Die Compliance der Online-Aktivitäten gegenüber internen und externen Richtlinien stellt insbesondere Großunternehmen vor die herausfordernde Aufgabe, ihre Websites ständig entsprechenden Prüfungen zu unterziehen. Für einen kontinuierlichen Überblick über eine oft große Anzahl an verschiedenen Plattformen und Angeboten bietet sich der Einsatz von Online-Monitoring Tools an. Ein Einblick in die Aufgaben der Web-Governance und die zielorientierte Unterstützung durch Scanning-Tools wird nachfolgend gegeben.
Mit zunehmender Größe eines Unternehmens steigt in der Regel auch die Zahl der Regularien, die die Aktivitäten des Unternehmens steuern. Das gilt auch für die Web-Kommunikation. Bereits das Spektrum an internen Regelungen ist üblicherweise sehr breit und reicht bspw. von CI/CD-Richtlinien (Corporate Image, Corporate Design) über IT-Policies bis hin zum Corporate Wording und Prozessdefinitionen. Daneben existieren zahlreiche externe Regularien, v.a. länderspezifische Gesetzgebungen und branchenspezifischen Anforderungen (wie z.B. im Finanz- und Pharmasektor).
Nicht nur diese Regelwerke wollen für die eigenen Web-Aktivitäten berücksichtigt werden, die Interessen einer Vielzahl interner und externer Anspruchsgruppen wirken darauf ein. Um alle Anforderungen und Ansprüche unter einen Hut zu bekommen, wird eine organisatorische „Klammer“ benötigt, die eben dies ermöglicht: die Web-Governance.
Compliance und Risikominimierung
In der häufig großen Anzahl an Web-Projekten stellt eine richtig praktizierte Online-Governance sicher, dass die die Anforderungen an die Compliance durchgängig und in gleichbleibender Qualität eingehalten werden. Dass es sich dabei um kein einfaches Unterfangen handelt, macht bereits ein Blick auf die schier unüberschaubare Menge von potentiellen Fehlerquellen klar.
Steuerung und Kontrolle ist somit in jeder einzelnen Phase über den kompletten Lebenszyklus eines Projektes hinweg empfehlenswert. Dazu werden die Projekte bereits von Beginn weg an einem kontrolliertem Standardvorgehen ausgerichtet. Teure Audits sowie aufwändige Korrektur- und Nacharbeiten lassen sich so auf ein Minimum reduzieren.
Während der Betriebsphase wird Online-Monitoring zu einer essentiellen Tätigkeit im Rahmen der Web-Governance. Je mehr Websites ein Unternehmen betreibt und je unüberschaubarer deren Steuerungsmechanismen und Releasezyklen sind, desto wichtiger wird Online-Monitoring als unerlässliches Instrument der Risikoüberwachung.
Das Spektrum der Aktivitäten von Online-Monitoring umfasst dabei u.a.:
- Sicherheits-Tests („Security Scans“)
- Tests der Betriebsumgebung („Infrastructure Tests“)
- Überwachung des funktionalen Aufbaus der Webseiten („Funktionale Scans“)
Ein weiterer wichtiger Bereich, der hier jedoch nicht vertieft werden soll, ist das inhaltliche Scanning. Dabei wird das Web auf Nennungen des eigenen Unternehmens, dessen Personen, Produkte, etc. hin überwacht. In Zeiten von Web 2.0 lässt sich diese Tätigkeit natürlich nicht mehr auf das Screening von Presse-Clippings beschränken, sondern muss sich zu einem zielorientierten Social Media Monitoring weiter entwickeln.
Security Scans
Mittels Security Tests greift ein Unternehmen gezielt seine eigenen Websites an, um Schwachstellen herauszufinden oder Malware zu identifizieren. Die entsprechende Software attackiert bspw. mit Penetration Tests, SQL Injections oder Cross-Site Scripting (XSS) die zu testende Website. Dadurch, dass die Tests bis zum Denial of Service (DoS) führen können – also die Website außer Funktion setzen können – ist eine intensive Vorbereitung, korrekte Durchführung und anschliessende Nachbereitung von hoher Bedeutung. Dementsprechend ist es in der Regel beispielsweise nicht empfehlenswert, Security Tests im laufenden Betrieb am Live-System durchzuführen, sondern eher in risikoarmen Zeiten auf Staging-Server zu verlagern.
