ADACOR implementiert Service Design für Dienstleistungen...Generell arbeiten wir 6 BTS NR. 22...

Cyberkriminalität Neues IT-Sicherheitsgesetz soll vor Hacker-Angriffenschützen

Cloudbase Proxy Intuitive Bedienung dankübersichtlich designter GUI

Effektive Strategien zur Gestaltung von Services

ADACOR implementiert Service Designfür Dienstleistungen

InformationssicherheitWelche Neuerungen bringt die Norm ISO/IEC 27001:2013?

ADACOR BRANCHENINFORMATION

AUSGABE 22 NOVEMBER 2014

NR. 22

BTS NR. 22

INHALT

3 EDITORIAL

4 BMP-KONGRESS – Serview richtet Management-Event zum 12. Mal aus

8 SERVICE DESIGN – Effektive Strategien zur Gestaltung von Services

12 VERSCHLÜSSELUNG III – Verschlüsselung von Festplatten und Wechseldatenträgern

16 TELEFONMARKETING – Der direkte Weg zu Ihren Kunden

18 IM INTERVIEW – Ursula Bellenbaum, Inhaberin der UB Agentur für Telefonmarketing

20 CYBERKRIMINALITÄT – Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

22 INFORMATIONSSICHERHEIT – Welche Neuerungen bringt die Norm ISO/IEC 27001:2013?

26 CLOUD PROXY – Intuitive Bedienung dank übersichtlich designter GUI

28 OTRS 3.3 – Neue Version verspricht höhere Produktivität und verbesserte Kommunikation

30 PLANNING POKER – Die Methode im Einsatz beim Softwareentwicklerteam der ADACOR

32 ADACOR AKTUELL – Vorstellung von Mitarbeitern und News rund um ADACOR

Cyberkriminalität (ab Seite 20)

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Liebe Leserinnen und Leser,

wie können Unternehmen ihre Services mit Blick auf ihre Kun-den möglichst effizient planen, designen und implementieren? Diese Frage stellten sich jüngst die Geschäftsführer von ADACOR und suchten nach einer Methode, mit der sich das Dienstleis-tungsangebot nicht nur ausgestalten, sondern auch nachhaltig verbessern lässt. Die Lösung verspricht ein Konzept namens Service Design. Ein Ansatz zur Gestaltung und Optimierung von Services in Unternehmen. Ab Seite 8 stellen wir Ihnen die Me-thodik und Werkzeuge des interdisziplinären Ansatzes vor und zeigen, wie ADACOR diese für sich nutzt.

Ein Dauerthema in unserer Branche: Cyberkriminalität. Der Schutz vertraulicher Daten ist für die ADACOR Hosting GmbH zu jedem Zeitpunkt oberstes Gebot. Als Spezialist in Sachen Hosting hat ADACOR zahlreiche Mechanismen implementiert, die sicherstellen, dass sensible Kundendaten vor unbefugten Zugriffen geschützt sind. Aber wie können auch Endverbraucher die Sicherheit ihrer digitalen Kommunikation verbessern?

In dieser Ausgabe beschäftigen wir uns ab Seite 12 mit der Ver-schlüsselung von Festplatten und Wechseldatenträgern. Eine von zahlreichen wirkungsvollen Methoden, vertrauliche Daten und Informationen gegen unbefugte Zugriffe abzuschirmen. Aber auch der Gesetzesgeber ist aktiv geworden und will Bürger durch ein neues IT-Sicherheitsgesetz zukünftig besser vor Ha-cker-Angriffen schützen. Das Artikelgesetz geht mit Änderungen verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetzes (TKG) und des Telemediengeset-zes (TMG). Von Seiten der Wirtschaft wurde das Gesetz in der Vergangenheit scharf kritisiert. Ab Seite 20 lesen Sie, welche Unternehmen primär von dem neuen Gesetz betroffen sind und welche Änderungen mit dem neuen Gesetzesentwurf konkret einhergehen.

Viel Spaß beim Lesen!

Ihre Kiki Radicke

expect more

KIKI RADICKE

Leitung Marketing ADACOR Hosting GmbH

IMPRESSUMHerausgeber:ADACOR Hosting GmbHEmmastraße 70 A 45130 Essen

Geschäftsführung:Thomas Wittbecker Andreas Bachman Patrick FendAlexander Lapp

Kontaktdaten:Telefon: +49 69 905089-0Telefax: +49 69 905089-29E-Mail: [email protected]: www.adacor.com

Chefredakteurin:Kiki Radicke, ADACOR

Redaktion:Josephine Alberts, HamburgCarla Breidenstein, Frankfurt

Bildnachweis:Stocksy istockphoto Thinkstock

© 2014 ADACOR

Design:kinoblau, Düsseldorfwww.kinoblau.de

Druck:Althoff Druck, Soestwww.althoff-druck.de

4 BTS NR. 22

5

Im Interview: Kerstin Dorn, Manager Partner und Events bei der Serview GmbH

Weiterbildung und Networking im Fokus: Serview richtet Best Management Practice Kongress aus

Anlässlich des 12. Best Management Practice Kongresses, der vom 12. bis 16. Mai 2014 in Bad Neuenahr-Ahrweiler stattfand, präsentierte Chief Operating Officer und Geschäftsführer Alexander Lapp die ADACOR Hosting GmbH mit dem Fachvortrag „Kanban als Methode der Produktionsprozesssteuerung im IT-Servicemanagement“. Kerstin Dorn, Manager Partner und Events bei der Serview GmbH und Leiterin des BMP-Kongresses, spricht im Interview über die Details der hochkarätigen Veranstaltung.

π Anlässlich des Best Management Practice Kongresses 2014 wurde das Dorint Parkhotel in Bad Neuenahr-Ahrweiler fünf Tage lang zum Dreh- und Angelpunkt für vielfältige Themen des mo-dernen Managements. Bestehend aus Seminaren, Workshops, Vorträgen, einer begleitenden Ausstellung sowie einem umfang-reichen Rahmenprogramm bot der Event den Besuchern neben der Möglichkeit zur beruflichen Weiterbildung eine nachhaltige Plattform für den Austausch untereinander.

BTS: Den Serview Best Management Practice Kongress gibt es seit 2003. Was war Ihre Motivation, um damals das Veranstaltungsformat ins Leben zu rufen?

KERSTIN DORN: Michael Kresse, Gründer und Inhaber der Serview GmbH sowie Initiator des BMP-Kongresses, ist sowohl Visionär als auch Macher. 2002, 2003 erkannte er den Bedarf an Veranstaltungen für Anwender, bei denen neben der Weitergabe von Fachinformationen der Austausch untereinander möglich ist. Die Kommunikation miteinander stand für Michael Kresse auch im eigenen Kundendialog schon immer im Mittelpunkt. Deshalb rief er 2003 den Kongress ins Leben. Neben dem Kommunika-tionsaspekt verfolgte er das Ziel, ITIL auf dem deutschen Markt bekannt zu machen. Das ist ihm erfolgreich gelungen.

Anfangs drehte sich der Kongress also hauptsächlich um das Thema ITIL. In den letzten 12 Jahren sind allerdings viele zusätzliche Inhalte hinzugekommen. Wie sehen Sie die Entwicklung?

Am Anfang hieß der Kongress ‘Meet ITIL‘, bei dem Themen wie ITIL oder Methoden und Frameworks aus dem IT-Umfeld im Vorder-

grund standen. Seitdem hat sich das Themenspektrum extrem weiterentwickelt. Von ITIL hin zu Best Practices. Heute bestimmen die bekanntesten und erprobtesten Managementpraktiken die Inhalte unserer Seminare, Workshops und Vorträge. 2014 hatten wir außerdem eine Premiere: Es standen zum ersten Mal die Soft-Skills-Themen auf dem Programm.

An welche Zielgruppe richtet sich der BMP-Kongress?

An alle Personen, die beruflich mit den genannten Themen zu tun haben. Die sich entsprechend weiterbilden oder die Veranstaltung zum Austausch mit anderen Teilnehmern nutzen wollen. Unab-hängig vom Thema versuchen wir für jeden Kenntnisstand die passenden Inhalte und Praxisbeispiele zu bieten. Der beste Fall ist für uns dann eingetreten, wenn gestandene Manager, Einsteigern bzw. Nachwuchsführungskräften als Experten und Austausch-partner zur Verfügung stehen.

Wie viele Teilnehmer besuchten 2014 Ihren Kongress?

Pro Veranstaltung registrieren sich seit einigen Jahren 500 bis 600 Teilnehmer. Damit sind wir im Prinzip ausgebucht. Zum Vergleich: 2003 ging der erste Kongress - damals noch in Bad Orb - mit 90 Teilnehmern an den Start. Die Nachfrage an der Ver-anstaltung steigt stetig, sodass wir sicher noch weiter wachsen könnten. Allerdings wären wir dann gezwungen, uns nach einem neuen Standort umzusehen. Das Parkhotel würde dann zu klein.

Wie stehen Sie einer Vergrößerung des Kongresses gegenüber?

Das Thema beschäftigt uns jedes Jahr. Generell arbeiten wir

6 BTS NR. 22

jedoch lieber nach dem Motto „Klasse statt Masse“. Das heißt, Kommunikation und Standort sind uns wichtiger, als immer grö-ßer zu werden. Bad Neuenahr ist der perfekte Standort, der auch drum herum viel bietet. Außerdem sind wir untereinander und in Zusammenarbeit mit den Hotelmitarbeitern ein eingespieltes Team. Solche Faktoren vereinfachen die Organisation vor Ort um ein Vielfaches. Neben unserer eigenen Zufriedenheit fällt auch das Feedback unserer Teilnehmer zum Dorint Parkhotel und zu Bad Neuenahr jedes Jahr sehr positiv aus. Aus diesem Grund wird der Best Management Practice Kongress 2015 wieder in Bad Neuenahr stattfinden.

Ihre diesjährige Veranstaltung stand unter dem Motto „Denn Sie wissen, was Sie tun“. Was steckt hinter diesem Leitspruch und wie ist er entstanden?

Das Motto spiegelt den emotionalen Rahmen des Kongresses wider. In den letzten Jahren haben wir unsere Wahlsprüche aus Filmtiteln abgeleitet. Wie dieses Jahr aus dem James-Dean-Film „Denn sie wissen nicht, was sie tun“. Daraus wurde das Motto „Denn Sie wissen, was Sie tun“. Das haben wir allerdings nicht auf uns bezogen, sondern auf unsere Teilnehmer.

Wie haben Sie die emotionale Komponente des Mottos während der Veranstaltung umgesetzt?

Das Bühnenbild, die Raumbeschriftungen sowie sämtliche gra-fischen Elemente orientierten sich an dem Schauspieler James Dean, an seinem Leben sowie an seiner Zeit, den 50er Jahren. So haben wir z. B. die Vortragsräume im Hotel umbenannt. Aus ei-nem Raum wie Köln/Bonn wurde dann das Rat Pack Theatre, das Actors Studio Theatre oder das Parsons Theatre. Alles Theater, in denen James Dean einmal aufgetreten ist.

Die Aussteller hatten sogar einen exklusiven Raum, um ihre Vorträge zu präsentieren: das Sponsor Theatre.

Richtig. Der Raum sah aus wie ein kleiner edler Theatersaal. Alles war komplett rot ausgekleidet, es gab eine Bühne, wir haben Ki-nosessel gestellt. Bei der Gestaltung haben wir uns ebenfalls an den 50ern orientiert. Sämtliche Redner waren von dem Umfeld begeistert.

Welche Inhalte bot der Kongress den Teilnehmern während der fünf Kongresstage?

Die ersten zwei Tage sind immer mit unseren Schulungen und Workshops bestückt. Ob ITIL® Foundation, How to implement COBIT5® oder allgemeine Managementthemen, wir bieten unse-ren Teilnehmern zu Sonderkonditionen ein ausgewähltes Schu-lungsportfolio inklusive Zertifikat. Die jeweiligen Inhalte stellen wir jedes Jahr neu zusammen. Am dritten Tag wird der Kongress offiziell eröffnet. Außerdem startet unsere Fachausstellung. Dazu kommt ein bunt gemischtes Programm mit Praxis- und Impulsvorträgen. Um die Kommunikation und den Austausch der Teilnehmer untereinander abseits der fachlichen Thematik zu fördern, bieten wir ein umfangreiches Rahmenprogramm an.

Fester Programmbestandteil sind auch die Keynotes. Wie suchen Sie die Sprecher dafür aus?

Unsere Keynote Speaker kommen in der Regel aus dem Unterneh-mensumfeld. Neben unseren eigenen Managern hatten wir dieses Jahr beispielsweise hochrangige Vertreter von UBS Deutschland oder der ThyssenKrupp Industrial Solutions AG dabei.

Den krönenden Abschluss im Rahmen der Vorträge machte Oliver Kahn, den Sie als Stargast und Schlussredner gewinnen konnten?

Ja, wir hatten uns im Fußballjahr neben Reiner Calmund bewusst für Oliver Kahn entschieden. Als Einstimmung auf die WM. Hinzu kam ein weiterer Überraschungsgast, der mit Oliver Kahn auf der Bühne sprach: Werner Hansch, der berühmte Fußballmoderator.

Haben Sie alle VIP-Redner nach sportlichen Aspekten ausgewählt?

Die Fußballer waren auf die WM gemünzt. Jörg Löhr spielte frü-her erfolgreich in der deutschen Handballnationalmannschaft. Generell achten wir darauf, dass wir Rednerpersönlichkeiten finden, die etwas erlebt haben. Die den gewissen Blick über den Tellerrand haben und die die Leute rhetorisch mitreißen können. Wie Hermann Scherer, der schon mehrere erfolgreiche Handels-unternehmen aufgebaut hat. Zusätzlich wirkt Herr Scherer als Unternehmensberater, Trainerausbilder oder Lehrbeauftragter an namhaften Universitäten.

Kerstin Dorn, Manager Partner und Events bei der Serview GmbH

7

KERSTIN DORN

Manager Partner & Events

SERVIEW GmbH

Gartenstraße 23

61352 Bad Homburg

TELEFON +49 6172 1774477

E-MAIL [email protected]

INTERNET www.serview.de

www.bmpk.de

Über SERVIEW

› Die SERVIEW GmbH ist eine internationale Managementberatung mit Stammsitz in Bad Homburg bei Frank-furt am Main. Nach dem Motto „Vorsprung erleben“ unterstützt das Unternehmen seine Klienten in zentralen Fragen des IT-Managements sowie der IT-Organisationsentwicklung. Dabei setzt sich die Dienstleistung aus der Beratung, dem Training und dem Coaching in den Bereichen IT-Governance, Compliance, Projekt- und Service Management zusammen. Die methodische Basis dazu liefern anerkannte Standards und Best Practices. Dazu zählen COBIT®, ITIL®, PRINCE2® und andere.

