Wenn auch die vorliegende Masterarbeit relevante Erkenntnisse in Bezug auf die Forschungsfragen und Hypothesen liefern konnte, wurden auch zugleich weiterführende Ansatzpunkte für weitere Forschungsfelder aufgezeigt. Wie auch schon zuvor in der kritischen Reflexion angeführt, wurde das Modell als ein ideales Gesamtprozessmodell ohne Rücksichtnahme auf die Konzerngröße und Konzerne mit komplexen Strukturen sowie länderübergreifenden Tätigkeitsfeldern modelliert. Deswegen werden aus Sicht des Autors folgende Ansätze im Sinne eines erweiternden Forschungsauftrags bzw.
Forschungsfeldes empfohlen:
Welche strukturellen Anforderungen würden sich im Sinne einer funktionierenden Aufbauorganisation in Anlehnung an das vorgestellte Gesamtprozessmodell ergeben? Wie könnten diese Anforderungen in Abhängigkeit der Organisationsgröße und -strukturen mit Verantwortlichkeits- und Kompetenzenregelungen in einer Organisation etabliert werden?
Welche Maßnahmen, neben der strukturellen Anforderung, müssten in der Aufbau- und Ablauforganisation ergriffen bzw.
konzipiert werden, um einen funktionierenden Informations- und Kommunikationsaustausch in allen Organisationseben voranzutreiben?
Welche weiteren Teilprozessmodelle bzw. Sicherheitsdisziplinen, wie Anti-Fraud-Management, Datensicherheit, Wirtschafts- und Industriespionage usw., sollten in ein Gesamtprozessmodell einfließen und welche Synergien würden sich dabei ergeben?
Diese vorgestellten Überlegungen sollten in Betracht gezogen werden, um das sensible Themengebiet des Corporate Security Managements nachhaltig voranzutreiben.
Bibliografie
Alexander, M. (2006). Netzwerke und Netzwerksicherheit - Das Lehrbuch.
Niederlande: Verlagsgruppe Süddeutscher Verlag Hüthig Fachinformationen GmbH,.
Amann, K., & Petzold, J. (2014). Operatives Management. In Management und Controlling. Wiesbaden: Springer Fachmedien.
Atteslander, P. (2010). Methoden der empirischen Sozialforschung. Berlin:
Erich Schmidt Verlag.
Austrian Standards Institute - Österreichisches Normungsinstitut. (01. 01 2014). ONR 49000. Risikomanagement für Organisationen und Systeme - Begriffe und Grundlagen. Wien, Österreich: Austrian Standards plus GmbH.
Becker, J., Kugeler, M., & Rosemann, M. (2012). Prozessmanagement. Berlin:
Springer.
Becker, J., Probandt, W., & Vering, O. (2012). Grundsätze ordnungsmäßiger Modellierung - Konzeption und Praxisbeispiel für ein effizientes
Prozessmanagement. Heidelberg: Springer Gabler.
Bédé, A. (2009). Notfall- und Krisenmanagement im Unternehmen. Stuttgart : Steinbeis-Edition.
Bergauer, A. (2003). Führen aus der Unternehmenskrise - Leitfaden zur erfolgreichen Sanierung. Berlin: Erich Schmidt Verlag GmbH & Co.
Bleicher, K. (2011). Das Konzept Integriertes Management: Visionen - Missionen – Programme/. Frankfurt am Main: Campus Verlag GmbH.
Bogner, A., Litting, B., & Menz, W. (2014). Interviews mit Experten.
Wiesbaden: VS Verlag für Sozialwissenschaften.
Bundeskanzleramt Österreich. (o.J.). www.bka.gv.at. Abgerufen am 11. 11 2016 von https://www.bka.gv.at/site/5808/default.aspx
Eckert, C. (2005). IT-Sicherheit. München: Oldenbourg Wissenschaftsverlag GmbH.
Feldbrügge, R., & Brecht-Hadrashek, B. (2008). Prozessmanagement leicht gemacht- Geschäftsprozesse analysieren und gestalten. München:
FinanzBuch Verlag GmbH.
Feldbrügge, R., & Brecht-Hadrashek, B. (2008). Prozessmanagement leicht gemacht- Geschäftsprozesse analysieren und gestalten. München:
Redline Wirtschaft, FinanzBuch Verlag GmbH,.
