Gesamtprozessmodell
Integriertes Security-Modell
MASTERARBEIT
zur Erlangung des akademischen Grades
Master of Arts (MA)
der Fachhochschule Campus Wien im Rahmen des Studiums
Risk Management and Corporate Security
eingereicht von
Satilmis Dilibal, BSc
c1510645008 betreut durch:
FH-Prof. Dipl.-Inform. Timo Kob Justina Kaiser, MA
Wien, am 26.09.2017
Erklärung zur Verfassung der Arbeit
Hiermit erkläre ich, dass ich diese Arbeit selbstständig verfasst habe, dass ich die verwendeten Quellen und Hilfsmittel vollständig angegeben habe und dass ich die Stellen der Arbeit – einschließlich Tabellen, Karten und Abbildungen –, die anderen Werken oder dem Internet im Wortlaut oder dem Sinn nach entnommen sind, auf jeden Fall unter Angabe der Quelle als Entlehnung kenntlich gemacht habe.
Wien, 26.09.2017
Ort, Datum Ing. Satilmis Dilibal, BSc
Danksagung
Vorab möchte ich all jenen danken, die mich bei der Erstellung der Masterarbeit begleitet und motiviert haben.
Mein ganz besonderer Dank geht an die Expertinnen und Experten, die mich durch ihr fachliches Wissen in Form von Expertinnen- und Experteninterviews unterstützt und somit zum Erfolg der vorliegenden Arbeit beitragen haben.
Des Weiteren geht mein Dank an Herrn Dipl.-Inform. Timo Kob und an Frau Justina Kaiser, MA, für die umfangreiche Betreuung, die unterstützenden Anregungen sowie die zielgerichteten Ratschläge.
Kurzfassung
Kontext und Fragestellung
Die vorliegende Masterarbeit beschäftigt sich mit der Problematik der einzelnen Sicherheitsdomänen des „Corporate and Information Security Management“, welche in vielen Unternehmen nicht ganzheitlich und mit getrennten Prozessen betrachtet werden. Um eine systematische Vorgehensweise mit geregelten Abläufen schaffen zu können, wurde die folgende zentrale Forschungsfrage aufgestellt: „Wie können die historisch getrennten Sicherheitsdisziplinen und die ausgearbeiteten Teilprozessmodelle, unter Berücksichtig der zugrunde liegenden Theorien, in ein gemeinsames geschäftsprozessorientiertes und unternehmensstrategieadjustiertes Vorgehensmodell als ein Gesamtprozessmodell überführt werden?“
Ziele der Arbeit
Das Ziel der angestrebten wissenschaftlichen Arbeit war, die vorgegebenen Teilprozesse des „Corporate and Information Security Management“ zu einem Gesamtprozessmodell zusammenzuführen, zu visualisieren und deren Anwendbarkeit zu prüfen.
Theorie
Für die Umsetzung des Forschungsauftrages wurden die theoretischen Grundlagen des Prozessmanagements und der Unternehmenssicherheit im Sinne des Security Management herangezogen.
Wissenschaftliche Methoden
Für die Überprüfung der aufgestellten Hypothesen und zur Beantwortung der forschungsleitenden Fragen wurde die qualitative Forschungsmethode herangezogen.
Ergebnisse
Die Ergebnisse der Untersuchung haben gezeigt, dass es mit den theoretischen Grundlagen und mit den ausgewählten wissenschaftlichen Methoden möglich
ist, einzelne Teilprozesse zu einem Gesamtprozessmodell zu bündeln. Weiterer relevanter Forschungsbedarf wurde hierbei auch aufgezeigt.
Abstract
Context of the Thesis
This master thesis deals engages with problem of the individual security domains of the "Corporate and Information Security Management", which are not considered holistically and with separated processes in many companies.
In order to create a systematic approach with regulated procedures, the following essential research question was raised: “How can the historically separated security disciplines and the developed sub-process models, taking into account the underlying theories, be transformed ( oder converted ) into a common business-process oriented and company strategy-adjusted approach model as an overall process model?"
Goal of the Thesis
The intention of the scientific research was to integrate the given sub-processes of the "Corporate and Information Security Management" into an overall process model, to visualize them and to examine their applicability.
Theory
The theoretical fundamentals of process management and enterprise security in the sense of security management were used for the implementation of the research assignment.
Methodology
The qualitative research method was used for the examination of the hypotheses and for answering the research questions.
Results
The results of the study have revealed that it is possible with the theoretical fundamentals and with the selected scientific methods to bundle individual sub- processes into a consistent overall process model. Further relevant research requirements were also indicated.
Inhaltsverzeichnis
1 EINLEITUNG ... 15
1.1 HINTERGRUND UND PROBLEMSTELLUNG ... 15
1.2 INNOVATIONSGEHALT ... 17
1.3 STAND DER FORSCHUNG ... 17
1.4 FORSCHUNGSFRAGE UND HYPOTHESEN ... 22
1.4.1 Forschungsfrage ... 22
1.4.2 Forschungsleitende Fragen ... 23
1.4.3 Hypothese ... 24
1.5 ZIELSETZUNG UND EINGRENZUNG ... 25
1.6 AUFBAU DER ARBEIT ... 26
1.7 GENDERASPEKT ... 27
1.8 GESELLSCHAFTS- UND UMWELTASPEKTE ... 28
1.8.1 Nutzen für die Gesellschaft ... 28
1.8.2 Umweltaspekte ... 28
2 THEORETISCHER TEIL ... 31
2.1 BEGRIFFSDEFINITIONEN ... 31
2.2 THEORIE ... 34
2.2.1 Prozess ... 35
2.2.2 Management ... 38
2.2.3 Prozessmanagement ... 41
2.2.4 Security Management ... 65
2.2.5 Grenzen und Kritik ... 76
3 ANWENDUNG DER THEORIE AUF DIE FORSCHUNGSFRAGE ... 79
3.1 ANWENDBARKEIT DER THEORIEN ... 79
3.2 VORÜBERLEGUNGEN ZUR PROZESSMODELLIERUNG ... 80
3.2.1 Das ARIS-Konzept ... 80
3.2.2 Vorläufiges Gesamtprozessmodell ... 81
4 EMPIRISCHER TEIL ... 91
4.1 FORSCHUNGSFRAGE UND HYPOTHESEN ... 91
4.2 FORSCHUNGSDESIGN ... 93
4.2.1 Geplantes Vorgehen und Methode ... 93
4.2.2 Verfahren und Messmethode... 94
4.2.3 Interviewleitfaden ... 101
4.3 OPERATIONALISIERUNG ... 102
4.4 DURCHFÜHRUNG DER ERHEBUNG ... 104
4.4.1 Definition Expertin bzw. Experte ... 104
4.4.2 Auswahl und Festlegung von Expertinnen und Experten ... 105
4.4.3 Expertinnen- und Expertenfindung sowie Kontaktaufnahme ... 107
4.5 ERGEBNISSE... 108
4.5.1 Ergebnisse der Forschungsfrage ... 108
4.5.2 Ergebnisse der Hypothesen ... 111
4.5.3 Ergebnisse in Bezug auf das Gesamtprozessmodell ... 112
4.6 ZUSAMMENFASSUNG UND INTERPRETATION ... 117
5 CONCLUSIO ... 119
5.1 FAZIT ... 119
5.2 KRITISCHE REFLEXION DES FORSCHUNGSVORHABENS ... 120
5.3 AUSBLICK UND KÜNFTIGER FORSCHUNGSBEDARF ... 121
BIBLIOGRAFIE ... 123
ABBILDUNGSVERZEICHNIS ... 129
TABELLENVERZEICHNIS ... 131
ANHANG A ... 133
ANHANG B ... 135
ANHANG C ... 139
ANHANG D ... 189
Abkürzungsverzeichnis
ARIS All Risk Insurance Service
BMI Bundesministerium für Inneres
BSC Balanced Scorecard
EAI Enterprise Application Integration
ERP Enterprise-Resource-Planning
FH Fachhochschule
ISO International Organization for Standardization
IT Informationstechnologie
ITIL Information Technology Infrastructure Library
Jh. Jahrhundert
PDCA Plan Do Check Act
PwC PricewaterhouseCoopers
Einleitung 1
Inhalt
1.1 HINTERGRUND UND PROBLEMSTELLUNG ... 15
1.2 INNOVATIONSGEHALT ... 17
1.3 STAND DER FORSCHUNG ... 17
1.4 FORSCHUNGSFRAGE UND HYPOTHESEN ... 22
1.4.1 Forschungsfrage ... 22
1.4.2 Forschungsleitende Fragen ... 23
1.4.3 Hypothese ... 24
1.5 ZIELSETZUNG UND EINGRENZUNG ... 25
1.6 AUFBAU DER ARBEIT ... 26
1.7 GENDERASPEKT ... 27
1.8 GESELLSCHAFTS- UND UMWELTASPEKTE ... 28
1.8.1 Nutzen für die Gesellschaft ... 28
1.8.2 Umweltaspekte ... 28
1.1 Hintergrund und Problemstellung
Die angestrebte wissenschaftliche Masterarbeit beschäftigt sich mit der Problematik der einzelnen Sicherheitsdomänen des „Corporate and Information Security Management“. Die heutige Welt verändert sich mit zunehmender Geschwindigkeit. Der Beitrag des Security Risk Management in Bereichen wie gesellschaftlicher, persönlicher Sicherheit sowie nationaler Stabilität wird oft unterschätzt. Die Fähigkeit, Sicherheitsrisiken zu managen, ist ein wichtiger Bestandteil eines ganzheitlichen Managements und die Grundlage für ein konkurrenzfähiges Unternehmen. Dafür müssen z.B. Standards und Konzepte, welche auf die Geschäftsprozesse einer Organisation angepasst sind, erarbeitet werden. Diese Richtlinien sollten die Klassifizierung sensibler Werte, welche von der Organisation gehalten, behandelt, erschaffen oder empfangen werden (in Bezug auf ihre Sensibilität, Vertraulichkeit oder Wichtigkeit für das Geschäft), enthalten. Alle Richtlinien müssen mit den gesetzlichen (national und
international), regulatorischen und vertraglichen Verpflichtungen im Einklang stehen. Um ein annehmbares Level an Sicherheit garantieren zu können, müssen Unternehmen ihre wichtigsten Werte und Prozesse definieren und Verantwortlichkeiten für die Aufrechterhaltung der Schutzmaßnahmen bestimmen (Talbot & Jakeman, 2009, S. 1–7).