› Das Ziel der Serview GmbH ist es, durch sinn- und werteorientierte Dienstleistungen dafür zu sorgen, dass sich alle IT-Organisationen zu anerkannten Business Partnern entwickeln. Das Unternehmen wurde 2002 von Michael Kresse gegründet. Den Inhaber unterstützt seit 2006 Markus Bause in der Rolle des Geschäftsführers. Neben dem Hauptsitz in Bad Homburg verfügt das Beratungs- und Schulungshaus über Niederlassungen in Berlin, Düssel-dorf, Hamburg, Köln, München, Stuttgart, Donaueschingen und Bad Neuenahr.

Welche Punkte umfasste das Rahmenprogramm im Einzelnen?

Am Dienstagabend um 19 Uhr startete der 2. Peter-Maffay-Stiftung-Run. Durch die sportliche Betätigung konnten die Teilnehmer auf der fünf Kilometer langen Strecke nicht nur ihren Kopf frei machen, sondern auch etwas für den guten Zweck tun. Denn die Peter-Maffay-Stiftung engagiert sich für traumatisierte und benachteiligte Kinder und Jugendliche und ermöglicht ihnen therapeutische Aktivurlaube. Letztes Jahr starteten wir mit 40 Leuten bei strömenden Regen, diesmal konnten wir 120 Läufer am Start zählen. Bei dem Lauf kann übrigens jeder mitmachen, er begrenzt sich nicht auf die Kongressbesucher.

Ein weiterer Programmpunkt feierte 2014 Premiere auf Ihrem Kongress: der Business Breakfast Club. Was beinhaltet dieses Format?

Der Business Breakfast Club richtet sich an alle Teilnehmer, die Anregungen für ihre persönlichen und beruflichen Interessen suchen. In diesem Jahr hatten wir einen besonderen VIP-Redner: Reiner Calmund. Ihn konnte man während eines Frühstücks in exklusivem Kreis mit nur 20 Personen hautnah erleben.

Weitere Highlights sind die zwei Abendveranstaltungen. Was erwartete die Teilnehmer hier in diesem Jahr?

Mittwochabend fand unser Outdoor-Event „GrillńĆhill“ statt. Dabei hatten die Teilnehmer die Möglichkeit, sich in ungezwun-gener, gemütlicher Atmosphäre miteinander auszutauschen. Am Donnerstag gab es eine Dinner Party. Passend zum Motto traten dort Rockń´Roll-Tänzer auf, die den Saal rockten. Anlässlich der Dinner Party haben wir einen Renault Twizy verlost. Die Lose dafür haben wir während des gesamten Kongresses verkauft. Der Erlös ging ebenfalls an die Peter-Maffay-Stiftung.

Wie war die Resonanz auf den BMP-Kongress 2014?

2014 war für alle wieder ein voller Erfolg. Nicht nur für Serview, sondern auch für die Aussteller und für die Teilnehmer. Wir haben grundsätzlich ein sehr dankbares und motiviertes Publikum, das die Möglichkeiten des Kongresses zur fachlichen Weiterbildung und zum Netzwerken voll ausnutzt. Viele unsere Teilnehmer sind Wiederholungstäter und bleiben uns über die Jahre treu.

Frau Dorn, gewähren Sie uns bitte einen Ausblick auf 2015 ...

Der 13. Best Management Practice Kongress wird vom 18. bis 22. Mai im Dorint-Hotel in Bad Neuenahr-Ahrweiler stattfinden. Das Motto lautet: „The slightly different heroes“. Am 15. Oktober ging die neue Kongressseite online. Zwar sind bis dato noch nicht alle Vorträge fix, aber wir haben schon einige spannende Redner ausgesucht.

Aktuell füllt sich das Programm täglich mit neuen Inhalten. Es lohnt sich also, immer mal wieder auf die Seite zu schauen.

Frau Dorn, herzlichen Dank für das Interview.

8 BTS NR. 22

9

Effektive Strategien zur Gestaltung von Services

ADACOR implementiert Service Design zur Gestaltung und Optimierung ihrer Dienstleistungen

Mit dem Einsatz von Service Design hat die ADACOR Hosting GmbH jüngst einen neuen Ansatz zur Gestaltung und Optimierung von Services im Unternehmen eingeführt. Der Grund für die Neuausrichtung ergab sich aus der Suche des Hosters nach einer Methode, mit der sich das Dienstleistungsangebot nicht nur ausgestalten, sondern auch nachhaltig verbessern lässt. Was Service Design bedeutet, mit welchen Methoden und Werkzeugen der interdisziplinäre Ansatz arbeitet und wie die ADACOR diesen für sich nutzt, beschreibt dieser Artikel.

π Service Design ist ein interdisziplinä-rer Ansatz, der verschiedene Methoden und Werkzeuge aus dem Design und von angrenzenden Disziplinen, wie den Wirt-schaftswissenschaften, der Soziologie, der Ethnographie (Völkerbeschreibung) oder der Psychologie, miteinander kom-biniert.

Zwei Definitionen von Service Design

Da sich der Ansatz in einem frühen Ent-wicklungsstadium befindet, hat sich für das Service Design bisher noch keine einheitliche Definition herausgebildet. Ob Lehrmeinung oder Agenturansatz, jede Sichtweise arbeitet mit unterschiedli-chen Begrifflichkeiten. Auf den speziellen Arbeitsbereich der ADACOR bezogen, er-klären zwei Aussagen die Positionierung des Service Designs bei dem Hoster:

1.) “Service Design helps to innovate (create new) or improve (existing) services to make them more useful, usable, desirable for clients and efficient as well as effective for organisations. It is a new holistic, multi-disciplinary, integrative field.” (Stefan Moritz, 2005)1

2.) “Service Design aims to ensure ser-vice interfaces are useful, usable and desirable from client´s point of view and effective, efficient and distinctive from the supplier´s point of view.” (Birgit Mager, 2009)2

Nutzen und Inhalt von Service Design

Service Design gestaltet Services, deren Umfang und Funktionalitäten aus Kun-densicht. Dabei zählen Analyse und Op-timierung bestehender Dienstleistungen genauso zu den Themen wie die Entwick-lung neuer Services. In einem Service-Design-Projekt kann es aber auch darum gehen, einen nicht greifbaren Service für Kunden sichtbar zu machen. Darüber hi-naus fällt die Konzeptionierung von Ser-vice-Strategien bzw. die -Positionierung genauso in den Aufgabenbereich der Ge-staltungsmethode wie die Grundlagenfor-schung zu bestimmten Service-Themen.

Das Vorgehen in einem Service-De-sign-Projekt und der damit verbundene Werkzeug- und Methodeneinsatz hängt stets von den Zielen und Arbeitsbereichen ab. Die verschiedenen Abläufe ähneln sich hingegen. So startet jedes Projekt i. d. R.

mit der Zielfestlegung sowie der Planung des Projektablaufs und der erforderlichen Ressourcen. Ist der Projektplan fertigge-stellt, beginnt der vierphasige Service-Design-Prozess:

1. Exploration – Entwicklung von Handlungsfeldern und Innovationspotenzialen

Die Explorationsphase startet mit der Zusammenstellung des Projektteams, der Erforschung von Einflussfaktoren (z. B. Markttrends, Wettbewerbssituati-on), der Erfassung der Stakeholder, der Auswahl von Tools und Methoden sowie der Festlegung der Kommunikationswege im Projekt. An die vorbereitenden Aufga-ben schließt sich die eigentliche Explora-tion an. In deren Mittelpunkt werden die Wünsche, Bedürfnisse und Kontaktpunkte

Service Design Process

1. Exploration

2. Kreation

3. Reflexion

4. Implementierung

1 Various authors: This is Service Design Thinking, 5. Auflage, Amsterdam: BIS Publishers, 2014, S. 312 Various authors: This is Service Design Thinking, a. a. O., S. 34

10 BTS NR. 22

(Touchpoints) der Kunden untersucht. Die gewonnenen Ergebnisse werden zusam-mengefasst und ihrer Bedeutung nach bewertet. Die Exploration bildet die Basis für den Kreationsprozess. D. h., am Ende dieser Phase stehen Erkenntnisse sowie Optimierungs- und Innovationspotenziale, die der Ableitung von Handlungsfeldern als Grundlage dienen.

2. Kreation – Services sichtbar machen

In der Kreationsphase geht es darum, aus den zuvor gesammelten Erkennt-nissen Lösungsmöglichkeiten zu extra-hieren. Das Ziel ist es, mithilfe von Kre-ativitäts- und Visualisierungstechniken einen umfassenden Ideenkatalog zu erstellen, der bereits viele Aspekte des Service-Vorhabens beinhaltet. Sämtliche Einfälle werden zum Schluss in Gruppen zusammengefasst und bewertet. Das da-raus gewonnene Ergebnis dient als Basis für die Ableitung von Grobkonzepten oder sogar für konkrete Lösungsvorschläge.

Den qualitativen Input liefern bei diesem Prozess vorrangig die Mitarbeiter, die direkt mit den Kunden zusammenar-beiten. Um Service-Lücken oder unbe-friedigte Bedürfnisse zu entdecken sowie Hinweise auf neue Service-Potenziale zu gewinnen, bietet es sich zudem an, selbst in die Rolle des Kunden zu schlüpfen (Customer Journey). Von Vorteil ist es gleichfalls, externe Ideengeber wie Kun-den oder Partner in die Workshops ein-zubeziehen. Diese bringen häufig frische Sichtweisen in die Diskussion.

3. Reflexion – Feinschliff für das Service-Konzept

In der Reflexionsphase werden die ent-wickelten Grobkonzepte mit den beste-henden Services, Service-Strategien und -Angeboten verglichen und auf ihre technische Machbarkeit, wirtschaftliche Rentabilität und Kundenattraktivität hin überprüft und bewertet. Falls notwendig, können jetzt noch Änderungen und Anpas-sungen am Konzept umgesetzt werden.

4. Implementierung – Umsetzung des Service-Konzepts

Während der Implementierung des fina-len Konzepts werden sämtliche Service-Komponenten detailliert ausgearbeitet und schließlich gemeinsam mit allen Beteiligten in das System eingeführt. In dieser Phase spielen zunehmend orga-nisatorische und prozessbedingte Maß-nahmen eine Rolle. Für das Projektteam ist es jetzt wichtig, den Überblick über die zu implementierenden Maßnahmen zu behalten sowie diese allen Beteiligten verständlich zu kommunizieren. Ein Ser-vice Blue Print hilft, die geplanten Pro-zesse inklusive aller Komponenten trans-parent darzustellen.

In der Praxis folgt auf die Implemen-tierung i. d. R. eine weitere Exploration. In der zweiten Runde geht es um die Erfolgs-messung der eingeführten Maßnahmen. Die entsprechenden Ergebnisse bilden die Basis für weitere Innovationsentwick-lungen. So befindet man sich in einem Kreislauf kontinuierlicher Evaluation und Innovation, der hilft, das Kundenerlebnis stetig zu verbessern, die Kundenzufrie-

denheit weiter zu steigern und damit den Unternehmenserfolg und die Wettbe-werbsfähigkeit langfristig zu sichern.

Tools und Methoden – von Stakeholder Map, Storyboard und Customer Journey

Wahl und Einsatz der Werkzeuge und Methoden orientieren sich im Service Design an den Zielsetzungen und An-forderungen des Projektes. Aufgrund der vielen Service-Varianten nutzt man sowohl bei der Entwicklung als auch bei der Optimierung von Dienstleistungen unterschiedliche Verfahren. Zu den be-kanntesten Techniken zählen Stake-holder Map (Stakeholder-Landkarte), Customer Journey (Kundenreise), Per-sona-Entwicklung (prototypische Kun-densteckbriefe), Beobachtungsstudien, Storyboards (Drehbücher), Service Enac-ting (Service-Darstellung mithilfe von Techniken des Improvisationstheaters) oder Service Blue Print. Letzteres ist für die ADACOR von großer Bedeutung, da sich damit der gesamte Service-Prozess systematisch in einem Ablaufschema vi-sualisieren lässt. Eine solche Übersicht dient als Grundlage für eine transparen-te Auflistung der internen bzw. externen Prozesse und die Kalkulation der damit verbundenen Aufwände.

Bei der Erarbeitung eines Service Blue Prints orientiert sich die ADACOR Hosting GmbH am At-One-Modell, einer Serie von Service Design Workshops.

Nach Abschluss aller Einzel-Workshops, findet ein Gesamt-Workshop statt, der die Erstellung des Service Blue Prints zum In-halt hat.

Abbildung: Service Blue Print „Firmenveranstaltung“

SERVICE PHASE

TOUCHPOINTS

PHYSICAL EVIDENCE

CUSTOMER ACTIONS

FRONT STAGE

BACK STAGE

SUPPORT PROCESSES

VORBEREITUNG EMPFANG VORTRÄGE ABENDESSEN VERABSCHIEDUNG

11

Die Erklärung von A,T,O,N,E lautet wie folgt:

ACTORS Hier geht es um alle diejenigen, die an einem Service und seinem Entstehen beteiligt sind. Meist kommt bei der Analyse eine stattliche Anzahl an Akteuren zusammen. Bei der ADACOR zählen zu den Actors die Kunden, die verschiedenen internen Abteilungen wie Management, Entwicklung, Betrieb inklusive Service Desk, Marketing, Vertrieb und Buchhaltung sowie externe Partner.

TOUCHPOINTSAn den Berührungspunkten kommt der Kunde mit einem Service in Kontakt. Das erfolgt bei der ADACOR immer dann, wenn ein Kunde einen Service nutzt. Aber auch dann, wenn er ein Ticket aufmacht, mit dem Service Desk telefoniert, ein Produktblatt in den Händen hält, an einer Marketingmaßnahme teilnimmt oder eine Werbeanzeige liest.

OFFER Hinter der Festlegung des Angebotes steht die Aufgabe, sich genau zu überlegen, was für einen Service man anbieten möchte und welche Features dieser in welcher Ausprägung haben soll. Außerdem spielt hier die Preisgestaltung eine wichtige Rolle.

NEEDSAn diesem Punkt gilt es herauszufinden, welche Bedürfnisse die Kunden haben, was genau sie brauchen bzw. was sie sich von einem Service wünschen. Im Rahmen der Needs-Analyse schreibt man alles auf, was man sich für einen Service vorstellen kann. Das Ergebnis umfasst eine Liste, in der die wichtigsten Needs der Reihe nach sortiert sind.

EXPERIENCE Der Erfahrungsbereich befasst sich mit der komplette Kundenführung, dem Service-Prozess und den Bestellwegen. Es geht darum, einen Service mithilfe der Customer Experience so zu gestalten, dass der Kunde ihn gerne nutzt.

