Archiv des Autors: Florian Kastner

Passwordless: Passwörter sind lästig und ein Sicherheitsrisiko

Laut einer Verizon-Studie von 2021 sind 61 Prozent aller Datenschutzverletzungen mit der unberechtigten Verwendung von Anmeldedaten verbunden. Oder anders gesprochen: Es werden immer mehr Passwörter gestohlen. Die Authentifizierung über Benutzername und Passwort ist eine der anfälligsten Methoden überhaupt und wird auf Dauer nicht mehr ausreichen, um Internetnutzer und Systeme zu schützen. Die Lösung heißt: Passwordless Authentication.

Was bedeutet Passwordless Authentication?

Die passwortlose Authentifizierung ist eine Authentifizierungsmethode, die es ermöglicht, Zugang zu einer Anwendung oder einem IT-System zu erhalten, ohne ein Passwort einzugeben oder Sicherheitsfragen zu beantworten. Stattdessen verwendet der Benutzer eine andere Form des Nachweises, etwa einen Fingerabdruck, eine Transponderkarte („Proximity-Karte“) oder einen Hardware-Token-Code.

Passwordless Authentication wird häufig in Verbindung mit der Multi-Faktor-Authentifizierung (MFA) oder Single Sign-On-Lösungen eingesetzt:

  • Bei MFA muss der Benutzer mehrere Nachweise erbringen, um Zugang zu bestimmten Plattformen oder Systemen zu erhalten. Häufig wird zum Beispiel ein einmaliger SMS-Code ans Handy verschickt, wenn man sich am PC auf einer Plattform anmelden möchte. Das bloße Abgreifen der Zugangsdaten würde einem Kriminellen also nichts mehr nützen, weil er den zweiten Nachweis nicht vorlegen kann.
  • Bei Single Sign-On (SSO) kann der Benutzer denselben Sicherheits-Token oder dieselbe Proximity-Karte für den Zugriff auf alle Anwendungen und Dienste verwenden.

Warum sind Passwörter ein Risikofaktor?

Ob privat oder geschäftlich, jeder ist heutzutage auf eine Vielzahl von Anwendungen angewiesen. Die Folge ist, dass sich Benutzer eine schwindelerregende Anzahl von (häufig wechselnden) Passwörtern merken müssen. Bis zu einem gewissen Punkt mag das funktionieren, doch irgendwann nimmt das Chaos überhand. Was dann?

Sie könnten dasselbe Passwort mehrmals verwenden oder Ihre Passwörter abschwächen, was jedoch ein Risiko darstellt. Sie könnten auch einen Passwort-Manager nutzen – aber welcher ist wirklich sicher?

Bösewichte können diese laxen Praktiken der Passwortverwaltung ausnutzen, um Cyberangriffe zu starten und vertrauliche Daten zu stehlen:

  • Brute-Force-Methoden: Verwendung von Programmen, die zufällige Kombinationen aus Benutzernamen und Kennwort generieren oder gängige schwache Kennwörter wie 123456 ausnutzen
  • Credential Stuffing: Verwendung gestohlener oder geleakter Anmeldedaten eines Kontos, um Zugang zu anderen Konten zu erhalten (Nutzer verwenden oft dieselbe Kombination aus Benutzername und Kennwort für viele Konten)
  • Phishing: Verwendung von gefälschten E-Mails oder Textnachrichten, um ein Opfer dazu zu bringen, mit seinen Zugangsdaten zu antworten
  • Keylogging: Installation von Malware auf einem Computer, um Tastatureingaben von Benutzernamen und Kennwort zu erfassen
  • Man-in-the-Middle-Angriffe: Abfangen von Kommunikationsströmen (z. B. über öffentliches WiFi) und Anmeldedaten

Welche Vorteile bietet eine passwortlose Authentifizierung?

Mit der passwortlosen Authentifizierung müssen Sie sich keine Passwörter oder Antworten auf Sicherheitsfragen mehr merken. Benutzer können bequem und sicher auf Anwendungen und Dienste zugreifen, indem sie andere Authentifizierungsmethoden verwenden, zum Beispiel:

  • Proximity Badges, physische Token oder USB-Geräte (FIDO2-kompatible Schlüssel)
  • Software-Token oder Zertifikate
  • Fingerabdruck, Netzhautscan, Sprach- oder Gesichtserkennung
  • Mobiltelefonanwendung (Anrufe, SMS-Codes)

Entsprechende Vorteile sind die Verbesserung der Benutzererfahrung, Stärkung der Sicherheit und Vereinfachung der IT-Abläufe im Unternehmen.

Die neuesten MFA-Lösungen unterstützen sogar adaptive Authentifizierungsmethoden. Hierbei werden kontextbezogene Informationen (Standort, Tageszeit, IP-Adresse, Gerätetyp usw.) und Geschäftsregeln verwendet, um zu bestimmen, welche Authentifizierungsfaktoren für einen bestimmten Benutzer in einer bestimmten Situation gelten sollen.

Adaptive MFA schafft ein Gleichgewicht zwischen Komfort und Sicherheit. Beispielsweise lässt sich festlegen, dass ein Mitarbeiter, der von einem vertrauenswürdigen Heimcomputer aus auf eine Unternehmensanwendung zugreift, nur eine Form der Authentifizierung angeben muss. Greift er allerdings aus dem Ausland oder über eine nicht vertrauenswürdige WiFi-Verbindung auf die Anwendung zu, ist ein zusätzlicher SMS-Code erforderlich.