Zu beachten sind weiterhin Haftungsfragen zwischen allen involvierten Dienstleistern und dem Unternehmen: Was passiert wenn der Denial of Service wirklich eintritt und ggf. Schaden entsteht? Insofern sind im Vorfeld eines Security-Tests zahlreiche Überlegungen anzustellen und Abklärungen durchzuführen. Wie lange dauert es z.B. wenn im Schadensfall ein Backup eingespielt werden muss? Wie werden die Zustände der Sites vor und nach dem Test gegenüber gestellt? Welche weiteren Komplikationen können durch die Tests entstehen?
Entsprechend werden die Tests in der Praxis häufig auf eine begrenzte Anzahl von Websites oder sogar Teilbereiche einer Websites konzentriert und dann nach sorgfältiger Planung und in enger Abstimmung mit allen Beteiligten durchgeführt.
Infrastructure Tests
Mittels Port-Scans können wichtige Elemente der Infrastruktur getestet werden, so z.B. die Sicherheit von IP-Ranges bzw. des Netzwerkes generell. Auch hier eine gute Vorbereitung unerlässlich. Dabei sollte vor allem auf folgende Aspekte geachtet werden:
- die Qualifikation der Personen, die die Tests ausführen
- die Auswahl der für den jeweiligen Anwendungsfall eingesetzten Produkte
- die Planung der fortlaufenden Beobachtung der Tests
- die Klärung der Haftungsfrage im DoS-Fall
Als Ergebnis der Infrastrukturtests sind Aussagen zu den Schwachstellen und der Anfälligkeit der Infrastruktur zu erwarten.
Funktionale Scans
Diese Art von Scanning Tools arbeiten sich – einem „Crawler“ gleich – systematisch durch sämtliche verfügbaren Inhalte einer Website. Anhand eines festgelegten Sets von Regeln wird anschliessend eine Bewertung der Site ausgegeben. Leistungsfähige Tools sind in der Lage diesen Vorgang für hunderte von Domains durchzuführen und bestimmte Probleme praktisch unmittelbar nach deren Auftreten an den Betreiber zu melden.
Die Ergebnisse verschaffen den Website-Betreibern und Content-Verantwortlichen einen Überblick über eine Vielzahl wichtiger Qualitätsaspekte, die manuell in dieser Breite und Tiefe nicht sinnvoll erhebbar sind. Das Spektrum reicht dabei von der Identifikation von „broken links“ über Codefehler und Accessibility-Problemen bis hin zu nicht funktionierenden E-Mail-Adressen und schlechter Performance.
Als Beispiel für die Vielfalt der diesbezüglichen Möglichkeiten mag das Funktionsspektrum eines marktführenden Anbieters in diesem Bereich, der Firma Sitemorse , dienen. Deren Software prüft automatisch über 600 Einzelkriterien in den Bereichen Funktionen, Accessibility, Code Qualität, Performance, E-Mail, Metadaten, Web Analytics, Rechtschreibung und Downloads.
Beispiel eines Funktionstests einer Website mit der Sitemorse Web-Auditing Software
Anhand einiger typischer Anwendungsbeispiele sollen die Vorteile von funktionalen Scans konkretisiert werden:
- Disclaimer: Großunternehmen betreiben oft eine schier unüberschaubare Anzahl von Websites, die häufig keiner durchgängigen zentralen Kontrolle unterstehen. Einzelne Websites werden häufig mit einer gewissen Autarkie bspw. von Ländergesellschaften, Fachbereichen oder Produktverantwortlichen betrieben. Wie soll der Online-Verantwortliche in der Unternehmenszentrale in einem solchen Szenario sicherstellen, dass alle diese Sites gesetzlich vorgeschriebene Inhalte wie Disclaimer oder Terms of Use anbieten? Und das möglichst einheitlich, auch über alle verwendeten Sprachen hinweg? Scanning Tools können diese Aufgabe erledigen. Voraussetzungen hierfür sind standardisierte Terminologien und eine entsprechende Konfiguration für die Sprachversionen. Auf dieser Basis kann das Tool die Verantwortlichen laufend über fehlende oder veränderte Pflichtinhalte informieren.
- „Broken Links“: Nicht funktionierende Links sind nicht nur unschön, sondern stellen eine handfeste Einschränkung der Usability dar. Gleichzeitig untergraben sie das Vertrauen der Besucher in die betroffene Website. Eine Fehlerminimierung bringt hier direkte wirtschaftliche Auswirkungen mit sich, denn abgebrochene Website-Besuche führen zu frustrierten Kunden, zu vorzeitig beendeten Transaktionen und ggf. sogar zu einer zukünftigen Meidung der entsprechenden Websites des Unternehmens.
