Einzelrisiken

13f). Neben internen Mitarbeitern können auch Abhängigkeiten vom Wissen von Kunden, Lieferanten und Partnern bestehen. So werden beispielsweise Produkte gemeinsam mit Lieferanten entwickelt oder das Feedback von Testkunden gezielt bei der Entwicklung bzw. Verbesserung der Produkte ein-bezogen, während in Kooperationsbeziehungen vielfach eine wechselseitige Spezialisierung erfolgt, die ebenfalls Abhängigkeiten und somit potentielle Engpässe schafft (Staudt 1992, 17). Im Hinblick auf in Objekten inkorporiertes Wissen können Abhängigkeiten von in IT-Systemen vorgehaltenem dokumentierten Wissen bestehen, wobei den IT-Systemen eine zunehmende Bedeutung für die Ab-wicklung der Geschäftsprozesse zukommt (Junginger, Krcmar 2003, 16f; Hirschmann, Romeike 2004, 13; Wolff 2005, 15).

sowie inhaltlich korrekt sind. Ebenso ist bei der Erstellung darauf zu achten, dass auf subjektive Einstellungen verzichtet wird, da es so zu einer Verzerrung bzw. Fehlleitung kommen kann und dadurch die Bewertung durch andere unter Umständen erschwert wird (Strong et al. 1997, 40f).

Darüber hinaus sollten die Inhalte für Dritte verständlich und auch relevant sein. Dies betrifft pri-mär die Anpassung an die spezifischen Zielgruppen, die Adressaten darstellen. In Abhängigkeit ihrer Kenntnisse und Einbindung in die entsprechenden Prozesse sind weitere Kontextinformatio-nen erforderlich, deren Fehlen die Einordnung und somit Verständlichkeit der Inhalte erschwert (Strong et al. 1997, 41; Bovee et al. 2003, 56). Ein Wissensrisiko im Bereich der Weiterverarbei-tung ist auch darin zu sehen, dass bedingt durch das Kopieren, Bearbeiten und mehrfache Ablegen von Inhalten deren ursprüngliche Bedeutung verändert wird und die Veränderung nicht rekon-struierbar ist (Beier 2005, 46). Auf diese Weise kann die ursprüngliche Bedeutung verzerrt werden und eine fehlerhafte Interpretation der Inhalte zur Folge haben. Werden diese Qualitätskriterien (z.B. Klarheit, Vollständigkeit, Verständlichkeit) nicht erfüllt, kann die Anwendung der Inhalte durch andere Mitarbeiter erschwert werden (Eppler 2003a, 206f; Knight, Burn 2005, 162).

Insgesamt kann die Generierung fehlerhafter Inhalte und deren Weitergabe an in der Wertschöp-fungskette nachgelagerte Mitarbeiter oder Partner zu Schäden im Allgemeinen und Fehlentschei-dungen oder Zeitverzögerungen im Speziellen führen (Krcmar, Junginger 2003, 253).

Manipulation von Inhalten (QP4): Wissensrisiken im Hinblick auf eine eingeschränkte Qualität können sich daraus ergeben, dass Inhalte gezielt fehlerhaft erzeugt werden, so gesichert werden, dass sie für Dritte nicht auffindbar sind, deren Verbreitung unterdrückt wird oder bestehende In-halte verändert werden. Eine derartige Manipulation kann zum Ziel haben, eine potentiell durch Dritte motivierte Fehlleitung zu erreichen oder eigene Interessen durchzusetzen (Alter 2006, 3).

Das Schadensausmaß ist davon abhängig, inwieweit eine Manipulation gelingt und manipulierte Inhalte zur Anwendung gelangen.

Prozesse: Eine eingeschränkte Qualität kann dadurch hervorgerufen werden, dass die Prozesse in Be-zug auf die Bereitstellung und Freigabe Schwächen aufweisen oder andere organisatorische Maßnah-men die Qualität negativ beeinträchtigen.

unbegleiteter unternehmensinterner Stellenwechsel (QO1): Während Inter- und Extrafluktua-tion (siehe 5.3.1) mit Wissensverlusten einhergehen, haben die IntrafluktuaExtrafluktua-tion bzw. unterneh-mensinterne Stellenwechsel eine Einschränkung der Qualität zur Folge, da das Wissen prinzipiell im Unternehmen vorhanden ist, aber die Zugänglichkeit erschwert sein kann (Williams 2004, 269ff). So wird durch unternehmensspezifische Karrierepfade oder Versetzungen die Zugänglich-keit zum Wissen der fluktuierten Mitarbeiter gehemmt, da die Wissensträger andere Stellen beset-zen und dabei in anderen Abteilungen oder an anderen Standorten bzw. in anderen Regionen tätig

sind. Dabei schränkt zunehmende regionale Entfernung unter Umständen die Zugänglichkeit zu Wissen zusätzlich ein.