Zusammenfassung

Passwordless Authentication ist die Antwort auf zunehmende Datenschutzverletzungen durch kompromittierte Anmeldedaten. Viele Nutzer unterschätzen immer noch, wie schnell und einfach Passwörter gestohlen und geknackt werden können. Mit passwortlosen Authentifizierungsmethoden wie Hardware-Token oder biometrischen Merkmalen lässt sich dieser Risikofaktor beheben. In Kombination mit mehreren Nachweisen (MFA) oder Single Sign-On garantieren Sie Ihren Kunden und Nutzern maximale Sicherheit und Benutzerfreundlichkeit.

Businesssoftware: Tausendsassa oder lieber Spezialsoftware?

Viele glauben, dass eine Businesssoftware nur dann lohnenswert und wirklich „gut“ ist, wenn sie alle Geschäfts- oder Aufgabenbereiche abdecken kann. Sicher, ein Komplettpaket ist schnell eingerichtet und hat alles an Bord, was Sie brauchen – aber das macht es nicht automatisch zur Ideallösung. Tatsächlich sind spezialisierte Cloudanwendungen oft sinnvoller und schlichtweg besser. Die Gründe dafür lesen Sie im Folgenden.  

1. Innovationen

Spezialisierung begünstigst Innovation. Ein Beispiel: Jira ist eine Projektmanagementanwendung aus dem Hause Atlassian, die ursprünglich zur Problembehandlung eingesetzt wurde. Mittlerweile hat sich die Spezialsoftware zu einer der erfolgreichsten Anwendungen auf dem Gebiet des Prozess- und Aufgabenmanagements entwickelt. Eine beliebte Alternative ist Microsoft Project, allerdings ist dieses an die Office Suite gebunden und damit weniger innovationsfreudig.

Wenn wir uns die globalen Google-Suchanfragen für Jira und MS Project in den letzten zwei Jahren ansehen, wird schnell ersichtlich, wer von den beiden buchstäblich gefragter ist:

2. Flexibilität

Eine Businesssoftware, die alles kann, klingt zunächst ja gar nicht so verkehrt. Die Frage ist aber: Wie flexibel sind Sie damit noch? Überlegen Sie sich gut, ob Sie sich dauerhaft an eine einzige Software binden möchten, denn dadurch machen Sie sich auch von deren Preisen und Leistungen abhängig.

Wieder das klassische Office-Beispiel: Wer sich die Office Suite von Microsoft zulegt, kauft automatisch auch Publisher und Access mit. Für diejenigen, die diese Tools gar nicht benötigen, lohnt sich der Kauf also nur teilweise. Ein anderes Problem ergibt sich, wenn Sie die Tools zwar nutzen, aber deren Funktionsumfang irgendwann nicht mehr ausreicht. Was passiert dann mit der Office Suite? Wenn Sie Word, Excel und Co weiterhin nutzen möchten, müssen Sie auch Access weiterzahlen – plus das Nachfolgertool.

Noch komplizierter wird die Angelegenheit, wenn die Software mehrere Geschäftsbereiche verknüpfen soll. Ohne Flexibilität werden Sie hier sehr schnell an finanzielle oder funktionelle Grenzen stoßen (ganz zu schweigen von dem Risiko, dass Sie all Ihre Prozesse von einem einzigen Anbieter abhängig machen).

Die Lösung? Nutzen Sie für jeden Bereich Ihrer Geschäftsplanung eine flexible Spezialsoftware. Anregungen und Beispiele wären:

3. KISS-Prinzip

Eine zentrale Philosophie aus der Softwareentwicklung ist die sogenannte KISS-Regel (engl. Keep it simple, stupid). Sie besagt, dass ein Problem immer so einfach wie möglich gelöst werden sollte, was im Kern der Aussage von Ockhams Rasiermesser ähnelt. Übertragen heißt das: Spezialisierte Cloudanwendungen werden Ihr Problem höchstwahrscheinlich einfacher lösen als eine komplette Suite für eintausend verschiedene Bereiche.

Investieren Sie lieber etwas Zeit in die richtige Wahl einer Spezialsoftware, als dass Sie sich einen Allrounder zulegen, dessen Funktionsumfang weit über das eigentliche Problem hinausgeht. Da Sie für all diese Funktionen bezahlen, ist eine Spezialsoftware (vor allem modular) in der Regel günstiger.

4. Benutzerfreundlichkeit

Unter Entwicklern und UX Designern gibt es eine Regel, die sich das „Prinzip der geringsten Überraschung“ nennt (engl. Rule of Least Surprise). Aus Nutzersicht ist damit gemeint, dass eine Software möglichst intuitiv gestaltet sein sollte und alle Buttons und Shortcuts genau das tun, was sie auch überall sonst tun.

Behalten Sie diese Regel im Hinterkopf, wenn Sie sich zwischen einer Business Suite und einer spezialisierten Anwendung entscheiden. Eine Suite ist grundsätzlich komplexer im Umfang und damit auch in der Bedienung. Erfahrungsgemäß ist die Lernkurve bei Spezialsoftware mäßiger, weil ihr Schwerpunkt auf einer guten Backend-Steuerung liegt.

Zusammenfassung

All-inclusive ist ein hervorragendes Konzept für den nächsten Urlaub, aber nicht beim Thema Businesssoftware. Bevor Sie sich also für eine Suite entscheiden, fragen Sie sich, ob Sie die Inhalte und Funktionen wirklich benötigen. Spezialisierte Cloudanwendungen sind schlanker, bedienungsfreundlicher und problemfokussierter, was sich letztendlich in einer besseren Preis-Leistung niederschlägt. Vor allem aber bleiben Sie damit flexibel – und das ist einer der wichtigsten Erfolgsfaktoren überhaupt.

