Situationsanalyse (SITAN)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen die Bedeutung der Informationsfunktion für die Erreichung der Unternehmensziele. Sie können davon ausgehend ihre strategische Rolle bestimmen. Sie erkennen, dass zum Ausschöpfen des Leistungspotenzials durch den Aufbau von Erfolgspotenzial innerund außerbetriebliche Rahmenbedingungen bekannt sein müssen. Sie kennen Vorgehensweisen der Analyse der Wettbewerbssituation, der Analyse der Informationsinfrastruktur und der Umweltanalyse sowie andere Vorgehensweisen zum Erkennen strategischer Lücken.

Definitionen und Abkürzungen

  • Analyse (analysis) = Bestimmung und Charakterisierung von Teilen eines Systems (eines Ganzen) sowie der Beziehungen der Teile untereinander und zum Ganzen mit dem Zweck, das Ganze zu erklären.

  • Istzustand (current system) = Gesamtheit der technischen, organisatorischen, personellen, sozialen und rechtlichen Bedingungen und Regelungen eines bestehenden Systems.

  • Portfolio (portfolio) = grafische Darstellung der Zielerträge mehrerer Objekte mit zwei Merkmalen in einem meist in Quadranten eingeteilten Koordinatensystem.

  • Potenzialfaktor (potential factor) = Eigenschaft einer Technologie, die bei deren Nutzung die Ausschöpfung des Nutzenpotenzials unterstützt (z. B. Erhöhung der Produktivität).

  • Profildiagramm (profile diagram) = grafische Darstellung der Zielerträge mehrerer Objekte zu mehreren Zielkriterien.

  • Schwäche (weakness) = negative Abweichung der Eigenschaft eines Systems von einem definierten Standard (z. B. Sollzustand). Synonym: Schwachstelle.

  • Situationsanalyse (situation analysis) = systematische Untersuchung der für ein System zu einem bestimmten Zeitpunkt oder Zeitraum relevanten Bedingungen.

  • Sollzustand (target system) = Gesamtheit der technischen, organisatorischen, personellen, sozialen und rechtlichen Bedingungen und Regelungen eines zu schaffenden Systems.

  • Stärke (strength) = Entsprechung oder positive Abweichung der Eigenschaft eines Systems von einem definierten Standard (z. B. Sollzustand).

  • strategische Schlagkraft (strategic threat) = durch Wirksamkeit und Wirtschaftlichkeit bestimmte Spitzenkennzahl.

  • Unternehmenstypologie (enterprise typology) = Systematik zum Einschätzen der strategi- schen Rolle der Informationsfunktion in Abhängigkeit vom Leistungspotenzial.

  • Wettbewerbsfaktor (competitive factor) = Wettbewerb kennzeichnende Eigenschaft des Marktes, in dem ein Unternehmen tätig ist (z. B. Lieferzeit, Qualität, Preis).

  • Wettbewerbsvorteil (competitive advantage) = Eigenschaft des Unternehmen, die es von seinen Mitbewerbern unterscheidet und im Wesentlichen durch den Wert bestimmt ist, den es seinen Kunden durch Kostensenkung und/oder Leistungssteigerung bietet.

Zweck der strategischen Situationsanalyse
Strategische Rolle der Informationsfunktion
Strategische Schlagkraft
Vorgehensweisen der Situationsanalyse
Andere Vorgehensweisen

Forschungsbefunde

Strategische Maßnahmen auf Grund der Ergebnisse einer Situationsanalyse, insbesondere der Wettbewerbsanalyse, können zu Veränderungen der IT-Infrastruktur führen, die den Kunden Vorteile verschafft, welche die Mitbewerber nicht bieten. Dies zwingt sie dazu, nachzuziehen. Daraus kann die These abgeleitet werden, dass sich langfristig die Position der Kunden verbessert und die der Lieferanten verschlechtert. Treacy hat versucht, diese These am Beispiel der Luftverkehrsgesellschaften zu belegen. Im Ergebnis wird festgestellt (zitiert nach Mertens/Plattfaut): Die Einführung von Platzbuchungssystemen bei Reiseveranstaltern hat den Luftverkehrsgesellschaften zunächst Vorteile gebracht. Nachdem alle wichtigen Mitbewerber nachgezogen haben, verschärft sich der Wettbewerb, und die Gewinnsituation der Branche verschlechtert sich. Die Gewinnsituation des Innovators (also der Luftverkehrsgesellschaft, die als erste ein Platzbuchungssystem bei den Reiseveranstaltern eingeführt hat) ist jedoch besser als die seiner Mitbewerber.