Mangel an qualifiziertem Personal (QO2): Das Vorhandensein qualifizierter Mitarbeiter ist er-forderlich, um die entsprechenden Aufgaben im Rahmen der Erbringung der Wertschöpfung aus-zuführen. So sind im Speziellen Kompetenzen im Umgang mit Wissen (z.B. Identifizieren, Be-werten, Verarbeiten) oder IT-Systemen eine Voraussetzung dafür, dass die Mitarbeiter sicher-heitsbewusst wissensintensive Tätigkeiten durchführen können (Abell, Oxbow 2002, 128ff; BSI 2006, 491). Das Fehlen bzw. die unzureichende Ausprägung dieser Kompetenzen kann darauf zu-rückgeführt werden, dass die Personalbeschaffung und Personalentwicklung ungeeignet im Sinne von lückenhaft erfolgen. In diesem Zusammenhang erschwert eine hohe Innovationsgeschwindig-keit das dauerhafte Erreichen bzw. Erhalten eines hohen Qualifizierungsgrades der Mitarbeiter (Harrant, Hemmrich 2004, 18)¹⁸⁹. Der Erwartungswert in Bezug auf Engpässe und potentiell dar-aus resultierende Mängel nimmt zu, wenn Personal mit erforderlichen Kompetenzen nicht dar- ausrei-chend beschafft wird, die Ausprägung der erforderlichen Kompetenzen nicht entspreausrei-chend über-prüft wird oder eine unzureichende interne Entwicklung erfolgt (Kobi 1999, 13f; Knaese 2004, 45f). Darüber hinaus kann das Risiko zeitlich noch weiter vorgelagert sein und mit unzureichen-den Personalbedarfsplanungen einhergehen¹⁹⁰.

mangelnde Verfügbarkeit von Kompetenzen (QO3): Neben dem Fehlen oder der unzureichen-den Ausprägung von Kompetenzen können sich Risiken auch daraus ergeben, dass vorhanunzureichen-dene Kompetenzen nicht ausreichend verbreitet sind und somit deren Verfügbarkeit begrenzt ist. Eine mangelnde Verbreitung kann zur Folge haben, dass aufgrund fehlender Redundanzen Engpässe bei der Geschäftsprozessdurchführung auftreten können. Neben unternehmensinternen Engpässen und somit der potentiellen Einschränkung der Zugänglichkeit können sich Wissensrisiken auch daraus ergeben, dass Abhängigkeiten von den Kompetenzen von Kooperationspartnern, Kunden, Lieferanten sowie externer Dienstleister bestehen (Schön 2004, 288)¹⁹¹. Derartige Abhängigkeiten bergen das Risiko in sich, dass sich die Engpässe in einem Mangel realisieren.

189 Im Hinblick auf die Generierung der Wertschöpfung kann sich dies beispielsweise auf die Entscheidung über die An-nahme von Aufträgen niederschlagen. So ist bei der AnAn-nahme von Mandanten oder Projekten zu prüfen, ob das Unter-nehmen mit vorhandenen Kompetenzen und Personalbestand in der Lage ist, die geforderte Gegenleistung zum erwar-teten Zeitpunkt zu erbringen (Keßler, Winkelhofer 2002, 162; Pfitzer et al. 2002, 2007). Fehlen die entsprechenden Kompetenzen bzw. sind diese unzureichend, kann keine Annahme erfolgen, was in der Form eines entgangenen Ge-winns zum Schaden des Unternehmens gereicht. Wird das Projekt oder der Mandant trotz negativer Prüfung ange-nommen kann dies aus einer allgemeinen Risikoperspektive zu einer Schlechtleistung und daraus resultierenden Repu-tationsverlusten führen.

190 So kann beispielsweise eine fehlerhafte Bestimmung des qualitativen Personalbedarfs zur Folge haben, dass erforderli-che Kompetenzen fehlen (Drumm 2000, 231ff).

