Auftrag nach außerhalb
Von Sabine Philipp
IT-Spezialisten sind teuer. Viele Unternehmen brauchen sie nicht fest, sondern für ein Projekt, eine Lösung, eine Anpassung. Externe Mitarbeiter einzubinden birgt jedoch seine Tücken. Das MittelstandsWiki hat einen professionellen Vermittler und zwei IT-Unternehmer befragt, die aus Erfahrung sprechen.
Wer freiberufliche Programmierer einstellt, steht nicht nur vor der technischen Frage, wie die verschiedenen Quellcodes schnell und unkompliziert an der richtigen Stelle eingearbeitet werden sollen. Ist z.B. der Server betroffen, muss man am Ende sogar aufpassen, dass sich die freien Profis kein Hintertürchen einbauen, das sie erst gegen ein Extrabakschisch wieder schließen. Und da Freiberufler kaum gebunden sind, muss der Auftraggeber eventuell von heute auf morgen für Ersatz sorgen. Und schließlich schwebt über dem Ganzen noch das Damoklesschwert der Scheinselbstständigkeit. Wie gehen Profis mit solchen Problemen um?
Sicherer Zugriff per VPN
Unabhängig davon, mit welchen Werkzeugen die externen Programmierer arbeiten, und ganz egal, ob sie fest angestellt oder freiberuflich für Sie arbeiten – eines gilt immer: Wer von außerhalb auf das Unternehmensnetzwerk zugreift, sollte dies stets über ein Virtual Private Network (VPN) tun. Es gibt heute eine ganze Reihe bewährter und sicherer Lösungen auf dem Markt; die Entscheidung hängt letztlich nur davon ab, wie viel Arbeit Sie sich machen und wie viel Sie ausgeben wollen.
Frank Müller war Leiter IT-Services bei der NIIT Technologies GmbH. Den Geschäftsbereich Security, Systems Management und Infrastruktur betreute er seit Gründung der AD Solutions AG von Anfang an und brachte ihn 2002 beim Zusammenschluss in die NIIT Group mit. Die Problematik externer Mitarbeiter kennt der CISM-zertifizierte Spezialist von beiden Seiten. Mittlerweile ist er Gesellschafter und Vorstand der Axos AG.
NIIT Technologies GmbH, Bockenheimer Landstraße 51–53, 60325 Frankfurt am Main, Tel.: 069-430533-0, www.niit-tech.com
„Wir benutzen dafür SSL-VPN von SonicWALL und bieten diese Lösung auch unseren Kunden an“, erklärt Fachmann Frank Müller, Leiter IT-Services der NIIT Technologies GmbH in Stuttgart. „Ein großer Vorteil dieser Lösung ist, dass sie sehr gut skalierbar ist. Ich stelle sie zentral im Unternehmen auf und habe dann die Möglichkeit, so ziemlich alle Remote-Anbindungsszenarien abzudecken. Wir setzen das Programm bei einem Hotel in Garmisch Partenkirchen, das nur einen Remote-Benutzer hat, ebenso ein, wie bei einer großen Landesbank mit mehreren hundert Zugriffen.“
Über einen installierten Client können die Nutzer entweder direkt auf das Netzwerk zugreifen oder sich über eine Web-Oberfläche einwählen, wie bei einer Portallösung. „Ebenso kann ich damit granular definieren, wer mit welchen Technologien zu welchen Abschnitten Zutritt erhält bzw. wie er sich authentifizieren muss, um überhaupt für die Umgebung Zutritt zu erhalten“, erklärt der Schwabe.
Das berücksichtigt auch die Maschine, mit der Externe auf das Netzwerk zugreifen: „So können Sie z.B. einstellen, welche Sicherheitsstandards der Freiberufler mitbringen muss, damit er sich überhaupt einloggen kann“, sagt Müller. „Damit können Sie z.B. vorgeben, dass er eine Firewall benutzt oder dass seine Antivirussoftware auf dem aktuellen Stand sein muss. Sollte der Mitarbeiter diese Bedingungen nicht erfüllen, z.B. weil er an einem unsicheren Rechner im Internet-Café sitzt, können Sie ihm den Zugang auf die Entwicklungsumgebung verweigern bzw. den Zugriff einschränken. Oder aber, Sie laden verschiedene Sicherheitsmechanismen wie einen virtuellen Rechner auf den unsicheren Computer. Das stellt sicher, dass keine Spuren zurückbleiben.“
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Zudem können Sie die Verwendung einer virtuellen Tastatur erzwingen, um vor möglichen installierten Keyloggern auf dem unsicheren Rechner sicher zu sein. (Ein Keylogger ist eine Software, die heimtückisch auf dem Rechner läuft und die Tastenklicks protokolliert.) Ohne die virtuelle Tastatur könnte ein Hacker auf einem Keylogger-präparierten Rechner ganz schnell die Benutzer- und Kennworteingaben abgreifen.
