Category Archives: IT explained

IT explained

Gutes Office, schlechtes Office

January 12, 2013 – 2013-01-12 1:33:41

Ich schimpfe an dieser Stelle immer wieder einmal über Office-Dokumente, weil sie meist zwar leicht zu erstellen, beinahe immer aber schwer zu pflegen sind. Insbesonders dann, wenn

  • Daten oftmals aktualisiert werden müssen,
  • mehrere Personen diese Änderungen durchführen,
  • man Versionen vergleichen möchte oder
  • Daten aus anderen Systemen importiert werden könnten

zahlt es sich aus, nach Alternativen Ausschau zu halten.

Hier ein sehr schönes Beispiel von Sabine Hörmannsdorfer, die meinen Kurs an der FH Wien besucht hat. Einen sich schneller ändernden Datensatz, als das Beziehungschaos bei GZSZ kann man sich ohnehin nicht vorstellen. Ideal also, um Graphviz statt Powerpoint zur Hand zu nehmen.

Zunächst werden die Daten textuell definiert. Das hat den Vorteil, dass man dafür keine spezielle Software benötigt. So etwas kann man daher auch stressfrei kopieren, am Handy tippen oder Vorlagen aus dem Web klauen.

digraph G
{
	"Beziehungswirrwarr bei GZSZ" [shape=box, style=filled, color=darkorchid, fontcolor=white, fontname=verdana, fontsize=20.0]
	Philip;
	John;
	Ayla;
	Pia;
	Leon;
	Emily;
	Patrick;
	Jo;
	Dominik;
	Jasmin;
	Kurt;
	Katrin;
	Tayfun;
	Tuner;
	Zac;
	Vince;
	Tanja;
	Maren;
	Alexander;
	Lilly;
	"in einer Beziehung" [shape=box, style=filled, color=red]
	"verwandt" [shape=box, style=filled, color=forestgreen]
	"ex-Beziehung" [shape=box, style=filled, color=blue]
	"Sabine Hoermannsdorfer, PWOE 2013, Vertiefung IT-Systeme" [shape=none, fontcolor=gray20, fontsize=10.0];
	Ayla -> Philip [dir=both, color=red];
	Philip -> John [dir=both, color=forestgreen];
	Philip -> Emily [dir=both, color=forestgreen];
	John -> Pia [dir=both, color=red];
	Leon -> Pia [dir=both, color=red];
	John -> Emily [dir=both, color=forestgreen];
	Emily -> Patrick [dir=both, color=blue];
	Patrick -> Jasmin [dir=both, color=blue];
	Patrick -> Dominik [dir=both, color=forestgreen];
	Jasmin -> Dominik [dir=both, color=blue];
	Dominik -> Jo [dir=both, color=forestgreen];
	Jo -> Katrin [dir=both, color=blue];
	Jasmin -> Kurt [dir=both, color=red];
	Katrin -> Jasmin [dir=both, color=forestgreen];
	Katrin -> Kurt [dir=both, color=blue];
	Ayla -> Tayfun [dir=both, color=forestgreen];
	Zac -> Tanja [dir=both, color=blue];
	Vince -> Tanja [dir=both, color=blue];
	Lilly -> Tanja [dir=both, color=forestgreen];
	Maren -> Lilly [dir=both, color=forestgreen];
	Lilly -> Vince [dir=both, color=blue];
	Maren -> Tanja [dir=both, color=forestgreen];
	Maren -> Alexander [dir=both, color=red];
	Vince -> Leon [dir=both, color=forestgreen];
	Tuner -> Emily [dir=both, color=blue];
	Ayla -> Tayfun [dir=both, color=red];
	Kurt -> Tanja [dir=both, color=forestgreen];
	Alexander -> Katrin [dir=both, color=blue];
	Maren -> Kurt [dir=both, color=blue];
bgcolor=lightcoral //hintergrundfarbe ändern//
}

Läuft sogar unter Windows.

Die fertige *.dot-Datei wird anschließend mit dem Programm dot (.exe unter Windows) in ein Bild gerendert. Outputformat ist hier etwa PNG, es sind aber auch PDF und zahlreiche andere möglich.

dsfafg

Fertig ist der Output.

Der Output kann nach Belieben immer wieder aus der Textdatei erstellt werden. Änderungen sind so sehr schnell durchgeführt. Technisch und optisch ist so ziemlich alles möglich und sogar noch mehr.

Tags , , , | Permalink | Comment (0)
IT explained

Was ist da los bei der Bank Austria?

November 11, 2012 – 2012-11-11 11:43:44

Frage: Was ist derzeit noch unbeliebter als ein Banker?
Antwort: Ein IT-Mitarbeiter einer Bank, sofern wir von der Bank Austria sprechen.

Die Bank Austria führt die größte IT-Umstellung ihrer Geschichte durch, Online-Banking aber auch Bankomaten sind über Tage nicht verfügbar. Die Kunden gehen auf die Barrikaden – soweit zur Chronologie eines schief gegangenen IT-Projekts. (“Arbeiten Tag und Nacht daran”, Bank Austria kämpft weiter mit IT-Problemen - die Kommentare verdeutlichen, wie beliebt Banken inzwischen sind.)

Ich habe die IT-Mitarbeiter der Bank Austria zufällig Anfang des Jahres im Blog erwähnt. Kurzversion der damaligen Aussage: Eine Bank, die sich im Zweijahresrhythmus neu strukturiert, kann ihre Hausaufgaben im IT-Bereich nicht erfüllen. Statt nachhaltiger (IT-)Innovation spielt es eben Logotausch auf Homepages und Lebenserhaltung zusammenfusionierter Systeme.

“Serverprobleme”

IT-Umstellungen sind für alle Beteiligten kein Spaß und deren Komplexität ähnelt dem Bau einer neuen Firmenzentrale. Problematisch ist allerdings, dass im Unternehmen das Verständnis für Kosten und Komplexität nur für letztere Projekte vorhanden ist. IT-Projekte werden selten in ihrer Gesamtheit begriffen, daher werden sie – und vor allem ihr Risiko – auch chronisch unterschätzt:

Was man nicht sehen oder angreifen kann, gibt es scheinbar nicht. 

Im Projekt der Bank Austria hat es mitunter an Verständnis, mit Sicherheit jedoch nicht an einer Sache gemangelt, an teurer Management- und IT-Beratung. Mit dem üblichen Toolset moderner Office-Magie wurden da vermutlich GANTT-Charts, Projektstrukturpläne und Pflichtenhefte verwaltet.

Ich kenne das das aus meiner persönlichen Arbeitswelt und es stinkt zum Himmel: Aus dem ursprünglichen Ziel, ein Projekt zu managen, wird mit diesem Vorgehen zunächst Nachvollziehbarkeit und schließlich nur noch Rechtfertigung oder Anschuldigung.

“Projects don’t fail from of a lack of charts, graphs, reports, or statistics, they fail from a lack of communication.”

The Basecamp Manifesto

Als ich noch Student war, gab es an der WU über einige Semester hinweg “Serverprobleme” bei der Lehrveranstaltungsanmeldung. Für die Lösung des Problems bedurfte es eingehender Analyse zahlreicher Teilbereiche wie

  • Datenbank und deren Setup
  • SQL-Optimierung der Datenbank-Abfragen
  • Hardware der Datenbankserver, insbes. Festplatten und Speicher
  • Anwendungsserver und deren Setup, insbes. Load-Balancing
  • Code-Optimierung der Programme
  • Analyse des Netzwerk-Verkehrs
  • Session-Management im Front-End
  • Abwehr von Bots im Front-End
  • usw.