Fischermanns, G. (2006). Praxishandbuch Prozessmanagement: Grundlagen der Prozessorganisation. Gießen: Verlag Dr. Götz Schmidt.
Funk, B., Gómez, J. M., Niemeyer, P., & Teuteberg, F. (2010).
Geschäftsprozessintegration mit SAP. Berlin: Springer.
Gareis, R., & Stummer, M. (2006). Prozesse & Projekte. Wien: Manz.
Gericke, A., Bayer, F., Kühn, H., Rausch, T., & Strobel, R. (2013).
Prozessmanagement für Experten: Impulse für aktuelle und wiederkehrende Themen. Berlin: Springer Gaber.
Gläser, J., & Laudel, G. (2010). Experteninterviews und qualitative Inhaltsanalyse. Netherland: VS Verlag für
Sozialwissenschaften/Springer Fachmedien Wiesbaden GmbH 2010.
Gundel, S., & Mülli, L. (2009). Unternehmenssicherheit. Oldenbourg:
Oldenbourg Wissenschaftsverlag GmbH.
Hässing, K. (2000). Prozessmanagement: erfolgreich durch effiziente Strukturen. Zürich: Versus.
Hirzel, M., & Kühn, F. (2005). Wertschöpfungsketten planen, optimieren und erfolgreich steuern. Wiesbaden: Springer Gaber.
Hungenberg, H. (2014). Strategisches Management in Unternehmen: Ziele-Prozesse-Verfahren. Nürnberg: Springer.
ISO 27001. (01. 03 2008). ÖNORM ISO/IEC 27001 Informationstechnologie – Sicherheitstechnik.
Kalwait, R., Meyer, R., Romeike, F., Schellenberger, O., & Erben, R. (2008).
Risikomanagement in der Unternehmensführung. Weinheim: WILEY-VCH Verlag GmbH & KGaA.
Karden, W., & Alexander, F. (2011). Praxishandbuch Unternehmenssicherheit Sicherheit im Mittelstand. Norderstedt: Books on Demand.
Knuppertz, T. (2009). Prozessmanagement für Dummies. Weinheim: WILEY-VCH Verlag GmbH & Co. KGaA.
Kob, T. (2016). Vorstellungen Arbeiten.
Koch, S. (2011). Einführung in das Management von Geschäftsprozessen.
Berlin: Springer.
Kotter, J. (2011). Leading Change. München: Vahlen.
Kruse, W. (2009). Prozessoptimierung am Beispiel der Einführung eines neuen selbstverantwortlichen Arbeitsplanungsmodells im Hanse-Klinikum Wismar. Bremen: Europäischer Hochschulverlag GmbH&Co.
KG.
Leidel, S. (2014). Handbuch Reisesicherheit: Sicher auf Reisen - geschäftlich
& privat. Satz: BoD - Books on Demand.
Mayring, P. (2015). Qualitative Inhaltsanalyse. Grundlagen und Techniken.
Weinheim: Beltz Verlag.
Moldenhauer, R. (2004). Krisenbewältigung in der New Economy. Wiesbaden:
Deutscher Universitäts-Verlag/GWV Fachverlage GmbH.
Müller, K. R. (2005). Handbuch Unternehmenssicherheit. Wiesbaden: Vieweg
& Sohn Verlag.
Orantek, H. (2014). Management und Business-Strategien: Strategiebildung im St. Gallener Managementkonzept. Hamburg: Diplomica Verlag GsmbH.
Österreichisches Normungsinstitut. (01. 01 2015). ÖNORM EN ISO 22301.
Sicherheit und Schutz des Gemeinwesens-Business Continuity
Management System-Anforderungen. Wien, Wien, Österreich: Austrian Standards Institute/Österreichisches Normungsinstitut.
Österreichisches Normungsinstitut. (01. 01 2017). ÖNORM S 2412 Security Management System - ENTWURF. Grundlagen und Prozesse. Wien, Wien, Österreich: Austrian Standards plus GmbH.
Porter, M. (2014 ). Wettbewerbsvorteile: Spitzenleistungen erreichen und behaupten. Frankfurt am Main: Campus Verlag GmbH.
Schmelzer, H., & Sesselmann, W. (2008). Geschäftsprozessmanagement in der Praxis- Kunden zufrieden stellen Produktivität steigern Wert erhöhen. München: Carl Hanser Verlag.