At-One: kreative Prozesstechnik in fünf Schritten

Das At-One-Verfahren unterstützt Pro-jektteams speziell in den frühen Phasen des Service-Design-Prozesses. In Work-shops beschäftigen sich die Teilnehmer jeweils mit den Buchstaben A, T, O, N, E. Die thematische Abarbeitung der einzel-nen Bereiche ist bei der Durchführung der Treffen an keine Rangfolge gebunden. Es

ist ebenfalls möglich, einzelne Workshops thematisch miteinander zu kombinieren bzw. mehrere Einzel-Workshops zu einem Themenpunkt durchzuführen.

Unter Einsatz der At-One-Methode er-reicht man am Ende einen Servicerah-men, ein komplettes Bild, das zeigt, wie

die Leistung aufgebaut ist, wie das Ange-bot aussieht, welche Kundenbedürfnisse damit befriedigt werden und wie Bestell-ablauf und Support funktionieren. Das Service Blue Print ist im Endeffekt das wichtigste Dokument im ganzen Prozess, denn es stellt den Fahrplan für die Umset-zung bzw. die Anpassung des Services dar.

Kundenorientierte Leistungen dank Service Design

Die Einführung von Service Design bei der ADACOR Hosting GmbH hat dazu ge-führt, dass der Hoster Services jetzt noch kundenorientierter und nutzbringender entwickeln kann. Andreas Bachmann, Geschäftsführer und CIO der ADACOR, ist deshalb fest von der Methode überzeugt: „Service Design hilft uns dabei, neue Services zu entwickeln und bestehende Leistungen zu verbessern. Mithilfe des standardisierten Designprozesses und

der dabei eingesetzten Methoden und Tools erhalten wir innovative Ideen und Erkenntnisse, die früher primär durch in-dividuelle persönliche Erfahrung und Mei-nungen entstanden sind. Dank der durch-dachten Bewertungsprozesse finden nur noch die besten und fortschrittlichsten Vorschläge den Weg in unsere Service-Konzepte. Das kommt unseren Kunden zugute, denn sie profitieren von unseren bedarfsgerechten und kundenorientier-

ten Lösungen am meisten.“ Das V-Server-Angebot ist der erste

Service, der bei der ADACOR anhand des Service-Design-Prozesses gestaltet wurde. Aus diesem Grund nehmen wir das Thema in der nächsten Ausgabe von ADACOR Behind The Scene noch einmal auf und berichten über die Anwendung des Service-Design-Prozesses am prak-tischen Beispiel.

ANDREAS BACHMANN

Geschäftsführer I CIO

ADACOR Hosting GmbH

Kaiserleistraße 51

63067 Offenbach am Main

TELEFON +49 69 905089-22

TELEFAX +49 69 905089-29


INTERNET www.adacor.com

Literaturtipps und Quellennachweis

1. Various authors: This is Service Design Thinking, 5. Auflage, Amsterdam: BIS Publishers, 2014

2. Mager, Birgit; Gais, Michael: Service Design, 1. Auflage, Paderborn: W. Fink Verlag, 2009

3. http://thinking.designismakingsense.de/service-design

12 BTS NR. 20

3. Teil der Artikelserie „Verschlüsselung digitaler Kommunikation“

Schutz vertraulicher Daten durch Verschlüsselung von Festplatten und Wechseldatenträgern

In der letzten Ausgabe des ADACOR-Kundenmagazins berichteten wir über die Gefahren unverschlüsselter E-Mail-Kommunikation und über die daraus resultierenden Schutzmechanismen. Der Fokus lag auf der Darstellung verschiedener Krypto-Systeme, mit denen sich vertrauliche Inhalte in E-Mails und Anhängen verschlüsseln lassen. Diesmal beschäftigen wir uns mit der Verschlüsselung von Festplatten und Wechseldatenträgern, wenn es darum geht, sensible Daten zu schützen. Zusätzlich enthält dieser Artikel hilfreiche Tipps für einen nachhaltigen Datenschutz.

13

BitLocker verschlüsselt Laufwerke mit AES-128/-256

BitLocker verschlüsselt automatisch das ganze Laufwerk, auf dem sich Windows und die zu schüt-zenden Daten befinden. Das Programm startet vor dem Betriebssystem. Für die Authentifizierung und die Sicherung der Systemintegrität greift die Soft-ware beim Bootprozess auf ein TPM zu. Bei BitLocker werden die verschlüsselten Daten erst wieder lesbar, wenn ein bestimmtes Kennwort bzw. der Schlüssel zum System passt. Das Programm verfügt außer-dem über eine Wiederherstellungsfunktion.

π Im Rahmen der Verschlüsselung von Datenträgern sind zwei Aspekte besonders bedeutsam:

1. Die physikalische Größe

Umso kleiner das Speichermedium ist, desto wichtiger ist die Verschlüsselung. Kleine Datenträger (z. B. SD-Karte) sind besonders anfällig für Verlust und Diebstahl.

2. Die Notwendigkeit

Umso vertraulicher die Daten auf dem Träger sind, desto wichti-ger ist die Verschlüsselung. Unverfängliche Urlaubsbilder auf ei-ner SD-Karte erfordern i. d. R. keine Chiffrierung. Bei der Ablage einer Textdatei mit Zugangsdaten zu Online-Konten oder PINs von EC- oder Kreditkarten sieht die Sache anders aus.

Keine Chance für Datendiebe: Festplattenverschlüsselung macht Daten unlesbar

Bei der Verschlüsselung einer kompletten Festplatte (Whole Disk Encryption) bzw. Teilen davon (Partitionen) werden die darauf abgelegten Daten für Unbefugte unlesbar gemacht. Das bedeutet, die betroffenen Inhalte sind auch dann sicher geschützt, wenn das entsprechende Endgerät gestohlen wird oder verloren geht. Dank der Pre-Boot-Authentification braucht sich der Nutzer nur einmalig zu identifizieren. Nach der Schlüsseleingabe startet das Betriebssys-tem wie gewohnt und der Zugriff auf die Daten erfolgt im Klartext.

Festplattenverschlüsselung unterscheidet software- und hardwarebasierte Verfahren. Softwareanwendungen sind oft kostenlos bzw. als Open-Source-Lösung erhältlich. Bei der Hardwareverschlüsselung erfolgt die Datenchiffrierung mittels fest in den Rechner installierter Verschlüsselungsgeräte (z. B. Trusted Platform Module1 ).

Wichtig: Bei der Festplattenverschlüsselung sind die Daten nur geschützt - auch nach dem Ausschalten - wenn das End-gerät (z. B. der Laptop) verloren geht bzw. gestohlen wird. Im laufenden Betrieb kann hingegen ein Unbefugter ebenfalls auf das System und seine Inhalte zugreifen. Deshalb sollte der Nut-zer jedes Mal seinen Passwort geschützten Bildschirmschoner

aktivieren, wenn er sich im System eingeloggt hat und dann den Computer unbeaufsichtigt lässt.

Zahlreiche Software für Festplattenverschlüsselung erhältlich

Die meisten Betriebssysteme bringen in ihrem Funktionsumfang bereits ein optionales Programm zur Festplattenverschlüsselung mit. So setzt Microsoft Windows seit der 2000er-Version das verschlüsselte Dateisystem EFS (Encrypt File System) für NTFS2

-Laufwerke ein. Damit werden Verzeichnisse und Dateien mittels AES-Algorithmus (AES steht für Advanced Encryption Standard) verschlüsselt. Das EFS bietet eine Recovery-Funktion, mit deren Hilfe Daten wiederhergestellt werden können, sollte der geheime Schlüssel einmal verloren gehen.

Seit der Einführung von Vista im Jahr 2007 liefert Microsoft für bestimmte Betriebssysteme ein Zusatzprogramm für die Fest-plattenverschlüsselung: BitLocker.

Neben Microsoft haben z. B. Linux mit Loop-AES und dem-crypt bzw. Mac OS X mit FileVault Verschlüsselungsprogramme in ihre Betriebssysteme integriert.

1 Das Trusted Platform Module (TPM) ist ein Chip nach einer Spezifikation der Trusted Computing Group (TCG), der den Computer um allgemeine Sicherheitsfunktionen erweitert. (Quelle: www.wikipedia.de)

2 NTFS bedeutet New Technology File System und ist ein Dateisystem im Eigentum von Microsoft.

Datenträger Verlustpotenzial

Interne Festplatte Gering

Externe Festplatte Mittel

CD/DVD Hoch

USB-Stick Sehr hoch

Speicherkarte Extrem hoch

Abb 1: Verlustpotenzial bei Festplatten und Wechseldatenträgern

FileVault chiffriert Benutzerver-zeichnisse mit AES-128

FileVault verschlüsselt die Benutzerverzeichnisse des Betriebssystems Mac OS X. Die Version FileVault 2 ermöglicht zudem die komplette Festplattenver-schlüsselung. Die Software kann auch einzelne Pro-gramme verschlüsseln. Der Zugriff auf die chiffrier-ten Daten erfolgt mittels Passworteingabe. FileVault nutzt für die Verschlüsselung ein mitwachsendes Bundle-Image (Disk-Image-Datei), welches die Be-nutzerdaten speichert und das bei der Anmeldung als sichtbares Benutzerverzeichnis gemountet wird. Bei der Abmeldung wird das Bundle-Image komprimiert und kann z. B. mit Time Machine gesichert werden.

14 BTS NR. 2214 BTS NR. 22

Auf dem Markt für Verschlüsselungssoftware sind außerdem zahlreiche herstellerunabhängige bzw. betriebssystemüber-greifende Softwareanwendungen auf Open-Source-Basis er-hältlich. Als non plus Ultra in Sachen freier Verschlüsselungs-software galt bis Mitte 2014 TrueCrypt.

Als Nachfolger für TrueCrypt haben sich z. B. DiskCryptor für Windows und als Fork VeraCrypt für Windows, Linux und Mac OS X herauskristallisiert4.. DiskCryptor verwendet in den Versio-nen 0.1 – 0.4 dasselbe Format wie TrueCrypt und ist mit diesem kompatibel. Ab Version 0.5 verwendet DiskCryptor ein eigenes Partitionsformat. VeraCrypt setzt auf der Codebasis von True-Crypt auf, soll jedoch an entscheidenden Stellen verbessert worden und immun gegen Brute-Force-Attacken sein.

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Wechseldatenträger, allen voran der USB-Stick, sind in vielen Firmen als Speichermedium weit verbreitet. Sobald ein USB-Stick mit vertraulichen Inhalten bestückt werden soll, empfiehlt es sich, sicherheitshalber den gesamten Datenträger zu ver-schlüsseln. Alternativ können die meisten Verschlüsselungs-programme auch einzelne Partitionen und Dateien chiffrieren.

Festplattenverschlüsselungsprogramme wie BitLocker oder TrueCrypt verschlüsseln ebenfalls Wechseldatenträger. Zusätzlich bietet der Markt verschiedene spezielle Software, die ausschließlich für die Verschlüsselung externer Speicher vorgesehen ist. Hierbei funktionieren Ver- und Entschlüsselung jedoch nur auf dem Rechner, auf dem die Software installiert und der USB-Stick formatiert wurde. In diesem Fall werden die verschlüsselten Daten lesbar, sobald der Nutzer den Stick mit der passenden Verschlüsselungssignatur in den Port einsteckt.

Fehlt dem USB-Stick die korrekte Signatur, können die darauf gespeicherten und chiffrierten Daten nicht entschlüsselt wer-den. Ebenso schlägt die Dechiffrierung eines USB-Sticks fehl, wenn dieser an einen anderen PC angeschlossen wird, auf dem entweder die Software nicht installiert ist oder dem die richtige Signatur fehlt.

Eine weitere Verschlüsselungsmöglichkeit bieten USB-Sticks mit Hardwareverschlüsselung. Hierbei braucht sich der Nutzer nicht mehr um die Verschlüsselung zu kümmern. Denn alle Inhalte, die auf das Laufwerk geschrieben werden, werden automatisch verschlüsselt. Damit ist die Verschlüsselung des Datenträgers oder der Partition für den Nutzer nahezu transpa-rent. Nur beim Booten oder dem ersten Partitionszugriff ist eine Passwortauthentifizierung notwendig.

Wer auf verschlüsselte Wechseldatenträger verzichten möchte, dem stehen alternative Wege für den Datenschutz offen. So werden die Laufwerke in manchen Unternehmen ausgebaut oder die USB-Ports gesperrt. In Konzernen werden entsprechende Berechtigungen häufig zentral gesteuert und Schnittstellen nur auf Antrag freigeschaltet. Bei der ADACOR Hosting GmbH regelt den Umgang mit externen Speichermedien eine Richtlinie im Rahmen der IT Policy. Demnach dürfen die Mitarbeiter grundsätzlich keine privaten Datenträger an einen Firmencomputer anschließen. Wer einen Wechseldatenträger braucht, dem stellt das Unternehmen einen. Die auszugebenden Medien sind per se mit einer Komplettverschlüsselung versehen.

Besser einfach verschlüsseln als gar nicht

Aufgrund ihrer einfachen und sicheren Handhabung favorisie-ren die meisten Nutzer die in den Betriebssystemen integrier-ten Programme der Hersteller. Herstellerunabhängige Software bzw. Open-Source-Produkte nutzen eher IT-Profis, die über die notwendige Fachkenntnis und Erfahrung mit solchen Program-men verfügen.

Bei der Verschlüsselung von Daten sollte es sich immer um eine von vielen Maßnahmen in einem funktionierenden Sicherheits-konzept handeln. Denn Krypto-Systeme sind kein Allheilmittel für den ganzheitlichen Schutz von Daten.

TrueCrypt: Ende einer Software-Ära

Mit TrueCrypt kann man verschlüsselte Container3 für Daten erstellen sowie die gesamte Festplatte, einzelne Partitionen oder externe Datenträger verschlüsseln. Millionen Nutzer setzten TrueCrypt erfolgreich zur Datenverschlüsselung ein, bis das Projekt im Mai 2014 eingestellt wurde. Obwohl die Software nicht mehr weiterentwickelt wird, gelten ältere TrueCrypt-Versionen nach wie vor als sicher.

3 Container kommen i. d. R. zum Einsatz, wenn man auf einer nicht verschlüsselten Partition einen privaten verschlüsselten Bereich für sensible Daten anlegen möchte, z. B. wenn mehrere Nutzer denselben Rechner benutzen. Innerhalb eines Containers verwaltet TrueCrypt ein Dateisystem. Zum Lesen und Schreiben wird diese Datei gemountet, d. h., in das Betriebssystem eingebunden. Die Ver- und Entschlüsselung erfolgt im Hintergrund on the fly. Zur Entschlüsselung muss das Passwort nur einmalig eingegeben werden. Container können, wenn sie nicht eingebunden sind, wie normale Dateien behandelt werden, beispielsweise auf eine DVD gebrannt werden (Quelle: www.wikipedia.de).