Websites ohne Code: Was kann Elementor?

Websites lassen sich heutzutage ohne eine einzige Codezeile entwickeln. Treiber dieser Nocode-Revolution sind sogenannte Baukastensysteme, die es Anwendern ermöglichen, Webseiten visuell über vorgefertigte Bausteine zusammenzustellen. Marktführer in dieser Branche ist das WordPress-Plugin Elementor – ein mächtiger Page-Builder, der professionelle Websites in Nullkommanichts aus dem Boden stampft. Wir erklären Ihnen, was Elementor alles kann und warum er auch für Softwareentwickler hilfreich ist.

Elementor: Grundlagen, Funktionen, Einsatzzwecke

Webbaukästen wie Elementor enthalten bereits eine grafische Oberfläche (GUI) sowie eine Reihe an Elementen und Vorlagen, um eine Webseite nach dem WYSIWYG-Prinzip zu bauen. Sprich: Bausteine und Inhalte werden direkt auf der Seite bearbeitet statt im Quellcode („Live Editing“). Elementor bietet dafür eine praktische Drag & Drop-Funktionalität, mit der das Anordnen und Anpassen der einzelnen Elemente zu einem Kinderspiel wird.

Eine Besonderheit von Elementor ist, dass der Page-Builder nicht nur statische Seiten, sondern auch dynamische Templates erstellen kann. Das beginnt bei der aktuellen Jahreszahl im Copyright-Hinweis und endet bei spezifischen Popups, wenn jemand auf ein bestimmtes Feld klickt. Außerdem liefert das Plugin ein eingebautes „Responsive Editing“, mit dem Sie Ihre Seiten und Elemente für verschiedene Auflösungen steuern können.

Wie unterscheiden sich die Free- und die Pro-Version?

Für Elementor-Starter dürfte sich zunächst die Frage stellen, ob die kostenlose Basisversion für die eigenen Zwecke ausreicht oder ob der Griff zur Pro-Version (ab 49 Dollar/Jahr) sinnvoll ist. Wie nicht anders zu erwarten, ist die Auswahl an Funktionen und Vorlagen in der kostenlosen Variante stark begrenzt. Die folgenden Punkte erläutern die wichtigsten Unterschiede:

  • Templates: Templates sind Design-Vorlagen für einzelne Seiten (z.B. Landing Pages oder Beiträge). Eine große Auswahl kann Ihnen hier nur die Pro-Version bieten.
  • Widgets: Elementor Free liefert um die 40 Basis-Widgets für einfache Websites. In der Pro-Version erhalten Sie dutzende weitere, darunter auch Theme-Elemente (für Header, Footer, 404-Seiten usw.) und Widgets für WooCommerce.
  • Kits: Elementor Kits sind Layout-Packs mit mehreren Templates für eine komplette Website. In der Basisversion können Sie zwischen fünf Kits wählen, während die Pro-Version über 100 Kits bereitstellt.
  • Dynamische Inhalte: Die bereits angesprochenen dynamischen Inhalte und Tags sind nur für Pro-Nutzer verfügbar.
  • Builder-Tools: Den Drag & Drop Builder können Sie in beiden Versionen nutzen. Weitere Builder wie den Theme Builder, Popup Builder oder WooCommerce Builder gibt es ausschließlich bei Elementor Pro.

Zusammenfassend lässt sich sagen: Für einfache, statische Seiten wird Ihnen die kostenlose Version genügen. Falls Sie jedoch komplexere Inhalte benötigen oder sogar ein Shopsystem mit WooCommerce planen, kommen Sie um die Pro-Version nicht herum.

Vorteile von Elementor in der Softwareentwicklung

Elementor oder Page Builder im Generellen sind in erster Linie für Personen gedacht, die keine oder wenige Programmierkenntnisse mitbringen. Doch selbst für versierte Web Developer bieten Nocode-Entwicklungsumgebungen große Vorteile, da sie den Webentwicklungsprozess deutlich beschleunigen. Vorgefertigte Bausteine sind schnell anpassbar und in der Anwendung oft sicherer und stabiler als neu programmierter Code. Da Elementor open source ist, können Sie das Plugin mit individuellen Add-ons erweitern, ohne den Aufwand einer kompletten Websiteerstellung zu haben oder andere Plugins hinzuziehen zu müssen. Die Vorteile von Elementor auf einen Blick:

  • Intuitive Bedienung dank des visuellen Frontend Editings (auch für Neulinge)
  • Erweiterbarkeit für Developer mithilfe des Theme Builders
  • Sehr viele Designeinstellungen und einfachste Bearbeitungsoptionen
  • Globale Widgets, die über mehrere Websites hinweg verwendet werden können
  • E-Commerce Integration sowie eingebaute Marketing-Tools
  • Große Developer-Community für zusätzliche Seitenvorlagen oder Add-ons

Zusammenfassung

Elementor ist ein hochfunktionaler Page-Builder für WordPress-Seiten, der mit rein visuellen Elementen statt Quellcode-Programmierung arbeitet. Für Entwickler bietet diese Nocode-Lösung erhebliche Zeit- und Ressourcenvorteile, da im Grunde nur noch die Feinheiten angepasst werden müssen – und selbst diese erfordern nur marginale bis gar keine Code-Skills.