Kurzum: Eine komplexe Anwendung besteht aus vielen, interdependenten Teilen. Es benötigt langjährige Erfahrung, um zu verstehen, wie sich ausstehende Requests gegenseitig aufschaukeln, was etwa passiert, wenn ein Datenbankserver plötzlich zu swappen beginnt oder der Application Server keine neuen Sessions mehr zulässt. Solche Systeme zu optimieren gleicht dem Kampf gegen Windmühlen, da man oft nur das Bottleneck von einer Stelle zur anderen verschiebt. (Notwendige) Arbeitsteilung und insbesondere Outsourcing machen eine Gesamt-Analyse oft extrem schwer.

Ist man allerdings IT-Consultant reicht eine Kalkulation in Excel bis das grüne Hakerl erscheint – problem solved, Vorstand und interne Revision zufrieden:

Projektplanung mit Excel und der “Autoausfüllen”-Funktion: Dumm nur, dass die Wirklichkeit kein lineares Wachstum kennt.

Online-Banking neu

Abseits der medial ausgeschlachteten Serverprobleme bereitet mir ja vielmehr das neue Online-Banking Kopfzerbrechen. Was hier optisch aufgehübscht wurde beweist, was die Bank von online einerseits und vor allem ihren Kunden andererseits hält: Nicht wirklich viel.

Ich bin kein Hellseher, wenn ich behaupte, die Anwendungsfälle Kontostand nachsehen, Transaktionen kontrollieren, Überweisungen tätigen und Zusatzprodukte abschließen sind pareto-verteilt (80/20-Regel). D.h. dass ich als Kunde bei vier von fünf Logins lediglich meinen Kontostand bzw. die letzten Transaktionen aufrufe, nicht aber Überweisungen tätige. Die Bank denkt jedenfalls in ihrer eigenen Welt und hat genau die mir wichtigen Funktionen hinter zahlreichen Filtern und Übersichtsseiten versteckt. (Abgesehen davon gibt es Bugs in den Filtern, was mein Vertrauen in die Bank nicht besonders stärkt.)

Wäre ich Vorstand eine Bank, würde ich mindestens so viel Ressourcen in meine Online-Produkte stecken, wie in Personal, Miete, und Ausstattung meiner Filialen – denn sonst erwischt mich die Zukunft eiskalt. (Lesenswert: 5 big trends in how you bank) Die in einigen Jahren übrig gebliebenen Fluglinien Europas (Lufthansa und British Airways; Airline-Branche steht vor enormer Konsolidierung) werden bis dahin auch von RyanAir, easyJet oder den außereuropäischen Low-Cost-Carriern (Taca, AirAsia, JetStar, Southwest) gelernt haben, dass der Weg zum Kunden über Web und Smartphones führt. (Die Lufthansa macht mEn einen super Job dabei.)

Buchtipp, wenn’s um Bank-IT geht: Roeltgen, Eine Million oder ein Jahr. Hinter den Kulissen der IT – ein Insider berichtet. Bei Amazon.

tltr;

IT-Umstellungen sind komplex und Unternehmen leben in Potemkinschen Dörfern gebaut auf Excel- und Powerpoint-Dokumenten, anstatt Projekt- und Risikomanagement zu betreiben. Versteht die Bank online weiterhin nicht, sieht meine Glaskugel ganz, ganz schwarz.

Tags , , | Permalink | Comment (0)
IT explained

IT-Machenschaften

May 13, 2012 – 2012-05-13 5:19:27

In einer Parallelwelt, in der der Verbrennungsmotor erst nach Personal Computer, Internet und Mobiltelefonie erfunden wurde, lauschte ich unlängst folgendem Gespräch, stattgefunden in einem in weiß gehaltenen Mobility Store – dem wohl coolsten Ort, an dem man in dieser Welt aktuell nur sein konnte.

Kunde Und so ein Auto kann ich überall verwenden?

Verkäufer Ja natürlich. Es fährt auf allen Straßen, für welche dieses Auto eine Lizenz besitzt. Demnächst lizenzieren wir auch europäische Autobahnen – allerdings mit Ausnahme der Niederlande, weil es hier einen parallelen Rechtsstreit mit einem Konkurrenten gibt. Aber keine Sorge, Sie kommen überall dort hin, wo Sie hin wollen.

Kunde Und tanken kann ich das Auto aber überall?

Verkäufer Ja natürlich. Wir haben Partnertankstellen entlang der lizenzierten Straßen. Für Sie hat das den Vorteil, dass Sie sich um nichts kümmern müssen. Das Auto weiß automatisch, wann und vor allem wo es getankt wird. Alle Kunden erhalten von uns eine exklusive Karte, mit der Sie dann auch bequem bezahlen können. Die Karte ist übrigens Guerilla-Perlmutt-White-Cappuccino. Gemeinsam mit unseren Brieftaschen sieht das atemberaubend aus.

Kunde Ähm.. ja, ok, also so eine Brieftasche nehm’ ich dann auch – packen Sie’s mir zum schwarzen Rollkragen-Pulli dazu.

Verkäufer Ich würde Sie auch noch gerne auf weitere Extras aufmerksam machen. Wir verkaufen Storage Solutions, welche…

Kunde Nein, Garage hab’ ich doch.

Verkäufer Nun ja, unsere Modelle parken dank Assistent quer. Dadurch passen Sie aber nicht durch Ihre Garagentür. Denken Sie nur an die Vorteile in der Stadt beim Einparken!

Kunde Hmmm… also das ist natürlich schon ein Ding so ein Assistent. Hat der auch Sprachsteuerung?

Verkäufer Ja natürlich.

Kunde Super, meine Frau tut sich beim Einparken nämlich sehr schwer.

Verkäufer Absolut kein Problem. Darf ich Ihnen also einen Zweitwagen für Ihre Gattin anbieten?

Kunde Nein, wir hätten vorgehabt, uns das Auto zu teilen.

Verkäufer Das tut mir leid. Aber wir verkaufen ausschließlich Single-Driver-Lizenzen. Sehen Sie, dieses ganze Geteile macht doch nur Schwierigkeiten. Jetzt haben wir Ihr persönliches Musikprogramm für drei unterschiedliche Reisestimmungen ausgewählt, die Sprachsteuerung auf eine weibliche Stimme konfiguriert und auch die Tankkarte in Guerilla-Perlmutt-White-Cappuccino ist schon auf Ihren Namen ausgestellt. Wollen Sie Ihrer Frau diese Vorteile wirklich entgehen lassen?

Kunde Nein, eigentlich nicht. Ich hätte übrigens noch eine Tochter.

 Lesetipp: Closed ecosystems and censorship causing ‘scary’ society

Tags , , | Permalink | Comment (0)
IT explained

Excel ist die falsche Technologie!

February 7, 2012 – 2012-02-07 7:50:44

Vergangenes Jahr war in einem meiner Blog-Posts zu lesen, dass Office-Dokumente mit grundlegenden Problemen behaftet seien. Jetzt will ich mich dem übelsten Vertreter der ohnehin schon wenig glorreichen Bande an Office-Dokumenten widmen: Der Tabellenkalkulation, in Controlling-Abteilungen dieser Welt auch ehrfurchtsvoll Excel Sheet genannt.

to excel heißt auf Deutsch hervorstechen. Die Arbeit mit Excel Sheets sticht im Regelfall durch folgende Eigenschaften hervor:

  • während der Entstehungsphase ist sie verführerisch einfach,
  • für andere ist sie aber bereits nach wenigen Klicks nicht mehr nachvollziehbar und daher
  • höchst fehleranfällig.
  • Ergebnisse sind am Ende selbst durch den Ersteller kaum noch reproduzierbar.