Problematisch dabei ist, dass die Sicherheitsdomänen in Unternehmen nicht ganzheitlich, sondern in einzelnen Sicherheitsdisziplinen und somit mit getrennten Prozessen betrachtet werden. Dadurch kann nicht ausgeschlossen werden, dass Organisationen mehr Ressourcenaufwand betreiben, mit Schnittstellenproblematik konfrontiert sind, Doppelgleisigkeiten betrieben werden, Informationen verloren gehen bzw. nicht den gewünschten Adressatenkreis erreichen usw. Aus dem abgeleitet ist nach Kalwait et al.
(2008) ein Zusammenbruch einer Organisation von vielen Faktoren abhängig.
Deswegen ist die gesamtheitliche bzw. integrierte Gesamtrisikosteuerung für jede Organisation vonnöten, um einem sogenannten „Silodenken“
entgegenzuwirken. Dieser silobasierte Ansatz ist in vielen Bereichen in der Praxis beobachtbar, welche auf die Organisationsstrukturen und Problemlösungsressourcen zurückzuführen sind. Hierbei erfolgt die getrennte Betrachtungsweise nicht nur auf Organisationsebenen, sondern auch bei den einzelnen regionalen Einheiten, die die Effektivität und Effizienz einer Organisation nachhaltig infrage stellt (S. 195).
Durch diese getrennte Betrachtungsweise ist es möglich, dass Unternehmen bei der Durchführung ihrer Tätigkeiten und Erbringung ihrer Dienstleistungen bzw. Aufgaben mit potenziellen Gefahren sowie Risiken konfrontiert sind. Diese negativen Einflüsse können, z.B. bei Verlust von Informationen und Innovationen oder auch bei Versagen technischer Infrastruktur bzw.
organisatorischen Mängeln, den Fortbestand oder Erfolg nachhaltig gefährden.
Dies gilt nicht nur für Unternehmen mit komplexen Strukturen, sondern auch für Kleinunternehmen. Diese Risiken beginnen schon beim Ausspähen von Firmengeheimnissen durch Dritte oder der Weitergabe von Firmen-Know-how durch firmeneigenes Personal an die Konkurrenz. Aufgrund der zunehmenden technischen Entwicklung und der Abhängigkeit der Unternehmen von technischen Geräten, welche mit Software gesteuert werden, sind potenzielle Risiken und Gefahren allgegenwärtig. Mögliche Risiken und Gefährdungen, die auf eine Organisation einwirken, müssen identifiziert, analysiert, bewertet und mit entsprechenden Maßnahmen dahingehend proaktiv gegengesteuert werden (Karden & Alexander, 2011, S. 44–65). Daher soll die vorliegende Arbeit mit der Ausarbeitung eines Gesamtprozessmodells zur Gewährleistung eines
durchdachten Prozessablaufes befassen, um einerseits möglichen Risiken und Gefahren im Vorhinein zu begegnen und andererseits den kontinuierlichen Verbesserungsansatz voranzutreiben.
1.2 Innovationsgehalt
Die Bedeutung der Arbeit und der Innovationsgehalt ergeben sich aus dem übergeordneten Forschungsziel des Forschungsfeldes. Dieses Forschungsziel beinhaltet die Erarbeitung eines noch nicht existierenden Modells eines Managementsystems, in welchem die genannten Sicherheitsdisziplinen bzw.
die zuvor von der FH Campus ausgearbeiteten Sicherheitsdomänen unter einem Dach vereint werden können. Durch die Erreichung des Forschungsziels könnte das Thema „Corporate and Information Security Management“ mit einer funktionierenden Aufbau- und Ablauforganisation und einem effektiven unternehmensweiten Gesamtprozessmodell ganzheitlich betrachtet werden.
Unter der Betrachtung der einzelnen Sicherheitsdisziplinen und mit einem gesamtheitlichen Prozessmodell könnten Unternehmen in Zukunft bisher vorhandene Redundanzen abbauen. Durch das Zusammenspiel von Expertinnen- und Expertenwissen aus den verschiedenen Sicherheitsdomänen mit den Teilprozessmodellen und die Integration in ein einheitliches Managementsystem könnte ein wesentlicher Beitrag zum Fortbestand und Erfolg von Unternehmen geleistet werden.
1.3 Stand der Forschung
Der Stand der Forschung lässt sich schon aus der Einleitung ableiten.
Hinsichtlich eines funktionierenden und ausgearbeiteten Gesamtprozessmodells im Sinne des Corporate and Information Security Management konnten im deutschsprachigen Raum keine Theorien gefunden werden. Die Literaturrecherche zeigte, dass die einzelnen Sicherheitsdisziplinen getrennt betrachtet werden. Nur wenig Fachliteratur lieferte jedoch eine Orientierungshilfe, wie eine ganzheitliche Betrachtung der einzelnen Aspekte zusammengeführt werden könnte bzw. welche Schritte dazu notwendig wären.
Einen wichtigen Ansatz lieferte die Literatur nach Talbot & Jakeman, 2009, welche die Grundzüge und Aspekte eines gesamtheitlichen Resilienz-Modells
lieferte und auch als Basis für diese Arbeit verwendet wurde. Des Weiteren konnte anhand der Literaturrecherche im deutschsprachigen Raum keine kommerzielle Lösung eines funktionierenden ganzheitlichen Security Management mit den einzelnen und strukturierten Prozessabläufen gefunden werden. Hierbei werden alle erdenklichen Vorschläge gemacht, welche zu berücksichtigen sind, jedoch bleibt die Fragestellung „Wie?“ meistens unbeantwortet. Jedoch ist zu erwähnen, dass in Deutschland die Behörde
„Bundesamt für Verfassungsschutz“ sich mit dieser Problematik befasst und diesbezüglich mögliche Publikationen veröffentlicht hat. Allerdings erheben diese Publikationen zum jetzigen Zeitpunkt keinen Anspruch auf Vollständigkeit und es scheint, dass sich die Behörde mit dieser Thematik weiter beschäftigen wird.
Die nachfolgend angeführten Themengebiete, welche für die Ausarbeitung der bereits bestehenden Teilprozessmodelle notwendig waren, stellen weitere Rahmenbedingungen im Sinne des aktuellen Forschungsstandes dar. Diese Publikationen, wie auch schon vorher erwähnt, sind im Sinne einer eigenständigen Sicherheitsdisziplin zu betrachten und halten die Mindestanforderungen, welche zu berücksichtigen sind, fest.