Schmelzer, H., & Sesselmann, W. (2013). Geschäftsprozessmanagement in der Praxis: Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen. München: Carl Hanser Verlag GmbH & Co. KG.
Schmelzer, H., & Wolfgang , S. (2010). Geschäftsprozessmanagement in der Praxis: Kunden zufriedenstellen - Produktivität steigern - Wert erhöhen.
München: Hanser.
Senden, M., & Dworschak, J. (2012). Erfolg mit Prozessmanagement- Nicht warten, bis die "Gurus" kommen. Freiburg: Haufe}Lexware GmbH &
Co. KG.
Staehle, W., Conrad, P., & Sydow, J. (2014). Management: Eine verhaltenswissenschaftliche Perspektive. München: Vahlen.
Steinle, C. (2005). Ganzheitliches Management: Eine mehrdimensionale Sichtweise integrierter Unternehmensführung. Wiesbaden: Gabler.
Stober, R., Olschok, H., Gundel, S., & Buhl, M. (2012). Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit. Stuttgart: Richard Boorberg Verlag.
Stöger, R. (2005). Geschäftsprozesse erarbeiten - gestalten - nutzen Qualität, Produktivität, Konkurrenzfähigkeit. Schäffer-Poeschel.
Talbot, J., & Jakeman, M. (2009). Security Risk Management. Body of Knowledge. Hoboken: John Wiley & Sons, Inc., Publication.
Online-Quellen
Aris Community. (2017). http://www.ariscommunity.com. Abgerufen am 20. 09 2017 von http://www.ariscommunity.com/aris-express/poster
Bundesamt für Verfassungsschutz. (08 2016).
https://www.wirtschaftsschutz.info/DE/Home/home_node.html. (B. f.
Verfassungsschutz, Hrsg.) Abgerufen am 09. 02 2017 von
https://www.wirtschaftsschutz.info/DE/Aktuelles/Wirtschaftsgrundschutz /glossar/Glossar.pdf?__blob=publicationFile&v=3
Bundesamt für Verfassungsschutz. (01. 08 2016).
https://www.wirtschaftsschutz.info/DE/Home/home_node.html. (B. f.
Verfassungsschutz, Hrsg.) Abgerufen am 08. 02 2017 von
https://www.wirtschaftsschutz.info/DE/Aktuelles/Wirtschaftsgrundschutz /Standards/Sicherheitsmanagementsys.pdf?__blob=publicationFile&v=
4
Bundeskanzleramt Österreich. (o.J.). www.bka.gv.at. Abgerufen am 11. 11 2016 von https://www.bka.gv.at/site/5808/default.aspx
b-wise GmbH. (2016). http://www.business-wissen.de. Abgerufen am 05. 02 2017 von http://www.business-wissen.de/kapitel/prozessmanagement/
BWL-Wissen.net. (2016). www.bwl-wissen.net. Abgerufen am 07. 10 2016 von http://www.bwl-wissen.net/definition/management-by-system
EUR-Lex. (21. 03 2014). Amtsblatt der Europäischen Union - VERORDNUNG (EU) Nr. 316/2014 DER KOMMISSION. Abgerufen am 20. 09 2017 von
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0316&from=DE
Fraunhofer-Verbund. (2014). www.sit.fraunhofer.de. Abgerufen am 20. 09 2016 von
https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technic al_reports/Cyber_Security_2020.pdf
Gabler Wirtschaftslexikon. (o.J.). http://wirtschaftslexikon.gabler.de/.
Abgerufen am 10. 11 2016 von
http://wirtschaftslexikon.gabler.de/Definition/architektur-integrierter-informationssysteme.html
iJET International. (2006). www.ijet.com/. Abgerufen am 11. 11 2016 von https://www.ijet.com/sites/default/files/wp-0001-07-trm.pdf
INS Innovation mit Normen und Standard. (25. 03 2013). Status quo des Know-how-Schutzes im Maschinen- und Anlagenbau. Abgerufen am 12. 11 2016 von www.vdma.org:
http://www.vdma.org/documents/105969/779856/Studie%20INS%20Kn ow-how-Schutz/dd15e8a8-8e0a-49ac-8005-f949d50bf53a
Österreichisches Patentamt. (09. 01 2017). www.patentamt.at/. Abgerufen am 21. 09 2017 von
https://www.patentamt.at/de/quicklinks/wiki-faqs/wiki/marke/
PwC. (2017). http://www.pwc.de. Abgerufen am 31. 03 2017 von
http://www.pwc.de/de/compliance/vielen-deutschen-unternehmen-fehlt-eine-funktionierende-datenschutzkultur.html
Schönberger, M., Kleinert, T., & Dumont, T. (08 2015). www.hwk-bremen.de.