Die Tabellenkalkulation besetzt meiner Ansicht nach eine extrem kleine Nische zwischen Taschenrechner und Programmierung. In der Bürowelt ist vom Nischendasein allerdings keine Rede…

Ein Punkt am Rande: Wenn hier von Excel die Rede ist, sind natürlich auch sämtliche andere Formate wie etwa LibreOffice Calc oder Apples Numbers inkludiert. Da Microsoft allerdings einen derart hervorragenden Job beim Vendor Lock-in am Arbeitsplatzrechner macht, habe ich wenig Mitleid, wenn ein großer Teil der Kritik an Excel hängen bleibt.

Einfacher Start und Schrecken ohne Ende

Sehen wir uns die Entstehung einer Tabellenkalkulation anhand eines typischen Anwendungsfalls an: Budgetplanung.

Zunächst ist das Tool hilfreich: Ein paar Positionen untereinand platziert, das aktuelle Jahr mit Ist-Daten in der Spalte daneben, noch eine Spalte für die Plan-Daten im kommenden Jahr. Berechnung einer Preissteigerung, automatische Summenfunktion, fertig ist die Kalkulation!

A B C
1 2012 (Ist) 2013 (Plan)
2 Personal 120 =B2*1.04
3 Material 70 =B3*1.12
4 Sonstiges 5 4
5 Projekt 25 33
6 Summe =Summe(B2:B5) =Summe(C2:C5)

Excel stellt die Struktur wie im Bild unten hübsch dar. Doch hier beginnt bereits das Problem. Während der WYSIWIG-Ansatz bei Textverarbeitung (vielleicht) sinnvoll ist, führt er bei Kalkulationen zur Verschleierung der Kernaufgabe: “What you do is what I hide” ist das eigentliche Motto jeder Tabellenkalkulation.

What you see is what you get, WYSIWYG. Formeln werden automatisch ausgeführt, Ergebnisse hübsch dargestellt. Meiner Ansicht nicht Segen, sondern Fluch.

Komplexe Verschleierung

Excel versteckt demnach das, was es tut und präsentiert lediglich ein Endergebnis. Gerade wenn man über einen längeren Zeitraum oder gemeinsam mit anderen an so einem Tabellen-Moloch arbeitet, ist aber genau dieses Verhalten fatal: Die Sache wird bestenfalls unübersichtlich, in der Regel unüberschaubar.

Anders als bei Textdokumenten gibt es bei Tabellen nämlich keine “natürliche” Richtung in der sich der Inhalt ausbreitet. Zellenwerte, Formeln, Verweise, Fomatierungs-Einstellungen sowie Makros sind über das gesamte Dokument verstreut. Dabei ist das Dokumnt selbst ein Sammelsurium aus Tabellenblättern, eingebetteten Objekten oder Verlinkungen zu anderen Sheets auf SharePoint. Ich kann mich an Arbeitstage während des DWH-Projekts erinnern, da hätte man unsere Arbeit bestenfalls als Excel-Forensik bezeichnet.

Dazu kommt – der Goldstandard beim “Herumexceln” -, dass laut meinen empirischen Erhebungen rund 112% der Benutzer liebend gerne Informationen mit Hilfe der Formatierung codieren. Da werden also Farben, Schriftschnitte und insbesondere Hintergrundfarben zur Daten-Anreicherung verwendet. Beim Ausdrucken wird das Problem kritisch; die Lösung ist aber schnell gefunden: Man druckt künftig in Farbe.

Kurzum: Der hohe Grad an Flexibilität wird so zum Fluch – betriebliche Nebenwirkungen nicht ausgeschlossen:

“The most popular software for writing fiction isn’t Word. It’s Excel.” @brianalvey

Ein besserer Ansatz

Arrogant, wie ich eben bin, behaupte ich nun, eine bessere Lösung zu haben: Die strikte Trennung von Content und Design. Dieser Ansatz ist leider aber zu genial, als dass er von mir käme – es ist der rote Faden sämtlicher Softwareentwicklung und Datenhaltung seit ungefähr 1843.

Eine Tabellenkalkulation gehört demnach aufgeteilt in

  1. Daten,
  2. Berechnung,
  3. Design und
  4. Layout

Schematische Darstellung eines Kalkulationstools - theoretisch lässt sich aber auch Excel dahingehend verwenden.

Nun, meine Darstellung oberhalb umfasst mit Versionierung und Synopse zwar Konzepte, die in Excel nicht machbar sind, aber aus der Trennung von Daten, Berechnung, Design und Layout lassen sich einige hilfreiche Tipps – sogar für Excel – ableiten.

Sieben Excel-Tipps

… von jemand, der Excel hasst – von mir.

“It is tempting, if the only tool you have is a hammer, to treat everything as if it were a nail.”

  1. Rohdaten und Formeln trennen.
  2. Richtung beibehalten: von oben nach unten, von links nach rechts arbeiten.
  3. Niemals Formatierung zur Codierung von Informationen verwenden.
  4. Sofern ein druckbares Ergebnis gewünscht ist, dies in einem eigenen Tabellenblatt “designen”. Dort aber nichts mehr berechnen, sondern nur noch mit Referenzen arbeiten.
  5. Weniger ist mehr und simple is better than complex.
  6. Sinnvolle, sortierbare Dateinamen ohne Sonderzeichen usw. vergeben. (Das Suffix “_neu” lässt sich durch “_neuneu” nicht besonders gut steigern.)
  7. Nach Alternativen (zB Python oder R) Ausschau halten.
Tags , , | Permalink | Comments (3)
IT explained

Vom Zynismus der IT-Leute

January 3, 2012 – 2012-01-03 8:35:22

Jahresbeginn ist die Zeit der guten Vorsätze. Ich habe mir vorgenommen, etwas für die Verständigung zwischen “normalen” Menschen und Nerds zu tun, bzw. selbst ein wenig verständnisvoller zu sein. Aber alles der Reihe nach:

Ich höre immer wieder Beschwerden, ITler seien wahre Unmenschen, die den Büroalltag vieler Unternehmen mit Sarkasmus und Ironie überschwemmen. Von der gegnerischen Seite – gleichsam egal aus welcher Branche oder Position – höre ich, die jeweiligen DAUs seien besonders schlimm und grundsätzlich verständnislos gegenüber der IT.

Wie ich es erlebe, führt die geschilderte Situation zu Subkulturen innerhalb der Unternehmen. IT Profis fühlen sich dann dort grundsätzlich mehr ihren Projekten oder technischen Religionsbekenntnissen als ihren Arbeitgebern zugehörig. Ergebnis sind einerseits zwar Meilensteine des Humors, andererseits aber auch viel Konflikt- und Frustrationspotential.

Zynismus, wörtlich Hündigkeit, bezeichnet eine Lebensanschauung, die durch Spott und Missachtung von Konventionen geprägt ist. Dabei ist oft der einzige Hund, mit dem ITler zu tun haben, der Höllenhund Kerberos, ein Protokoll zur Authentifizierung über Netzwerke. Der Großteil von uns ist nämlich nett und beißt nicht;-) Foto: Mathias, Mosambik 2011.

Nun, viele Vorurteile mögen stimmen, das Pauschalurteil Unmensch will ich aber zurückweisen. Die IT-Leute, die ich kenne, zeigen soziales Engagement durch Freiwilligenarbeit oder überdurchschnittliches Spendeverhalten. Der Referenz-Nerd ist Pazifist, an tausenden Dingen außerhalb der IT interessiert, reist viel und ist grundsätzlich eher freundlich. Die komplette Industrie fußt dank Open Source auf dem Grundsatz gemeinschaftlichen, unentgeltlichen Teilens – in allen anderen Wirtschaftsbereichen wäre das eine reine Utopie.

Kurzum: Es gibt definitiv das oben geschilderte Problem, aber es ist kein charakterliches.