Lullies et al. stellen als Ergebnis einer empirischen Breitenuntersuchung (Experteninterviews in Deutschland und den USA) und drei Einzelfallstudien u. a. eine Strategielücke zwischen strategischer Geschäftspolitik und Konzepten des Technologieeinsatzes fest. Es gelingt den Unternehmen kaum, „Technik und Geschäftspolitik systematisch zu verbinden, den bestehenden Gestaltungsspielraum auszuloten und ganzheitliche Gestaltungsalternativen zu entwickeln“. Bei der strategischen Planung werden Geschäftspolitik und IuK-Technologie kaum miteinander verknüpft; die Entwicklung des Einen erfolgt ohne Beziehung zum Anderen. Die Autoren finden im Ergebnis das productivity paradox (nach Attewell), dass Sektoren, Branchen und Unternehmen mit besonders hohen Investitionen in die IuK-Technologie eine stagnierende oder sogar rückläufige Produktivitätsentwicklung aufweisen und insgesamt von einer empirischen Evidenz für Produktivitätssteigerungen durch IuK-Technologie keine Rede sein kann, bestätigt.

Lullies, V. / Bollinger, H. / Weltz, F.: Konfliktfeld Informationstechnik. Innovation als Managementproblem. Frankfurt/M. 1990


Henderson/Venkatraman formulieren auf Grund von Forschungsarbeiten und Erfahrungen aus Beratungsprojekten in großen Unternehmen fünf Prinzipien einer effektiven Kapitalisierung des IT-Wertes im Unternehmen:

1. Business impact: Value realisation lies in the design of new business models that are enabled by IT and in the design of product/service platforms for the information age.

2. Community of practice: Value realisation requires an organizational architecture that is able to co-ordinate a community of professionals with complementary expertise.

3. Selective sourcing: Value realisation is enhanced by assembling the required IT capabilities through a portfolio of relationships that is adapted over time.

4. Knowledge infrastructure: The new economy is likely to reward intellectual assets more than physical assets; value realisation requires the creation of a business platform suited to this environment.

5. Strategic alignment: Value realisation through IT rests on strategic alignment of the four principles discussed above; this is a dynamic process as the changing business environment drives the evolution of new organisational models.

Henderson, J. C. / Venkatraman, D. J.: Five principles for making the most of IT. FINANCIAL TIMES, Beilage Mastering Information Management vom 1.3.1999, 4-5


Mertens/ Plattfaut berichten von Beispieln, wie durch Maßnahmen der Verbesserung der IT-Infrastruktur Wettbewerbsfaktoren positiv beeinflusst werden können. Daraus werden folgende strategische Auswirkungen abgeleitet:

  • Verstärkung der Integrationsbeziehung zum Kunden,
  • Beeinflussuing der Liederantenauswahl beim Kunden,
  • Differenzierung von Mitbewerbern,
  • Verstärkung des Bindungswillens des Kunden zum Lieferanten,
  • Erweiterung des Produkspektrums durch umfassende Produkte, die Einzelprodukte substituieren können und
  • schnellere Reaktion auf Änderungen der Nachfrage.

Mertens, P/ Plattfault, E: Informationstechnik als strategische Waffe. In: Information Management 2/1986, 6-17

Methodenverweise

Fallstudienverweis

  • Lerneinheit FSITA der 8. und FSSIT der 9. Auflage zeigen am praktischen Beispiel die Durchführung einer Situati-
    onsanalyse, siehe die Website dieses Buches.