ISO/IEC 27001 Informationssicherheit
Die internationale Norm ISO 27001 gibt die grundlegenden Vorgaben für die Gestaltung eines Informationssicherheit-Managementsystems, welche von der Organisationsgröße und -beschaffenheit abhängig sind, an. Diese Norm verfolgt den prozessorientierten Ansatz mit entsprechenden Modellierungsmöglichkeiten eines ISMS. Um die gewünschte Informationssicherheit erfüllen zu können, verfolgt die ISO 27001 die Grundsätze des PDCA-Modells (Planen, Durchführen, Prüfen und Handeln), welches aus der ISO 9001:2000 und der ISO 14001:2005 übernommen sowie abgestimmt wurde. Aufgrund der zuvor erwähnten Aspekte und Grundsätze des PDCA-Modells können/müssen die auf eine Institution wirkenden Risiken im Sinne eines Risikomanagements mit entsprechenden Maßnahmen identifiziert, analysiert, bewertet, dokumentiert und bewältigt werden. Somit befasst sich die ISO 27001, grob ausgedrückt, mit der Sicherheit von Informationswerten einer Organisation. Diese Werte umfassen z.B. alle Geschäftsabläufe und -tätigkeiten, die technische und bauliche Infrastruktur einer Organisation, die für Unternehmenserfolg, -sicherheit und -fortbestand stehen. Daher kann gesagt werden, dass diese Werte nicht unmittelbar mit Daten, Informationen oder mit Informationstechnologie in Verbindung stehen (ISO 27001, 2008, S. 4–6).
ISO 22301 Business Continuity Management
Die internationale Norm ISO 22301 Business Continuity Management beschreibt einen systematischen Managementansatz, um Betriebs- und Lieferunterbrechungen proaktiv entgegenzuwirken. Somit hat das Business- Continuity-Managementsystem das Ziel, Institutionen vor Betriebs- und Lieferunterbrechung zu schützen, deren Wahrscheinlichkeit (Auftreten) zu vermindern, proaktiv auf diverse Umstände vorzubereiten und bei Eintreten eines Ereignisses systematisch abzuarbeiten, um den Regelbetrieb wieder herstellen zu können (Österreichisches Normungsinstitut, 2015, S. 5–33). Die Grundlagen dieser Norm, somit die Modellierungsmöglichkeit, basieren wie bei ISO 27001 auf dem Deming-Kreislauf, um eine kontinuierliche Verbesserung in einer Organisation nachhaltig voranzutreiben.
Produkt- und Know-how-Schutz
Know-how-Schutz wird nach der Definition der Verordnung der Europäischen Union NR. 772/2004 wie folgt angegeben:
i. „Know-how: eine Gesamtheit praktischer Kenntnisse, die durch Erfahrungen und Versuche gewonnen werden und die
ii. geheim, das heißt nicht allgemein bekannt und nicht leicht zugänglich sind,
iii. wesentlich, das heißt für die Produktion der Vertragsprodukte von Bedeutung und nützlich sind, und
iv. identifiziert sind, das heißt umfassend genug beschrieben sind, so dass überprüft werden kann, ob die Merkmale ‚geheim‘ und ‚wesentlich‘
erfüllt sind“ (EUR-Lex, 2014, S. 20).
Somit sind die Ziele des Know-how-Schutzes nach der VDMA-Studie die Marktanteile durch Investitionstätigkeiten zu vergrößern, den Wettbewerbsvorsprung und Markteintrittschancen durch Forschung &
Entwicklung zu sichern und durch Einhaltung gesetzlicher Auflagen diverse Haftungs- und Schadenersatzansprüche zu vermeiden (INS Innovation mit Normen und Standard, 2013, S. 7–8).
Krisenvermeidung und -bewältigung/Krisenmanagement
Krisenvermeidung nach Moldenhauer beschäftigt sich als ein Bestandteil des Krisenmanagements mit der Zielsetzung durch entsprechende Maßnahmen damit, aufbauend auf diversen Prognosen und Früherkennungsdisziplinen, etwaigen Krisen proaktiv entgegenzuwirken (Moldenhauer, 2004, S. 25).
Krisenbewältigung umfasst hingegen die Festlegung von Verantwortlichkeiten, die Planung der Organisation zur Krisenbewältigung und der daraus abgeleiteten erforderlichen Maßnahmen sowie mit der Bereitstellung von Ressourcen (Bergauer, 2003, S. 27–30). Somit beschäftigt sich Krisenmanagement damit, organisatorische und verfahrensmäßige Voraussetzungen zu gewährleisten, um einer negativen Situation entgegenzuwirken bzw. diese zu vermeiden oder nach einem eingetretenen außergewöhnlichen Ereignis den Regelbetrieb schnellstmöglich wiederherzustellen. Der Krisensituation wird ein hohes Maß an Ungewissheit und Komplexität zugeschrieben und erfordert somit ein hohes Maß an Ressourceneinsatz, welcher mit der Alltagsstruktur einer Organisation nicht bewältigt werden kann. Dem Krisenmanagement vorgelagert befindet sich das Notfallmanagement, welches nach einem Störfall bzw. Unglück etwaige Managementmaßnahmen erfordert, wobei die Auswirkung in überschaubarer Größenordnung liegt (Bédé, 2009, S. 4–5).
Personelle Sicherheit
Personelle Sicherheit verkörpert die Verantwortungspflicht gegenüber Mitarbeiterinnen und Mitarbeitern und Besucherinnen und Besuchern, aber auch mögliche Gefahren, welche von Menschen ausgehen. Vieles regeln bereits gesetzliche Anforderungen im Bereich Safety und Security für das Personal. Aber auch Gebiete wie etwa Reisesicherheit und der Schutz von Wohneinheiten oder Security-Trainings werden dabei umfasst. Personelle Sicherheit ist wie ein Schirm, unter dem die unterschiedlichsten Themen zusammengefasst sind: sozialpolitische Themen, Anwerbung, Sicherheitsüberprüfungen, Betrug, Korruption etc. Das Ziel dieses Feldes ist die Erstellung von Maßnahmen, welche Schutz vor Sicherheitsrisiken im Zusammenhang mit Personal, Partnerinnen bzw. Partnern, Besucherinnen und Besuchern und der Öffentlichkeit bietet. Oft überlappen Maßnahmen der Bereiche Informationssicherheit und physische Sicherheit mit dem Bereich personelle Sicherheit (Talbot & Jakeman, 2009, S. 63–64).
Physische Sicherheit
Physische Sicherheit beschreibt die proaktive Maßnahmenentwicklung gegen Risiken und Gefahren, welche durch bewusstes bzw. unbewusstes menschliches Versagen, durch Naturgefahren, durch Terrorismus, durch kriminelle Absichten von Personen und Personengruppen usw. gegen die Werte einer Organisation ausgerichtet sind (Gundel & Mülli, 2009, S. 3–4) in Anlehnung an (ISO 27001, 2008). Diesbezüglich finden sich zahlreiche Handlungsempfehlungen als elektronische Publikationen und Fachliteratur wie Brandschutz, Objektschutz und einschlägige Normen, wo jedoch das Kronjuwel im Sinne physischer Sicherheit im Bereich IT-Sicherheit angesiedelt ist.
Reisesicherheit
Im Sinne der Reisesicherheit liegt der Schwerpunkt bei der Planung der Reisemodalitäten. Obwohl vielen Unternehmen etwaige Risiken und Gefahren im Ausland bekannt sind, besitzt nur ein Drittel der deutschen Unternehmen proaktive und vollständige Sicherheitskonzepte für Geschäftsreisende. Dieser alarmierende Zustand ist auf die Verhältnismäßigkeit zwischen Preis und Qualität zurückzuführen. Hierbei werden die Risiken bei einer Reise, anstatt eine primäre Rolle einzunehmen, als sekundär angesehen. Nicht nur dass es auf organisatorischer Ebene mangelt, handeln auch Geschäftsreisende unzureichend mit unternehmensinternen Informationen und Werten bzw.
unterschätzen alltägliche Gefahrensituationen. „Gesunde Vorsicht hat […]
nichts mit Paranoia zu tun, ganz im Gegenteil: Es ist wichtig, Gefahren und Risiken einer Reise zu kennen und ernst zu nehmen. Darum ist nicht nur das Engagement der Sicherheitsverantwortlichen gefragt, sondern auch das der Reisenden selbst“ (Leidel, 2014, S. 18–19).
Datenschutzmanagement
Gemäß der Studie von PwC sind die Defizite im Sinne von Datenschutz der Unwissenheit und Unachtsamkeit des Personals bzw. der Organisation zuzuschreiben. Demnach ist Datenschutzmanagement in Organisationen nur eine Pro-forma-Angelegenheit und leidet an übergreifender Datenschutzstrategie und datenschutzrechtlichen Schulungen der Arbeitenden.