Ein Problem zweier Welten

Vielmehr bin ich der Überzeugung, dass es ein Problem zweier, stark unterschiedlicher Realitäten ist. Dies erzeugt ein Spannungsfeld, mit dem ITler tagtäglich konfrontiert sind. Auf Dauer ist so etwas aufreibend – die (verzweifelte) Reaktion ist dann oft sarkastisch.

Auf der einen Seite befindet sich die Welt des Unternehmens und des Managements; es ist die Bürowelt hierarchischer Ordnung mit (anscheinender) Beliebigkeit der Verwaltungsentscheidungen.

Im krassen Gegensatz dazu steht die technik-getriebene Welt der IT; hier sind gute Mitarbeiter unerreichte (aber auch unüberprüfbare) Experten auf ihren Gebieten – Entscheidungen basieren deutlich öfter auf Fakten oder, zumindest, technischer Notwendigkeit.

 +++ Spannungsfeld zwischen non-IT und IT +++
                  Bürowelt                IT
--------------------------------------------------------------------------
Entscheidungen    Fingerspitzengefühl     README.txt
der Weg dahin     Meetings                Konkurrenz und Evolution
Motivation        mission statements      das beste System bauen
Organisation      hierarchisch            (latent) in Task Forces
Qualität          langfristig nebulös     automatisiert überprüfbar
Fehler            Ausnahmen einführen     Totalabsturz
Fehlerbehebung    schwer                  STRG-Z
ArbeitsINPUT      skaliert mit Zeit       skaliert mit Konzentration
ArbeitsOUTPUT     linear zur Fallzahl     Zahl unterschiedlicher Fallarten
Projektmanagment  schwerfällig, genau     agil, trial & error
Planbarkeit       Excel                   Glaskugel
Umsetzung         Papier                  Code
Wartungsaufwand   Wartung?                hoch

Vielleicht hilft ein Beispiel zur Verdeutlichung meiner Gedanken.

Als ich 2002 “richtig” zu arbeiten begonnen habe, wurde mein Mitarbeiter-Account in die Unix-Gruppe “edvz” gesteckt. Das EDV-Zentrum war zwar zu dieser Zeit bereits Geschichte, das zugrunde liegende IT-System ließ sich aber nicht mehr so leicht umbiegen. (Wozu auch?) Inzwischen gab es eine neuerliche Umbenennung von ZID in IT-S. Accounts sowie aber vor allem auch deutlich wichtigere Systeme machen solche Aktionen aber selten mit. Es entsteht ein Spannungsfeld zwischen “Realität” und dem, wie sie in Systemen abgebildet wird.

Als IT-Mitarbeiter ist man also täglich mit diesen zwei Welten konfrontiert. Einerseits hört man, wie etwas laut Management, Verkauf oder Gesetzgeber zu sein hat oder angeblich ohnehin bereits so ist, andererseits liegt vor einem das tatsächliche Regelwerk gegossen in Programmcode. Und dieser kennt keine Ausnahmen und duldet keinerlei Fehler oder Mehrdeutigkeiten. Das Problem zieht such durch alle betrieblichen Sphären (und erreicht bei HR seinen traurigen Höhepunkt).

Ich bin überzeugt, dass bei meiner Hausbank (zurzeit heißt sie übrigens gerade Bank Austria Unicredit AG) auch heute noch im Hintergrund die Abrechnungsprogramme, Clearing-Skripts und automatisierten Risikoanalysen der Zentralsparkasse mit denen der Creditanstalt konkurrieren. Die Hausbank, die sich – seit sie mich als Kunden hat - drei Mal umstrukturiert hat, besitzt mit Sicherheit auch zynische IT-Mitarbeiter. IT-Mitarbeiter, die ganz genau wissen, dass der Logotausch auf der Homepage noch keine andere Bank aus ihrem Unternehmen macht.

Klar, man könnte nun mit Kernprozessen und der reinen Hilfsfunktion von IT kontern. Aber wenn ich mir am Beispiel der Banken ansehe, woher die Konkurrenz kommt (Direktbanken, Mobilfunker und NFC, peer to peer finance), würde ich sehr schnell Information als Kernressource meines Unternehmens ansehen. Und damit wäre die IT wissensintensiver Unternehmen auf Augenhöhe mit dem Controlling – zugegeben, das ist nun wirklich eine Utopie…

Versöhnliches

Kommen wir zum versöhnlichen Abschluss, immerhin ist’s ja mein Neujahrs-Blog.

Ich stelle fest, Nicht-ITler haben oft keine Vorstellung davon, welche Tätigkeiten viel und welche wenig Aufwand auf meiner Seite bedeuten. Mit größter Selbstverständlichkeit wird da oft ein komplettes Datenbank-Redesign eine Woche vor dem Produktivtermin gefordert, beinahe ängstlich wird manchmal gefragt, ob man die Schriftfarbe jetzt überhaupt noch anpassen könnte.

In Zukunft werde ich die Komplexitäten meiner Arbeit besser darlegen. Vielleicht wird dann klar, dass auch ich kein so unguter Hund bin.

Tags , , | Permalink | Comments (3)
IT explained

Alternativen zu SharePoint?

October 4, 2011 – 2011-10-04 3:50:04

Internet, Ende 2011. Während sich die Blogosphäre um Stars wie Google, Apple oder das jeweils nächste Facebook kümmert, ernährt sich ein lebend Toter prächtig vom Blut gut zahlender Businesskunden. Die Rede ist von Microsoft und deren eierlegender Wollmilchsau namens SharePoint.

Ich werde ab und zu von Bekannten gefragt, ob SharePoint eine gute oder schlechte Lösung für deren jeweiliges Unternehmen sei. Dieser Blog-Eintrag soll Hilfestellung bei derartigen Entscheidungen leisten. Das anfängliche Ziel der Objektivität konnte ich zugegeben allerdings nicht einhalten.

Meine Analyse beruht auf Erfahrungen bei sieben sehr unterschiedlichen Projekten mit SharePoint. Bei zweien bin ich selbst Anwender, andere Projekte verfolge ich über befreundete Consultants oder Administratoren, zwei kenne ich via gemeinsame Dienstleister, usw. Meine Kritik ist vorwiegend betriebswirtschaftlich und weniger technisch motiviert; zu letzterem verliere ich daher nur ein paar wenige Worte. Erfahrungen mit der Installation meines Arbeitgebers klammere ich weitestgehend aus.

Was ist SharePoint?

Es hat mich rund ein Jahr gekostet, bis ich ansatzweise Sinn und Funktion von SharePoint verstanden habe. Die Kernfunktionalität des Produkts besteht jedenfalls aus folgenden Komponenten:

  • Dokumentenmanagement
  • Intranet/Extranet-Portale
  • Wikis
  • Task-Management
  • Workflows
  • Business Intelligence

Wer sich nun wundert, wie sechs so große Themen Kern eines einzigen Produkts sein können: genau hier beginnt meine Kritik. Es scheint, als hätte Microsoft die gesamte, im Laufe von drei Jahrzehnten entstandene, Produktpalette in einem einzigen “Super”-Produkt vereint und nebenbei das Internet neu erfunden. Allerdings, die einzig wirklich neue Sache ist eine Art Web2.0-Layer mit Likes und Friends oben drauf; nur macht das im Büro einfach nicht so viel Spaß, wie in den sozialen Netzwerken selbst.

Das Alleskönner-Argument ist mit Sicherheit der Hauptgrund, warum SharePoint so stark vom Markt angenommen wird. Wer genauer hinschaut, der vermisst zwar E-Mail und Instant-Messaging – aber hierfür gibt es ja mit Exchange und Lync noch weitere Produkte aus Redmond, welche sich nahtlos integrieren lassen. Soweit die Theorie.