4 Quelle: tecchannel.de, chip.de

1515

ALEXANDER LAPP

Geschäftsführer I COO

ADACOR Hosting GmbH

Kaiserleistraße 51

63067 Offenbach am MainTELEFON +49 69 905089-26

TELEFAX +49 69 905089-29



Auch privat ein Muss

Für privat genutzte Computer, Laptops und Speichersysteme sollte eine Verschlüsselung ebenfalls in Betracht gezogen wer-den. Das Stichwort lautet hier: Identitätsklau.

Wenn Kriminelle an den in der Bahn liegen gelassenen Laptop gelangen, haben sie oft alle Daten um ein komplettes Profil der entsprechenden Person zu erstellen und zu missbrauchen.

Ob private Fotos, Schriftverkehr, Scans von offiziellen Dokumen-ten oder der komplette E-Mailverkehr, in einem solchen Fall er-halten die Betrüger einen wahren Datenschatz.

Laut Cybercrime Bundeslagebild 2013 des Bundeskrimi-nalamtes wurde knapp ein Fünftel der Deutschen (21 %) schon einmal Opfer von Identitätsdiebstahl oder –missbrauch. Wei-tere 27 % der Befragten können nicht ausschließen, dass ihre personenbezogenen Daten schon in unerlaubter Weise genutzt wurden. Anbieter von Online-Einkaufsportalen fördern diesen Missbrauch, indem sie es den Betrügern oft allzu leicht machen. Name und Geburtsdatum einer Person reichen häufig aus, um im Internet shoppen zu gehen. Verifiziert werden die Daten in den seltensten Fällen. Für die Online-Ganoven ist es einfach, an die entsprechenden Daten zu kommen. Für die Portalbetreiber besteht nur ein geringes Risiko, auf den Kosten für falsche

Bestellungen sitzen zu bleiben. Denn um einen Schaden, der entsteht, wenn ein Betrüger auf Kosten seines Opfers Waren im Wert von 10.000 Euro einkauft, wieder gut zu machen, dafür muss jeder Nutzer selbst sorgen.

Erst im August rief das Bundesamt für Sicherheit in der In-formationstechnik (BSI) die Online-Anbieter auf, mehr für die IT-Sicherheit und den Schutz von Kundendaten zu tun. Dem Grund des Aufrufs ging eine Meldung der „New York Times“ voraus, wonach ein Datendiebstahl aufgedeckt wurde, bei dem Online-Kriminelle rund 1,2 Milliarden(!) digitale Identitäten in Form von Kombinationen von Benutzername und Passwort sowie mehr als 500 Millionen E-Mail-Adressen gestohlen hatten. Es bleibt also noch viel zu tun, um IT-Nutzer und Firmen weiter zu sensibilisieren und den Schutz ihrer Daten zu sichern. Was jeder einzelne dafür tun kann, wird im vierten Teil unserer Artikelserie beschrieben.

16 BTS NR. 22

Customer Relationship Management

Telefon-Dialogmarketing: Der direkte Weg zu Ihren Kunden

Heutzutage muss sich vor allem der Vertrieb eines Unternehmens stetig wachsenden und veränderten Anforderungen stellen. Die Aufgabenstellungen werden zunehmend komplexer und der Kostendruck steigt zusehends. Der reine Verkauf ist in diesem Kontext nur ein Aspekt. Genauso gilt es, ein effizientes Kunden- und Servicemanagement aufzubauen, zu dem u. a. auch die Neukundengewinnung und die Bestandskundenbetreuung gehören. Die Telefonmarketing-Agentur von Ursula Bellenbaum unterstützt Industrie- und Dienstleistungsunternehmen seit 1987 europaweit durch professionelles Dialogmarketing und ist auf erklärungsintensive Produkte und Dienstleistungen spezialisiert.

π Die Präsentation eines Unternehmens und der Umgang mit Kunden und Vertriebspartnern ist für viele Unternehmen ein kri-tischer Erfolgsfaktor. Den Eindruck, den ein Unternehmen bei der ersten Kontaktaufnahme hinterlässt, ist daher besonders wichtig. Ursula Bellenbaum steht mit ihrer Telefonmarketing-Agentur Un-ternehmen zur Seite, die die Chance einer positiven telefonischen

Kontaktaufnahme bestmöglich für den Unternehmenserfolg nut-zen wollen. Denn der wachsende Wettbewerb zwingt Unternehmen dazu, alle Möglichkeiten zur Sicherung und zum Ausbau ihrer Marktanteile zu nutzen. Professionelle Dialogkommunikation mit dem Kunden kann dabei zum wichtigen Differenzierungsmerkmal werden.

17

Das Telefon als Medium

Das Telefon bietet nach der direkten Face-to-Face-Kommuni-kation die am stärksten personalisierte Form des Kontaktes mit einem (potenziellen) Kunden. Selbstverständlich bilden gut aufbereitete Fakten nach wie vor eine unverzichtbare Basis für ein Akquisegespräch, aber auch die emotionale Ebene ist wich-tig, wenn es um erfolgreiche Neukundengewinnung geht. Denn: Geschäfte werden immer noch zwischen Menschen gemacht! Die UB Telefonmarketing-Agentur setzt daher ausschließlich auf geschultes und qualifiziertes Personal. Die sogenannten Projekt-Assistentinnen bilden das Fundament für die professio-nelle Realisierung des akquisitions- oder bindungsorientierten Dialoges mit dem Kunden. Sie verfügen über einen kaufmänni-schen Background und zeichnen sich durch Dialogstärke und Verhandlungsgeschick aus.

Die Dienstleistungen der inhabergeführten Agentur rund um das Thema Telefonmarketing reichen von der Markt- und Ziel-gruppenanalyse über die konkrete Neukundenakquisition und Vertriebsunterstützung bis hin zu Telefonmarketing-Trainings und individuellen Workshops vor Ort für die Mitarbeiterinnen und Mitarbeiter eines Unternehmens. Von einmaligen Aktionen bis hin zu umfassenden und langfristigen Kunden-Dialogprozessen profitieren Auftraggeber vom umfassenden Know-how der Projekt-Assistentinnen, das durch die jahrelange erfolgreiche Zu-sammenarbeit mit renommierten Unternehmen entstanden ist.

Um das jeweilige Unternehmen bestmöglich repräsentieren zu können, finden die Telefongespräche in der ruhigen, entspann-ten Atmosphäre von Einzelbüros statt - ganz im Gegensatz zur aufreibenden Hektik des Massenbetriebs eines Callcenters. Dadurch schafft die Agentur die Voraussetzung für qualitativ hochwertige Kommunikation zum Kunden - gerade auch in er-klärungsintensiven Branchen.

Ohne Konzeption geht es nicht!

Eine fundierte konzeptionelle Vorbereitung ist für den Erfolg des jeweiligen Projektes von zentraler Bedeutung. Hierfür be-nötigt die Agentur zunächst ausführliche Informationen zu den Produkten und/oder Dienstleistungen des Auftraggebers. Auch über branchenspezifische Besonderheiten, konkrete Wettbe-werber und natürlich die Zielgruppe wird im Rahmen des Brie-fings eingehend gesprochen. Dann wird die Konzeption für die Telefonmarketing-Aktion ausgearbeitet.

Diese umfasst im Wesentlichen die Schritte:

1) Zielsetzung und Aktionszeitplan fixieren.

2) Zielpersonen und Zielgruppen definieren.

3) Begleitende Maßnahmen festlegen.

4) Projekt-Mitarbeiterinnen schulen.

5) Gesprächsskript mit integrierter Nutzenargumentation entwickeln.

6) Relevante Parameter für die Gesprächsdokumentationen und täglichen Ergebnisberichte ermitteln.

Festgelegt wird in diesem Kontext selbstverständlich auch, wie die Informationen, die im Rahmen der anschließenden Telefona-te gewonnen werden, weiterverarbeitet werden. Beispielsweise können relevante Daten direkt in das Customer-Relationship-Management-System des Kunden eingearbeitet werden und im Rahmen der Aktionsevaluation aussagekräftige Statistiken erstellt werden.

Erfolgreiche Neukundenakquise ist kein Zufall

Die UB Agentur für Telefonmarketing von Ursula Bellenbaum blickt auf über 25 Jahre erfolgreiche Arbeit im Outbound-Tele-fonmarketing zurück. Ihre Kunden kommen aus den Branchen IT, Energie Dienstleistung & Versorgung, Mobilien-Leasing, Fuhrpark Management & Leasing, Maschinenbau, Pharma, Facility Management, Logistik, Kälte–Klima–Technik, Pneuma-tik, Mechatronic, Qualitätsmanagement u. v. a. m. Dabei ist der Erfolg der Agentur bei der Neukundenakquisition kein Zufall, son-dern das Ergebnis einer sorgfältigen Zusammenarbeit mit ihren Auftraggebern, einer individuell vorbereiteten Konzeption sowie der hohen Arbeitsqualität der Projekt-Assistentinnen. Letztere sind auf die Ansprache der verantwortlichen Entscheider – in der Regel kaufmännische oder technische Geschäftsführung – ge-schult. Und die Erreichbarkeitsquote dieser Zielpersonen durch die Agentur spricht für sich: Sie liegt bei ca. 90 %.

Ausführliche Informationen zum Unternehmen und seinen Referenzen finden Sie unter: www.bellenbaum.de

Sachebene

Beziehungsebene

20%

80%

Erfolgreiche Neukundenakquisition Grundmerkmale der Kommunikation

Das Dienstleistungsangebot der UB Telefonmarketing-Agentur umfasst:

› Neukundenakquisition (qualifizierte Termine bei potenziellen Kunden)

› Zielgruppenrecherche und -lieferung

› Altkunden-Reaktivierung

› Bedarfsermittlung

› Produktvorstellung (kein Verkauf)

› Messe- und Kongresseinladungen

› Marktforschungsaufgaben

› Telefonmarketing-Trainings

18 BTS NR. 22

Im Interview: Ursula Bellenbaum, seit 1987 Inhaberin der UB Agentur für Telefonmarketing

Gutes Telefonmarketing ist 1-a-Vertriebsunterstützung!

Es dürfte schwierig sein, in der heutigen Zeit einen Menschen zu finden, der noch nie in seinem Leben telefoniert hat. Telefonieren macht somit niemandem Schwierigkeiten – oder doch? Tatsache ist, zahlreiche Unternehmen vernachlässigen bei der Erstellung von Unternehmens-, Marketing- oder Vertriebskonzeptionen auch heute noch die Möglichkeiten, die das Medium Telefon bietet.

BTS: Was hat Sie bewogen, eine Agentur für Telefonmarketing zu gründen?

URSULA BELLENBAUM: Von 1980 bis 1987 war ich als Assis-tentin der Geschäftsleitung in einer renommierten Düsseldorfer Werbeagentur tätig. In diesem Kontext bekam ich 1985 die Aufgabe, ein Pilotprojekt über Telefonmarketing zu realisieren. Es wurde ein großer Erfolg und ich war infiziert. Nach 2-jähriger Vorbereitungszeit und der Lektüre umfangreicher Fachliteratur, dem Besuch zahlreicher Seminare und intensiven Gespräche mit anderen Selbstständigen meldete ich am 1.02.1987 meine UB-Agentur für Telefonmarketing an und erfüllte mir damit meinen Traum einer eigenen Agentur.

Für wen bzw. welche Branchen ist Telefonmarketing besonders geeignet?

Es gibt kaum eine Dienstleistung oder ein Produkt, welches sich nicht eignet. Jedoch haben wir uns von Anfang an für die Neu-kundenakquisition für hocherklärungsintensive Produkte und Dienstleistungen spezialisiert, und zwar europaweit. Die Effizienz der Maßnahmen in diesem Bereich hängt maßgeblich von der Komplexität des Angebotes ab und der Schwierigkeit, im Ziel-unternehmen mit den benötigten Ansprechpartnern in direkten Kontakt zu kommen.

Je erklärungsbedürftiger das Angebot ist und je höher der dafür verantwort-liche Kostenentscheider in der Unternehmenshierarchie angesiedelt ist, desto schwieriger und aufwendiger ist die Akquise.

Ist Telefonmarketing gleich Telefonakquise?

Marketing heißt für mich in erster Linie „machen“. Konkret be-deutet das für mich, mit Blick auf die Kunden und ausgerichtet auf den Markt unserer Auftraggeber erfolgversprechende Marketing-

schritte zu planen. Dies umfasst als ersten wichtigen Schritt die präzise Definition von Zielen. Wir gehen den Weg der direkten An-sprache und haben das Telefon als unser Arbeitsmedium gewählt. Bevor wir zum Hörer greifen, ist es jedoch wichtig, zunächst aus dem Gesamt-Marketingmix die Konzeption für das Telefonmarke-ting abzuleiten. Sie ist die Basis für die erfolgreiche Arbeit mit den (potenziellen) Kunden am Telefon, denn sie bildet die Grundlage für die spätere Evaluation der einzelnen Maßnahmen. Wenn die Konzeption steht und die einzelnen Maßnahmen geplant sind, dann beginnen wir mit der eigentlichen Telefonakquise.

Was macht gutes Telefonmarketing aus?

Für den Erfolg von Outbound-Telefonmarketing ist die sorgfältige konzeptionelle Vorbereitung im Rahmen der Projektplanung es-sentiell. Dies umfasst u. a. auch das Briefing durch den Auftragge-ber, ausführliche Informationen über Produkte, Dienstleistungen, Branchenspezifika, Wettbewerber, Zielgruppe(n) sowie eine klare Beschreibung der Zielvorgaben. Sind diese Informationen gege-ben, erfolgt die Schulung meiner Projekt-Mitarbeiterinnen und die Entwicklung eines Gesprächsskripts, das die Nutzenargumenta-tion ebenso umfasst wie die Behandlung von Kundeneinwänden. Ebenfalls wichtig: Nach einer ersten Testphase wird geprüft, ob die Konzeption stimmt und die Vorgehensweise richtig und er-folgsversprechend ist oder ob sie in Zusammenarbeit mit dem Auftraggeber ggf. noch einmal modifiziert werden muss.

Inwiefern unterscheidet sich Ihre Agentur von einem Callcenter?

Wir sind kein Callcenter, sondern definieren uns als klassische Telefonmarketing-Agentur im B2B-Bereich mit hohem Anspruch an unsere Arbeitsqualität. Wir leisten professionelle Vertriebsun-terstützung. Unsere erfahrenen Projekt-Assistentinnen verfügen über kaufmännischen Background (ehemalige Sekretärinnen, Vertriebsassistentinnen) und zeichnen sich durch Charme, Sensi-bilität, Dialogstärke und Verhandlungsgeschick aus. Sie haben die nötige Zeit, einen qualifizierten Dialog zu führen. Bei uns wird nicht im Akkord telefoniert, keine Masse produziert, sondern Wert auf anspruchsvolle und kundenorientierte Gesprächsführung gelegt. Wir machen kein Inbound-Marketing, sprechen keine Privatleute

19

an, tätigen keinen Verkauf am Telefon. Unsere Telefongespräche finden in der ruhigen, entspannten Atmosphäre von Einzelbüros statt. Eine wichtige Rahmenbedingung, die im Gegensatz zu der aufreibenden Hektik des Massenbetriebs in einem Callcenter steht. Dadurch schaffen wir die Voraussetzung für anspruchsvolle Kommunikation mit den potenziellen Kunden unserer Auftragge-ber gerade auch in sehr erklärungsintensiven Branchen.