Abgerufen am 21. 09 2017 von
http://www.hwk-bremen.de/_Resources/Persistent/313bed13a4b7c418e2367622ecb36 702b0150178/Brosch%C3%BCre_Gesch%C3%A4ftsprozesse%20richt ig%20dokumentieren_.pdf
Software AG. (2017). www.softwareag.com. Abgerufen am 21. 09 2017 von http://www.softwareag.com/de/products/new_releases/aris9/overview/d efault.asp
Abbildungsverzeichnis
ABBILDUNG 1: VEREINFACHTE PROZESSDARSTELLUNG ... 36 ABBILDUNG 2: MODELL DES MANAGEMENTS ... 40 ABBILDUNG 3: SIEBEN FAKTOREN DES PROZESSMANAGEMENTS ... 43 ABBILDUNG 4: ZIELSETZUNG DES PROZESSMANAGEMENTS ... 46 ABBILDUNG 5: PROZESSHIERARCHIE ... 48 ABBILDUNG 6: ANALYTISCHES VORGEHEN ... 50 ABBILDUNG 7: ABLAUFPHASEN DES PROZESSMANAGEMENTS ... 50 ABBILDUNG 8: KERNZIELE VON GESCHÄFTSPROZESSEN ... 54 ABBILDUNG 9: IMPLEMENTIERUNG ... 56 ABBILDUNG 10: BEISPIEL FÜR DIE ERARBEITUNG EINES SOLLPROZESSES ... 60 ABBILDUNG 11: BEISPIEL FÜR PROZESSMODELLIERUNG ... 63 ABBILDUNG 12: SICHERHEITSBEREICHE ... 67 ABBILDUNG 13: GEGENSTAND DER UNTERNEHMENSSICHERHEIT ... 69 ABBILDUNG 14: DAS SECURITY-RISK-MANAGEMENT-RESILIENZ-MODELL ... 72 ABBILDUNG 15: PDCA-ZYKLUS SICHERHEITSMANAGEMENT ... 73 ABBILDUNG 16: EINRICHTUNG UND VERWALTUNG (SICHERHEITSMAßNAHMEN
FESTLEGEN) ... 74 ABBILDUNG 17: SICHERHEITSMAßNAHMEN UMSETZEN (UMSETZUNG UND BETRIEB)
... 74 ABBILDUNG 18: SICHERHEITSMAßNAHMEN UND DEREN UMSETZUNG ÜBERPRÜFEN
(ÜBERWACHUNG) ... 75 ABBILDUNG 19: PROZESSE IM SINNE DES PDCA-ZYKLUS ... 80 ABBILDUNG 20: SYSTEMGRUNDLAGEN DEFINIEREN ... 83 ABBILDUNG 21: RISIKEN IDENTIFIZIEREN UND ANALYSIEREN/BEHANDLUNG
KONZIPIEREN ... 84 ABBILDUNG 22: BEHANDLUNGSPLAN ERSTELLEN ... 85 ABBILDUNG 23: MAßNAHMEN UMSETZEN ... 86 ABBILDUNG 24: PERSONAL SCHULEN ... 87 ABBILDUNG 25: INCIDENTS MANAGEN ... 88 ABBILDUNG 26: SICHERHEITSMAßNAHMEN ÜBERWACHEN ... 89 ABBILDUNG 27: SICHERHEITSDEFIZITE ANPASSEN, AKTUALISIEREN UND UMSETZEN
... 90 ABBILDUNG 28: PHASEN DES FORSCHUNGSABLAUFS ... 96 ABBILDUNG 29: KLASSIFIZIERUNG VON INTERVIEWS NACH IHRER
STANDARDISIERUNG ... 98 ABBILDUNG 30: ABLAUF DER REDUKTION IN DER ZUSAMMENFASSENDEN
INHALTSANALYSE ... 100 ABBILDUNG 31: ABLAUF DER QUALITATIVEN INHALTSANALYSE ... 103 ABBILDUNG 32: DIFFERENZIERUNG VON BEGRIFFLICHKEITEN ... 104
Tabellenverzeichnis
TABELLE 1: FORSCHUNGSLEITENDE FRAGEN ... 24 TABELLE 2: GENDERASPEKTE ... 27 TABELLE 3: VORAUSSETZUNGEN FÜR DAS PROZESSMANAGEMENT ... 43 TABELLE 4: FORSCHUNGSLEITENDE FRAGEN ... 93 TABELLE 5: INTERVIEWLEITFADEN ... 133 TABELLE 6: AUSWERTEKATEGORIEN... 135 TABELLE 7: AUSWERTEKATEGORIE – GRUNDSÄTZE DER PROZESSMODELLIERUNG
... 139 TABELLE 8: AUSWERTEKATEGORIE – PDCA-ZYKLUS ... 147 TABELLE 9: AUSWERTEKATEGORIE – GESAMTPROZESSMODELLIERUNG... 154 TABELLE 10: AUSWERTEKATEGORIE – EFFEKTIVITÄT UND EFFIZIENZ ... 176 TABELLE 11: ZWEITE REDUKTION UND INTERPRETATION ... 178 TABELLE 12: LEGENDE GEMÄß ARIS-KONZEPT ... 189