Die Mär von der eierlegenden Wollmilchsau

In der Praxis bereiten derartige Alleskönner allerdings mehr Probleme als Freude. Je breiter der von der Software abgedeckte Anwendungsfall ist, desto weniger passt dieser nämlich im Detail auf die konkrete Situation. Denn auch wenn Use Cases wie Dokumentenmanagement oder Workflows noch so generisch klingen mögen, in vielen Fällen werden letztlich doch Adaptierungen benötigt – und hier müssen Unternehmen dann erst recht Softwareentwicklung weit abseits von Customizing betreiben. Das Entwicklungsmodell gleicht hier eher dem eines ERP-Systems, als dem eines agilen Web-Projekts.

Das User Interface von SharePoint ist nur zum Teil eine Webseite, denn gleichzeitig besitzt das Produkt eine tiefe Integration in die lokal installierte Windows-Welt: Windows samt zentraler Authentisierung, Active Directory und das Office-Paket sollten also nicht fern sein. Selbst Webseite bedeutet in Wahrheit Internet Explorer anstatt any browser. SharePoint ist somit Melange aus eingeschränkter Browser-Usability und lokaler Client-Probleme. Im Backend verlangt das Paket den kompletten Windows-Stack, von Betriebssystem über Datenbank bis hin zu Storage-Lösungen.

Heterogene Umgebungen? Nein, wozu auch. Dumm nur, dass aufgrund der Smartphones inzwischen jedes Unternehmen eine höchst heterogene Umgebung darstellt.

“Vorteil von SharePoint ist letztlich, dass ich zu Hause nicht in Versuchung komme, damit zu arbeiten. Es geht von hier aus ganz einfach nicht.”

SharePoint ist folglich monolithische Software.  Und was wie Monolith klingt, ist schwerfällig, änderungsresistent und nicht billig. Spätestens seit dem Siegeszug der Handy-Apps sind kleine, modulare Software-Stückchen der Renner; eine Idee, die übrigens ureigens zum Betriebssystem UNIX gehört und daher bereits über 40 Jahre auf dem Buckel hat.

Anstatt also diese überschaubaren Tools für spezifische Anwendungsfälle einzuführen, wird Pandora samt ihrer Büchse ins Unternehmen geholt – angeblich mit einer katastrophalen Total Cost of Ownership, glaubt man den Google-Hits, die nicht von Microsoft (-Partnern) stammen. SharePoint zementiert somit strategische IT-Entscheidungen auf weitere Jahre ein: Wechseln einzelner Mitarbeiter von Windows auf Mac oder Linux? Alternativer Browser, andere Office-Formate? Keine Chance und der Vendor Lock-In ist perfekt.

SharePoint erinnert mich an Brasilia. Ein Prestigeprojekt der brasilianischen Regierung, Monumentalbauten mitten im dünn besiedelten Landesinneren, dummerweise an den Menschen gescheitert. Foto: Skami, 2004

Mein Fazit ist schließlich vernichtend. Aber das ist ehrlich gesagt noch das Netteste, was ich tippen konnte. Glücklicherweise bin ich mit meiner Meinung nicht allein. (Der verlinkte Artikel ist übrigens hervorragend!)

Was also tun?

Die Frage, ob nun SharePoint das richtige Produkt sei, ist bereits falsch gestellt. Nicht das Tool, sondern der konkrete Anwendungsfall sollte im Vordergrund stehen. Zusätzlich sagt meine persönliche Erfahrung, dass schrittweise Änderungsprozesse deutlich besser funktionieren, als die “Big Bang”-Einführungen von Wunder-Tools.

Wenn also etwa die Ordnung im Wohnzimmer nicht richtig passt, dann lautet ja die Antwort auch nicht sofort “Billy von Ikea kaufen!”, sondern zuerst werden Probleme und Bedarfe analysiert. Wem also im Bereich des Dokumentenmanagements der Schuh drückt, der soll sich hier nach einer passenden und überschaubaren Lösung umsehen. Selbiges gilt für die anderen fünf “Kern”-Funktionalitäten.

UPDATE: Eine konkrete Empfehlung

Wem mein Blogpost bis hierher zu meta war, für den Bereich Dokumentenmanagement spreche ich eine konkrete Empfehlung aus: Yorus beginnt dort, wo E-Mail aufhört. Ich verwende das Produkt (neben anderen) und hätte noch nie eine Einschulung benötigt. Der Funktionsumfang ist auf einen klaren Anwendungsfall begrenzt, daher bleibt der Service auch stabil, selbsterklärend und performant.

Permalink | Comment (1)
IT explained

Near Field Communication (NFC)

August 31, 2011 – 2011-08-31 9:02:15

“NFC ist das nächste große Ding in der IT!” Diese Revolution rund um den Datenübertragungsstandard prophezeie ich seit rund vier Jahren. Eingetreten ist sie noch nicht. Und dennoch bleibe ich dabei: NFC wird kommen und es wird erfolgreich. Aber was kommt da eigentlich?

Der Schritt von RFID zu NFC

Near Field Communication (NFC) ist ein Standard zur Datenübertragung zwischen “intelligenten” Komponenten. Wie der Name schon sagt, ist NFC für sehr kurze Distanzen gedacht, da die physikalischen Eigenschaften des Frequenzbereichs die Übertragung auf rund 10 Zentimeter limitieren, was (bösartiges) Ausspähen von Informationen durch Dritte unwahrscheinlich macht.

Mit ISO-14443 teilt sich NFC grundlegende Eigenschaften mit der radio-frequency identification, kurz RFID. Letztere hat bereits massiven Einzug in Logistikprozesse (Etiketten/Tags) und Sicherheitstechnik (Zutrittskarten) gehalten. Selbst Hundebesitzer kennen die Chips in den Ohren ihrer Vierbeiner. Die Wahrscheinlichkeit, dass man einen RFID-Tag (vielleicht auch unwissentlich) in diesem Augenblick bei sich trägt, ist jedenfalls sehr hoch.

Und was ist nun NFC?

Bei den Beispielen oben handelt es sich durchgehend um preiswerte Chips, die nichts tun, als ihre eindeutige ID einem elektromagnetischen Feld bekannt zu geben. Im Falle von NFC hingegen sind beide Kommunikationspartner “intelligent”, senden also aktiv Daten. An die Stelle des dummen Tags treten Smartphones oder Smartcards.

Fahrkarten der Wiener Linien können via NFC bezahlt werden. Technische Innovation 2007, der Erfolg blieb bislang leider aus.

Heimische Medien werden übrigens nicht müde, die österreichische Beteiligung an der Entwicklung des Standards zu betonen. Anno 2007 gab es dann auch einen weltweit einzigartigen Vorstoß der Mobilkom, der Wiener Linien und der ÖBB mit dem Angebot Tickets via NFC zu bezahlen. Aber geflogen ist das Projekt nie – damals gab’s ja auch nur diesen NFC-Ziegelstein von Nokia.

Der Weg zum Geld

Die technischen Möglichkeiten von NFC sind zusammengefasst:

  • Intelligente Geräte wie etwa Mobiltelefone samt Interaktionsmöglichkeit
  • kurze Distanzen und daher keine öffentliche Sichtbarkeit wie bei WLAN oder Bluetooth

Diese Kombination führt beinahe zwangsweise zu einem Anwendungsbereich, nämlich dem der elektronischen Bezahlsysteme. Zu groß ist der Kuchen an potentiellen Umsätzen, als dass hier Mobilfunkanbieter, Banken, Kreditkartenunternehmen und Software-Riesen nicht mitspielen wollten.