Wie gehen Sie damit um, wenn eine Person am Telefon ablehnend reagiert?

Charmant. Wir zeigen Verständnis, dass er oder sie keine Zeit hat, und versuchen, einen Telefontermin für einen späteren Zeitpunkt zu erhalten. Selbstverständlich gepaart mit dem Versprechen, diesen explizit einzuhalten. Mehr ist nicht notwendig.

Inwiefern profitieren Ihre Kunden von Ihrem Marketingansatz?

Qualifizierte Termine, neue Kundenkontakte, zufriedene Ver-triebsmitarbeiter, die uns als ihre Vertriebsassistentin schätzen – das sind nur einige Vorteile, die die Zusammenarbeit mit einer professionellen Telefonmarketing-Agentur mit sich bringen. Dar-über hinaus validieren wir auch Daten und dokumentieren unsere Ergebnisse inklusive der daraus resultierenden Follow-ups z. B. per Excel oder auch via Web-Account-Anbindung direkt in den

Customer-Relationship-Management-Systemen unserer Auf-traggeber. Wir erstellen auch Statistiken. Jedes Gespräch wird quantitativ und qualitativ erfasst. Durch dieses „Performance-Marketing“ werden unsere Ergebnisse messbar.

Welche Tipps würden Sie Unternehmen mit auf den Weg geben, die ihr Telefonmarketing professionalisieren möchten?

Telefonakquise kann man nicht mal eben so nebenbei machen. Die Schulung der Mitarbeiter ist aus meiner Erfahrung zwingend notwendig. Auch hierbei unterstützen wir Unternehmen und haben ein eigenes Trainingsangebot konzipiert. Gerne sende ich Interessenten hierzu ausführlichere Informationen zu. Ein kurzer Anruf genügt!

URSULA BELLENBAUM

UB - Agentur für Telefonmarketing

Hittfeldstraße 79

45478 Mülheim an der Ruhr

TELEFON +49 0208 5 88 64-11

TELEFAX +49 0208 5 88 64 20


INTERNET www.bellenbaum.de

Ursula Bellenbaum, Inhaberin der UB Agentur

20 BTS NR. 22

Cyberkriminalität

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Innenminister Thomas de Maizière hat am 18. August dieses Jahres den Entwurf zum neuen IT-Sicherheitsgesetz vorgestellt. Da es sich um ein Artikelgesetz handelt, geht es mit der Änderung verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetztes (TKG) und des Telemediengesetztes (TMG). Mithilfe des neuen Gesetzes will die Bundesregierung Bürger zukünftig besser vor Hacker-Angriffen schützen. Aktuell befindet sich der Gesetzesentwurf in der Abstimmung zwischen den Ressorts. Bis Ende des Jahres soll das Gesetz jedoch als zentraler Baustein der sogenannten „Digitalen Agenda“ verabschiedet sein.

21

π Die Gefahr, von Hackern angegriffen zu werden, ist – so die Bundesregierung – besonders groß für Telekommunikationsfir-men, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser. Hier können Angriffe drastische Auswirkun-gen auf das öffentliche Leben haben. Erstmals soll es deshalb bald verbindliche Mindeststandards für die IT-Sicherheit der sensiblen Wirtschaftszweige geben. Dabei zielt der neue Ge-setzentwurf vor allem auf die signifikante Verbesserung der IT-Sicherheit für die zugrundeliegenden Kommunikationsinfra-strukturen ab. Der Entwurf greift aber noch weiter. Vorgesehen sind auch Änderungen des Telemedien- und des Telekommuni-kationsgesetzes, die zunächst kaum Beachtung fanden. Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen - was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu be-seitigen.

Geltungsbereich und Auswirkungen für Unternehmen

Das Gesetz gilt im Wesentlichen nur für Unternehmen die be-stimmte Telemediendienste, Telekommunikationsdienste und sogenannte kritische Infrastrukturen (z. B. Kraftwerke, Ban-ken, Krankenhäuser etc.) betreiben. Also nur einen sehr ein-geschränkten Kreis an Unternehmen. Diese müssen aber mit deutlich mehr Aufwand hinsichtlich der IT-Sicherheit rechnen als bisher, und zwar durch:

› Die Vorgabe eines Mindeststandards an die IT-Sicher-heitsmaßnahmen: In den jeweiligen Branchen sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen At-tacken abzusichern. Diese erarbeiteten Standards werden anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und – so als ausreichend angesehen - akzeptiert.

› Die Nachweispflicht hinsichtlich der Erfüllung der Sicher-heitsanforderungen durch entsprechende Audits, Zertifi-zierungen etc. im Abstand von zwei Jahren. Bei Mängeln sind die gesamten Zertifizierungsergebnisse an das BSI zu übermitteln.

› Die Angabe von Warn- und Alarmierungskontakten.

› Die Meldepflicht von IT-Sicherheitsvorfällen und Beein-trächtigungen gefährdeter Prozesse und Systeme an die entsprechende Stelle des BSI.

› Die Informationspflicht Nutzern gegenüber, wenn Ausfälle oder IT-Sicherheitsvorfälle zu unerlaubten Zugriff auf die Systeme der Nutzer führen könnten (Virenbefall).

Der Gesetzesentwurf in der Kritik

Die Wirtschaft hatte sich in der Vergangenheit aus Angst vor Imageverlusten vehement gegen eine namentliche Meldepflicht gewehrt. Dies wurde im aktuell diskutierten Gesetzesentwurf berücksichtigt. Unter der Voraussetzung, dass es nicht zu ei-

nem Ausfall oder einer Störung des jeweiligen Netzes kommt, ist eine anonyme Meldung ausreichend. Im Gegenzug wird das BSI verpflichtet, die eingehenden Meldungen zu analysieren, ggf. erkennbare Angriffssystematiken zu identifizieren und poten-ziell gefährdete Unternehmen vor möglicherweise drohenden Übergriffen im Vorfeld zu warnen.

Ebenfalls als kritisch wurde bewertet, dass die Behörde einzelne Bewertungen von Produkten, Systemen oder Diensten veröffentlichen darf, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe. Unterm Strich erfährt die Öffentlichkeit also nicht mehr als bisher. Zugang zu den aus-gesprochen sensiblen Informationen bekommen Interessierte nur auf Zustimmung der betroffenen Unternehmen.

Gemäß den mit dem Inkrafttreten des neuen IT-Sicher-heitsgesetzes einhergehenden Änderungen des Telekommuni-kations- und Telemediengesetzes werden Anbieter außerdem explizit dazu angehalten, Nutzungs- bzw. Verkehrsdaten (E-Mail, Telefon) zu speichern, um Störungen (inklusive IT-Sicherheits-vorfälle) in ihren Netzen oder Diensten zukünftig möglichst zu verhindern. Von Datenschützern und Netzaktivisten wird dies als der Versuch bewertet, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Die Vorratsdatenspeicherung ist definiert als die anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Im Zusammenhang mit dem „Kampf gegen Terror und Verbrechen“ hatte die EU vor einigen Jahren alle Telekommunikationsfirmen dazu angehalten, solche Daten zu sammeln und langfristig zu speichern. In Deutschland wurde die Regelung allerdings bereits 2010 vom Bundesverfas-sungsgericht als verfassungswidrig gekippt.

ANDREAS BACHMANN


ADACOR Hosting GmbH

Kaiserleistraße 51


TELEFON +49 69 905089-22

TELEFAX +49 69 905089-29



22 BTS NR. 22

Informationssicherheit

Welche Neuerungen bringt die revidierte Norm ISO/IEC 27001:2013?

Internationalen Managementstandards und den mit ihnen verbundenen Sicherheitsanforderungen kommt aufgrund der fortschreitenden Technisierung der Arbeitsabläufe in Unternehmen eine immer zentralere Bedeutung zu. Um angesichts dieser Entwicklung den Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen, wurde einst die ISO-Norm 27001 ins Leben gerufen. Sie spezifiziert branchenunabhängig Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, die an die individuelle Situation der einzelnen Organisationen anzupassen sind. Die erste Fassung der ISO/IEC 27001 wurde 2005 veröffentlicht. Acht Jahre später wurde diese Version in 2013 durch eine vollständig überarbeitete Fassung, die ISO/IEC 27001:2013, revidiert.

23

π Mit einer ISO-27001-Zertifizierung identifizieren und beseitigen Unternehmen IT-Risiken und implementieren IT-Sicherheitsverfahren, die zur nachhaltigen Qualitätsoptimie-rung ihrer Systeme beitragen. Die ISO 27001 ist ein weltweit anerkannter Standard für die Bewertung der Sicherheit von Informationen und IT-Umgebungen, der die Anforderungen an ein Informationssicherheitsmanagementsystems (ISMS) de-tailliert beschreibt. Im Zusammenhang mit der Veröffentlichung der neuen Revision in 2013 müssen Unternehmen nun nicht nur auf inhaltliche Änderungen einstellen, sondern auch bestimmte Übergangsfristen berücksichtigen.

Welche Neuerungen bringt die 2013er-Revision?

Die Neuerungen verbessern die Anwendbarkeit der Norm er-heblich. Sie ist stärker auf die Strategie der Organisation aus-gerichtet und verlegt den Schwerpunkt weg von prozessualen Vorgaben verstärkt hin zu Verantwortungsvorgaben. Die neue, einheitliche High-Level-Struktur der ISO 27001:2013 ermög-licht es in Zukunft darüber hinaus, verschiedene Normen besser miteinander zu verknüpfen. Besonders die Integration mehrerer Managementsysteme wie z. B. der ISO 9001, ISO 14001 und ISO 27001 wird wesentlich erleichtert. So lassen sich bestimmte Prozesse in Zukunft deutlich besser bündeln, wodurch Synergie-effekte freigesetzt werden. Das gilt auch für die Prüfung durch einen Auditor. Da maßgebliche Teile der Managementsystem-Standards vereinheitlicht wurden, können mehrere implemen-tierte Managementsysteme fortan auch gemeinsam auditiert werden. Das entlastet nicht nur die Mitarbeiter, sondern redu-ziert auch den benötigten Zeitaufwand beträchtlich und spart somit Kosten.

Aber welche Anforderungen sind nun in der in 2013 revi-dierten Fassung der ISO 27001 neu hinzugekommen bzw. weg-gefallen? Die folgende Tabelle gibt einen ersten Überblick.

Die neue Norm gibt konkrete Hilfestellungen dabei, den Umgang mit den einzelnen sicherheitskritischen Aspekten innerhalb des Unternehmens stärker im organisatorischen Arbeitsalltag zu verankern. Hierfür müssen u. a. Verbindlichkeiten klar definiert, Prüf- und Messverfahren dezidiert beschrieben und Verant-wortlichkeiten konkret zugewiesen werden. Um dies für Unter-nehmen nachvollziehbar zu dokumentieren, waren Änderungen

verschiedenen Ausmaßes notwendig. Grob lassen sich für die einzelnen Themenfelder wesentliche, moderate und geringfügige Änderungen unterscheiden (siehe Grafik).

Die Neuerungen hinsichtlich der interessierten Parteien sowie den Themenfeldern Maßnahmen, Monitoring & Messung sind für Unternehmen, die sich bereits mit der 2005er-Revision ausein-andergesetzt haben, sicherlich die gravierendsten. Aber was hat sich hier genau geändert?

Interessierte Parteien - Wer ist involviert und betroffen?

Interessierte Parteien und deren Anforderungen müssen zu-künftig als elementarer Teil des ISMS identifiziert werden. Es gilt festzustellen, wer die einzelnen Parteien sind, mit denen ein Unternehmen im Rahmen seines ISMS in Kontakt kommt, und ob selbige Einfluss auf das ISMS nehmen bzw. andersherum von ihm beeinflusst werden. Die Anforderungen dieser Partei-en - das können z. B. Lieferanten, staatliche Institutionen oder Anwohner der Umgebung sein - können rechtliche, vertragliche, regulatorische und/oder ethische Verpflichtungen enthalten.

Maßnahmen, Monitoring, Messung – Vertrauen ist gut, Kontrolle ist besser!

Ein weiterer Kernaspekt, der neu gewichtet wurde und im Ver-gleich zur Vorversion der Norm deutlich vertieft wurde, ist die Messung der Effektivität innerhalb eines ISMS. Der Anwender der Norm muss die Leistung und die Effektivität des Informati-onssicherheitsmanagementsystems sicherstellen. Hierzu muss das Unternehmen eine Methodik zur Überwachung, Messung, Analyse und Evaluation der ISMS-Maßnahmen definieren und

Überblick über die Anforderungen

HINZUGEKOMMEN WEGGEFALLEN

Risikoinhaber Präventionsmaßnahmen

Interessierte Parteien Dokumentenkontrolle/-managment, internes Audit und korrrigierende Maßnahmen (existieren noch als Anforderungen; müssen aber nicht mehr dokumentiert werden)

Anhang B

Anhang C

Verä

nder

ungs

grad

Themenfelder

› Interessierte Parteien

› Maßnahmen, Monitoring, Messung

› ISMS-Geltungsbereich

› Informationssicherheitslinie

› Risikobewertung und -behandlung

› Kommunikation

› Dokumentenmangement

› Anhang A

› Führung und Engagement

› Erklärung zur Anwendbarkeit

› Risikobehandlungsplan

› Management von Personal

› Interne Audits

› Managementbewertung

› Korrekturmaßnahmen

Geri

ngfü

gig

Mod

erat

Wes

entl

ich

24 BTS NR. 22

die dazugehörigen Ergebnisse entsprechend dokumentieren. Es muss hierfür genau festgelegt werden, was überwacht wird, welche Kennziffern hinterlegt werden und wer wann mit wel-chem Prozess die Ergebnisse auswertet. Geeignete Methoden zur Messung der Effektivität können z. B. die Analysen von „Key Performance Indikatoren“ (KPI’s) oder dediziert entwickelte Messsysteme sein. Denkbar ist auch, die Bewertung im Zusam-menhang mit dem Management-Review-Prozess durchzufüh-ren. So kann die Evaluation vergleichsweise einfach in den schon geregelten Prozessrahmen integriert werden.

