Der Stand der Forschung lässt sich schon aus der Einleitung ableiten.
Hinsichtlich eines funktionierenden und ausgearbeiteten Gesamtprozessmodells im Sinne des Corporate and Information Security Management konnten im deutschsprachigen Raum keine Theorien gefunden werden. Die Literaturrecherche zeigte, dass die einzelnen Sicherheitsdisziplinen getrennt betrachtet werden. Nur wenig Fachliteratur lieferte jedoch eine Orientierungshilfe, wie eine ganzheitliche Betrachtung der einzelnen Aspekte zusammengeführt werden könnte bzw. welche Schritte dazu notwendig wären.
Einen wichtigen Ansatz lieferte die Literatur nach Talbot & Jakeman, 2009, welche die Grundzüge und Aspekte eines gesamtheitlichen Resilienz-Modells
lieferte und auch als Basis für diese Arbeit verwendet wurde. Des Weiteren konnte anhand der Literaturrecherche im deutschsprachigen Raum keine kommerzielle Lösung eines funktionierenden ganzheitlichen Security Management mit den einzelnen und strukturierten Prozessabläufen gefunden werden. Hierbei werden alle erdenklichen Vorschläge gemacht, welche zu berücksichtigen sind, jedoch bleibt die Fragestellung „Wie?“ meistens unbeantwortet. Jedoch ist zu erwähnen, dass in Deutschland die Behörde
„Bundesamt für Verfassungsschutz“ sich mit dieser Problematik befasst und diesbezüglich mögliche Publikationen veröffentlicht hat. Allerdings erheben diese Publikationen zum jetzigen Zeitpunkt keinen Anspruch auf Vollständigkeit und es scheint, dass sich die Behörde mit dieser Thematik weiter beschäftigen wird.
Die nachfolgend angeführten Themengebiete, welche für die Ausarbeitung der bereits bestehenden Teilprozessmodelle notwendig waren, stellen weitere Rahmenbedingungen im Sinne des aktuellen Forschungsstandes dar. Diese Publikationen, wie auch schon vorher erwähnt, sind im Sinne einer eigenständigen Sicherheitsdisziplin zu betrachten und halten die Mindestanforderungen, welche zu berücksichtigen sind, fest.
ISO/IEC 27001 Informationssicherheit
Die internationale Norm ISO 27001 gibt die grundlegenden Vorgaben für die Gestaltung eines Informationssicherheit-Managementsystems, welche von der Organisationsgröße und -beschaffenheit abhängig sind, an. Diese Norm verfolgt den prozessorientierten Ansatz mit entsprechenden Modellierungsmöglichkeiten eines ISMS. Um die gewünschte Informationssicherheit erfüllen zu können, verfolgt die ISO 27001 die Grundsätze des PDCA-Modells (Planen, Durchführen, Prüfen und Handeln), welches aus der ISO 9001:2000 und der ISO 14001:2005 übernommen sowie abgestimmt wurde. Aufgrund der zuvor erwähnten Aspekte und Grundsätze des PDCA-Modells können/müssen die auf eine Institution wirkenden Risiken im Sinne eines Risikomanagements mit entsprechenden Maßnahmen identifiziert, analysiert, bewertet, dokumentiert und bewältigt werden. Somit befasst sich die ISO 27001, grob ausgedrückt, mit der Sicherheit von Informationswerten einer Organisation. Diese Werte umfassen z.B. alle Geschäftsabläufe und -tätigkeiten, die technische und bauliche Infrastruktur einer Organisation, die für Unternehmenserfolg, -sicherheit und -fortbestand stehen. Daher kann gesagt werden, dass diese Werte nicht unmittelbar mit Daten, Informationen oder mit Informationstechnologie in Verbindung stehen (ISO 27001, 2008, S. 4–6).