Des Weiteren wird angeführt, dass Datenschutz in Organisationen als lästige Pflichtanweisung angesehen wird, die die Gesetzgeberin bzw. der Gesetzgeber dem Unternehmen aufgedrückt hat. Kritisiert wird auch, dass das Personal hinsichtlich Datenschutz und Datenschutzbestimmungen wenig sensibilisiert und geschult wird (PwC, 2017). Zu berücksichtigen ist, dass Datenschutz nicht
mit Datensicherheit in Synonyme gesetzt wird. „Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist Informationssicherheit“ (Bundesamt für Sicherheit in der Informationstechnik, 2013).
1.4 Forschungsfrage und Hypothesen
Die Masterarbeit ist im Forschungsbereich Corporate and Information Security Management angesiedelt und unterliegt dem vorgegebenen Forschungsauftrag:
„Entwickeln Sie auf Basis der im Fachbereich entwickelten Teilprozessmodelle des „Corporate and Information Security Management“ ein Gesamtprozessmodell für ein integriertes Security- Modell. Überprüfen Sie Ihr entwickeltes Modell auf Anwendbarkeit“
(Kob, 2016).
Die Verbindung dieser Themenstellung und die davon ausgehenden Problemstellungen schaffen ein klares Ziel für die Masterthesis. Dieses Forschungsgebiet hat in jüngster Vergangenheit an Bedeutung gewonnen und wird in Zukunft weiter an Wichtigkeit zunehmen, um die Werte einer Organisation gegen interne und externe Einflüsse besser schützen bzw. die Effektivität und Effizienz der gesetzten Maßnahmen besser optimieren zu können. Deswegen muss evaluiert werden, wie einzelne Teilprozessmodelle einer Organisation zu einem Gesamtprozessmodell gebündelt werden können, um die Ressourcen einer Organisation mit entsprechender Methodik besser zu verwalten. Anhand des angeführten Forschungsauftrags und der zuvor aufgezeigten Problemstellung spiegelt sich ein klares Ziel der Masterthesis wider. Aus diesem Grund ist es vonnöten, weitere Vorüberlegungen zur Erreichung des Vorhabens aufzustellen. Daher wird eine frei formulierte Forschungsfrage aufgestellt.
1.4.1 Forschungsfrage
Die nachfolgende Forschungsfrage kann natürlich nicht direkt beantwortet werden und benötigt darüber hinaus weitgehende Recherchearbeit, kombiniert
mit wissenschaftlichen Analyse- und Auswertungsmethoden. Für die geplante wissenschaftliche Arbeit wird im empirischen Teil ein qualitatives Forschungsverfahren mit deduktivem Arbeitsverfahren angewendet. Dabei ist es nicht zwingend notwendig, Hypothesen aufzustellen. Wie den Forschungszielen zu entnehmen ist, verfolgt die Masterthesis weder die Arbeit zu verifizieren noch zu falsifizieren. Aus diesem Grund wird ein hypothetischer Ansatz zur Zielorientierung des Vorhabens aufgestellt, welcher durch die Forschungsfrage und forschungsleitenden Fragen unterstützt wird. Somit beschäftigt sich die angestrebte Masterarbeit damit, eine wirkungsvolle Methode auszuarbeiten, welche die in der Forschungsfrage und in den Forschungszielen formulierte Problemstellung beantwortet.
Wie können die historisch getrennten Sicherheitsdisziplinen und die ausgearbeiteten Teilprozessmodelle, unter Berücksichtig der zu zugrunde liegenden Theorien, in ein gemeinsames geschäftsprozessorientiertes und unternehmensstrategieadjustiertes Vorgehensmodell als ein Gesamtprozessmodell überführt werden?
Zusätzlich wurden zu der Forschungsfrage weitere forschungsleitende Fragen und eine Hypothese definiert, um ein zielorientiertes wissenschaftliches Arbeitsverfahren zu gewährleisten.
1.4.2 Forschungsleitende Fragen
Da es schwierig ist, den hypothetischen Ansatz auf die Interviewleitfragen für das Expertinnen- und Experteninterview zu implementieren, werden als Zwischenschritt Leitfragen formuliert, mit dem Ziel und Zweck, die Leitfragen als ein Bindeglied mit den theoretischen Vorüberlegungen und qualitativen Erhebungsmethoden zu verknüpfen. Diese Leitfragen werden auf das Untersuchungsfeld gerichtet, um zusätzliche Informationen mit Fragestellungen zu formulieren, welche erhoben werden müssen. Somit können Erhebungsmethoden zur Datenerbringung gewährleistet und kann das Wissen, um die Forschungsfrage zu beantworten, erbracht werden. Letztendlich können dadurch gezielte Fragestellungen als forschungsleitende Fragen bzw.
Nachfragen im Interviewleitfaden für das Expertinnen- und Experteninterview erarbeitet werden. (Gläser & Laudel, 2010, S. 90–91). Nachfolgend werden die forschungsleitenden Fragen definiert:
Tabelle 1: Forschungsleitende Fragen Nr.: Forschungsleitende Fragen
1
Wie kann eine Zusammenlegung der einzelnen Teilprozesse mit etwaigen Grundlagen, Prinzipien, Ansätzen und Managementdisziplinen zu einem Gesamtprozessmodell visualisiert werden?
2
Falls Abweichungen im Sinne des Gesamtprozessmodells bestehen sollten, wie können diese Abweichungen weiterbehandelt und in das Gesamtprozessmodell integriert werden?
3 Welchen Beitrag könnte der Deming-Kreislauf (PDCA-Zyklus) bei diesem Vorhaben liefern und macht es Sinn, den Deming-Kreislauf als Grundlage heranzuziehen?
4
Wie können die einzelnen Prozessschritte, der Kommunikations- und Informationsfluss sowie die Überwachungs- und Überprüfungsaktivitäten der Verantwortungsträgerinnen und Verantwortungsträger im Gesamtprozessmodel visualisiert werden?
5 Welche Prinzipien, Ansätze und Grundlagen sollten verfolgt werden, um eine Effektivität und Effizienz einer Gesamtprozessmodellierung zu gewährleisten?
Quelle: Eigene Darstellung
1.4.3 Hypothese
Für die geplante wissenschaftliche Arbeit wird ein qualitatives Untersuchungsverfahren angewendet. Dafür müssen nicht unbedingt Hypothesen aufgestellt werden, um die Zusammenhänge zwischen den Variablen zu organisieren. Werden trotzdem Hypothesen zur empirischen Erhebung und Auswertung formuliert, müssen diese nicht zwingend geprüft werden. Dieser hypothetische Ansatz dient lediglich zur Orientierung des Autors, um die Aufmerksamkeit auf die empirischen Sachverhalte zu lenken, welche für die Beantwortung der Untersuchungsfragen von Bedeutung sind (Gläser & Laudel, 2010, S. 77–78). Aus diesem Grund wird der hypothetische Ansatz zusätzlich zu der Forschungsfrage zur Fokussierung des Sachverhaltes mit den entsprechenden Hypothesen wie folgt aufgestellt:
1 Unter Berücksichtigen der zugrunde liegenden Theorien und aus den abgeleiteten Grundlagen, Prinzipien, Ansätzen sowie Strategien kann ein Gesamtprozessmodell im Sinne eines integrierten Security-Modells entwickelt werden.
2 Wenn auf Basis des entwickelten Gesamtprozessmodells die Sicherheitsdisziplinen in Organisationen integriert werden, wird die Umsetzung einer organisationsweiten und einheitlichen
Vorgehensweise im Sinne Unternehmenssicherheit effizienter und effektiver.
1.5 Zielsetzung und Eingrenzung
Das Ziel der angestrebten wissenschaftlichen Arbeit ist, die Anwendbarkeit der einzelnen Teilprozesse des „Corporate and Information Security Management“
zu einem Gesamtprozessmodell darzustellen. Daher verfolgt die vorliegende Arbeit das Ziel, die getrennt betrachteten Sicherheitsdisziplinen und die im Fachbereich entwickelten Teilprozessmodelle der FH Campus Wien an ein ganzheitliches Prozessmodell zu adaptieren. Diese ausgearbeiteten Teilprozessmodelle werden nachfolgend aufgelistet:
• physische Sicherheit in Anlehnung an ISO 27001 und ISO 22301
• Datenschutz in Anlehnung an ISO 27001
• Produkt- und Know-how-Schutz in Anlehnung an ISO 22301
• Krisenmanagementsystem in Anlehnung an ISO 22301
• Reisesicherheit in Anlehnung an ISO 22301
• personelle Sicherheit in Anlehnung an ISO 22301
Somit beschäftigt sich der vorliegende Forschungsauftrag der angestrebten Masterarbeit damit, eine wirkungsvolle Methode auszuarbeiten, welche die in den Forschungsfragen und Forschungszielen formulierte Problemstellung beantwortet: ob die einzelnen ausgearbeiteten Teilprozesse des Corporate and Information Security Management als ein gemeinsames geschäftsprozessorientiertes und unternehmensstrategieadjustiertes Vorgehensmodell integrierbar sind und welche zusätzlichen Ansätze verfolgt werden müssen, um das Thema zu einer Managementaufgabe zu machen.