Wer glaubt, dass sich damit nur einfachste Seiten bauen lassen, hat sich getäuscht: Elementor Pro liefert auch komplexe Webfunktionalitäten, sei es das Erstellen dynamischer Templates oder die Integration von WooCommerce-Elementen. Diese extrem hohe Flexibilität ist einer der Gründe, warum Elementor zu Recht der erfolgreichste und am häufigsten genutzte Page-Builder für WordPress ist.

Plattformen: Geschäftsmodell in unter 100 Wörtern erklärt

Plattformen sind das Herzstück der Digitalisierung. Tagtäglich kommen wir als Nutzer mit ihnen in Verbindung: Marktplätze wie eBay und Amazon, Suchmaschinen wie Google, soziale Netzwerke wie Facebook. Zwar sieht die Plattformlandschaft in den USA etwas anders als in Deutschland, aber auch bei uns floriert das Platform Business – besonders im B2B. Wir bringen auf den Punkt, was das Geschäftsmodell so erfolgreich macht.

Die Definition eines Plattformgeschäfts

Ein Plattformunternehmen ist ein Geschäftsmodell, das Interaktionen zwischen einer Vielzahl von Teilnehmern erleichtert. Bei diesen Interaktionen kann es sich sowohl um kurzfristige Verbindungen (v.a. im Customerbereich) als auch um den Aufbau langfristiger Beziehungen bzw. Kooperationen handeln. Die Aufgabe des Plattformunternehmens besteht darin, eine Governance-Struktur und eine Reihe von Standards und Protokollen bereitzustellen, um Anbieter, Kunden und Tools zusammenzubringen. Das heißt: Ein Plattformgeschäft bietet in der Regel keine eigenen Produkte oder Dienstleistungen an, sondern stellt lediglich eine Schnittstelle – die Plattform – für die Marktteilnehmer zur Verfügung. Aus dem komplexen Zusammenspiel von Anbietern und Kunden ergeben sich letztlich sogenannte Netzwerkeffekte.

Welche Arten von digitalen Plattformen gibt es?

Der erste Schritt in der Beratung von Plattformgeschäften ist, herauszufinden, welche Art Plattform die eigenen Anforderungen am besten erfüllt. Dazu ein grober Überblick:

Transaktionszentrierte Plattformen

Bei diesen Plattformen geht es um die reine Transaktion (Kauf, Tausch, Angebot). Sie führen ein breites Spektrum relevanter Ressourcen zusammen und vereinfachen den Austausch und Handel zwischen allen beteiligten Akteuren. Beispiele sind digitale B2C- und B2B-Marktplätze sowie On-Demand-Services wie Uber oder Paypal.

Soziale Plattformen

Im Mittelpunkt von sozialen Plattformen – etwa Facebook oder Wikipedia – steht nicht die Abwicklung einer Transaktion, sondern die Interaktion zwischen Interessengruppen. Bei dieser Art Plattform können die Rollen der Teilnehmer überlappen oder wechseln: Anbieter sind auch Kunden, Kunden sind auch Anbieter (Multi-Side-Effekt).

Datenzentrierte Plattformen

Charakteristisch für diese Plattformen ist eine datenbasierte Vernetzung. Man unterscheidet dabei zwischen Aggregatoren- und Technologie-Plattformen. Erstere sammeln Daten oder nutzen eigene Datenbestände, um daraus neue Angebote zu erstellen, wie es beispielsweise Amazon oder Google tun. Zweitere bieten Infrastrukturen für einen systemübergreifenden Datenaustausch. Beispiele für solche IoT- oder Utility-Plattformen sind Siemens Mindsphere oder Bosch IoT Suite.

Welche Vorteile haben digitale Plattformen?

Klassische „Pipeline“-Geschäftsmodelle basieren auf einer linearen Wertschöpfungskette: Aus einem Rohstoff wird ein Produkt, das wir am Markt an den Kunden verkaufen. Das Problem an diesen Systemen ist, dass sie schwer zu skalieren sind. Wachstum lässt sich nur mit einem überproportional großen Mehraufwand und auch nur bis zu einer gewissen Grenze erzeugen, während das Prozessmanagement immer komplexer wird.

Plattformökosysteme haben diese Einschränkungen nicht. Darüber hinaus bieten sie zahlreiche Vorteile, die in der heutigen digitalen Geschäftswelt immer unerlässlicher werden:

  • Niedrige Transaktionskosten: Kennzeichnend für digitale Plattformen sind zwar relativ hohe Fixkosten, aber nur geringe marginale Kosten für zusätzliche Kunden.
  • Hohe Skalierbarkeit: Eine virtuelle Plattform, die selbst nur als Intermediär agiert und feste Kostenstrukturen besitzt, kann nahezu beliebig skaliert werden.
  • Nachhaltigkeit: Innovative Plattformgeschäfte sind für Unternehmen zukunftsweisend. Sie schaffen Handlungsspielraum, steigern die Effizienz und stärken die Wettbewerbsfähigkeit. 
  • Netzwerkeffekte: Plattformen schaffen (Mehr-)Werte durch die vielseitigen Verbindungen von Anbietern, Kunden und Ressourcen. Je mehr Anbieter eine Plattform nutzen, desto attraktiver wird sie auch für Kunden, weil das Angebot steigt. Umgekehrt steigt die Lukrativität einer Plattform, je mehr Kunden sich darauf befinden. Diese Gegenseitigkeit bezeichnet man als Netzwerkeffekt, der zu exponentiellen Wachstumssteigerungen führen kann.