ISO 22301 Business Continuity Management
Die internationale Norm ISO 22301 Business Continuity Management beschreibt einen systematischen Managementansatz, um Betriebs- und Lieferunterbrechungen proaktiv entgegenzuwirken. Somit hat das Business-Continuity-Managementsystem das Ziel, Institutionen vor Betriebs- und Lieferunterbrechung zu schützen, deren Wahrscheinlichkeit (Auftreten) zu vermindern, proaktiv auf diverse Umstände vorzubereiten und bei Eintreten eines Ereignisses systematisch abzuarbeiten, um den Regelbetrieb wieder herstellen zu können (Österreichisches Normungsinstitut, 2015, S. 5–33). Die Grundlagen dieser Norm, somit die Modellierungsmöglichkeit, basieren wie bei ISO 27001 auf dem Deming-Kreislauf, um eine kontinuierliche Verbesserung in einer Organisation nachhaltig voranzutreiben.
Produkt- und Know-how-Schutz
Know-how-Schutz wird nach der Definition der Verordnung der Europäischen Union NR. 772/2004 wie folgt angegeben:
i. „Know-how: eine Gesamtheit praktischer Kenntnisse, die durch Erfahrungen und Versuche gewonnen werden und die
ii. geheim, das heißt nicht allgemein bekannt und nicht leicht zugänglich sind,
iii. wesentlich, das heißt für die Produktion der Vertragsprodukte von Bedeutung und nützlich sind, und
iv. identifiziert sind, das heißt umfassend genug beschrieben sind, so dass überprüft werden kann, ob die Merkmale ‚geheim‘ und ‚wesentlich‘
erfüllt sind“ (EUR-Lex, 2014, S. 20).
Somit sind die Ziele des Know-how-Schutzes nach der VDMA-Studie die Marktanteile durch Investitionstätigkeiten zu vergrößern, den Wettbewerbsvorsprung und Markteintrittschancen durch Forschung &
Entwicklung zu sichern und durch Einhaltung gesetzlicher Auflagen diverse Haftungs- und Schadenersatzansprüche zu vermeiden (INS Innovation mit Normen und Standard, 2013, S. 7–8).
Krisenvermeidung und -bewältigung/Krisenmanagement
Krisenvermeidung nach Moldenhauer beschäftigt sich als ein Bestandteil des Krisenmanagements mit der Zielsetzung durch entsprechende Maßnahmen damit, aufbauend auf diversen Prognosen und Früherkennungsdisziplinen, etwaigen Krisen proaktiv entgegenzuwirken (Moldenhauer, 2004, S. 25).
Krisenbewältigung umfasst hingegen die Festlegung von Verantwortlichkeiten, die Planung der Organisation zur Krisenbewältigung und der daraus abgeleiteten erforderlichen Maßnahmen sowie mit der Bereitstellung von Ressourcen (Bergauer, 2003, S. 27–30). Somit beschäftigt sich Krisenmanagement damit, organisatorische und verfahrensmäßige Voraussetzungen zu gewährleisten, um einer negativen Situation entgegenzuwirken bzw. diese zu vermeiden oder nach einem eingetretenen außergewöhnlichen Ereignis den Regelbetrieb schnellstmöglich wiederherzustellen. Der Krisensituation wird ein hohes Maß an Ungewissheit und Komplexität zugeschrieben und erfordert somit ein hohes Maß an Ressourceneinsatz, welcher mit der Alltagsstruktur einer Organisation nicht bewältigt werden kann. Dem Krisenmanagement vorgelagert befindet sich das Notfallmanagement, welches nach einem Störfall bzw. Unglück etwaige Managementmaßnahmen erfordert, wobei die Auswirkung in überschaubarer Größenordnung liegt (Bédé, 2009, S. 4–5).