Anhang A
Tabelle 5: Interviewleitfaden Nr.: Fragen zum Expertinnen- und Experteninterview
Allgemeines 1
Welche Grundsätze, Strategien und Prinzipien sollten verfolgt werden, um ein Gesamtprozessmodell im des Sinne Corporate Security Management gestalten zu können?
1a Wie würden Sie die Einhaltung dieser Grundprinzipien und Strategie im vorliegenden Prozessmodell beurteilen?
Strategie 2
Welche grundsätzlichen Aspekte bzw. Managementsysteme würden Sie bevorzugen bzw. berücksichtigen, sodass ein Gesamtprozessmodell die erwünschten Resultate erbringt?
2a Was sind Ihre Eindrücke, da das Gesamtprozessmodell den Ansatz des Deming-Kreislaufes (PDCA) verfolgt?
Beurteilung des ausgearbeiteten Gesamtprozessmodells
3 Was sind Ihre ersten Ansichten über das vorgestellte Gesamtprozessmodell?
3a Wie beurteilen Sie die einzelnen Schritte im Prozessmodell im Hinblick auf Kontext, Steuerung, Führung, Umsetzung, Kontrolle, Überwachung usw.?
3b
Welche grundlegenden Aspekte wurden im Gesamtprozessmodell Ihrer Ansicht nach zur praktischen Umsetzbarkeit und zur Sicherstellung eines durchdachten sowie planmäßigen Sicherheitsprozesses bzw. der Sicherheitsaspekte berücksichtigt?
3c Welche grundlegenden Aspekte sollten zusätzlich in das Gesamtprozessmodell einfließen?
3d Welche Schnittstellen würden Sie als „Problematik“ in der Aufbau- und Ablauforganisation hierbei ansehen?
3e Welche Schritte würden Sie noch vorsehen bzw. weglassen?
3f Wie beurteilen Sie die einzelnen Schritte im Prozessmodell im Hinblick auf Effizienz, Effektivität und Konformität?
Abschließende Frage
4 Ich würde Sie bitten, abschließende Anmerkungen aus Ihrer beruflichen Erfahrungen weiterzugeben, welche eventuell in meiner Arbeit nicht berücksichtigt worden sind.
Quelle: Eigene Darstellung
Anhang B
Tabelle 6: Auswertekategorien
Auswertekategorie/ Variable: Grundsätze zur Prozessmodellierung
Definition Dimension Indikatoren
Sinnvoller Aufbau, zur innerbetrieblichen
praktischen
Umsetzbarkeit und zur Gewährleistung der Effektivität und Effizienz eines durchdachten sowie
Gestaltung, Lenkung und Entwicklung der Systeme, Mittel und Maßnahmen zur Überprüfung der Strukturen, Abläufe und Prozesse im Unternehmen durch Sicherheitsmanagementsystem (Ansätze der Prozessmodellierung im Sinne von Nachvollziehbarkeit, Transparenz, geregelten Strukturen, Aufbau und Ablauforganisation)
Definition und Etablierung von geeignetem Prozessmodell und Methodik sowie deren Integrität und Konformität unter Berücksichtigung welche im Einklang mit Unternehmenskultur und -werten stehen Gewährleistung transparenter Informations- und Kommunikationswege, Ereignisbehandlung, Risikobehandlung usw.