Nicht Ziel ist es, die rechtlichen Grundlagen der einzelnen Sicherheitsdomänen zu betrachten, da dies den Rahmen dieser Arbeit sprengen würde. Rechtliche Grundlagen werden nur bei Bedarf erwähnt. Eine weitere Nichtzielsetzung ist, auf Basis des ausgearbeiteten Gesamtprozessmodells eine Aufbauorganisation auszuarbeiten. Jedoch werden hierbei wichtige Aspekte, welche zu beachten sind, bei Bedarf erwähnt. Aus der Nichtzielsetzung abgeleitet werden die einzelnen Verantwortlichkeiten und Kompetenzen der einzelnen Personen und Personengruppen im Gesamtprozessmodell nicht im Detail, sondern oberflächlich behandelt.
1.6 Aufbau der Arbeit
Um ein nachvollziehbares Ergebnis der Masterarbeit erzielen zu können, werden nach der Vorstellung des Forschungsfeldes (Kapitel 1) die einzelnen Themengebiete wie folgt unterteilt:
Kapitel 2 widmet sich der Ausarbeitung der Theorien bzgl. der Grundlagen, Prinzipien und Ansätze im Sinne des Prozessmanagements, um die einzelnen Teilprozesse der Sicherheitsdisziplinen als ein Gesamtprozessmodell modulieren zu können.
In dem darauffolgenden Kapitel 3 werden die Grundlagen der vorliegenden Theorien dahingehend näher betrachtet, ob die Anwendbarkeit der Theorien zu dieser Arbeit gegeben ist und welche Aspekte noch zu berücksichtigen sind.
Des Weiteren finden sich in diesem Kapitel die einzelnen Phasen des ausgearbeiteten Gesamtprozessmodells, welches das Ergebnis des Forschungsauftrages darstellen soll.
In Kapitel 4 werden die Vorgehensweise zur empirischen Untersuchung gemäß dem Forschungsdesign, der Operationalisierung, die Erhebung und das Ergebnis mit einer Zusammenfassung der empirischen Untersuchung vorgestellt.
Das Kapitel 5 beschäftigt sich als Abschluss dieser Arbeit mit dem gesamtheitlichen und zusammengefassten Ergebnis mit kritischer Reflexion des Forschungsauftrages und mit dem Ausblick des weiteren Forschungsbedarfes.
1.7 Genderaspekt
Als Basis für die Erreichung der Genderaspekte und zur positiven Zielerreichung der Bachelorarbeit wird der Sprachleitfaden
„Geschlechtergerechter Sprachgebrauch an der FH Campus Wien“
herangezogen. Anhand der Vorgaben des Sprachleitfadens wie
• Checkliste geschlechtergerechte Sprache,
• zehn Regeln des geschlechtergerechten Sprachgebrauchs,
• geschlechtergerechte Sprache in englischen Texten,
• geschlechtergerechtes Sprechen und Vortragen,
• geschlechtersensible Bildgestaltung,
• Übersicht häufig verwendeter Begriffe,
• weiterführende Literatur, Links und Quellen
werden diese Richtlinien in diesem Projekt berücksichtigt sowie der Sprachleitfaden als eine Checkliste betrachtet. Den Genderaspekten wird insbesondere unter den folgenden Gesichtspunkten im Forschungsprozess Rechnung getragen:
Tabelle 2: Genderaspekte
Themen Beschreibung
Forschungsfragen
Bei der Erarbeitung der Forschungsfrage und den forschungsleitenden Fragen wird darauf geachtet, dass beide Geschlechter gleichermaßen angesprochen werden und sie in jeder Hinsicht gleichgestellt sind.
Forschungsdesign Im gesamten Forschungsprozess werden geschlechtsneutrale Formulierungen verwendet.
Datenerhebung
Die Datenerhebung erfolgt durch die Interviews mit Fachexpertinnen und -experten. Die Auswahl der Interview-Partnerinnen und -partner erfolgt primär aufgrund ihrer fachlichen Eignung, ungeachtet ihres Geschlechts. Die Befragung erfolgt unter Zuhilfenahme eines Interview- Leitfadens, welcher die geschlechtsneutrale Schreibweise ebenfalls berücksichtigt. Nach Möglichkeit wird bei der Auswahl der Expertinnen und Experten versucht, eine gleichmäßige Verteilung der Geschlechter zu erzielen. Dies soll dazu dienen, dem Faktor der Diversität Rechnung zu tragen.
Datenauswertung
Die Auswertung der erhobenen Daten wird geschlechtsneutral vorgenommen. Dadurch sollen geschlechterbezogene Verzerrungseffekte vermieden werden.
Quelle: Eigene Darstellung
1.8 Gesellschafts- und Umweltaspekte
1.8.1 Nutzen für die Gesellschaft
Die Ergebnisse dieser Masterthesis sind für alle Unternehmensleiterinnen und Unternehmensleiter von großer Relevanz. Die Unternehmensleitung soll durch diese Masterthesis eine Möglichkeit der Wirksamkeitsprüfung über das unternehmensweite „Corporate and Information Security Management“
aufgezeigt bekommen. An der Prüfung der Effizienz der eingesetzten Managementsysteme anhand von qualitativen und quantitativen Kennzahlen sind aufgrund von gesetzlichen und regulatorischen Anforderungen insbesondere die Unternehmensleitungen von börsennotierten Unternehmen interessiert. Aber nicht nur die Unternehmensleitung profitiert von den Ergebnissen dieser Masterthesis, sondern auch alle Betroffenen internen und externen Interessengruppen der Unternehmen. Dies sind Mitarbeiterinnen und Mitarbeiter durch gesicherte Arbeitsplätze, die Aktionärinnen und Aktionäre durch einen steigenden Aktienkurs, die Finanzbehörden durch gesteigerte Steuereinnahmen und viele andere.
1.8.2 Umweltaspekte
Diese Aspekte wurden eigentlich bei der Problemdarstellung (Einleitung) detailliert geschildert. Nachfolgend wird ein kleiner Überblick über das Vorhaben geschaffen.
Das Vorhaben und die Forschung im gegenständlichen Feld und die daraus resultierenden Ergebnisse haben denkbarerweise Auswirkungen auf gesellschaftliche, soziale, ethische sowie Umweltaspekte. Der Forschungsgegenstand der geplanten Arbeit hat das Potenzial, nachhaltige Auswirkungen auf öffentliche Einrichtungen, private Unternehmen und Organisationen, Interventionskräfte und nationale und internationale Verteidigungskräfte nach sich zu ziehen.
Aufgrund des globalisierten und vernetzten Marktes und der negativen Entwicklung in Bezug auf islamistischen Extremismus, Rechtsextremismus und Terrorismus und aus deren resultierenden Gefährdungspotenzialen für die liberal-demokratische Weltbevölkerung und die freie Marktwirtschaft dürfen Security-Aspekte nicht außer Acht belassen werden. Durch ein nicht dem Unternehmen, der Organisation, den Behörden usw. angepasstes Security- Managementsystem können diese Gegebenheiten verstärkt werden und die
Überwindung dieser wäre nur mit großer Ressourcenbereitschaft bewältigbar.
Somit wäre z.B. durch einen terroristischen Anschlag auf kritische Infrastrukturen eines Landes mit langwieriger Auswirkung nicht nur die Umwelt betroffen, sondern auch die nationale und internationale Bevölkerung. Da solche Risiken durch funktionierende Aufbau- und Ablauforganisation sowie durch ein effektives Risikomanagementsystem nie vollständig ausgeschlossen werden können, ist es jedoch wichtig, Sicherheitsaspekte zu standardisieren und Redundanzen auszugrenzen, um effektive Resultate erzielen zu können.
Somit wäre die Möglichkeit geschaffen, Störungspotenzialen und Risiken proaktiv zu begegnen. Dies ist dann möglich, wenn ein funktionierendes Informations- und Kommunikationsmodell sowie Überprüfungs- bzw.