Bevor Sie sich nun in wilde Überlegungen stürzen, wie Sie Ihr eigenes Platform Business aufbauen: Halt! Bedenken Sie, dass eine Plattform nicht für jedes Unternehmen geeignet ist – oft kann es zum Beispiel sinnvoller sein, sich als Partner an bereits vorhandenen Plattformen zu beteiligen. Im Consulting wird dieser Punkt ausführlich geklärt und analysiert.

Zusammenfassung

Digitale Plattformen rücken immer weiter ins Zentrum von Marktstrukturen und verdrängen damit traditionelle, einseitig ausgelegte Märkte. Sie vereinfachen den Handel und Austausch zwischen Interessengruppen in einer einheitlichen virtuellen Umgebung, sind zudem hoch skalierbar und können für verschiedenste Branchen und Zwecke eingesetzt werden. Kurz und knapp: Wer langfristig im nationalen und globalen Wettbewerb mithalten will, kommt um das Plattformgeschäftsmodell nicht mehr herum.

Projektcontrolling Kennzahl: Contract Controllable Income (CCI)

Jedes Projekt hat zum Zeitpunkt seines Vertragsschlusses einen erwarteten Gewinn, der im Rahmen der Budgetierung aus geschätzten Einnahmen und Ausgaben ermittelt wird. Ändern sich diese Größen zum Beispiel durch Hinzufügen weiterer Ressourcen, verändern sich auch die Projektmargen. Eine nützliche Kennzahl zur Analyse dieser Problematik ist der sogenannte CCI oder Contract Controllable Income. Er gilt als bestes Maß für die Kontrolle des Projektbudgets und damit für die Performance eines Projekts.

Wie wird der CCI berechnet?

Im Grunde ist der CCI nur eine schicke Umschreibung für Gewinnspannen – er gibt die geschätzte Rentabilität Ihres Projekts an. Dazu verwendet er die erzielten Einnahmen (Abrechnung Ihrer Zeit und Ihres Aufwands) und stellt sie den kontrollierbaren Kosten für die Erbringung der Dienstleistung gegenüber:

Kontrollierbarer Gewinn (CCI) = Einnahmen – kontrollierbare Kosten

Ausschlaggebend ist dabei die Unterscheidung zwischen kontrollierbaren und unkontrollierbaren Kosten. Da der CCI auf Vertrags- bzw. Projektebene ermittelt wird, dürfen Sie nur solche Kosten berücksichtigen, die im Zusammenhang mit dem Projekt stehen und Ihrer Kontrolle unterliegen. Dazu zählen zum Beispiel Projektverzögerungen, die dem Kunden nicht in Rechnung gestellt werden, oder die Zuhilfenahme externer Dienstleister. Charakteristisch für diese Kosten ist, dass sie relativ kurzfristig auf der Grundlage geschäftlicher Entscheidungen verändert werden können.

Unkontrollierbare Kosten hingegen sind in der Regel Ausgaben auf Unternehmensebene, wie beispielsweise Abschreibungen, Mieten oder bestimmte Investitionen, auf die das Projektmanagement keinen direkten Einfluss hat. Diese Gemeinkosten sind deshalb auch nicht Bestandteil des CCI.

Inwiefern hilft der CCI beim Projektcontrolling?

Budgetüberschreitungen sind der klassische Erfolgskiller eines Projekts. Selbst bei guter Budgetplanung ergeben sich immer wieder Stolperfallen und unvorhergesehene Schwierigkeiten, die die Kosten in Windeseile aus dem Ruder laufen lassen. Was soll der CCI in diesem Fall ausrichten?

Die Kenntnis über den kontrollierbaren Gewinn Ihres Projekts kann Kostenschwankungen nicht verhindern, doch können Sie schneller und gezielter darauf reagieren. Betrachten Sie den CCI dabei als Zielprozentsatz oder Zielmarge, die in jedem Fall eingehalten werden muss. Ein Beispiel: Sie haben ein Projekt mit einem festgelegten CCI von 45-55 %. Bei einem Umsatz von 100k dürfen die Kosten maximal 55k betragen, um das Projekt rentabel abzuschließen. Im Verlauf des Projekts müssen Sie einige zusätzliche Ausgaben tätigen, die den CCI auf nurmehr 40 % reduzieren. Um die Projektleistung zu steigern, können Sie nun entweder die Einnahmen erhöhen oder versuchen, andere Ausgaben zu verringern – oder beides.

Im Projektcontrolling erfüllt der CCI verschiedene Aufgaben:

  • Er liefert konkrete Zahlen zum geschätzten Gewinn des Projekts.
  • Er vereinfacht die Kontrolle der Projekteinnahmen und -ausgaben.
  • Er gibt Auskunft über die Rentabilität bzw. Performance eines Projekts.
  • Er dient als hilfreiche Orientierung bei Projektanpassungen.

Die Komplexität der Projekte spielt hierfür keine Rolle. Ganz im Gegenteil kann der CCI gerade bei umfangreichen Projekten besonders nützlich sein: Erstens, da er deren Leistung auf eine auswertbare Zahl herunterbricht, und zweitens, da er (wie sein Name impliziert) auf Vertragsebene zum Einsatz kommt, wodurch er auch für Teilverträge bzw. Teilprojekte genutzt werden kann. Denken Sie aber auch in diesem Fall daran, dass immer nur diejenigen Kosten einkalkuliert werden dürfen, die innerhalb der jeweiligen Projektphase kontrollierbar und somit änderbar sind.  