Neben den wesentlichen Änderungen in Bezug auf die interessierten Parteien und die Maßnahmen (inklusive dem dazugehörigen Monitoring und Messen) enthält die neue Norm in Bezug auf einige Themenfelder auch moderate Änderungen.Im Zusammenhang mit dem ISMS-Geltungsbereich rücken z. B. ausgelagerte Dienstleistungen verstärkt in den Fokus der Betrachtung. Die Anforderungen an die Risikobewertung und Kritikalitätsprüfung von externen Dienstleistern sind gestiegen. Zudem müssen die Informationssicherheitsziele zukünftig messbar und den Anforderungen entsprechend in einer Informationssicherheitsleitlinie definiert werden. Sie ist zu kommunizieren, regelmäßig zu überprüfen und bei Bedarf zu aktualisieren. Das Erreichen der Ziele muss explizit geplant werden, wobei die für die Abwicklung notwendigen Tätigkeiten und Ressourcen, die Zeitplanung und die personellen Verant-wortlichkeiten zu berücksichtigen sind.

Die Anforderungen an die Risikobewertung und -be-handlung wurden ebenfalls neu gestaltet und ein sogenannter Risikoinhaber („Risk Owner“) implementiert. Die Vorgaben zur Methodik, wie das Risiko zu bestimmen ist (z. B. während der Identifikation der Unternehmenswerte, Risiko- und Schwach-stellenanalyse), wurden gelockert. Allerdings müssen zukünftig ausgelagerte Prozesse berücksichtig und in das Risikomanage-ment einbezogen werden. Am besten gelingt dies im Rahmen des Risikobewertungsprozesses. Folglich muss dieser modifiziert und die Analyseergebnisse entsprechend angepasst werden. Der hieraufhin ausgearbeitete Risikobehandlungsplan muss vom jeweiligen Risikoinhaber freigeben und das verbleibende Restrisiko der Informationssicherheit explizit akzeptiert werden. Der Schwerpunkt des Risikomanagements hat sich hierdurch maßgeblich verändert. Und zwar weg von der reinen „isolierten“ Maßnahmenkontrolle hin zur Identifikation und Behandlung von Risiken in Bezug auf die unternehmensspezifischen Strukturen

und Prozesse. Und das Ganze unter der Zuhilfenahme von kon-kret zugewiesenen personellen Verantwortlichkeiten.

Neu ist auch, dass die Norm klare Anforderungen an die Kommunikation von Informationssicherheitsthemen be-schreibt. Es gilt, die folgende Frage(n) zu beantworten: Wer spricht wann mit wem über welches Thema?

Und die ISO verabschiedet sich von der Idee, dass alle Sach-verhalte des ISMS in Dokumenten oder Aufzeichnungen fest-gehalten werden müssen (Dokumentenmanagement). Fortan gibt es keine formalen Anforderungen mehr an das Format oder Speichermedium für die Dokumentation.

Last but not least: Im Vergleich zur 2005er-Version der ISO-Norm wurde der Anhang A an einigen Stellen weitgehend über-arbeitet und vor allem an aktuelle Sicherheitserfordernisse der Informationstechnologie angepasst. Die neue Revision besteht nun nicht mehr aus 133, sondern lediglich aus 114 Maßnahmen. Das sind 19 Maßnahmen weniger. Weitere geringfügige Ände-rungen zielen auf die Themenfelder ab:

› Führung und Engagement

› Erklärung zur Anwendbarkeit

› Risikobehandlungsplan

› Management von Personal

› Interne Audits

› Managementbewertung

› Korrekturmaßnahmen

Die Modifikationen sind aber nur marginal, sodass wir an dieser Stelle nicht näher darauf eingehen.

Fristen und Übergangsfristen

Bereits nach der 2005er-Revision zertifizierte Unternehmen ha-ben seit der ersten Veröffentlichung der neuen Norm im Sep-tember 2013 zwei Jahre Zeit, sich nach der neuen Norm rezer-tifizieren zu lassen. Eine Übergangsfrist ist Ende September dieses Jahres bereits verstrichen. Konnten Unternehmen sich bislang auch noch nach der 2005er-Revision zertifizieren las-sen, können Informationssicherheitsmanagementsysteme ab Oktober 2014 nur noch nach der neuen ISO/IEC 27001:2013 (re-)zertifiziert werden.

25.9.2013 25.9.2014 25.9.2015

Ab dem 25.9.2013 kann man sich nach ISO 27001:2013 zertifizieren lassen

ISO 27001:2013

ISO 27001:2005Zertifizierung nach ISO 27001:2005 noch möglich

Nach ISO 27001:2005 zertifizierte Unternehmen müssen auf ISO 27001:2013 umstellen

25

Fazit

Die neue Norm macht – wie auch die Vorgängerversion – keine Vorgaben in Bezug auf ein konkretes Sicherheitsniveau, sondern fokussiert ausschließlich auf den Betrieb eines ISMS.

Allerdings wurde der Standard in der neuen Version an andere ISO-Managementstandards angeglichen, die Gliederung wurde optimiert und im Hinblick auf aktuelle Erfordernisse der Informationssicherheit angepasst. Da der Ausgestaltungs-spielraum hinsichtlich des konkreten Doings erhöht wurde, sollte die Nutzung des Standards für Unternehmen ohne grö-ßere Probleme möglich sein. Weil die Änderungen im Standard nicht so gravierend sind, wie es auf den ersten Blick scheinen mag, dürften auch Unternehmen, die bereits nach der 2005er-Revision zertifiziert sind, wenig Schwierigkeiten haben, bis Ende September 2015 auf die neue Version umzustellen. Bleibt noch zu erwähnen, dass die vollzogenen Veränderungen selbstver-ständlich auch Einfluss auf das künftige Prüfverfahren nehmen. Unternehmen, die eine Zertifizierung nach der neuen Version anstreben, sollten sich deshalb rechtzeitig mit der neuen ISO-Norm auseinandersetzen und auf das veränderte Prüfverfahren vorbereiten. So lautet zumindest eine Empfehlung der Deut-schen Akkreditierungsstelle (DAkkS) und des TÜVs als Zertifizie-rungsdienstleister.

1995 2000 2005 2010 2015

1995BS 7799-1 publiziert

2000daraus wurde ISO/IEC 17799

2007daraus wurde ISO/IEC 27002

1999BS 7799-2 publiziert

2005daraus wurde ISO/IEC 27001:2005

2007daraus wurde ISO/IEC 27001:2013

Die Geschichte der ISO 27001

Im Jahr 1995 veröffentlichte die British Standards Institution (BSI) erstmals den Standard BS 7799, den Vorreiter der ISO/IEC 27001. Er wurde vom bri-tischen „Department of Trade and Industry (DTI)“ in Zusammenarbeit mit anderen Regierungsteilen des Vereinigten Königreichs entwickelt und mit dem Ziel publiziert, Führungskräften und Mitarbeitern eines Unternehmens, ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt.

Der Standard BS 7799 bestand aus mehreren Teilen. Der erste Teil (BS 7799-1) definierte den „Code of Practice“ für Informationssicherheit. Er wurde 1998 erstmals überarbeitet und nach der Prü-fung und Genehmigung durch weltweite Standardi-sierungsgremien - der International Organization for Standardization (ISO) und der International Electro-technical Commission (IEC) - im Jahr 2000 beinahe unverändert durch die ISO/ IEC 17799 adoptiert. Später entwickelte sich hieraus die ISO/IEC 27002.

Der zweite Teil der Norm (BS 7799-2) wurde erstmals 1999 publiziert und setzte sich mit den Spezifikationen für ein Informationssicherheitsma-nagementsystem (ISMS) auseinander. Auch dieser Teil wurde 2005 durch die ISO/IEC weitestgehend übernommen und in die ISO/IEC 27001:2005 über-führt. Im November 2013 schließlich wurde die lang erwartete Revision der 2005er-Fassung - die ISO/IEC 27001:2013 – offiziell durch die ISO und EC freige-geben.

ANDREAS BACHMANN


ADACOR Hosting GmbH

Kaiserleistraße 51


TELEFON +49 69 905089-22

TELEFAX +49 69 905089-29



26 BTS NR. 22

Cloudbase Proxy – SaaS für höchste Flexibilität, Skalierbarkeit und Performance

Übersichtliche GUI vereinfacht die Verwaltung und Steuerung des Cloud Proxy

In wenigen Wochen wird die Programmierung des Prototypen für den Cloudbase Proxy abgeschlossen sein. Anschließend wird dann das Testing des Reverse-High-Performance-Proxys durch interne und externe Testkunden im Mittelpunkt des Projektplans stehen. Im Moment feilen die Entwickler noch an der grafischen Benutzeroberfläche. Davor wurden die Optimierungsmodule “Minify” und “Kompression” fertiggestellt und deren Funktionalitäten erfolgreich getestet. Den aktuellen Stand im Projekt fasst der sechste Teil der Cloudbase-Artikelserie zusammen.

π Mit dem Cloudbase Proxy wird die ADACOR Hosting GmbH ab dem kommenden Jahr eine neue effiziente SaaS-Lösung für alle Kunden und Interessenten anbieten. Unternehmen profitie-ren von der Software, weil sie wesentliche Funktionen für den Betrieb und die Optimierung von Applikationen und Webseiten nicht mehr wie bisher selbst programmieren oder installieren müssen. Das übernimmt dann die Software für sie, indem sie die entsprechenden Features automatisch bereitstellt.

Das von der ADACOR selbst initiierte Entwicklungsprojekt befin-det sich auf der Zielgeraden perfekt im Zeitplan. Zurzeit küm-mern sich die Programmierer um den letzten Feinschliff an der grafischen Benutzeroberfläche. Davor wurden die letzten beiden Module „Minify1“ und Kompression2“ inklusive ihrer Features in den Proxy-Kern eingebunden. Andreas Bachmann, Geschäfts-führer und CIO bei der ADACOR Hosting GmbH, fasst die fina-len Schritte in der Modulentwicklung zusammen: „Die Entwick-lungsphase für die Module ‚Minify’ und ‚Kompressionen’ haben wir mit Erfolg durchlaufen. Zwar galt es auch einige Hürden zu überwinden, z. B. musste ein neuer Programmcode erarbeitet werden. Aber das Entwicklungsteam hat diese Herausforderun-gen mit Bravour, und etwas schneller als geplant, gelöst. Mit dem Ergebnis sind wir sehr zufrieden.“

Aktuelle Entwicklung der Benutzeroberfläche

Aufgrund der Zeitersparnis bei der Modulentwicklung steht den Programmierern ausreichend Zeit für die Fertigstellung der gra-fischen Benutzeroberfläche - auch GUI (von englisch graphical

Cloudbase Proxy: Funktionsübersicht

Sicherheitsmodule

1. IPS/IDS (Intrusion Prevention System/Intrusion Detection System)

2. Code Filtering

3. Parameter Hashing/Validation

Performance-Module

4. Hochverfügbarkeit

5. Automatische CDN-Anbindung

6. Caching

Optimierungsmodule

7. Grafikoptimierung

8. Minify

9. Kompression

1 Minify bietet eine hilfreiche Methode, um Stylesheets, HTML-Code und Javascript durch den Einsatz regulärer Ausdrücke (RegEx) und RegEx Replacements zu komprimieren. Z. B. lässt sich mit Minify formatierter Source Code bei der Übertragung an einen Webserver von überflüssi-gem White Space (Leerzeichen, Umbrüche, Einrückungen usw.) be-freien.

2 Die Kompression bzw. Komprimierung reduziert die Größe von Dateien wie Bildern, Videos oder Webseiten um ein Vielfaches. Z. B. werden Da-teien, die auf eine Website übertragen werden sollen, zunächst auf dem Webserver gepackt, dann ausgeliefert und erst im Browser ent-packt. Dadurch verringern sich die Menge der Daten und deren Über-tragungsdauer sowie der dafür benötigte Speicherplatz.

27

user interface) genannt - zur Verfügung. Die GUI verbindet den Nutzer mit dem Cloudbase Proxy und ermöglicht eine intuiti-ve Verwendung der Software. Davon profitieren zum einen die ADACOR-Administratoren, die den Proxy über die Benutzerober-fläche steuern, zum anderen die Kunden bzw. Nutzer, die ihren Proxy-Account über die GUI verwalten. Eingebunden ist der gesamte Bedien- bzw. Schaltpult in das existierende ADACOR-Kundenportal. Dieses wird für den Cloudbase Proxy bzw. für die dazu gehörige SaaS-Produktfamilie, um einen separaten Be-reich erweitert werden.

Einfacher Login-Prozess für den Kunden

Für den Kunden erfolgt das Login in das Kundenportal nach be-währter Weise durch die Eingabe von Benutzername und Kenn-wort. Darüber hinaus bietet die Startoberfläche eine klassische Passwort-vergessen-Funktion. Nach dem Einloggen wird der Cloudbase Proxy über einen separaten Menüpunkt angesteu-ert und verwaltet. Dort kann der Kunde z. B. eine neue Site bzw. ein neues Projekt anlegen und die von ihm benötigten Module und Funktionalitäten individuell auswählen. Der gesamte Bu-chungsvorgang läuft dabei vollständig automatisiert ab. Bevor der Cloudbase Proxy eingesetzt werden kann, benötigt das Sys-tem verschiedene Basisangaben. Dazu zählen die URL (Uniform Resource Locator) bzw. Internetadresse, der Standort für das Backend bzw. des bisherigen Webservers, von wo aus der Proxy die Daten hochlädt sowie die Domain, die auf den Cloud Proxy umgeleitet werden soll.

Umfangreiche Parameterauswahl mit hoher Skalierbarkeit

Des Weiteren beinhaltet jedes Modul eine Vielzahl spezifischer Parameter, die der Kunde bedarfsgerecht einstellen kann. So kann er z. B. im Rahmen der CDN-Anbindung die automatische

Erkennung von Inhalten aktivieren. Bei Auswahl dieses Parame-ters erkennt der Proxy direkt, welche Inhalte, z. B. Bilder oder CSS (Cascading Style Sheets), er von der Homepage in das CDN (Content Delivery Network) übertragen muss. Selbstverständlich kann der Nutzer solche Einstellungen auch selbst vornehmen bzw. bedarfsgerecht anpassen; z. B. kann er die selbsttätige Inhaltserkennung wählen und gleichzeitig festlegen, wenn be-stimmte Inhalte (z. B. Seiten, deren Inhalte sich häufig ändern) nicht im CDN gecacht werden sollen. Ein anderes Beispiel liefert das Sicherheitsmodul IPS/IDS (Intrusion Prevention System/In-trusion Detection System). Hier erkennt das System von selbst eine Vielzahl verschiedener Angriffsszenarien (z. B. Parameter-Hashing). Für jedes Szenario kann der Kunde einen Punktwert bestimmen und selbst den Schwellwert festlegen, ab wann eine bestimmte Aktion erfolgen soll. Die entsprechende Einstellung wird über die GUI vorgenommen. So legt der Kunde etwa fest, dass er ab zehn Punkten per E-Mail über einen Angriff benach-richtigt werden will. Bei mehr als 20 Punkten soll der Request genullt werden. Hierfür gibt es wiederum diverse individuelle Einstellungsmöglichkeiten wie die Umleitung auf die Homepage oder auf eine Fehlerseite. Alternativ kann man den Request blo-cken oder die Request-Parameter entfernen lassen. Im letzteren Fall landet der Hacker automatisch auf der entsprechenden Seite – jedoch ohne Parameter.