- Response-Zeiten: Woher weiss man, welche Antwortzeiten eine Website zu einer bestimmten Uhrzeit für einen Besucher auf der anderen Seite des Globus bietet? Auch hier können entsprechende Scanning Tools einmalige oder regelmässige Resultate liefern, die Grundlage für eine weitere Optimierung der Website und deren ggf. global verteilten Auslieferung darstellen können. Unnötig lange Ladezeiten auf Kundenseite können so festgestellt und adressiert werden.
Vorteile weit über die Website selber hinaus
Scanning-Tools bilden somit einen wichtigen Bestandteil der kontinuierlichen Kontrolle der Unternehmens-Websites. Wenngleich das Kernziel üblicherweise im Risikomanagement zu finden ist, unterstützen diese Qualitätskontrollen jedoch zahlreiche weitere Ziele eines Unternehmens. So zum Beispiel:
- Aktives Reputations-Management: Es muss nicht gleich ein großer, durch die Medien weit verbreiteter Skandal sein, auch kleine Vorfälle führen zur Beschädigung der Unternehmensreputation. Werden solche „Incidents“ jedoch bereits intern entdeckt bevor sie in der Öffentlichkeit sichtbar sind, können Reputationsverlust und Kosten minimal gehalten werden.
Zu welchen Schäden derartige Vorfälle führen können wird in zahlreichen Studien belegt. So zeigt bspw. die Studie des Ponemon Institutes “ 2009 Annual Study: Cost of a Data Breach “ (PDF, 6 MB) auf, zu welchen Kosten datenschutzrechtliche Versäumnisse führen können.
- Brand Management: Ohne eine zentrale Übersicht über die Kernauftritte eines Unternehmens lässt sich keine durchgängige Online-Markenführung realisieren. Diese dient als Grundlage, um sicherzustellen, dass die Websites den Eigenschaften der Marken auch tatsächlich gerecht werden. So ist zum Beispiel eine schlechte Usability für eine Marke die für Einfachheit steht in besonderem Maße abträglich. In gleicher Weise stellen unbefriedigende Antwortzeiten ein besonders gravierendes Problem für eine Marke dar, die bspw. für Dynamik und Zuverlässigkeit steht.
- Bessere interne Vernetzung: Ein positiver Nebeneffekt der Verwendung entsprechender Scanning Tools ist häufig im organisatorischen Bereich zu beobachten. Ist erstmal ein Überblick über alle bestehende Sites und die verantwortlichen Ansprechpartner geschaffen, entstehen häufig auf Basis der neuen gemeinsamen Ziele auch eine Verbesserung der Zusammenarbeit und engere Einbindung aller involvierten Parteien. Dieses gemeinsame Ziehen an einem Strang ermöglicht auch im Ernstfall eine deutliche Reduktion der Reaktionszeiten.
Zusammenfassung
Der Betrieb von Websites bringt zahlreiche Risiken für ein Unternehmen mit sich, die mittels einer umfassenden und pragmatischen Web-Governance adressiert werden. Ein rein manueller Überblick über große Website-Landschaften ist praktisch nicht leistbar.
Hier kommen Online-Monitoring Systeme ins Spiel. Sie dienen der Risikominimierung und Schwachstellenidentifikation. Aufgabe ist unter anderem Fehlerquellen zu erkennen und zu beseitigen bevor sie für die Öffentlichkeit sichtbar werden.
Der zielorientierte Einsatz entsprechender Scanning Tools stellt somit insbesondere für große Unternehmen einen wichtigen Bestandteil der Web-Governance dar. Vor dem Hintergrund der möglichen Kosten im Schadensfall und der zu erwartenden Effekte (z.B. Reputationsverlust) ist auch im Hinblick auf die Evaluation des Kosten-Nutzen Verhältnisses eines entsprechenden Governance-Projekts in der Regel ein sehr positives Ergebnis zu erwarten.
Co-Autor: Andreas Frey
Andreas Frey ist seit mehr als 15 Jahren im digitalen Business als Consultant und Projektleiter in der Schweiz und der Bundesrepublik aktiv. Seine Kernthemen sind ECMS Beratung und Implementierungssteuerung für Internet, Extranet und Intranet. Er hat einen MBA in Media Management.
Bildquellen
- pexels-serpstat-177219-572056 (1): Pexels
No Comment