Zusammenfassung

Der Contract Controllable Income oder kurz CCI ist ein wichtiger Indikator für die Rentabilität eines Projekts. Er berechnet sich aus der Subtraktion der Projekteinnahmen und Projektausgaben, wobei letztere kontrollierbar sein müssen. Der CCI wird immer auf Vertragsebene ermittelt und bezieht sich daher auf ein bestimmtes Projekt oder eine bestimmte Projektphase. Für das Projektcontrolling ist er deshalb so wertvoll, weil er die Kontrolle des Budgets vereinfacht, effektiv vor Kostenüberschreitungen schützt und die Marge des Projekts sichert. Keine andere Zahl zeigt so schonungslos auf, wie es um den Ertrag und den Erfolg Ihrer Projekte steht – nutzen Sie das auch!

Buzzwords: Was ist Zero Trust?

Im Zuge der digitalen Transformation ist es wichtiger denn je, wie zuverlässig Unternehmen und Dienste vor Cyberangriffen und Datenklau geschützt sind. Klassische, perimeterbasierte Sicherheitskonzepte zum Schutz von Unternehmensnetzwerken stoßen zunehmend an ihre Grenzen, weil sie davon ausgehen, dass interne Zugriffe keine Gefahr darstellen. Doch wem kann man noch vertrauen? Das Zero Trust-Konzept beantwortet diese Kernfrage schon im Wortlaut: niemandem.

„Vertraue niemandem, verifiziere jeden“

Bei Zero Trust handelt es sich um ein IT-Sicherheitsmodell, das grundsätzlich keinem Gerät und keinem Nutzer traut – weder innerhalb noch außerhalb des Netzwerks. Nach der Maxime „Never trust, always verify“ (zu Deutsch: „Vertraue niemandem, verifiziere jeden“) fordert es für jeden Zugriff und jeden Datenfluss eine Authentifizierung. Das heißt: Jede einzelne Anfrage muss neu verifiziert werden, bevor man Zugang zum System erhält.

Zum Vergleich: Bei traditionellen Sicherheitsarchitekturen genügt eine einmalige Verifizierung, um als vertrauenswürdig eingestuft zu werden. Das mag zwar eine komfortable Lösung sein, setzt aber voraus, dass Angreifer immer nur von außen und niemals von innen auftreten können – eine naive Annahme, die im heutigen digitalen Ökosystem keinen Bestand mehr hat. Zero Trust schiebt dem Ganzen einen Riegel vor und rückt den Schutz der Daten in den Mittelpunkt.

Die wichtigsten Grundsätze von Zero Trust

Wie jedes Konzept beruht auch Zero Trust auf einer Kombination verschiedener Prinzipien und Technologien zur umfassenden Abwehr von Cyberangriffen in digitalen Geschäftsumgebungen. Die wichtigsten davon sind:

  • Least Privilege: Das Least Privilege-Prinzip verlangt so wenige Zugriffsberechtigungen wie möglich. Menschliche als auch nicht menschliche Benutzer erhalten demnach nur so viele Privilegien und Informationen wie unbedingt nötig (Just-in-Time / Just-Enough-Access).
  • Datenzentrierung: Die Basis einer lückenlosen Sicherheit und Compliance bildet bei Zero Trust der Schutz der Daten und nicht des Perimeters. Daher liegt der Fokus des Ansatzes vorrangig auf der Sicherung, Verschlüsselung und Verwaltung der Daten sowie der Entwicklung von Datenklassifikationsschemata.
  • Zugriffskontrollen: Durch laufende Identitäts- und Datenprüfungen wird protokolliert, wer wann auf welche Ressourcen Zugriff hat, um interne und externe Bedrohungen rechtzeitig zu erkennen. Privilegierte Accounts gelten als besonders beliebtes Angriffsziel und müssen deshalb verstärkt geschützt und überwacht werden. Je mehr Datenpunkte (Identität, Standort, Datenklassifizierung, Workload etc.) in die Autorisierung einfließen, desto besser.
  • Mikrosegmentierung: Bei dieser Methode werden Sicherheitsperimeter in kleinere, voneinander getrennte Zonen aufgeteilt, die jeweils eigene Zugriffsautorisierungen erfordern. So soll sichergestellt werden, dass ein Benutzer oder ein Programm mit Zugriff auf eine der Zonen nicht automatisch auch auf alle anderen zugreifen kann. Sollte in einem der Segmente ein Angreifer entdeckt werden, lässt sich das kompromittierte Gerät sehr viel leichter unter Quarantäne stellen und vom Rest des Netzwerks trennen.
  • Multifaktor-Authentifizierung (MFA): Für den Zugriff auf geschäftskritische Ressourcen ist ein Passwort allein nicht ausreichend. Viele Online-Dienste und Plattformen nutzen daher eine MFA wie beispielsweise die 2-Faktor-Autorisierung (2FA), bei der Benutzer mehr als einen Identitätsnachweis angeben müssen. Nach der Eingabe des Passworts wird dazu ein Code an ein anderes Gerät versendet, der für die Zugriffsfreigabe erforderlich ist.