Betaversion in Planung

Die finale Fertigstellung der GUI ist für Ende Oktober vorgese-hen. Sobald dieser Projektteil abgeschlossen ist, wird der erste fertige Prototyp nutzbar sein. Der November ist bereits für ab-schließende Tätigkeiten wie die Durchführung finaler Tests oder die Erstellung von Dokumentationen und Anleitungen geblockt. Parallel zum Einsatz des Prototypen folgt die Herausgabe einer Betaversion. Mit dieser können die ersten Testkunden unter realen Bedingungen arbeiten. Das sind auf der einen Seite in-terne Teams der ADACOR, z. B. das Entwicklungsteam, welches den Proxy auf den eigenen Systemen (z. B. über die Homepage www.adacor.com) testen wird. Auf der anderen Seite unterstüt-zen externe Partner die Testphase, indem sie probeweise aktive Internetprojekte über den Proxy laufen lassen werden. Der finale Markteintritt bzw. der Zeitpunkt, an dem der Cloudbase Proxy für Kunden bestellbar sein wird, liegt Anfang 2015.

Nächster Artikel: Cloudbase Proxy - Betaphase und Vorbereitun-gen auf den Markteintritt

ANDREAS BACHMANN


ADACOR Hosting GmbH

Kaiserleistraße 51


TELEFON +49 69 905089-22

TELEFAX +49 69 905089-29



28 BTS NR. 22

OTRS 3.3.

Neue OTRS-Version verspricht höhere Produktivität und verbesserte Kommunikation mit externen Systemen

Die ADACOR Hosting GmbH setzt bereits seit Jahren in ihrem Unternehmen die Helpdesk-Software OTRS (= Open Ticket Request System) ein. Das System hat sich im Arbeitsalltag mehr als einmal bewährt. Das Programm bedient nicht nur zuverlässig die klassischen Standardfunktionen von Ticket-Systemen, sondern lässt sich auch problemlos an die spezifischen Betriebs- und Kommunikationsabläufe des Unternehmens anpassen. Ende letzten Jahres erschien das neue Release, die Version 3.3. Inwiefern die ADACOR von einigen der neuen Features profitiert, ist im folgenden Artikel dargestellt.

29

π OTRS ist bei ADACOR das zentrale Kommunikationsmittel vom Service Desk, über das sämtliche Kommunikation zum Kunden erfolgt. Aber ADACOR setzt OTRS nicht nur im Rahmen des IT-Supports und für die workflow-basierte Zusammenar-beit mit externen Kunden ein, sondern nutzt das System auch innerbetrieblich in verschiedenen Geschäftsbereichen, z. B. im Vertrieb, der Verwaltung und Buchhaltung, und hat das System jüngst mit ihrem neu implementieren Kanban-Taskmanagement verknüpft (siehe Ausgabe Nr. 21 unserer Behind The Scene). Als wichtiger Baustein für innerbetriebliche Prozesse ist OTRS für ADACOR unverzichtbar geworden. Klar, dass das neue Release Ende letzten Jah-res mit großem Interesse aufgenommen wurde. Sieht man sich die Release Notes der neuen Version an, dann verspricht die neue Version im Wesentlichen drei Dinge: Höhere Produktivität, verbesserte Kommunikation mit externen Systemen und die vereinfachte Installation und Administration des Systems. ADACOR hat die neue Version bezogen auf den Ein-satz in ihrem Arbeitsalltag evaluiert und bewertet vor allem die folgenden Aspekte als besonders nützlich:

Zeit sparen dank neuer Template-Funktionalitäten

Bisher gab es Textvorlagen in OTRS nur in Form von Standardantworten. Neu ist, dass es nun auch Vorlagen für die Initi-al-Meldung gibt, die eingesetzt werden können, wenn man ein Ticket neu erstellt. Das spart Zeit und somit auch Kosten. ADACOR nutzt die Template-Funktion hauptsächlich für immer wiederkehren-de Anfragen wie z. B. die Einrichtung von

VPN-Accounts, Nachfragen zu Kontakt-wegen usw. Um diese Anfragen effektiv bedienen zu können, wurden aus dem XPMS-DocManager die jeweiligen Anlei-tungen generiert und diese als Anhänge in OTRS in die entsprechende Vorlage eingebunden. Ein weiterer Vorteil besteht darin, dass die neuen Antwortvorlagen einheitlich immer die gleichen Informa-tionen liefern bzw. erfragen. Zu Beginn eines Projekts beispielsweise Angaben zu Ansprechpartnern, benötigten SSH/VPN-Accounts oder Alarmierungen aus dem Monitoring heraus. Dies unterstützt die Implementierung von stärker standardi-sierten Prozessen im Unternehmen.

Flexibel anpassbares Dashboard für mehr Überblick

Das Dashboard – der zentrale Admin-Bereich der Anwendung - kann jetzt in-dividuell gestaltet werden. Bereits in der Vorversion gab es eine Übersicht über neue, zu beantwortende und eskalierte Tickets. Und auch Erinnerungstickets wur-den angezeigt. Aber die Felder, die ange-zeigt wurden, waren immer die gleichen (Ticket-NR, Titel, Alter). Dies kann man nun auf der Startseite individuell modifi-zieren. Beispielsweise kann man sich jetzt den Besitzer des Tickets (wer bearbeitet das Ticket aktuell?), den Verantwortlichen und das Alter anzeigen lassen. In Verbin-dung mit entsprechenden Filterfunktionen erhält man so bereits auf der Startseite der Anwendung einen deutlich besseren Überblick als zuvor. Diese Funktionalität bietet den Vorteil, die Übersicht direkt auf die Arbeitsweise jedes einzelnen Mitar-beiters anpassen zu können. Ein Teamlei-ter profitiert z. B. davon, direkt sehen zu

können, welchem Teammitglied welches Ticket zugeordnet ist.

Bessere Integration in anwendungsübergreifende Prozesse durch dynamische Felder

Eine wesentliche Neuerung in der neuen Version ist darüber hinaus, dass in den einzelnen Ansichten von OTRS (Ticket erstellen & beantworten, Übersicht) jetzt individuelle Felder hinzugefügt werden können. Dabei können die sogenannten dynamischen Felder z. B. Text- oder Aus-wahlfelder, aber auch Multiselect-Boxen sein. Dies ist vor allem für die Einbindung in anwendungsübergreifende Prozesse hilfreich, denn es vereinfacht die Schnitt-stellenkommunikation zu anderen Syste-me spürbar. Speziell die Integration des firmeninternen Intranets XPMS sowie der Kanban-Software tragen merklich dazu bei, dass alle relevanten Informationen nun sehr übersichtlich darstellbar sind.

Fazit

Das neue OTRS-Release unterstützt die Verschlankung von Prozessen und hilft, Arbeitsweisen innerhalb des Unterneh-mens noch einmal deutlich zu vereinfa-chen. Durch die individuell anpassbare Bündelung von relevanten Daten an ent-scheidender Stelle entfällt die oftmals zeitraubende Informationssuche in an-deren Systemen. Dies unterstützt einen effizienten Workflow und steigert die Pro-duktivität in Bezug auf die Kommunikation erheblich.

Weiterführende Informationen unter: www.otrs.com.

STEFFEN KRICK

Teamleiter Betriebsteam

ADACOR Hosting GmbH

Kaiserleistraße 51


TELEFON +49 69 905089-2114

TELEFAX +49 69 905089-29



30 BTS NR. 22

Tools auf dem Prüfstand

Planning Poker im Einsatz beim Softwareentwicklerteam der ADACOR

Jedes Entwicklerteam kennt das: Neben der Bewältigung der reinen Programmierungs- und Entwickleraufgaben in den verschiedenen Projekten ist es ebenfalls wichtig, die für die einzelnen Aufgaben benötigten Zeitaufwände möglichst exakt einschätzen zu können. Zahlreiche Methoden und Tools wurden hierfür bereits entwickelt. Unter ihnen auch Planning Poker. Das Verfahren soll helfen, durch die Bündelung des Know-hows von mehreren Team-Mitgliedern vergleichsweise einfach zu fundierten Aufwandschätzungen zu gelangen. Das Softwareentwicklerteam der ADACOR hat Planning Poker testweise eingesetzt. In diesem Artikel gibt Sebastian Krack, Teamleiter des Softwareentwicklerteams, einen Einblick in die Methode und zieht ein erstes Fazit zum Potenzial des Tools, aber auch zu dessen Grenzen.

π Es ist allgemein bekannt, dass Schät-zungen von Anforderungen innerhalb eines Entwicklungsteams gar nicht so einfach sind. Vor allem mit zunehmen-der Komplexität der Entwicklungstasks. „Spontane“ Änderungsanforderungen und die Dynamik des Entwicklungspro-zesses an sich kommen erschwerend hinzu. Planning Poker verspricht hier Abhilfe. Die agile Vorgehensweise soll Entwicklerteams dabei unterstützen, zu realistischen Einschätzungen darüber zu gelangen, wie viel Zeit einzelne Entwick-lungs- und Projektaufgaben voraussicht-lich in Anspruch nehmen werden. Aber wie funktioniert das genau?“

Das Problem mit der Komplexität

Eigentlich könnte man meinen, ein er-fahrener Softwareentwickler sollte in der Lage sein abzuschätzen, mit welchem Aufwand bei der Entwicklung eines an-geforderten Softwareprojekts zu rechnen ist, wenn die Anforderungen genau genug definiert wurden. Schließlich geht es da-bei um seine hauptberufliche Tätigkeit.

Doch weit gefehlt: Selbst die erfahrens-ten Softwareentwickler verschätzen sich mitunter um Faktor zwei, wenn es um ein größeres Projekt geht. Der Grund hierfür liegt in der unberechenbaren Komplexität von Softwareprojekten. Die Lösung einer Teilaufgabe, die man in 30 Minuten zu erledigen glaubte, kann sich durch un-vorhersehbare Probleme mitunter über mehrere Tage erstrecken. Leider ist in großen Softwareprojekten genau das keine Ausnahme, sondern eher die Regel.

Die Grundidee: Erfahrung aller Teammitglieder bündeln

Das einzige brauchbare Mittel gegen diese Ungenauigkeit ist viel Erfahrung. Die Idee beim Planning Poker ist es, die Erfahrung mehrerer Softwareentwickler zu bündeln, um zu einer besseren Schätzung zu kom-men. Theoretisch könnte man hierzu auch einfach drei Softwareentwickler mit den Anforderungsdokumenten in einen Raum setzen und die Schätzung gemeinsam erarbeiten lassen. Praktisch gibt es dabei aber leider ein allzu menschliches Pro-

blem. Und zwar entwickelt sich in jeder Gruppe innerhalb kürzester Zeit automa-tisch ein Mitglied zum Wortführer. Dieser gruppendynamische Aspekt gründet sich auf den verschiedenen Persönlichkeiten innerhalb der Gruppe. Der Wortführer ko-ordiniert die gemeinsame Arbeit an der Schätzung und beeinflusst dadurch die anderen Gruppenmitglieder. Weiterhin wird der erste, der seine Schätzung zu einem Teilproblem in der Runde nennt, automatisch die Schätzung der anderen Gruppenmitglieder beeinflussen. Von einer echten Bündelung der verschiedenen Er-fahrungen kann also nur bedingt die Rede sein.

Gruppendynamik im Griff

Genau an dieser Problematik setzt die Methodik des Planning Poker an. Beim Planning Poker versammeln sich alle Softwareentwickler zusammen mit ei-nem Moderator und idealerweise auch dem Product Owner an einem Tisch. Je-der Entwickler erhält ein Poker Deck mit den Schätzungen 0, ½, 1, 2, 3, 5, 8, 13, 20, 40, 100. Diese Folge soll die Eigen-

31

schaft von Entwicklungstasks abbilden, mit zunehmender Größe und Komplexität ungenauer schätzbar zu sein. Im Zweifel wird stets die höhere Karte gezogen. Die Einheit, in der geschätzt wird, ist erst mal zweitrangig. Neben einer direkten Schät-zung in Mannstunden (so machen wir es bei ADACOR) gibt es auch die Möglichkeit der Schätzung in Storypoints. Hierauf werde ich in diesem Artikel jedoch nicht näher eingehen. Moderator und/oder Product Owner erklären also nun die zu-vor in Userstories oder Teilprobleme zer-legte Anforderung. Die Entwickler dürfen Rückfragen stellen, bis die Anforderung klar verstanden ist. Daraufhin legt jeder Entwickler verdeckt eine Karte mit sei-ner Schätzung auf den Tisch. Hierdurch beeinflussen sich die Entwickler nicht gegenseitig und jeder überlegt erst mal für sich. Anschließend werden die Karten umgedreht und eine Diskussion unter den Entwicklern beginnt.

Insbesondere die Entwickler mit der höchsten und niedrigsten Schätzung sollten die Gründe für die Schätzung dar-legen. Anschließend geht es in die nächs-te Runde. Wieder legen alle Entwickler verdeckt eine Karte auf den Tisch. Wieder werden die Karten umgedreht. Wieder wird diskutiert. Es wird so viele Runden gepokert, bis nur noch maximal zwei un-terschiedliche Werte als Karten auf dem Tisch liegen. Von diesen beiden Werten wird dann gemäß dem Motto „im Zweifel ist der Aufwand höher“ der höhere Wert genommen.

Ohne gezielte Moderation geht es nicht

Lässt man die Entwickler ganz ohne Mo-deration diskutieren und Runde um Run-de Karten legen, kann sich die Schätzung

als sehr zeitintensiv herausstellen. Die Schätzung eines Teilproblems kann so leicht zehn Minuten in Anspruch neh-men und damit teuer werden. Wenn bei-spielsweise insgesamt 20 Teilprobleme zu schätzen sind, kann die Schätzung ohne Moderation ohne Weiteres mehre-re Stunden dauern. Daher ist es wichtig, als Moderator frühzeitig in die Diskussi-on einzugreifen und diese abzubrechen, wenn das Problem genau genug verstan-den wurde, um eine fundierte Schätzung abgeben zu können. Nicht jedes kleinste technische Umsetzungsdetail spielt für die Schätzung eine Rolle. Weiterhin ver-härten sich in manchen Fällen auch die Fronten unter den Entwicklern, sodass kein Konsens entsteht und daher der Mo-derator für einen raschen Kompromiss sorgen muss. In einem solchen Fall ist es ratsam, trotz Uneinigkeit die höchste Schätzung zu verwenden. Der Moderator ist ein sehr wichtiges Element beim Pl-anning Poker und hat die Aufgabe, den Aufwand für die Schätzung im vertret-baren Rahmen zu halten. Er sollte selbst erfahrener Entwickler sein. So kann er am besten dafür sorgen, dass die Runde möglichst zügig vorankommt.