Überwachungssysteme in einem gesamtheitlichen Prozessmodell vorgesehen wurden, um die Schadenspotenziale und Auswirkungen in Grenzen halten zu können.
Theoretischer Teil 2
Inhalt
2.1 BEGRIFFSDEFINITIONEN ... 31 2.2 THEORIE ... 34 2.2.1 Prozess ... 35 2.2.2 Management ... 38 2.2.3 Prozessmanagement ... 41 2.2.4 Security Management ... 65 2.2.5 Grenzen und Kritik ... 76
2.1 Begriffsdefinitionen
Nachfolgend wird auf die zentralen Begriffe in Bezug auf ihre Definition eingegangen. Diese Begrifflichkeiten stellen die allgemeinen Grundlagen der Masterarbeit dar. Um ein klares gemeinsames Verständnis aufbauen zu können, werden die Begriffe anhand anerkannter Literatur belegt. Falls notwendig, werden die folgenden Begrifflichkeiten in der Masterarbeit in den jeweiligen Kapiteln näher betrachtet und erläutert.
Personelle Sicherheit
Personelle Sicherheit besteht aus zwei Komponenten (Talbot & Jakeman, 2009, S. 63):
a. Der Schutz von Menschen (Personal, Familien, Besucherinnen und Besucher) vor Gefahren.
b. Der Schutz von Organisationen und anderen Menschen vor Gefahren, die in der Regel von Menschen verursacht werden.
Physische Sicherheit
Physische Sicherheit umfasst den Schutz von Personen, Hardware, Eigentum jeglicher Art, Netzwerken und Daten vor vorsätzlichen Handlungen wie etwa Einbruch, Diebstahl, Vandalismus, Terrorismus etc. Der Zweck des physischen Sicherheit-Systems sind die Prävention und die Reduzierung der Wahrscheinlichkeit von Sabotage, Diebstahl, unbefugtem Eindringen, Spionage, Terrorismus etc. Ein solches System muss die Fähigkeit besitzen, Verstöße zu registrieren, zu bewerten, weiterzuleiten sowie sie hinauszuzögern und Gegenmaßnahmen zu veranlassen (Talbot & Jakeman, 2009, S. 59).
Reisesicherheit
Reisesicherheit (Travel Security) beschäftigt sich, wie man der Bezeichnung entnehmen kann, mit der Reisesicherheit von Personen und Personengruppen sowie der Sicherstellung von Unternehmenswerten in jeder Hinsicht. Somit verfolgt Travel-Security-Management die proaktive Bereitschaft einer Organisation, auf etwaige Risiken vorbereitet zu sein und bei Eintreten dieser negativen Einflüsse schnell und effizient handlungsfähig zu sein. Es ist die Pflicht einer Organisation, was auch gesetzlich geregelt ist, Maßnahmen zu ergreifen, die zum Schutz der Gesundheit und Sicherheit von Personen notwendig sind (iJET International, 2006, S. 1).
Datenschutzmanagement
Unter Datenschutz werden die generellen Informationen von Personen und die Sicherstellung sowie der Anspruch auf Geheimhaltung dieser Daten verstanden. Hierbei handelt es sich um sensible Daten, mit denen die Identität von Personen bestimmt und nachverfolgt werden kann (Bundeskanzleramt Österreich, o.J.). Zu berücksichtigen ist, dass Datenschutz von Datensicherheit abgegrenzt wird.
Krisenvermeidung und -bewältigung/Krisenmanagement
Wenn auch keine mehrheitlich anerkannte Definition für Krisenvermeidung und -bewältigung existiert, wird Krisenmanagement als Oberbegriff für unterschiedliche Sachverhalte sowie Inhalte herangezogen. Somit wird Krisenmanagement in drei Gesichtspunkte unterteilt (Moldenhauer, 2004, S.
25):
„als Prozess mit den Phasen Planung, Realisation und Kontrolle,
als Institution umfasst es alle Personen und Gruppen, die das Unternehmen vor bzw. in der Krise führen […],
als System, das die Aktionsfelder der Krisenvermeidung und -bewältigung den Phasen der Unternehmenskrise zuordnet“
Produkt- und Know-how-Schutz
Im Sinne des Terminus Produkt- und Know-how-Schutz konnte keine einheitliche Definition abgeleitet werden. Um den Bereich Produktschutz jedoch ansatzweise definieren zu können, wurde das österreichische Patentgesetz herangezogen. Hiervon lässt sich ableiten, dass der Fachbegriff Produktschutz durch proaktive Maßnahmensetzung wie Patentanmeldung, zeitlich begrenztes Schutzzertifikat für bestimmte Produkte, Markenschutz (Bildmarke, Wortmarke, Farb- und Klangmarken) usw. für das Unternehmenssortiment der Produktpiraterie und dem Vertragsverstoß entgegenwirken will (Österreichisches Patentamt, 2017).
Bedrohung
Eine Bedrohung ist eine Konstellation aus verschiedenen Umständen oder Ereignissen, welche negative Auswirkungen auf eine Organisation haben, wodurch Schaden entstehen kann. Der Schaden richtet sich auf die Werte der Organisation wie Vermögen, Know-how, Infrastruktur oder Leib und Leben.
Ursachen für Bedrohungen sind beispielhaft höhere Gewalt, menschliches und/oder technisches Versagen, dolose Handlungen usw. Kommt es zu einer Bedrohung, aufgrund diverser Mängel in der Organisation, wird von einer Gefährdung gesprochen (Bundesamt für Verfassungsschutz, 2016, S. 1).
Gefahr
Gefahr „[…] wird oft als übergeordneter Begriff gesehen, wogegen unter Gefährdung“ eine genauer beschriebene Gefahr (räumlich und zeitlich nach Art, Größe und Richtung bestimmt) verstanden wird. Diese Unterscheidung wird aber in der Literatur nicht durchgängig gemacht und ist eher von akademischer Bedeutung, so dass [sic!] es sinnvoll ist, ‚Gefahr‘ und ‚Gefährdung‘ als gleichbedeutend aufzufassen“ (Bundesamt für Verfassungsschutz, 2016, S. 3).
Risiko
Unter Risiko wird die Auswirkung von Unsicherheit auf Organisationsziele verstanden. Dieser Wortbegriff umfasst die Zusammenstellung aus
Wahrscheinlichkeiten und Auswirkungen, wobei Auswirkungen negativ sowie positiv sein können. Die Wahrscheinlichkeit ergibt sich aus der Unsicherheit bzw. Ungewissheit und wird demnach geschätzt oder untersucht (Austrian Standards Institute - Österreichisches Normungsinstitut, 2014, S. 7).
Stakeholderin bzw. Stakeholder/Interessengruppen
„Personen oder Gruppen, die Interesse an der Organisation bzw. einem Ereignis haben oder davon betroffen sind. Interessensgruppen [sic!] können bspw. Personal, Kundinnen und Kunden, Lieferfirma, Branchenverbände oder der gesetzgebende Instanz sein“ (Bundesamt für Verfassungsschutz, 2016, S.
9).
Wert
Unter dem Wortbegriff „Wert“ werden die materiellen und immateriellen Ressourcen wie Personen, Infrastruktur, Anlage, Wissen, Vermögen, Reputation und/oder Informationen einer Institution verstanden (Bundesamt für Verfassungsschutz, 2016, S. 10).
Institution
„Der Begriff ‚Institution‘ wird im Wirtschaftsgrundschutz als Oberbegriff für Behörden, Unternehmen und sonstige Organisationen verwendet“ (Bundesamt für Verfassungsschutz, 2016, S. 3).
2.2 Theorie
Die nachfolgenden Punkte haben das Ziel, die zugrunde liegenden theoretischen Literaturen in Bezug auf die Masterthesis hervorzuheben und die daraus gewonnenen Erkenntnisse in den empirischen Teil der Arbeit zu integrieren. Anhand dieser Theorien ist es dem Autor möglich, die Grundlagen, Prinzipien und Ansätze für die vorgegebene Forschungsfrage zu identifizieren.
Somit stellen die theoretischen Aspekte zur Erreichung des angestrebten Zieles einen Wegweiser mit dem Fokus auf die Kerninhalte zur Gestaltung eines Gesamtprozessmodells dar.