Kosten elektronischen Geldes

Anders als bei der Bezahlung mit Bargeld müssen Händler Prozentsätze ihrer elektronischen Umsätze an den jeweiligen Betreiber (z.B.: PayLife oder card complete AG in Österreich) abliefern, die Wirtschaftstreibenden müssen also förmlich für das Geld bezahlen. Die Disagio-Sätze sind je nach Bezahl-Variante und Zahlungsziel sehr unterschiedlich und reichen von etwa einem halbem bis zu fünf Prozent (Aktuelle Disagiosätze der WKO).

Demo-Anwendung zur Bezahlung von Fahrkarten mittels Smartphone. Gesehen bei den Deutsche Telekom Laboratories in Berlin.

Wenn man sich nun überlegt, wieviele Rechnungen man tagtäglich elektronisch begleicht, bekommt man eine Idee davon, wie groß die Umsätze bei den Betreibern der Bezahlsysteme sein müssen. Wenn wir also künftig mit Handys statt Karten bezahlen, dann ist eines gewiss: dieser Kuchen ist riesig!

Und genau hierin liegt auch das Problem, warum NFC auch nach rund zehn Jahren immer noch in den Kinderschuhen steckt: hier überlassen Techniker den Juristen das Terrain und strategische Geschäftsfelder werden teilweise mit Patenten abgesteckt. Ein verfrühter Zug eines Spielers würde zunächst wohl an fehlender Kundenakzeptanz scheitern und aber gleichzeitig der nachkommenden Konkurrenz den Weg ins Eldorado der Disagiosätze ebnen.

Stolperstein: Henne-Ei-Problem

Abseits davon gibt es ein zweites großes Problem: in Österreich, wie in anderen Ländern auch, gibt es noch keine NFC-fähigen Bezahlstationen. Grund: es gibt noch nicht ausreichend Handys mit NFC. Diese wird es aber erst dann geben, wenn die Bezahl-Terminals vorhanden sind. (…)

Strategisch durchdacht ist aber nun der Ausweg aus dem Dilemma: Anstatt darauf zu warten, dass Mobiltelefone endlich NFC-fähig werden, ermöglicht man diese Form der Übertragung auf den guten alten Plastikkarten. D.h. Kredit- und Bankomatkarten werden ebenso wie  die Terminals sukzessive durch NFC-fähige Komponenten ersetzt. Erkennen wird man das daran, dass Bezahlen plötzlich berührungslos funktionieren wird. (Bereits gesehen bei McDonald’s in der Schweiz.)

Ist die Infrastruktur erstmals vorhanden, ziehen die Mobiltelefone mit Sicherheit nach – und plötzlich ergeben sich viele neue Möglichkeiten aufgrund der Verbindung von Smartphone, Internet und Bezahlvorgang: Auswahl von Finanzierungsmodellen oder Gegencheck mit dem persönlichen Kontostand sind da nur zwei spontane Ideen von meiner Seite.

Die neuen “Player”

Neben den klassischen Anbietern von Finanzservices steigen nun aber auch die Software-Riesen in den Ring. Google hat bereits einen Dienst namens Wallet angekündigt, der kaum besser in das Google-Angebot bestehend aus Smartphones, Android und ohnehin “eh alles wissenden” Konzern passen könnte.

Gerüchteweise soll Apple’s iPhone 5 ebenso mit einem NFC-Chip ausgerüstet sein. Es wäre nicht Apple, wenn darum herum nicht auch eine Art iPay mit skandalösen Disagiosätzen und rigider Kontrolle/Einschränkung des Konsumverhaltens entstehen würde. Letzteres ist natürlich eher Ausdruck meiner wachsenden Abneigung gegenüber der Unternehmenspolitik, als hard fact.

Kurzum, als klassischer Anbieter eines Bezahlsystems wäre ich ab sofort zumindest etwas nervös…

Abseits des Bezahlens

Der Fokus auf den Bereich des elektronischen Geldes lässt viele andere Anwendungsmöglichkeiten beinahe ungeachtet. Da NFC-fähige Mobiltelefone aufgrund des gemeinsamen ISO-Standards auch gleichzeitig RFID-Tags sind, ist eine Verknüpfung mit Zutrittssystemen denkbar. Und genau das versuche ich etwa aktuell im Rahmen meiner Tätigkeit für den Neubau der WU Wirtschaftsuniversität Wien zu erreichen: Türöffnung via Handy. Bislang sind kaum Geräte und erst gar keine Anwendungen verfügbar, aber eines zeichnet sich ab: der oben erwähnte ISO-Standard  ist der kleinste gemeinsame Nenner der neuen, berührungslosen Welt. Die neue Generation unserer Studierenden- und Mitarbeiterausweise wird diesen Standard ebenso wie  die Infrastruktur an Türen jedenfalls erfüllen.

NFC wird also kommen und es wird die Karten im Bereich des Bezahlens neu mischen. Wer möglichst früh dabei sein will, dem empfehle ich das Google Nexus S, welches bereits erhältlich ist.

Tags , , , , , | Permalink | Comment (1)
IT explained meta

Von Dateien und der Zukunft des Internets

August 11, 2011 – 2011-08-11 3:03:37

“Das ist ja nur ein Link ins Wiki. Kannst du mir das nicht als ordentliche Datei geben?” Auf diese Aufforderung hinauf konnte ich unlängst nur irgendwas von HTML und “eh Datei” stottern. Aber:

Was ist eigentlich eine Datei?

Zunächst, Dateien existieren nicht wirklich. Sie sind nicht real, wie dies zum Beispiel Briefe, Urkunden oder die Post-its auf meinem Monitor sind. Daten auf einer Festplatte sind nichts Weiteres als eine lange Serie von Einsen und Nullen. Erst Betriebs- und Dateisystem präsentieren uns diesen Datenstrom als Dateien.

Dabei ist es oft der Fall, dass eine “Datei” in Wirklichkeit viele sind (Office), viele “Dateien” eigentlich nur eine (Mail, Datenbanken), oder das manche Systemkomponenten ansich Dateien sind, aber für uns gar nicht danach aussehen (Grafikkarten, Internetverbindungen, etc.).

Das weit verbreitete mbox-Format ist ein gutes Beispiel dafür, dass Anwendersicht und System ziemlich unterschiedlich sein können. Eine ganze Mailbox entspricht hier nur einer Datei. Der Mail-Client gibt sich anschließend alle Mühe, Mails so zu präsentieren, als wären sie  einzelne Dateien. Filme kommen heutzutage nur noch in sog. Container-Formaten über die Leitung und selbst die neuen Office-Dateien (xlsx, docx, etc.) sind vielmehr gezippte Archive als “klassische” Dateien.

Wer glaubt also nun ernsthaft, bei Twitter kämen jede Minute an die hunderttausend *.tweet-Dateien herein, und Mark Zuckerberg müsste die *.like-Files regelmäßig auf Viren untersuchen? Kurzum: Herkömmliche Dateien sind mehr Schein als Sein.

Ich behaupte, Dateien haben vielmehr mit der Haptik zu tun, als mit der tatsächlichen Repräsentation auf einem Speichermedium. Und die Erkenntnis hat viel mit der Zukunft unseres Nutzungsverhaltens mit Computern und dem Netz zu tun – glaube ich.