Virtuelle Server vorschieben
Auch wenn VPN eine zentrale Voraussetzung für die sichere Zusammenarbeit mit externen Mitarbeitern ist, so kann sie immer nur ein Teil der Lösung sein. Denn gerade wenn Programmierer von außerhalb auf den Server zugreifen, befällt so manchen Unternehmer ein ungutes Gefühl – vor allem, wenn sie die Computerprofis nicht so gut kennen. Rein theoretisch könnten sie ja so manches Schadprogramm installieren und später den ehemaligen Kunden ausspionieren oder gar erpressen.
Teil 1 setzt die technischen Bedingungen auseinander: sichere Datenanbindung und Entwicklungsumgebungen. Teil 2 widmet sich der geschäftlichen Seite und sagt, wie man die Leistungen am besten abrechnet, was im Vertrag stehen sollte und wo man auf die Schnelle die richtigen Programmierer findet.
Eine Lösung, die dieses Problem bei der Wurzel packt, besteht darin, für die Externen einen dedizierten Server aufzustellen, über den die gesamte Arbeit von außerhalb abgewickelt wird. Darauf läuft dann ausschließlich das, was die Entwickler brauchen, ohne irgendwelche sicherheitsrelevanten Funktionen. Tatsächlich ist dieses Vorgehen letztlich das einzig saubere Verfahren: die Entwicklungsumgebung vollständig von der Produktionsumgebung zu trennen.
Allerdings muss man für einen eigenständigen Server ab etwa 5000 Euro aufwärts veranschlagen. Wer so viel Geld nicht auf den Tisch legen kann oder will, könnte stattdessen auf Virtualisierung setzen. Eine bestehende Maschine hält dann für die Entwicklung einen eigenen, abgegrenzten Bereich parat. Der bekannteste Hersteller von Virtualisierungssoftware ist momentan VMware; daneben gibt es noch HyperV von Microsoft.
Entwicklung unter Kontrolle
Sehr viel Stress kann der Unternehmer vermeiden, der sich eine ordentliche Entwicklungsumgebung gönnt. Bei NIIT Technologies nutzt man hierfür CA Plex (vormals AllFusion Plex). Das Tool gibt es schon seit Jahrzehnten; bewährt hat sich speziell das Repository.
„Ein Repository ist so etwas wie eine zentrale Ablage“, erklärt Müller. „Dort können Programmierer für die einzelnen Entwicklungsumgebungen ein- und ausgecheckt werden. Für die anderen Mitarbeiter ist dieser Abschnitt dann geblockt. Damit verhindern Sie, dass zwei Leute am selben Abschnitt in unterschiedliche Richtungen entwickeln.
Im Regelfall geht das mit einer Versionierung einher. Sprich: wenn in der aktuellen Version in der Produktion beim Kunden ein Fehler auftritt, kann der Entwickler die Version im Entwicklungstool von der neuen auf die produktive Version umstellen, den Fehler in diesem Versionsstand beheben und die Korrektur dann in seine aktuelle Entwicklung ohne zusätzlichen Aufwand einfließen lassen.“
Im Normalfall werden auch die Berechtigungen zentral gepflegt, womit der Auftraggeber sicherstellt dass ein Programmierer nicht die ganze Software sieht, sondern nur den Teil, an dem er arbeiten soll.
Der gebürtige Schwabe Jürgen Lange ist in Informatik und Betriebswirtschaft gleichermaßen heimisch. Der Geschäftsführer der xdot GmbH und Vorstand der Muttergesellschaft Convotis AG bringt als Enterprise-Search-Experte bereits eigene Systemhauserfahrung mit. Das richtet er bewusst auf den deutschen Markt aus, wo er regelmäßig mit Regionalverbänden kooperiert.
xdot GmbH – a Convotis Company, Feldstiege 78, 48161 Münster, Tel.: 02533-2811808-100, info@convotis.com, www.convotis.com
Der nächste Fachmann, Jürgen Lange, ist Vorstand der Convotis AG und arbeitet mit etwa 120 freien Mitarbeitern. Bei externen Programmierern setzt er u.a. auf das Entwicklungssystem Mentis, ein Open-Source-Programm. „Mit Mentis können wir Entwicklungsaufgaben vergeben und wieder zurück in das System einspielen. Das Prozedere können Sie sich wie einen Regelkreis vorstellen: In Telefonkonferenzen und Meetings werden die freien Mitarbeiter gebrieft. Danach programmiert der Mitarbeiter seinen Quellcode und pflegt ihn in das System ein. In der nächsten Konferenz wird der Code getestet und freigegeben oder verworfen. Anschließend wird der Mitarbeiter neu gebrieft.“
Hilfreich sind auch Systeme, die das ganze Projekt managen. Eine bekannte Software ist z.B. Microsoft Project. Damit lässt sich nicht nur steuern, wann welche Module fertig werden müssen; auch die Dokumentation und die Auftragssteuerung lassen sich damit managen.
- Was über die Arbeitsabläufe hinaus bei der Leistungsabrechung zu beachten ist, wie man dem Verdacht auf Scheinselbstständigkeit von vornherein ausweicht und was verlässliche Vermittler von IT-Freiberuflern kennzeichnet, schildert Teil 2 dieser Serie.