laufend verändern, indem Computer neu hinzukommen und andere verschwinden, verschwindet der Schlüssel allmählich aus dem Netz. Nach einer gewissen, vom Nutzer vorgegebenen, Zeit lassen sich die Informationen daher nicht mehr entschlüsseln und werden so zu Datenmüll.

Voraussetzung ist, dass  bei jedem Zugriff auf die Information, der zeitlich nur begrenzt verfügbare Schlüssel erneut aus dem Netz geholt werden muss – die Informationen also nicht offline genutzt werden (können).

Um zu funktionieren, müssen alle Beteiligten Vanish installiert haben, das auch als Firefox-Plugin verfügbar ist.  Allerdings kann das Programm nicht verhindern, dass Nutzer die Informationen retten, indem sie diese ausdrucken bzw. per Screenshot oder Copy & Paste in ein anderes Programm übernehmen.

Ähnliche Ansätze gibt es im Bereich des Enterprise Rights Management (DRM für vertrauliche Unternehmensdaten). Dort sorgen aber stets eine abgeschlossene IT-Umgebung sowie homogene gemanagte Systeme für deren Funktionieren.

Allerdings wirft die Diskussion um das „vergessliche“ Internet einige Fragen auf: Einer der großen Vorteile des Internets ist seine globale Verfügbarkeit verbunden mit dem Zugriff auf potentiell alle jemals darin gespeicherten Informationen. Produkte wie „Vanish“ einzusetzen, käme der Informationsfreiheit in etwa so entgegen, als würde man in einer Bibliothek Buchwürmer aussetzen, um in ihr das Überhandnehmen an Gedrucktem einzudämmen.

Neben den Nutzern sozialer Netzwerke oder von Cloud-Computing-Diensten sind es vor allem Urheber und Rechteinhaber, die zunehmend ein „vergessliches“ Internet fordern. Sie wollen die Kontrolle über „ihre“ (??) Informationen sogar dann noch behalten, wenn sie diese bereits gegen Geld verkauft haben. Wie es kürzlich Amazon-Kunden in den USA feststellen mussten, denen gekaufte und bezahlte e-Books von ihren Kindle-Readern gelöscht wurden.

Technologien wie Vanish könnten daher im Erfolgsfall einen weiteren Beitrag zur Verschiebung der Kräfteverhältnisse weg von der Allgemeinheit und hin zu den Rechtemonopolisten darstellen.