Personelle Sicherheit
Personelle Sicherheit verkörpert die Verantwortungspflicht gegenüber Mitarbeiterinnen und Mitarbeitern und Besucherinnen und Besuchern, aber auch mögliche Gefahren, welche von Menschen ausgehen. Vieles regeln bereits gesetzliche Anforderungen im Bereich Safety und Security für das Personal. Aber auch Gebiete wie etwa Reisesicherheit und der Schutz von Wohneinheiten oder Security-Trainings werden dabei umfasst. Personelle Sicherheit ist wie ein Schirm, unter dem die unterschiedlichsten Themen zusammengefasst sind: sozialpolitische Themen, Anwerbung, Sicherheitsüberprüfungen, Betrug, Korruption etc. Das Ziel dieses Feldes ist die Erstellung von Maßnahmen, welche Schutz vor Sicherheitsrisiken im Zusammenhang mit Personal, Partnerinnen bzw. Partnern, Besucherinnen und Besuchern und der Öffentlichkeit bietet. Oft überlappen Maßnahmen der Bereiche Informationssicherheit und physische Sicherheit mit dem Bereich personelle Sicherheit (Talbot & Jakeman, 2009, S. 63–64).
Physische Sicherheit
Physische Sicherheit beschreibt die proaktive Maßnahmenentwicklung gegen Risiken und Gefahren, welche durch bewusstes bzw. unbewusstes menschliches Versagen, durch Naturgefahren, durch Terrorismus, durch kriminelle Absichten von Personen und Personengruppen usw. gegen die Werte einer Organisation ausgerichtet sind (Gundel & Mülli, 2009, S. 3–4) in Anlehnung an (ISO 27001, 2008). Diesbezüglich finden sich zahlreiche Handlungsempfehlungen als elektronische Publikationen und Fachliteratur wie Brandschutz, Objektschutz und einschlägige Normen, wo jedoch das Kronjuwel im Sinne physischer Sicherheit im Bereich IT-Sicherheit angesiedelt ist.
Reisesicherheit
Im Sinne der Reisesicherheit liegt der Schwerpunkt bei der Planung der Reisemodalitäten. Obwohl vielen Unternehmen etwaige Risiken und Gefahren im Ausland bekannt sind, besitzt nur ein Drittel der deutschen Unternehmen proaktive und vollständige Sicherheitskonzepte für Geschäftsreisende. Dieser alarmierende Zustand ist auf die Verhältnismäßigkeit zwischen Preis und Qualität zurückzuführen. Hierbei werden die Risiken bei einer Reise, anstatt eine primäre Rolle einzunehmen, als sekundär angesehen. Nicht nur dass es auf organisatorischer Ebene mangelt, handeln auch Geschäftsreisende unzureichend mit unternehmensinternen Informationen und Werten bzw.
unterschätzen alltägliche Gefahrensituationen. „Gesunde Vorsicht hat […]
nichts mit Paranoia zu tun, ganz im Gegenteil: Es ist wichtig, Gefahren und Risiken einer Reise zu kennen und ernst zu nehmen. Darum ist nicht nur das Engagement der Sicherheitsverantwortlichen gefragt, sondern auch das der Reisenden selbst“ (Leidel, 2014, S. 18–19).
Datenschutzmanagement
Gemäß der Studie von PwC sind die Defizite im Sinne von Datenschutz der Unwissenheit und Unachtsamkeit des Personals bzw. der Organisation zuzuschreiben. Demnach ist Datenschutzmanagement in Organisationen nur eine Pro-forma-Angelegenheit und leidet an übergreifender Datenschutzstrategie und datenschutzrechtlichen Schulungen der Arbeitenden.
Des Weiteren wird angeführt, dass Datenschutz in Organisationen als lästige Pflichtanweisung angesehen wird, die die Gesetzgeberin bzw. der Gesetzgeber dem Unternehmen aufgedrückt hat. Kritisiert wird auch, dass das Personal hinsichtlich Datenschutz und Datenschutzbestimmungen wenig sensibilisiert und geschult wird (PwC, 2017). Zu berücksichtigen ist, dass Datenschutz nicht
mit Datensicherheit in Synonyme gesetzt wird. „Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist Informationssicherheit“ (Bundesamt für Sicherheit in der Informationstechnik, 2013).