Fazit: Zero Trust als Paradigmenwechsel in der IT-Security

Das Zero Trust-Modell ersetzt zum Großteil den traditionellen IT-Sicherheitsansatz, nach dem sämtliche Zugriffe innerhalb des Netzwerkperimeters legitim sind und nicht als Bedrohung für das Unternehmen gesehen werden. Gemäß seiner Maxime „Vertraue niemandem“ muss bei Zero Trust jeder Zugriff verifiziert und überwacht werden. Die Implementierung dieses Konzepts kann auf ganz unterschiedlichen Wegen erfolgen, da es nicht „die eine“ Zero Trust-Strategie gibt. Wirksame Technologien sind zum Beispiel Mikrosegmentierung, Multifaktor-Authentifizierung (MFA) oder Identity and Access Management (IAM), um einen kontrollierten Zugriff von Benutzern und Identitäten zu gewährleisten. Klar ist, dass Zero Trust weiter an Bedeutung gewinnen wird, da die zunehmende Komplexität unserer IT-Landschaft ein grundlegendes Sicherheitsumdenken erfordert. Nicht das Netzwerk als solches, sondern seine Daten und Ressourcen müssen ins Zentrum gerückt und geschützt werden.

Was bedeutet WebAssembly für IT-Projekte?

Eine der jüngsten Entwicklungen in der Weblandschaft ist WebAssembly – ein Binärformat, das unter Web- und App-Entwicklern längst in aller Munde ist. Völlig zu Recht, denn es zeichnet sich ab, dass WebAssembly über kurz oder lang neue Maßstäbe in der Softwareentwicklung setzen wird. Doch was bedeutet das für zukünftige IT-Projekte?

Basics first: Was kann WebAssembly?

WebAssembly (Wasm) ist eine Low Level Assemblersprache, die nativ in Webbrowsern kompiliert werden kann. Im Vergleich zu JavaScript liegt das Format sehr viel näher am Maschinencode und unterscheidet sich in seiner Leistung kaum von nativen Apps. Es läuft in allen großen Browsern – Chrome, Firefox, Safari und Edge – und ist vom W3C als offizieller Web Standard anerkannt. Das Besondere an WebAssembly ist, dass man in der Regel nicht direkt damit programmiert, sondern dass es als Kompilierziel für andere Sprachen fungiert. Da es bereits im Binärformat vorliegt, erfolgt das Parsing deutlich schneller als bei JavaScript.

Konkret heißt das: WebAssembly bietet die Möglichkeit, gängige Hochsprachen (z.B. C, C++, Java, Python) in ein ladezeitoptimiertes Format zu kompilieren, das crossbrowser und crossplatform Einsätze möglich macht. Jede Desktop Anwendung, die sich in WebAssembly kompilieren lässt, können Sie auf diese Weise ohne Leistungseinbußen im Browser ausführen. Damit dient WebAssembly als ideale Ergänzung zu JavaScript, um dessen Overheads auszubügeln und auch komplexe, rechenintensive Anwendungen im Browser auszuführen.

Was bedeutet das für IT-Projekte?

Seit WebAssembly ist JavaScript nicht mehr einzige Option, um Code für den Browser zu schreiben. Und das hat Folgen: Denn statt sich auf die bisherigen Objektprototypen von JavaScript zu beschränken, haben Entwickler zum ersten Mal eine Auswahl. Im Grunde können Sie jede Funktion Ihrer Anwendung in einer beliebigen Sprache programmieren und diese im Anschluss zu Wasm kompilieren. Voraussetzung ist natürlich, dass die gewählte Sprache über einen WebAssembly-Compiler verfügt.

Ein weiterer Vorteil von WebAssembly: Sie können den Wasm Code wiederverwenden und damit eine Brücke zwischen C#-Backend (als Beispiel) und JS-Frontend bilden. Wenn Sie Ihre DLL mit WebAssembly als Ziel kompilieren, sparen Sie sich den Schritt sie in JavaScript zu implementieren – und das spart Entwicklungszeit.

IT-Projekte stehen damit vor ganz neuen Chancen, aber auch Herausforderungen. In Bereichen, in denen die Rechenleistung von JavaScript an ihre Grenzen stößt, kann zukünftig mit Wasm gearbeitet werden – zum Beispiel bei 3D Gaming, Image Editing oder Virtual Reality. Desktop und Mobile Apps, für die bisher keine webbasierte Variante geplant war, können mit Wasm problemlos im Browser kompiliert werden. Und ja, das betrifft auch Java Anwendungen und alle anderen „web-fernen“ Sprachen.

Wird zukünftig nur noch mit WebAssembly programmiert?

WebAssembly wurde mit dem primären Ziel entwickelt, leistungsstärkere Webanwendungen zu ermöglichen. Der Trend hin zu browserbasierten Applikationen wird dadurch natürlich verstärkt, denn der Vorteil ist: Web Apps haben ein breiteres Publikum. Gleichzeitig macht WebAssembly die Programmierung solcher Apps effizienter, schneller und günstiger. Da inzwischen alle großen Browser das Format unterstützen, ist es eigentlich nur eine Frage der Zeit, bis es sich komplett in der Webentwicklung etabliert hat – vor allem in jenen Bereichen, wo Performance eine große, wenn nicht sogar entscheidende Rolle spielt. Wiederum wird es JavaScript nicht ersetzen, allein schon deshalb, weil die Wasm Module mit JavaScript geladen werden. Es ist und bleibt daher eine Ergänzung, die die bisherigen bestehenden Grenzen in der Softwareentwicklung ein großes Stück aufbricht. 