Keine Ahnung wer sich die Metapher mit den Dateien ursprünglich einfallen ließ, aber sie ist eine unglaublich starke: Akte, Aktenordner und Schreibtischplatte sind die deutschen Übersetzungen der deutlich besser klingenden Originale File, Directory und Desktop. Der Erfolg der Datei liegt darin, dass man etwas in der Hand hat, dass es so eine gut vorstellbare Entsprechung in der realen Welt gibt. Ablegen, Aufmachen, Kopieren, Löschen; über so eine Datei hat man Kontrolle genauso wie über einen Papierhaufen am echten Schreibtisch. Programme waren im Umgang bislang deutlich komplexer, aber dann kamen bekanntlich die Apps:

Vom Erfolg der Apps

Apps sind in aller Munde. Eine Webseite reicht nicht mehr aus, heute muss man im App Store oder Android Market sein. Während dieser Trend gegen alles verstößt, warum das World Wide Web ursprünglich erfunden wurde – nämlich um Informationen plattformunabhängig teilen zu können -, befriedigt es ein ungeheuer starkes Bedürfnis der Anwender: man kann sich seine überschaubar kleine und hübsch verpackte Anwendung downloaden und am Mobiltelefon ablegen.

Plötzlich sind nicht nur Dateien handlich, sondern auch Programme!

Inzwischen drängen Microsoft (Apps Gallery), Apple (Mac App Store), Intel (AppUp) und Google (Chrome Web Store) auf den Markt der Desktops. Google geht sogar noch einen Schritt weiter und schreibt drumherum mit Chromium OS ein eigenes Betriebssystem. In Wien gibt es mit Wappwolf ein mMn visionäres Unternehmen, welches mit einem Appstore-artigen Konzept Dateien-Verarbeitung in der Cloud anbietet.

Das Internet als Supermarkt. Software geschnitten, gewaschen, zum sofortigen Verzehr geeignet. Foto: Mathias, Brunei Darussalam 2010

Hintergrund der Bestrebungen ist, wenig überraschend, ein wirtschaftlicher: Apps sind wahre Goldgruben. Der aktuelle Goldrausch lässt wohl sogar Drogenkartelle und andere Pharmafirmen in Neid erblassen.

Apple als Marktplatz bzw. Händler kassiert beispielsweise 30% der Umsätze im App Store – bei nicht existenten mengenabhängigen Kosten. (Oder ist dort schon mal eine App wegen mangelnder Kühlung verfault? Musste jemals jemand eine App wegen einem Lieferschaden umtauschen?)

Unter dem Deckmantel deutlich gesteigerter Usability werden Programme folglich vermehrt über Marktplätze angeboten. Dabei geht ein Großteil der Anstrengungen der Betreiber – technisch wie juristisch – in den Aufbau von Barrieren, wie etwa Kopierschutz oder Softwarepatente. Während wir uns also über teilweise lächerliche Updates freuen (Copy & Paste in iOS 3.0), gehen unsere Desktops einen zumindest zweifelhaften Weg:

Zuerst wurden unsere Mobiltelefone beinahe zu Computern. Jetzt werden unsere Computer zu Smartphones – großen “Einkaufscomputern”.

Wenn die Systeminterna (Dateisystem, Prozesse) einmal weg-abstrahiert sind, kann man schließlich nur noch auf das “Kaufen”-Symbol klicken/”touchen”. 1950 konnte sich wahrscheinlich keine Hausfrau vorstellen, Salat geschnitten, Eier gekocht und Erdäpfel püriert aus dem Supermarkt zu holen. In deutlich kürzerer Zeit werden wir aber für das Rotieren eines Bildes um 90° rechts oder das Anhängen eines Attachments in eine E-Mail bezahlen. Klingt erschreckend, aber wir werden uns schon daran gewöhnen. Außerdem, es wird ja nur ein paar Facebook Credits kosten und das Umrechnen in Euro tut sich ja eh keiner so gern an…

Tags , , , , | Permalink | Comments (4)
IT explained

Gestohlene GIS-Daten und was jeder tun sollte

July 30, 2011 – 2011-07-30 6:27:07

Technik egal, gleich zum Musterbrief an die GIS springen.

Im “österreichischen Internet” geht es zurzeit ziemlich wild zu: SPÖ, FPÖ und zuletzt die Grünen wurden Opfer von Hack-Attacken, besonders großes Aufsehen erregte vor allem der Datendiebstahl bei der GIS.

Was ist da genau passiert?

Der Angriff bei der GIS lief über eine so genannte SQL-Injection. Wikipedia erklärt’s genauer, aber die Kurzversion lautet etwa so: Browser kommunzieren mit Webservern via URLs – jeder geklickte Link und jedes ausgefüllte Formular sind schließlich Webadressen, also URLs.

Wer sich die URL-Zeile des Browsers schon mal genauer angesehen hat, der erkennt alle Formen von Parametern. Onlineshops müssen beispielsweise wissen, welche Produkte sie anzeigen sollen. Im Onlineshop von biohelp etwa, geschieht dies über den Parameter id mit dem Wert 8:

http://www.biohelp.at/biohelp_h/index.php?option=com_content&task=view&id=8

Es lässt sich nun wohl leicht erraten, welche IDs es sonst noch so gibt… Das Austauschen von Paramtern wird URL-Manipulation genannt. Man kommt dann vielleicht auf Seiten(-kombinationen), die so nie gedacht waren – beispielsweise zum Erotikfilm in der Produktkategorie Priesterzubehör -, aber ein böser Cracker sind wir dadurch noch lange nicht.

Der Befehl id=8 landet irgendwann jedenfalls in einer Datenbank, wo das entsprechende Produkt gespeichert ist. Datenbanken werden mit SQL abgefragt. Auch ohne Datenbankkenntnisse ist wahrscheinlich klar, was hier geschieht:

SELECT name, preis
  FROM produktkatalog
 WHERE produkt_id = <URL:id>

Was wir soeben im Trockentraining gebastelt haben, nennt sich dynamische Webseite. In Abhängigkeit vom Wert id aus dem URL liefert die Datenbank unterschiedliche Ergebnisse. Und diese werden schließlich auf der Produktseite präsentiert.

Do it yourself SQL-Injection

Was ist nun bei der GIS passiert? Nun, der Wert wurde durch etwas ausgetauscht, was deutlich mehr als einen Datensatz liefert, 214.000 um genau zu sein. Man injiziert weitere Befehle in den URL, und daher kommt auch der Name SQL-Injection. Dies könnte etwa so funktionieren:

http://www.biohelp.at/biohelp_h/index.php?option=com_content&task=view&id=8 OR 1=1

Die Eingabe wird in der Datenbank zu:

SELECT name, preis
  FROM produktkatalog
 WHERE produkt_id = 8 OR 1 = 1

Und da 1 immer gleich 1 ist, kämen so alle Produkte der Datenbank retour. Man wäre nun sogar in der Lage, noch gefährlichere Kommandos einzuschleusen, die deutlich mehr Schaden anrichten würden usw.

Der  Gärtner meines Vertrauens (biohelp) ist jedenfalls gegen SQL-Injection abgesichert, und so sind es inzwischen alle halbwegs vertrauenswürdigen Websites – von hochsicheren online-banking Anwendungen bis hin zum Forum der örtlichen Schrebergartenvereinigung.

Die GIS allerdings, sah im Jahr 2007 (Neuentwicklung der Webseite) jedenfalls keinen Anlass, mehr als 200.000 Kundendaten gegen so ein Angriffsszenario zu schützen! Ansich wäre hier mein Artikel zu Ende gewesen, hätte ich gestern nicht nochmal zur Zeitung gegriffen:

Herr Menedetter, mir kommt das Kotzen

Man sollte sich das Interview der Presse mit Herrn Menedetter, Geschäftsführer der GIS, wirklich nicht auf nüchternen Magen zumuten. Hier die beiden Highlights:

“Wir haben die Daten nicht verloren, sie sind uns von einem kriminellen Hackernetzwerk gestohlen worden.”

“Wir (…) weisen darauf hin, genau auf Kontoauszüge zu achten. Der mündige Konsument muss auf seine persönlichen Daten achten.”