Für Initialschätzung großer Projekte ungeeignet

Hat man einige Zeit mit dieser Methode Aufwände von Anpassungen/Erweiterun-gen und kleinen Tools geschätzt, so fällt schnell auf, dass selbst bei diesen klei-neren Entwicklungsaufgaben Disziplin und Moderation notwendig sind, um den zeitlichen Rahmen nicht zu sprengen. Geht es um die Anfrage eines Kunden, wie teuer ein etwas komplexeres Projekt wer-den wird, so nimmt diese Methode zu viel Zeit in Anspruch. Betrachtet man die zu erwartende Ungenauigkeit der Schätzung großer Projekte, so stimmt das Verhält-nis von Aufwand zu Nutzen nicht. Da vor der Schätzung alles in Teilprobleme oder Userstories zerlegt werden muss, schlei-chen sich naturgemäß viele Unbekann-te in die Schätzung mit ein. Man kommt nicht darum herum zu akzeptieren, dass große Softwareprojekte nur sehr unge-nau abschätzbar sind. Daher eignen sich hierfür eher andere Schätzmethoden, die ungenauer, aber schneller durchführbar sind. Als Beispiel sei an dieser Stelle das sogenannte „Team Estimation Game“ er-

wähnt. Bei einem unserer nächsten gro-ßen Entwicklungsprojekte werden wir die Schätzung mit dieser Methode durchfüh-ren und über unsere Erfahrungen in unse-rem Blog und Kundenmagazin berichten.

Fazit

Planning Poker ist eine sehr gute Methode, um überschaubare Entwicklungsaufwände relativ gut zu schätzen. Innerhalb hetero-gener Gruppen mit ruhigen introvertierten und extrovertierten Gruppenmitgliedern kommt man durch die Schätzung inner-halb des Pokerspiels mit verdeckten Kar-ten zu guten Ergebnissen, da jedes Grup-penmitglied sich aktiv und unbefangen an der Schätzung beteiligen und sein spezifi-sches Wissen einbringen kann.

Durch die gebündelte Erfahrung aller Teammitglieder sind unsere Schätzungen besser geworden und wir überziehen sel-tener Budgets. Jedoch hat die Methode ihren Preis. Zehn Minuten Diskussion bei fünf Entwicklern mit Moderator entspre-chen einer Mannstunde. So summiert sich eine Planning-Poker-Session leicht auf einen Manntag Aufwand. Dennoch lohnt sich diese Investition, wenn man mit Kunden arbeitet, die für jede Anpas-sung einen Festpreis wünschen. Das Ent-wicklerteam gerät weniger unter Druck und hat es schlussendlich auch selbst in der Hand, wie viel Zeit hinterher für die Umsetzung zur Verfügung steht.

SEBASTIAN KRACK

Teamleiter Softwareentwicklung

ADACOR Hosting GmbH

Kaiserleistraße 51


TELEFON +49 69 905089-2107

TELEFAX +49 69 905089-29



Gut zu wissen!

Planning Poker ist ein Teilbereich von Scrum und wird daher auch als Scrum Poker bezeichnet. Die Auf-wandsschätzung mittels Planning Poker kann jedoch auch ohne den Einsatz des Scrum Frameworks durchgeführt werden.

Neues von ADACOR

Drei Wege, die zu ADACOR führten!Das Team der ADACOR Hosting GmbH sucht nicht nur regelmäßig Verstärkung, sondern bildet auch gezielt neue Mitarbeiter aus. Bei der Auswahl geeigneter Kandidaten ist es den Geschäftsführern vor allem wichtig, dass die Bewerber motiviert sind und bereit, sich eigeninitiativ mit neuen Techniken auseinanderzusetzen. Heutzutage ist das in der IT-Branche ein Muss. Umso erfreulicher, dass ADACOR bei der diesjährigen Suche nach Auszubildenden und Trainees gleich dreimal fündig geworden ist.

Margit Strecker (35) – Trainee im Bereich Betriebsinformatik

Ursprünglich stammt Margit aus Tauberbischofsheim. Nach ihrer ersten Ausbildung zur Modeschneiderin ent-schloss sie sich zu ihrer zweiten Ausbildung als Medien-gestalterin für Digital- und Printmedien. Bereits während dieser eher printorientierten Ausbildung wuchs ihr Inter-esse an den neuen Medien zusehends. Deshalb arbeitete sie sich parallel zu ihrer Ausbildung eigenständig in das Thema Webentwicklung ein. Nach ihrem Abschluss sam-melte sie Berufserfahrung in Festanstellung und freibe-ruflichen Projekten. Durch eine Stellenausschreibung von ADACOR wurde sie auf den Hosting-Spezialisten aufmerk-sam. Der Einstieg bei ADACOR erfolgte über ein Praktikum. Seit September 2014 ist Margit nun offiziell Trainee bei

ADACOR und absolviert berufsbegleitend eine Weiterbil-dung zur Betriebsinformatikerin. Der Unterricht erfolgt als Online- und Präsenzunterricht. Für die Mutter von zwei Kindern ist dies zwar schon rein zeitlich eine Herausforde-rung, aber die Chance auf eine hochwertige und professi-onelle Ausbildung bei ADACOR möchte sie unbedingt nut-zen. Derzeit arbeitet sie mit ihrer Kollegin Tina Hammer an einem Azubi-Übungsprojekt. Am Beispiel dieses Projektes lernen die beiden aktuell, welche konzeptionellen Schritte bei der Entwicklung eines Online-Portals zu beachten sind, auf welchen technischen Bausteinen ein derartiges Projekt basiert, welche Funktionalitäten benötigt werden und wel-che Schnittstellen zu konfigurieren sind.

32 BTS NR. 22

Tina Hammer

Sandra Seim

Margit Strecker

Tina Hammer (21) - Auszubildende zur Fachinformatikerin für Anwendungsentwicklung

Besonders wichtig sei ihr, erläutert die aus Kahl am Main stammende Auszubildende, dass ihr der Beruf, mit dem sie ihr Geld verdient, auch wirklich Spaß macht. Die 21-Jähri-ge liebt das Internet und gehört zu der Generation, die be-reits einen ganz selbstverständlichen Umgang mit Technik pflegt. Berührungsängste? Fehlanzeige! Eine Ausbildung zur Fachinformatikerin für Anwendungsentwicklung soll-te für sie genau das Richtige sein. Bewerbungen waren schnell geschrieben. Für ADACOR entschied sie sich, weil ihr das Team nett, die Aufgaben abwechslungsreich und die Berufsperspektiven vielversprechend zu sein schienen. Im August dieses Jahres startete sie ihre dreijährige Aus-bildung bei ADACOR. Aktuell bedeutet das Blockunterricht: Drei Tage in der Woche Schule, zwei Tage in der Woche am Arbeitsplatz bei ADACOR. Aber auch reine Arbeits- und Pro-jektphasen sind im Rahmen der Ausbildung vorgesehen.

Schließlich sollen die Auszubildenden nicht nur die Schul-bank drücken, sondern auch den Arbeitsalltag in einem Un-ternehmen mit all seinen fachlichen und organisatorischen Facetten kennenlernen. Besonders positiv hebt Tina hervor, dass sie und die anderen Auszubildenden bei ADACOR aktiv in das Tagesgeschehen mit einbezogen werden.

Spannend findet sie auch den sogenannten „Technical Stammtisch“. Ein bereichsübergreifendes Event, bei dem die Mitarbeiter der unterschiedlichen Bereiche von ihren Projekten erzählen und neueren Kollegen technische Fra-ge- und Problemstellungen erläutern.

Und nach der Ausbildung? Erst mal möchte Tina gerne bei ADACOR bleiben. Und wer weiß, vielleicht später mal ein Auslandsjahr? Aber all das ist im Augenblick noch Zukunftsmusik. Schließlich hat die Ausbildung gerade erst begonnen.

Sandra Seim (30) - Ausbildung zur Fachinformatikerin für Systemintegration

Sandra hatte zunächst Chemie studiert, aber nach einiger Zeit herausgefunden, dass dieses Fach für sie noch nicht das Gelbe vom Ei war. Sie zog Konsequenzen und brach das Studium ab. Was folgte war eine Phase der Orientierung, in der sie herausfinden wollte, was ihr wirklich lag. Da sie schon immer viel mit Computern gemacht hat, schien ihr ein Beruf im Medienkontext zunächst naheliegend. Ein am-bitionierter Berufsberater machte sie schließlich aber auch auf den IT-Bereich aufmerksam. Das sei eine Branche mit Zukunft. In einer Online-Jobbörse war sie kurz danach auf ADACOR gestoßen. Der erste positive Eindruck von ADACOR als Arbeitgeber durch die Internetseite habe sich beim Vor-stellungsgespräch noch verstärkt. Es herrsche eine kolle-giale, ja fast familiäre Atmosphäre und so habe ihr bereits das Probearbeiten viel Spaß gemacht. Sie lernt viele ver-schiedene Systeme kennen, die Kollegen sind hilfsbereit, Fragen sind willkommen - all das gefällt ihr. Seit Ausbil-

dungsbeginn im August drückt sie gemeinsam mit Kollegin Tina Hammer drei Tage in der Woche die Berufsschulbank. Damit, dass ihre Kollegen bei ADACOR überwiegend Män-ner sind, hat sie kein Problem. Im Gegenteil, sie fühlt sich wohl zwischen ihren Kollegen. Derzeit arbeitet Sandra noch nicht an komplexen Fragestellungen und Projekten mit. Dafür ist es noch ein bisschen früh, erklärt sie. Aber den-noch unterstützt sie ihre Kollegen bereits, so gut sie kann, bei kleineren Projektaufgaben und erstellt darüber hinaus z. B. Zertifikate, inventarisiert Hardware und arbeitet bei der Erstellung von Betriebshandbüchern mit. Alles Arbei-ten, die zum Alltag eines Systemadministrators eben auch dazugehören. Dass sie Ihr Studium abgebrochen hat, dar-über ist Sandra heute froh. Ihre Arbeit bei ADACOR, das sei inzwischen Hobby und Beruf in einem. Und das funktioniert nur, weil ADACOR für sie auch die richtige Firma ist, stellt die 30-Jährige glücklich fest.

33

34 BTS NR. 22

Neues von ADACOR

We are plantiesDie ADACOR Hosting GmbH engagiert sich auch in 2014 wieder in Sachen Umwelt-schutz und pflanzt gemeinsam mit der Organisation Trees Of Life Bäume. Die gepflanzten Bäume schützen die Umwelt, verbessern das Klima und bieten Schutz und Lebensraum für Tiere und Menschen vor Ort. Obstbäume liefern zusätzlich Nahrung. Trees of Life engagiert sich auf eine neue und moderne Weise für ein gesundes Klima und den Erhalt des Lebensraums von Menschen und Tieren. Denn Trees of Life verbindet die virtuelle mit der realen Welt: Für jeden virtuell gepflanzten Baum pflanzt die Organisation einen realen Baum. Für die Pflanzungen hat Trees of Life sich für Gebiete in den ärmsten Ländern der Erde entschieden, weil Hilfe dort am dringendsten benötigt wird. Mit der belgischen Organisation WeForest hat Dirk Kessler einen erfahrenen Partner für

die Durchführung der Pflanzungen mit einheimischen Arten gefunden. Erstes Aufforstungsgebiet ist ein Streifen um den Masoala Nationalpark im Norden von Madagaskar. Madagaskars Waldsysteme müssen dringend erhalten und wieder hergestellt werden, denn die einzigartige Pflanzen- und Tierwelt ist durch die große Armut und traditionelle Landwirtschaft bedroht. Durch die Erschließung neuer Ackerflä-chen, den Bedarf an Brennmaterial durch die Bevölkerung und durch die internatio-nale Holzmafia wurden insgesamt bereits 90 % der Regenwaldfläche abgeholzt. Das bringt ein weiteres Problem mit sich: Bodenerosion. Der fruchtbare Boden wird durch Regen in die Flüsse und anschlie-ßend ins Meer gespült. Deshalb wächst dort, wo es früher Regenwald gab, heute oft nur noch eine Gras- oder Dornensa-vanne.

Mit der Naturzone soll die Erosion einge-dämmt, das Mikroklima verbessert und ein echter Schutzraum für die Tier- und Pflanzenwelt entstehen. Mit dem Projekt werden ganze Dorfgemeinschaften in ein nachhaltiges forstwirtschaftliches Engagement (agroforesty) integriert. Die Waldarbeiten werden von der Organisati-on begleitet und von den Dorfbewohnern selbst durchgeführt. Bei der Umsetzung des Projektes wird auf den Einsatz von Maschinen zur Landbearbeitung verzich-tet und alle Arbeiten manuell durchge-führt. Das schont den Boden und schafft Arbeitsplätze. Diese wiederum ermögli-chen letztendlich Bildung: Für Erwachse-ne und deren Kinder. Das verstehen wir unter Nachhaltigkeit!

Weiterführende Informationen unter: www.trees-of-life.org

Die aktuelle Trees-of-Life-Statistik von ADACOR Sauerstoff-

produktion

13230 kg/Tag

Gebundenes CO2

33150 kg/Jahr

Anzahl gepflanzte

Bäume

1105

35

VORSCHAU

Nach einem hoffentlich guten Start in das Jahr 2015 befassen wir uns auch in der Neujahrsausgabe der Be-hind The Scene wieder mit spannenden Themen rund um die IT. So berichten wir z. B. von der Entwicklung des ADACOR-Kundenportals und davon, welche Services wir dort für Sie bereitstellen. Außerdem stellen wir Ihnen die „New School of IT“ der adesso AG vor, befassen uns im Rahmen unserer Reihe über Verschlüsselungstechniken mit der Problematik des Identitätsklaus im Internet und berichten über unsere Erfahrung mit Pair Programming. Aber nicht nur das, es erwartet Sie noch vieles mehr. Lassen Sie sich überraschen!

Die 23. Ausgabe des ADACOR-Kundenmagazins erscheint im Januar 2015.

WUSSTEN SIE SCHON,

dass bei Google in jeder Sekunde 34.000 Suchanfragen gestellt werden?(Quelle: www.zahl-des-tages.de)

34.000/s

WIR SAGEN

DANKE!Herzlichen Dank für die inhaltliche Unterstützung bei der Erstellung dieser Ausgabe:

› Ursula Bellenbaum Inhaberin der UB Agentur für Telefonmarketing

› Kerstin Dorn Manager Partner und Events, Serview GmbH

expect moreexpect more

Herausgeber:ADACOR Hosting GmbHEmmastraße 70 A 45130 Essen

Geschäftsführung:Thomas Wittbecker Andreas Bachman Patrick FendAlexander Lapp

WWW.ADACOR.COM

ADACOR implementiert Service Design für Dienstleistungen...Generell arbeiten wir 6 BTS NR. 22...

Documents

Transcript of ADACOR implementiert Service Design für Dienstleistungen...Generell arbeiten wir 6 BTS NR. 22...