191 Abhängigkeiten können zudem die Verhandlungsmacht der Partner erhöhen, das Unternehmen erpressbar machen und die Wahrscheinlichkeit opportunistischen Verhaltens erhöhen (Schwamborn 1994, 241; de Laat 1999, 209).

unzureichende Gewährleistung der Aktualität (QO4): Aufgrund der kurzen Halbwertszeit bzw.

der schnellen Innovationszyklen ist bestimmtes Wissen in der Wissensbasis des Unternehmens von einer Überalterung betroffen bzw. durch mangelnde Aktualität charakterisiert (z.B. Änderun-gen von Technologiestandards oder Gesetzestexten). Indikatoren für die Aktualität sind das Erstel-lungs- bzw. Überarbeitungsalter der Inhalte sowie die Volatilität des Themengebietes (Bovee et al.

2003, 56). So bestehen bestimmte Themen, die einer geringeren Veränderung unterliegen, wäh-rend beispielsweise Erkenntnisse im Bereich neuer Technologien oder in der medizinischen For-schung hoch volatil sind. Die Anwendung nicht aktuellen Wissens kann zu Schäden führen, da po-tentiell Fehlentscheidungen getroffen werden und Reputationsverluste beim Kunden eintreten. Ein Risiko ergibt sich somit daraus, dass Aktualisierungsprozesse fehlen bzw. unzureichend sind und somit nicht aktuelles Wissen Anwendung findet (Amelingmeyer 2002, 156ff; Knaese 2004, 37;

Desouza, Awazu 2005, 50).

unzureichende inhaltliche Überprüfung (QO5): Bevor Wissen zur Nutzung bereitgestellt wird, erfolgt eine Überprüfung der inhaltlichen Qualität im Hinblick auf Fehlerfreiheit, Vollständigkeit, inhaltliche Richtigkeit etc. Erfolgt dieser Prozess unzureichend, kann es zu einer Verbreitung von Wissenselementen geringer Qualität kommen und dies zu einem Mangel führen. Dieser Mangel kann sich dahingehend konkretisieren, dass Fehlentscheidungen getroffen werden (Eppler 2002, 1ff)¹⁹².

Systeme:Risiken im Hinblick auf eine eingeschränkte Qualität können unter Bezugnahme auf das in Abschnitt 5.6.1 dargestellte Modell zur Beurteilung der Informationsqualität (siehe Abb. 25 auf Seite 180) neben subjektiven Kriterien der Nutzer auch auf die Infrastruktur bezogen sein, die eine entspre-chende Bereitstellung zu gewährleisten hat. Diese Ebene des Modells korrespondiert mit der Ursa-chenkategorie Systeme.

unzureichende Verfügbarkeit von IT-Systemen (QS1): Ein Wissensrisiko bzgl. einer einge-schränkten Qualität kann sich auch daraus ergeben, dass Inhalte in IT-Systemen nicht zur Verfü-gung stehen und dadurch die Durchführung der Prozesse bzw. Aufgaben gehemmt wird. Dies kann durch Unzuverlässigkeiten bzw. Schwachstellen der technischen Infrastruktur verursacht werden, die beispielsweise das Resultat von Hard- und Softwaredefekten sein kann. Zudem kön-nen erfolgreiche Angriffe auf IT-Systeme, die durch eine unzureichende IT-Sicherheit ermöglicht wurden, eine Ursache der mangelnden Verfügbarkeit darstellen (Paulus 2000, 397; Peltier 2001, 13; Knaese 2004, 39). Die zunehmende Durchdringung der IT-Systeme und deren Schlüsselrolle bei der Durchführung von Prozessen unterstreicht die hohen Anforderungen an die Verfügbarkeit (Junginger, Krcmar 2003, 16f; Wolff 2005, 15). Engpässe in Bezug auf die Inhalte haben zur

Fol-192 Für einen beispielhaften Genehmigungsprozess siehe (Bach et al. 2000, 76f).

ge, dass Redundanzen fehlen und somit der Ausfall eines IT-Systems bzw. dessen mangelnde Verfügbarkeit ein vergleichsweise höheres Schadensausmaß aufweisen kann.

zeitaufwändige Bereitstellung (QS2): Neben der mangelnden Verfügbarkeit kann auch die Be-reitstellung unzureichend sein und dadurch die Qualität eingeschränkt werden. Dies betrifft primär die für den Zugriff auf die Inhalte erforderliche Zeit. Diese kann beispielsweise durch eine um-ständliche oder nicht mit den Bedürfnissen und Gewohnheiten des Nutzers korrespondierende Na-vigation verursacht werden. Zudem können im Falle einer webbasierten Darstellung der Inhalte ein verwirrendes Layout, Inkonsistenzen oder zu viele Links und Hierarchiestufen zur Folge ha-ben, dass der Zeitbedarf zur Bereitstellung bzw. Suche erhöht wird (Eppler, Muenzenmayer 2003, 187f). Ebenso erhöhen starke Sicherheits- und Geheimhaltungserfordernisse den erforderlichen Zeitbedarf. So kann beispielsweise eine mehrstufige Authentifizierung erforderlich sein, um die Inhalte nutzen zu können (Strong et al. 1997, 44; Bovee et al. 2003, 56).