Diese Verlogenheit muss bestraft werden. Erstens ist das, was ich oben beschrieben habe kein hochkomplexer Angriff irgendwelcher Kriminellen, wie man sie aus Spionage-Filmen kennt. SQL-Injection auf Webseiten zu ermöglichen, ist grob fahrlässig! Aber anschließend auch noch auf die Mündigkeit der Konsumenten, die so wie ich die Produkte gar nicht kaufen wollen! – hinzuweisen, ist die Höhe.

Kurzum, das österreichische Datenschutzgesetz erlaubt nach §26 ein Auskunftsrecht. Zur Nachahmung wird ermutigt, es kostet eine Briefmarke:

Musterbrief an die GIS

GIS Gebühren Info Service GmbH
Operngasse 20 B 1040 Wien

Sehr geehrte Damen und Herren,

dem Interview der Tageszeitung Die Presse mit Ihrem GF Herrn Menedetter (29. Juli 2011) entnehme ich, dass seiner Darstellung nach, die GIS Opfer eines kriminellen Hackernetzwerks wurde und keinerlei Schuld am Datenverlust trägt. Herr Menedetter wörtlich: “Der mündige Konsument muss auf seine persönlichen Daten achten.”

Da meiner Ansicht nach die GIS gegen §14 Abs. 1 DSG 2000 (Datensicherheitsmanßnahmen nach technischer Möglichkeit und wirtschaftlicher Vertretbarkeit) verstoßen hat und ich mich als mündigen Konsumenten sehe, fordere ich Auskunft über die Ihnen vorliegenden persönlichen Daten zu meiner Person. Insbesondere will ich wissen, was die GIS über mich speichert, und woher Sie diese Daten beziehen. Weiters fordere ich Namen und Anschrift aller Dienstleister, die Sie zur Verarbeitung meiner Daten heranziehen.

Zum Nachweis meiner Identität liegt eine Kopie meines Führerscheins bei. Ich weise Sie höflich auf die lt. Gesetz achtwöchige Frist zur Beantwortung meines Begehrens hin.

Mit freundlichen Grüßen

Mag. Mathias Frey

Tags , , , , , , | Permalink | Comments (2)
IT explained

Alternative zu Office-Dokumenten

July 15, 2011 – 2011-07-15 1:59:11

Kürzlich habe ich über mein grundsätzliches Problem mit Office gebloggt. Dabei ging es mir nicht um ein Microsoft-Bashing, weil mir MS Office nicht gefällt. Nein, mir gefällt das Konzept von Office Dokumenten grundsätzlich nicht. Eine Suche nach “Office Alternative” liefert mit Open Office & Co. lediglich die Konkurrenten der Suite aus Redmont, nicht aber das was ich im Auge habe. Ergo:

“Wenn mir ein Badeurlaub in Griechenland nicht gefällt, fahre ich ja auch nicht im kommenden Jahr an die türkische Riviera. Ich mache eine andere Art von Urlaub.”

Paradigmenwechsel an der Tastatur

Diese grundsätzlich andere Art von Dokumentenerstellung hat viel mit den Konzepten zu tun, die für Softwareentwickler das tägliche Brot bedeuten: Abstraktion von Problemstellungen sowie Trennung von Design und Content. Zuviel der vielen Worte, hier also ein Beispiel.

Beginnen wir mit dem, was jeder kennt: Powerpoint. Die fiktive Aufgabenstellung ist das Visualisieren eines einfachen Prozesses anhand eines Flußdiagramms. Keine fünf Minuten später ist das Ergebnis fertig.

Ein Flussdiagramm ist schnell zusammengeklickt

Die gänzlich andere Herangehensweise ist die Abkehr von WYSIWYG. Anstatt im fertigen Dokument herumzuklicken, strukturiert man die Daten in einer einfachen Textdatei.

digraph {
  "Urlaubsantrag anlegen" -> "Genehmigung";
  "Urlaub auswählen" -> "Genehmigung";
  "Genehmigung" -> "Urlaub fix buchen";
  "Genehmigung" -> "Vertretung zum Blumengießen suchen";
}

Ein Programmpaket namens Graphviz übernimmt anschließend das Layoutieren. Ich habe mich also auf die Daten konzentriert, die Anordnung der Knoten und Kanten übernimmt die Software.

Die Alternative mit Graphviz. Vielleicht zu Beginn nicht ganz so schön, aber die Vorteile kommen noch...

Wer nun ästhetische Bedenken hat, soll sich die Graphviz Gallery ansehen, die gleichzeitig auch der beste Startpunkt zum selbst Experimentieren ist. Spielstand im Match Powerpoint gegen Graphviz bisher also eins zu eins.

Und hier beginnen die Vorteile

Die entscheidenden Vorteile beginnen bei nun folgenden Änderungswünschen. Angenommen wir müssen einen weiteren Prozessschritt zwischen “Urlaubsantrag anlegen” und “Genehmigung” schieben. In der Office-Lösung bedeutet das, dass der Benutzer mit dem Verschieben der Kästchen beginnt, mühsam die Pfeile nachzieht, früher oder später ernsthafte Probleme mit der Positionierung bekommt, da Graphen ja meist dort wachsen, wo ohnehin kein Platz mehr zu sein scheint. (…)

In der alternativen Lösung ist lediglich eine Zeile Text zu ändern.

digraph {
  "Urlaubsantrag anlegen" -> "Beten" -> "Genehmigung";
  ...
}

Bei umfangreicheren Dokumenten führt der Office-Approach zu zahlreichen Problemen wie etwa höherem Arbeitsaufwand mit repetitiven Herumgeklicke. Auch das Vergleichen von Versionen ist mit der Graphviz-Lösung kein Problem. So gibt es es zahlreiche Tools, die eine Synopse (ein sogenanntes Diff) von Textdateien visualisieren. Bei Powerpoint heißt es dann eher “Nimm’ die Version, wo das Hackerl dort noch angeklickt  und die Farbe auf das zweite Hellgrau von unten gesetzt war”. In der Welt von Word führt das Vergleichen von Dokumentenversionen zu so unglaublich komplexen, verwirrenden und letztlich unbrauchbaren Features wie der Änderungsnachverfolgung – ich kapier’ diese zumindest bis heute nicht.

Der Weg in eine bessere Bürowelt ist frei!

Kurzum: In vielen Situationen liegt die Komplexität nicht beim einmaligen Erstellen eines Dokuments, sondern in der Frage, wie man mit Änderungen (oft durch mehrere Benutzer) langfristig umgeht. Wann immer das der Fall ist (und das ist es fast immer!), empfiehlt sich ein Lösungsweg abseits von Office-Dokumenten. Hier also ein paar Startpunkte:

  1. Für Graphen (wie etwa das Flussdiagramm oben) verwende ich Graphviz.
  2. Für Textdokumente aller Art verwende ich LaTeX.
  3. Protokolle, Projektpläne und ähnliche Daten liegen ohnehin besser in Form von Wikis vor.
  4. E-Mails sollten in Klartext gesendet werden. Damit bleiben die Inhalte durchsuchbar und auf allen (mobilen) Devices lesbar.
  5. Tabellenkalkulationen braucht man grundsätzlich nicht! Entweder man verwendet ordentliche Datenbanken, Programmierumgebungen oder einen Taschenrechner. (Über den Spreadsheet-Virus, der die Betriebswirtwelt befallen hat, werde ich vielleicht nochmal bloggen.)
  6. Für Berechnungen oder Diagramme empfehlen sich Programmiertools wie R, Processing oder Python.
  7. Bleiben Präsentationen und Bildverarbeitung: Hier ist der WYSIWYG-Ansatz wahrscheinlich der Richtige. Also keine Belehrung von meiner Seite;-)
Tags , , , | Permalink | Comments (4)