Prozessdarstellung mit
Verantwortlichkeiten und
Verantwortungsregelung Auswertekategorie/ Variable: Deming-Kreislauf (PDCA-Zyklus)
Definition Dimension Indikatoren
Für eine funktionierende Sicherheitsorganisation ist
Basis für Qualitätsanforderungen für
den kontinuierliche
Innovationtreiber durch kontinuierliche Verbesserung
Fokussierung und Zielorientierung
Prozessverbesserung
Monitoring und Etablierung der definierten Kennzahlen und Indikatoren
Verwaltungsaufwand wird geringer durch Routinedaten
Prinzip der lernenden Organisation
Top-down- und Bottom-up-Ansatz
Zielsetzungs- und
Abweichungsanalyse mit
entsprechenden Maßnahmen Auswertekategorie/ Variable: Gesamtprozessmodellierung
Definition Dimension Indikatoren
Eine gesamtheitliche
Gestaltung und Definition von Prozessen, der
Sicherheitsprozessmodells im Sinne
eines durchdachten
Prozessmanagements sind gegeben.
Die Grundsätze der
Prozessmodellierung in Bezug auf Integrität, Konformität und Verbindlichkeit sind auf allen Ebenen gegeben bzw. werden eingehalten.
Ständige Verbesserung auf Basis objektiver Messungen und Ergebnisse
können auf Basis der
Prozessmodellierung effektiver vorangetrieben und wenn notwendig Ad-hoc-Maßnahmen im Sinne der Steuerung in Wege geleitet werden.
Sicherheitsaspekte, um Gefährdungen zu identifizieren bzw. bewerten zu können und aus denen die verbundenen Gefährdungen sowie Sicherheitsrisiken bestimmt werden können, sind im Modell berücksichtigt.
Grundlegende Aspekte wie Festlegung der erforderlichen Prozesse, Dokumentation, Verantwortung, die
Informations- und
Kommunikationswege mit jeweiligen Schnittstellen (Input/Output) sowie
übergreifende Aspekte wie Audits sind berücksichtigt.
Auswertekategorie/ Variable: Effektivität und Effizienz
Definition Dimension Indikatoren
Durch gezielte
Maßnahmensetzungen bzw. Anpassungen der Prozessabläufe wird die Effektivität sowie Effizienz der Geschäftsprozesse
Spezialisierungen einzelner Personen durch Schulungsmaßnahmen sind gegeben, um die ständige Verbesserung voranzutreiben.
Durch Sensibilisierung der Belegschaft wird gewährleistet, dass Personen auf etwaige Risiken und Gefahren fokussiert sind und die Wahrnehmung bei kritischen Situationen verstärkt wird.
Dadurch kann der Anzahl der Vorfälle und das resultierende Ausmaß bei
Schadensereignissen durch
Schwachstellen in der Organisation reduziert werden.
Organisatorische Merkmale
Durch Kompetenzabgrenzung wird eine einheitliche Betrachtung in Sicherheitsorganisation gewährleistet, sodass durch Bestimmung von Risikoeignerinnen und Risikoeignern etwaige Vorfälle reduziert und besser gelenkt werden können.
Eine einheitliche Dokumentation von Ereignissen reduziert die Reaktionszeit, sodass der Belegschaft die Dokumentation an jedem Standort zur Verfügung steht.
Eine hierarchische Einteilung der Sicherheitsorganisation ermöglicht Kostenreduktion und Koordination in jeder Ebene.
Dadurch können Störeinflüsse proaktiv reduziert, eliminiert bzw. abgewälzt und wirtschaftlich agiert und Schwachstellen besser gelenkt werden.