Zusammenfassung

WebAssembly mag in erster Linie für Performancesteigerungen konzipiert worden sein, doch das Format kann weitaus mehr. Entwicklungsteams, die plattformübergreifend oder mit einer Client-Server-Aufteilung arbeiten, profitieren zum Beispiel von kürzeren Lieferzeiten und mehr Flexibilität beim Programmieren selbst. So ist man nicht mehr an die lose Typisierung von JavaScript gebunden, sondern kann jede Hochsprache, die in Wasm kompiliert werden kann, für die gewünschten Funktionen nutzen – von Rust und C bis hin zu Java. Das Web von morgen wird Apps der Desktop-Klasse mit nativer Leistung ausführen, und WebAssembly macht es möglich.

Dokumentation im Code – ja oder nein?

Programmcode wird zwar immer für Maschinen geschrieben, aber wirklich gut ist er erst, wenn ihn auch Menschen ohne Schwierigkeiten lesen können. Doch was heißt „ohne Schwierigkeiten“? Viele Entwickler setzen dazu auf eine mehr oder weniger detaillierte Dokumentation des Codes. Der Gedanke ist klar: Kommentare sollen helfen, den Code besser nachzuvollziehen und Nachfragen oder gar Missverständnisse zu vermeiden. Aber sollte ein guter Code nicht eigentlich selbsterklärend sein? Wir gehen der Frage nach.

Warum Code überhaupt dokumentiert wird

Kommentare zwischen den Codezeilen sind nicht per se schlecht. Sie haben ihre Daseinsberechtigung. Ein Beispiel: Sie möchten komplexe Funktionsabschnitte deklarieren. Oder Sie möchten erwähnen, warum Sie an einer bestimmten Stelle genau diese Parameter verwenden und keine anderen. Problematisch wird es dann, wenn Sie

  • mehr Augenmerk auf die Dokumentation legen als auf den Code selber, und
  • die Funktionalität des Codes statt seiner Intention kommentieren.

Hinter einer übereifrigen Dokumentation steckt oft die Angst, dass andere den Code falsch oder gar nicht verstehen könnten. Denken Sie umgekehrt: Wie lässt sich Code schreiben, damit er keiner weiteren Kommunikation bedarf? Denn dann kommen Sie schnell an den Punkt, an dem Ihnen klar wird, dass 99% aller Kommentare überflüssig sind.

Ein guter Code spricht für sich

Je weniger Sie kommentieren, desto stärker müssen Sie auf klare und strukturierte Anweisungen achten. Clean Code zwingt Sie gewissermaßen ganz von selbst dazu, möglichst simpel und effizient zu coden, weshalb dieses Prinzip in der Softwareentwicklung auch so hochgelobt ist. Versuchen Sie mit Ihren Codezeilen zu kommunizieren, statt sich in ausufernden Dokumentationen zu verlieren. Hier sind vier Gründe, warum Sie zukünftig weniger kommentieren sollten:

1.      Kommentare lenken ab

Ein perfekter Code hat immer einen gewissen Fluss, wenn Sie ihn durchgehen, so als würden Sie einen flüssigen Text lesen. Kommentare unterbrechen diesen Fluss ausnahmslos und erschweren so in vielen Fällen – paradoxerweise – das Verständnis des Codes. Das ist vor allem dann der Fall, wenn es sich um redundante Kommentare handelt, die keine neuen Informationen liefern.

2.      Kommentare kosten Zeit

Zeit ist die kostbarste Ressource in der Softwareentwicklung. Überschlagen Sie einmal in Gedanken, wie viel Zeit Ihnen das Verfassen der Kommentare kostet und wie viel Zeit andere damit verbringen, diese zu lesen und mit dem Code in Einklang zu bringen. Und wer pflegt und aktualisiert die Kommentare, wenn der Code zu einem späteren Zeitpunkt angepasst werden muss? Der Punkt ist: Dokumentieren geht immer zu Lasten der Produktivität. Wenn Sie dauerhaft schneller und effizienter arbeiten wollen, müssen Sie rigoros Kommentare einsparen.

3.      Schlechte Kommentare verwirren Ihre Kollegen

Vielleicht kennen Sie das Szenario selbst: Jemand kommentiert etwas völlig Offensichtliches und Sie fragen sich insgeheim: Warum wird das kommentiert? Steckt noch mehr dahinter? Lässt sich das auch anders interpretieren? Redundante oder irreführende Kommentare können eine ganze Menge Probleme verursachen, die völlig unnötig sind. Vertrauen Sie Ihren Programmierfertigkeiten und denen Ihrer Kollegen. So oder so werden Kommentare Ihren Code nicht besser machen.

4.      Kommentare überlagern die Neutralität des Codes

Programmiersprachen sind neutral, eigene Kommentare nicht. Denken Sie immer daran, dass Ihre Kommentare Teil des Quellcodes sind und von jedem, der damit arbeitet, eingesehen werden können. Besonders relevant ist dieser Punkt für jeden, der dazu neigt, Kommentare auch als eine Art Notizen zu verwenden. Gestern Nacht noch kurz etwas vermerkt, am nächsten Morgen längst vergessen – und Ihr Kollege amüsiert sich prächtig. Darum sollten Sie sich angewöhnen, so wenige Kommentare wie nur möglich zu hinterlassen.

Fazit: Gute Programmierer kommunizieren mit ihrem Code

Schreiben Sie Programmiercode so, dass man ihn auch ohne oder nur mit wenigen Kommentaren verstehen kann. Damit sparen Sie selbst und anderen eine Menge Zeit, arbeiten produktiver und fokussieren sich auf klare, einfache Strukturen. Erfahrungsgemäß lässt dies auch das Vertrauen in die eigenen Fähigkeiten wachsen, weil Sie lernen, ausschließlich mit Ihrem Code zu kommunizieren.