Da das Prozessmanagement eine der wissenschaftlichen Theorien bildet, ist es notwendig, den Wortlaut „Prozessmanagement“ unter zwei unterschiedlichen Aspekten (Prozess und Management) zu betrachten. Dies aus dem Grund, da
in unterschiedlichen Literaturen die Begrifflichkeiten wie z.B. Prozess, Leistungsprozesse, Unterstützungsprozesse, Führungsprozesse, betrieblicher Prozess, organisatorische Abläufe usw. verwendet werden. Solche ähnliche Erkenntnis wird auch dem Wortlaut „Management“ zugeschrieben. Dies ist notwendig, damit die grundlegende Zusammensetzung, die Prinzipien und die Ziele des Prozessmanagements verstanden werden.
2.2.1 Prozess
Der vorliegenden Literatur nach ist ein Prozess eine Ansammlung von zusammenhängenden Aktivitäten mit einzelnen Arbeitsschritten mit Input- und Output-Größen, die auf Kundenbedürfnisse und -nutzen fokussiert sind. Somit richten sich diese Input- und Output-Größen auf die Anforderungen und Erwartungen der Kundinnen und Kunden. Die Interessengruppen interessieren weniger die Prozesse einer Institution, sondern lediglich die geforderten Erwartungen und damit das Produkt bzw. die Leistung. Entscheidend zur Erfüllung dieser Anforderungen ist es, dass die Institutionen diese entsprechenden Ressourcen in jeder Hinsicht bereitstellen. Vor jeder Kundinnen- und Kundenanforderung sollte zuerst die Frage – „Wie wird die Kundin bzw. der Kunde eines Prozesses definiert“ – gestellt werden. Zu unterscheiden sind zwei Kundinnen- und Kundengruppen, welche wie folgt erläutert werden (Feldbrügge & Brecht-Hadrashek, 2008, S. 15–16):
Extern
Externe Kundinnen und Kunden agieren im Regelfall außerhalb einer Institution. Somit sind diese externen Interessengruppen potenzielle Personen und Institutionen, die an Produkten und Dienstleistungen einer Institution interessiert sind und die Angebote eines Produktportfolios einer Institution für ihren eigenen Gebrauch bzw. für den weiteren Handel beziehen.
Intern
Interne Kundinnen und Kunden werden in einer Institution als Lieferantin bzw. Lieferant, Abnehmerin und Abnehmer bzw. und Verarbeiter definiert.
Hierbei geht es um die Verarbeitung von Teilprozessen, welche als Input von einer anderen Institutionseinheit als Output-Größen kommuniziert und weitergegeben wurde. In einem Prozessablauf „[…] ist jeder Teilprozess, Prozess- und Arbeitsschritt Kunde des vorgehenden und zugleich der
Lieferant des nachfolgenden Teilprozesses, Prozess- und Arbeitsschrittes“
(Schmelzer & Sesselmann, 2013, S. 60–61).
Auf Basis dieser Erkenntnis beschäftigt sich somit ein Prozess mit der Bereitstellung der termin- und leistungsgerechten sowie wertschöpfenden Aktivitäten, welche organisations- bzw. personenübergreifend sind. Demnach kann ein Prozess, welcher materielle und immaterielle Aktivitäten behandelt, selbst eine „Kundschaft“ von einem vorher durchlaufenen bzw.
abgeschlossenen Prozess sein (Feldbrügge & Brecht-Hadrashek, 2008, S. 16–
18). Nach Schmelzer und Wolfgang (2010) sagt der Prozessbegriff „[…] nichts über Begrenzung, Reichweite, Inhalt, Struktur des Prozesses sowie Empfänger der Prozessergebnisse aus“, da jede Aktivität eines angestrebten Zieles demnach ein Prozess ist (S. 62). Eine abschließende, aber jedoch sehr passende Ausdrucksweise von Feldbrügge und Brecht-Hadraschek scheint in diesem Sinne erwähnenswert: „Prozesse sind das Nervensystem eines Unternehmens“ (Feldbrügge & Brecht-Hadrashek, 2008, S. Rückseite des Buches).
Abbildung 1: Vereinfachte Prozessdarstellung
Quelle: Schmelzer & Wolfgang, 2010, S. 62
Prozesse werden in unterschiedlichen Aktivitäten mit entsprechender Zielsetzung in einer Institution integriert. Diese verschiedenen Tätigkeiten produzieren unterschiedliche materielle bzw. immaterielle Produkte, andere wiederum sind im Sinne der Wertschöpfungskette für die Unterstützung diverser Prozessabläufe verantwortlich und wieder andere dienen dem Management.
Somit lassen sich drei Prozesstypen ableiten, nämlich (Knuppertz, 2009, S. 45–
49):
Leistungsprozesse (auch Kernprozess, Geschäftsprozess und Primärprozess genannt)
Das Ziel eines Leistungsprozesses besteht darin, neben der Erfüllung der Kundinnen- und Kundenanforderungen, auch eine geregelte Ablauforganisation in Institutionen zu ermöglichen. Dies beginnt schon bei der Marktanalyse, Entwicklung eines Produktes bzw. Dienstleistung, Produktion bis hin zum Verkauf und Serviceerbringung eines Produktes an
Eingabe (Input)
Umwandlung (Transformation)
Ergebnis (Output)
die Kundinnen und Kunden sowie in internen und externen organisatorischen Abläufen.
Unterstützungsprozesse (auch Support- und Sekundärprozess genannt) Unterstützungsprozesse dienen dazu, die benötigten Abläufe der Leistungsprozesse zu unterstützen. Diese Unterstützungsprozesse können z.B. die Einhaltung der Qualitäts- und Leistungsanforderungen und die Bereitstellung der notwendigen Ressourcen für einen effektiven und effizienten Prozessablauf, die Einhaltung gesetzlicher, normativer Auflagen sowie interne Rahmenbedingungen sein.
Führungsprozesse (auch Management- und Steuerungsprozesse genannt)
Führungsprozesse steuern die zuvor genannten Prozessebenen und die nicht direkt angeführten Prozesse und Aktivitäten einer Institution. Somit beschreiben die Führungsprozesse die Ziele und steuern auch deren Zielerreichung. Des Weiteren werden eine permanente Optimierung und die Koordinierung der Prozesse bei allen Aktivitäten sichergestellt. Sie definieren generelle Richtlinien und stellen die ausgewählten bzw. infrage kommenden Methoden sicher.
Neben der Erzeugung von materiellen und immateriellen Werten haben Prozesse weitere Funktionen, wie die Gliederung bzw. Optimierung von Tätigkeiten, die Prozessablaufdokumentation als Unterstützung des Personals und die Regelung von Prozesseignerinnen und Prozesseignern bzw.
Verantwortlichkeiten. Durch die Strukturierung der Aktivitäten wird der transparente Prozessablauf innerhalb einer Institution in Bezug auf die Errichtung von Leistungen in jeder Hinsicht gewährleistet. Dadurch wird das Personal besser in das System integriert, werden das Verständnis und die Kommunikation verstärkt sowie durch das Management die Ressourcen effektiver bzw. effizienter eingesetzt und gesteuert. Prozessabläufe benötigen und verlangen durchgängige Dokumentation, um das Verständnis des Unternehmensgegenstandes als Grundlage der internen sowie externen Interessengruppen näherbringen zu können (Senden & Dworschak, 2012, S.
34–37).
2.2.2 Management
Die ersten Anstöße in Bezug auf Management „[…] wurden bereits im 16.
Jahrhundert von Thomas Morus bei der Untersuchung ineffektiver Unternehmungen […]“ vorgenommen (BWL-Wissen.net, 2016). Die ersten literarischen Belege in Bezug auf Management finden sich „[…] im England des 19. Jh. und wenig später auch in den USA“ ( Staehle, Conrad, & Sydow, 2014, S. 71). Management beschäftigt sich mit der Gestaltung, Steuerung und Weiterentwicklung im Sinne der „[…] hohen Ungewissheit mit dem Ziel, einen im Vergleich zu anderen Wettbewerbern höheren Nutzen für alle Bezugsgruppen […]“ von Organisationen zu schaffen (Bleicher, 2011, S. 18).
Neben der Erzeugung von Wettbewerbsvorteilen führen die Autoren Staehle et al. (2014) in ihrer Literatur an, dass das Management heute in Bedeutungsvarianten eingestuft werden kann, nämlich in (S. 906–907):
„Management im funktionalen Sinn, d.h. Beschreibung der Prozesse und Funktionen, die in arbeitsteiligen Organisationen notwendig werden, wie Planung, Organisation, Führen, Kontrolle […] und
Management im institutionellen Sinn, d.h. Beschreibung der Personen(- gruppen), die Managementaufgaben wahrnehmen, ihre Tätigkeiten und Rollen […]“.