Quelle: Eigene Darstellung
Anhang C
Tabelle 7: Auswertekategorie – Grundsätze der Prozessmodellierung Dimension: Architektur und Gestaltung
Auszug Interview Reduktion Nummer
Experte 1 Es kommt so ein bisschen darauf an, was Sie mit einem solchen Prozessmodell erreichen wollen, ich würde bei der, für mich sind an einigen Stellen, ist auch die Frage weniger, können Sie das Prinzip als erfüllt betrachten, sondern eher die Frage: Okay, funktioniert das eigentlich am Ende in der Praxis? (Zeile 62–65)
Eine Prozessgestaltung
sollte praxistauglich sein. E1.D1.R1
Experte 2 Die Gesamtprozessmodelle sind grundsätzlich einmal diejenigen, die zu erarbeiten sind. […] Das heißt, der Grundsatz müsste grundsätzlich sein, dass ich sage, ich mache eine Corporate-Security-Modell oder führe so etwas in die Organisation ein, und ich muss es einfach als Gesamtes sehen.
Das ist einmal der Grundsatz. (Zeile 7–15)
Bei der Gestaltung eines
[…] du richtest deine Corporate-Security-Organisation als gesamtbetrachtete Organisation einmal aus. Von den bestehenden Standards, die sozusagen herangezogen werden sollten, sage ich jetzt einmal, ist es gescheit, beim Qualitätsmanagement anzufangen, […] was dann auch ganz gut mit dem Risikomanagement zusammenpasst. (Zeile 18–23)
Qualitätsmanagement und Risikomanagement sind die
Grundlagen für
Prozessmodellierung.
E2.D1.R3
Experte 3 Also mein Vorschlag dazu wäre, sich der im Moment üblichen Vorgehensweise zu bedienen, die im Prinzip alle Managementnormen als Grundlage nutzt.
Das ist der Annex SL, wo die
Grundvorgehensweisen für
Managementsysteme definiert sind. (Zeile 7–
10)
Bezüglich der Architektur sehe ich es so, dass es durchgängig sein muss, sprich, das Managementsystem muss die Fähigkeit haben, ein System, sprich ein Unternehmen – wir reden ja von Corporate Security Management – zu steuern, also einerseits aufzusetzen, auf der anderen Seite zu steuern, und dann aber auch korrigierend einzugreifen, um einfach die Komplexität zu beherrschen. (Zeile 19–24)
Im Sinne der
Durchgängigkeit muss ein Managementsystem die Fähigkeit haben, ein System zu steuern und zu kontrollieren, um die Komplexität beherrschen zu können.
E4.D1.R5
Einerseits sind die Grundsätze der ordnungsmäßigen Modellierung und andererseits, man muss ein nachvollziehbares Prinzip im Bereich des Security-Managements anwenden, sprich, man verwendet […] Detect-Delay-Respond-Recover […], aber das müsste auch in einer gewissen Art und Weise einheitlich sein, weil ansonsten die Maßnahmendefinition hinten nach so weit auseinanderläuft und quasi eigentlich nicht mehr miteinander vergleichbar ist. (Zeile 9–19)
Um etwaige Maßnahmen gemäß Detect-Delay-Respond-Recover
bestimmen und vergleichen zu können, ist die […] Prinzipien des absoluten Top-down-Ansatzes. Das heißt, was ich meine, Funktionen, Rollen muss es geben. Die muss es im Unternehmen geben, damit ich hier gesamtheitlich ein Prozessmodell erarbeiten kann. Das heißt, wir reden von Funktionen, von Rollen, Organisationsstrukturen, je nachdem, in welcher Größe und Dimension sich das ableiten lässt oder gestalten lässt.
(Zeile 14–18)
Bei der Gestaltung eines Gesamtprozessmodells sind neben dem Top-down-Ansatz die Funktionen,
Rollen und
Organisationsstrukturen sowie die gesamtheitliche
Betrachtung der
Organisation wichtig.
E5.D1.R7
Experte 6 […] Was will ich überhaupt machen? Dazu natürlich Struktur und Prozesse, Ablauf und Aufbauorganisation. Im Prinzip: Wer macht was wie? Das muss nun mal festgelegt sein.