unzureichend konsolidierte Quellen (QS3): Das Risiko einer eingeschränkten Qualität kann sich auch daraus ergeben, dass dieselben Inhalte zugleich in verschiedenen Quellen vorgehalten und Änderungen nicht konsolidiert werden. Dies hat zur Folge, dass Abweichungen bestehen und dies potentiell die Glaubwürdigkeit und Akzeptanz der Nutzer senkt (Strong et al. 1997, 40). Zudem kann auch die Aktualität der Inhalte negativ beeinträchtigt sein, falls diejenigen Quellen genutzt werden, auf die Aktualisierungen nicht übertragen wurden.

unzureichende Vertrauenswürdigkeit (QS4): Ein weiteres Wissensrisiko besteht in einer unzu-reichenden Sicherheit der IT-Systeme, in denen Inhalte verwaltet werden, da dadurch die Vertrau-enswürdigkeit reduziert wird. Dies betrifft vorwiegend das Verhalten in Bezug auf sensitive oder personenbezogene Inhalte (Eppler, Muenzenmayer 2003, 188; Rittberger 2004, 157, 162). Werden beispielsweise Kompetenzen der Mitarbeiter in Skillverzeichnissen, Ideen im betrieblichen Vor-schlagswesen oder Dokumentationen zu Prototypen elektronisch verwaltet, so sind eine entspre-chende Geheimhaltung und der Schutz vor unautorisierten Zugriffen erforderlich. Kann dies nicht gewährleistet werden oder sind bereits Sicherheitsvorfälle oder Missbrauch bekannt geworden, kann die Nutzung durch die Mitarbeiter negativ beeinträchtigt werden und somit erwartete Syner-gien ausbleiben.

externe Faktoren: Neben internen Ursachen der Kategorien Personen, Prozesse und Systeme kann eine eingeschränkte Qualität auch auf externe Faktoren zurückgeführt werden, wobei diese im Ver-gleich zu den beiden erstgenannten Risikokategorien Verlust und unerwünschte Diffusion von gerin-gerer Relevanz ist, da Wissensqualität primär durch internes Handeln bzw. das Unterlassen von Hand-lungen beeinflusst wird.

unzureichende Inhaltsqualität der von Dritten bereitgestellten Inhalte (QE1): Wissensrisiken können sich daraus ergeben, dass Wissen, das im Rahmen von Kooperationen von den jeweiligen

Partnern empfangen wird, unternehmensinterne Qualitätskriterien nicht erfüllt. So kann z.B. man-gelnde Fehlerfreiheit und Aktualität, hohe Subjektivität oder geringe Genauigkeit und Verständ-lichkeit vorliegen. Dies kann zur Folge haben, dass die Anwendung dieser Inhalte erschwert wird oder aufgrund einer zu ausgeprägten Subjektivität Fehlleitungen erfolgen. Dabei unterliegen ex-terne Quellen vielfach auch einer hohen Veränderungsdynamik im Hinblick auf Inhalt und Quali-tät, die eine permanente Bewertung erforderlich macht (Naumann, Rolker 2000, 149, 156).

unzureichende Medienqualität der von Dritten bereitgestellten Inhalte (QE2): Werden Inhal-te, die zur Durchführung bestimmter Aufgaben oder Prozesse erforderlich sind, außerhalb des Un-ternehmens bei Partnern oder Outsourcinganbieter vorgehalten, erwachsen daraus Risiken im Hinblick auf deren Verfügbarkeit und Bereitstellung. Eine unzureichende Gewährleistung der Medienqualität kann die Prozesse des Unternehmens hemmen (Nettesheim et al. 2003, 27; Rusch 2003, 13ff; BSI 2006, 427ff).

Manipulation der Inhalte durch Dritte (QE3): Neben der Manipulation durch interne Mitarbei-ter können auch Dritte Inhalte manipulieren. Dies kann beispielsweise dadurch erfolgen, dass Dritte sich physischen Zugang verschaffen, extern in IT-Systeme eindringen oder im Zuge des Abhörens des Datenverkehrs Veränderungen an Nachrichten vornehmen (Alter 2006, 4ff; BSI 2006, 745).