Wenn die oben angeführten Aspekte betrachtet werden, kann davon ausgegangen werden, dass das Ziel des Managements mit entsprechenden Methoden zu einer funktionierenden, effektiven und effizienten Führung einer Institution zu entwickeln ist sowie die Bedürfnisse einer Institution und des Personals abgedeckt werden (BWL-Wissen.net, 2016). Demnach können die Managementaufgaben in eine normative, strategische und operative Managementdimension unterteilt werden. „Während das normative und das strategische Management gestalterische Aufgaben haben, lenkt das operative Management die Unternehmensentwicklung“ (Orantek, 2014, S. 73).
Normatives Management
Hier werden die geltenden Ziele mit den Prinzipien und Rahmenbedingungen (normativ und gesetzlich) einer Institution beschrieben. Dabei geht es um die Gewährleistung der Identität, die Fähigkeit der Entwicklung und darum, die Wichtigkeit der Lebensfähigkeit einer Institution zu beschreiben und voranzutreiben. Das Hauptdokument bildet eine unternehmensinterne Vision mit der innerpolitischen Ausrichtung und Kultur für Legitimität als ein Maßstab
für die Organisationshandlungen. Normatives Management bildet somit ein ziel- und zweckorientiertes Verfahren in der wirtschaftlichen und gesellschaftlichen Unternehmensumwelt, um den Sinn und Zweck all seiner Interessengruppen zu verinnerlichen und die Identität nach innen und außen vertreten zu können. Mit der Konkretisierung einer Mission, im Sinne einer Organisationsentwicklung, spielt normatives Management eine konstitutive Rolle bei den Organisationshandlungen (Orantek, 2014, S. 74).
Strategisches Management
„Im strategischen Management werden die Erfolgspotenziale, welche für die Ressourcen eingesetzt werden müssen, aufgebaut, gepflegt und ausgebeutet“
(Orantek, 2014, S. 75). Die Erfolgspotenziale mit dem erfolgsrelevanten Gesamtgefüge (produkt- und markspezifischen Leistungen, Technologien, Strukturen, Ressourcen und Prozesse) einer Institution runden das strategische Management ab. Das strategische Management mit der Fokussierung auf die Mission einer Institution entwickelt dementsprechende Strukturen und Systeme des Managements für den Unternehmenserfolg. „Somit liegt die Aufgabe des strategischen Managements in einer Ausrichtung des Unternehmens auf Aktivitäten“ (Orantek, 2014, S. 75).
Operatives Management
Neben dem normativen und strategischen Management zur Errichtung, Bewahrung und Schaffung von Organisationswerten bzw. Erfolgspotenzialen und der Bereitstellung der notwendigen Ressourcen ist das operative Management darauf ausgerichtet, die Potenziale der Institution mit entsprechenden Maßnahmen auszuschöpfen, um die Erfolgserzielung zu gewährleisten (Amann & Petzold, 2014, S. 131).
Nach Hungenberg (2014) ist somit operatives Management auf die einzelnen Organisationseinheiten innerhalb einer Organisation fokussiert. Ziel dabei ist es, ähnliche Tätigkeiten der Funktionsbereiche zusammenzubündeln, um einzelne Organisationsbereiche wie Beschaffung, Produktion usw. besser differenzieren zu können. Sinn und Zweck dabei ist es, durch Festlegung von operativen Zielen und Maßnahmen sowie mit den entsprechenden Aktivitäten die Funktionsbereiche auf ihre Zielsetzung zu überwachen, zu koordinieren und bei der Umsetzung zu unterstützen. Dies ist nur dann möglich, wenn auf einzelne Funktionsbereiche die alternierenden Relationen abgestimmt werden und mit den entsprechenden Ressourcen die Wertschöpfungskette unter
Berücksichtigung Umsatz vs. Kosten und Liquidität aufrechterhalten wird (S.
43–44).
Abbildung 2: Modell des Managements
Quelle: Hungenberg, 2014, S. 24
Zusammenfassend kann in Anlehnung an Bleicher und Steinle gesagt werden, dass sich das Management mit der Gestaltung, Lenkung (auch Steuerung) und Entwicklung eines sozialen Systems im Sinne einer ganzheitlichen Unternehmensführung (operatives, strategisches und normatives Management) befasst.
Gestaltung
Bezieht sich in erster Linie auf die Festlegung, Profilierung und Anordnung von Zielbereichen und die innerpolitische, ethische Grundhaltung einer Institution (Steinle, 2005, S. 11). In zweiter Linie bezieht sich die Gestaltung auf die Schaffung „eines institutionellen Rahmens, der es ermöglicht, eine handlungsfähige Ganzheit über ihre Zweckerfüllung überlebens- und entwicklungsfähig zu erhalten“
(Bleicher, 2011, S. 73).
Lenkung (Steuerung)
Beschäftigt sich im engeren Sinn mit den Ausrichtungsprozessen einer Organisation im Sinne der Personalführung, Kontrolle und Überprüfung sowie mit der Realisierung von vorgegebenen bzw. gesetzten Organisationszielen (Steinle, 2005, S. 11). Kurz gesagt hat die Lenkung die Aufgabe, die verfassten bzw. transformierten normativen und strategischen Auflagen einer Organisation durch das operative Management zu lenken sowie umzusetzen (Bleicher, 2011, S. 416–417).
Entwicklung
Ist die ergebnisorientierte Zusammenführung von Gestaltungs- und Lenkungsprozessen. Diese Kopplung richtet sich nicht nur auf die gegebenen Umstände der Organisationsumwelt, sondern auch auf neue Erkenntnisse, Veränderungen, Werte und Ziele einer Organisation.
Durch evolutionäre Reformen der innerbetrieblichen Anpassungs- und Lernprozesse ist die Entwicklung in jeder Managementebene angesiedelt. Teils erfolgen diese angeführten Veränderungen durch im Unternehmen angepasste Rahmenbedingungen (soziale und/oder organisatorische Aspekte), teils durch vorgeplante sowie zielgerichtete Festlegungen (Bleicher, 2011, S. 60–63) in Anlehnung (Steinle, 2005, S.
11–12).
2.2.3 Prozessmanagement
In diesem Abschnitt wird die Thematik „Prozessmanagement“ (Synonym für Geschäftsprozessmanagement) näher erläutert und soll ein umfangreiches Bild zu dieser Managementdisziplin bieten. Hierbei werden die Merkmale und der Nutzen eines Prozessmanagements sowie der aktuelle Status genauer beschrieben.
Bestimmung und Merkmale eines Prozessmanagements
Nachdem zuvor die Arten und Aufgaben eines Prozesses beschrieben wurden, wird nun das Management dieser Prozesse in seinem gesamten Umfang definiert. „Prozessmanagement dient der Planung, Steuerung und Kontrolle von inner- und überbetrieblichen Prozessen unter Berücksichtigung des Umfeldes verstanden […]“ (Gericke, Bayer, Kühn, Rausch, & Strobel, 2013, S. 12).
In der Literatur finden sich weitere Definitionen bezüglich des Prozessmanagements. Nachfolgend werden Definitionen angeführt, die dem Autor am zutreffendsten erscheinen und ein breites Spektrum von Prozessmanagement wiedergeben. Nach Kruse (2009) ist z.B.
Prozessmanagement eine methodische Vorgehensweise, die innerbetriebliche Prozesse, neben Kontroll- und Steuerfunktion, in einen Zustand zu versetzen, sodass sie effektiv und effizient die Organisationsanforderungen transformieren, anpassen sowie gehalten werden können. Neben den zuvor angeführten Aspekten ist Prozessmanagement darauf ausgerichtet, die Wertschöpfungskette einer Institution wirtschaftlich zu gestalten bzw.
aufrechtzuhalten, die Kundenzufriedenheit zu gewährleisten und die Qualität eines Produktes langfristig zu sichern (S. 58). Nach Schmelzer und Sesselmann (2013) wird unter Prozessmanagement ein „integriertes System aus Führung, Organisation und Controlling, das eine zielgerichtete Steuerung und Optimierung der Geschäftsprozess ermöglicht“ angeführt (S. 6). Darunter sind
„[…] alle inhaltlichen, ablaufbezogenen und kulturellen Managementfunktionen zu verstehen, die im Zusammenhang mit dem Einsatz einer Prozessorganisation auszuüben sind“ (Hässing, 2000, S. 111).
Demnach kann eine ganzheitliche Betrachtung des Prozessmanagements im Zusammenhang mit der kulturellen und ablaufbezogenen Funktion des Managements im Sinne von Prozessorganisation, wie in der nachfolgenden Abbildung 3 dargestellt, ausgeübt werden (Hässing, 2000, S. 111) in Anlehnung an (Stöger, 2005, S. 1).