Und darüber, […] wird das Ganze in großen Achten das Corporate Security Management in unternehmensweiten Risikomanagement, also Enterprise Risk Management, integriert ist. Das ist heute also sehr wichtig im Grundsatz, weil sonst verschiedene Linien parallel gefahren werden. […] Und es gehört einfach irgendein zyklisches Programm her […]. (Zeile 8–24)
Im Sinne Enterprise Risk Management ist eine gesamtheitliche und unternehmensweite
Betrachtung notwendig, um die Durchgängigkeit der Prozesse zu gewährleisten sowie Doppelgleisigkeiten zu vermeiden. Des Weiteren ist es wichtig, dass das
Grundsätzlich sollte der Fokus immer möglichst breit sein. Das heißt, dass ich möglichst alle Themen abdecke, die ein Unternehmen betreffen. Dass ich mich nicht auf Insellösungen fokussiere, sondern den gesamten Kreislauf eines Unternehmens eigentlich betrachte. (Zeile 8–12)
Bei der Gestaltung eines Rahmenbedingungen festzulegen. Das heißt, was ist quasi die Umgebung, was will ich betrachten? […] meiner Meinung nach, ist ein guter Grundsatz, eine gute Grundstruktur die
ONR 49.000. Diesen
Risikomanagementprozess kann man gut anwenden, auch auf solche Themen, gerade was Gefährdungsanalysen betrifft. (Zeile 33–
41)
Die Gestaltung eines Gesamtprozessmodells Wenn man die verschiedensten Domänen jetzt unter verschiedensten Normen und Standards nebeneinanderlegt, und die jetzt individuell betrachtet, wird man daraufkommen, dass nicht eine Gesamtmenge, aber eine sehr große Menge einen überlappenden Bereich hat und […]
erstens der einfachen Erhebung der besseren […] Durchlaufzeiten in dem Bereich, und damit auch, […] vielleicht einer kostengünstigeren Betrachtung ein wichtiger Faktor ist, und in zweiter Sicht, […] das Thema Internet der Dinge, digitale Prozesse, wird immer wichtiger, egal, wo wir hinschauen […].
Daher denke ich, alle die Themen, die wir kennen, ob das jetzt ISO 31.000 ist oder die andere […] Standards […], also wir sehen hier in Wirklichkeit, das Thema kann ich von verschiedenen Betrachtungen […] einfach hernehmen. Also letztendlich fokussieren wir hier auf eine gemeinsame Sichtweise. Ob ich dann die Norm X, Y oder Z verwende, das hängt erstens von vielleicht gesetzlichen Auflagen ab, wo ich im Prinzip mich zertifizieren lassen muss, dann natürlich auch ob ich international oder national oder europäisch tätig bin etc. Also letztendlich denke ich ganz einfach: Das Topmanagement wird sich dieser Thematik stellen […]. (Zeile 16–55)
Bei der Gestaltung eines Gesamtprozessmodells sind neben dem Top-down-Ansatz die Funktionen,
Rollen und
Organisationsstrukturen sowie die gesamtheitliche
Betrachtung der
Organisation gemäß den geltenden
Rahmenbedingungen und Regelwerke wichtig.
E8.D1.R11
Dimension: Schnittstellen bei der Prozessmodellierung Experte 1
[…] für die Sicherheitsabteilung, brauche ich klar definierte Schnittstellen, klar definierte Rollen. Das gilt, wenn ich in die drei Themenfelder gehe: People, Assets und Operations. Da muss ich mir überlegen, an welchen Stellen ich, mit welchen Maßnahmen innerhalb dieser drei Bereiche ich das Unternehmen in seiner Gesamtheit schütze und in meinen Augen sollte sich das in den Prozessen und in den Strukturen abbilden.
(Zeile 114–119)
Eine Sicherheitsabteilung in ihrer Gesamtheit benötigt klare Strategien im Sinne von People, Assets und Operations.
E1.D2.R12
[…] die Frage ist: Wie passt mein Beitrag in
diesen Zusammenhang? (Zeile 121–122) Zusammenhänge sind zu
berücksichtigen. E1.D2.R13 […] wenn Sie aber beispielsweise der
Eigentümer der Ermittlungskompetenz sind und das Unternehmen erwartet, dass Sie die Fallaufklärung machen, dann ist die Frage:
Wer beauftragt Sie und an wen berichten Sie? Also da haben Sie die Fragedefinition der Schnittstellen nach Rollenverständnis.
(Zeile 131–135)
Schnittstellenregelung und Verantwortung im Sinne der Aufrechthaltung eines Und es muss auch klar herauskommen, dass diese Organisation dann auch lebbar ist, wesentlich ganz wichtig. Und meiner Ansicht
Schnittstellenregelung und Verantwortung im Sinne der Aufrechthaltung eines Und es muss auch klar herauskommen, dass diese Organisation dann auch lebbar ist, wesentlich ganz wichtig. Und meiner Ansicht