Kontrollfragen

  1. Welcher Zusammenhang besteht zwischen Leistungspotenzial und Unternehmenserfolg?

  2. Was bedeutet „Analyse der Wettbewerbssituation"?

  3. Wie wird bei der Analyse der IT-Infrastruktur vorgegangen?

  4. Warum ist die Umweltanalyse primär eine Technologieanalyse?

  5. Welche Alternativen zu einer umfassenden IT-Diagnose gibt es?

Quellen

  • Hammer, M. / Champy, J.: Business Reengineering: Die Radikalkur für das Unternehmen. 7. A., Frankfurt a. M. 2003

  • Heinrich, L. J.: Strategische Überdehnung der Informationsinfrastruktur. In: Bartmann, D. (Hrsg.): Lösungsansätze der Wirtschaftsinformatik im Lichte der praktischen Bewältigung. Berlin et al. 1991, 123–135

  • Heinrich, L. J. / Häntschel, I. / Pomberger, G.: Diagnose der Informationsverarbeitung. Konzept und Fallstudie. In: CONTROLLING 3/1997, 196–203

  • Heinrich, L. J. / Heinzl, A. / Riedl, R.: Wirtschaftsinformatik – Einführung und Grundlegung. 4. A., Berlin/Heidelberg 2011

  • Heinrich, L. J. / Pomberger, G.: Entwickeln von Informatik-Strategien. In: Lausen, G. / Oberweis, A. / Schlageter, G. (Hrsg.): Angewandte Informatik und Formale Beschreibungsverfahren. Stuttgart/Leipzig 1999, 108–127

  • Heinrich, L. J. / Pomberger, G.: Diagnose der Informationsverarbeitung. In: Schweiggert, F. / Stickel, E. (Hrsg.): Informationstechnik und Organisation. Planung, Wirtschaftlichkeit und Qualität. Stuttgart 1995, 23–38

  • Henderson, J. C. / Venkatraman, D. J.: Five principles for making the most of IT. FINANCIAL TIMES, Supplement „Mastering Information Management“ vom 1.3.1999, 4–5

  • Ives, B. / Learmonth, G. P.: The Information System as a Competitive Weapon. In: Communications of the ACM 12/1984, 1193–1201

  • Lullies, V. / Bollinger, H. / Weltz, F.: Konfliktfeld Informationstechnik. Innovation als Managementproblem. Frankfurt a. M. 1990

  • McFarlan, F. W.: Information Technology Changes the Way You Compete. In: Harvard Business Review 3/1984, 98–103

  • McFarlan, F. W. / McKenney, J. L.: Corporate Information Systems Management. Homewood/Ill. 1983

  • Mertens, P. / Plattfaut, E.: Informationstechnik als strategische Waffe. In: Information Management 2/1986, 6–17

  • Müller-Zantop, S.: Wo liegt der Wert der Informationsverarbeitung? In: F.A.Z. vom 17.3.1998, B 6

  • Porter, M. E.: Wettbewerbsvorteile. 7. A., Frankfurt a. M. 2000

  • Porter, M. E. / Millar, V. E.: How Information Gives You Competitive Advantage. In: Harvard Business Review 4/1985, 149–160

Vertiefungsliteratur

  • Brynjolfson, E.: The Productivity Paradox of Information Technology. In: Communications of the ACM 12/1993, 67-77

  • Enns, H. G. / Huff, S. L. / Higgins, C. A.: CIO Lateral Influence Behaviors: Gaining Peers´ Commitment to strategic Information Systems. In: MIS Quarterly 1/2003, 155-176

  • Fröschle, H.-P. (Hrsg.): Wettbewerbsvorteile durch IT. Heidelberg 2004

  • Fröschle, H.-P. (Hrsg.): Wettbewerbsfaktor IT. Heidelberg 2009

  • Kainz, G. A. / Walpoth, G.: Die Wertschöpfungskette als Instrument der IS-Planung. In: Information Management 4/1992, 48-57

  • Piccoli, G. / Blake, Ives: IT-dependent Strategic Initiatives and Sustained Competitive Advantage: A Review and Synthesis of the Literature. In: MIS Quarterly 4/2005, 141-116

  • Rockart, J. F. / Scott, M.: Implications of Changes in Information Technology for Corporate Strategy. In: Interfaces 1/1984, 84–95

  • Abbildungsarchiv: Situationsanalyse (SITAN)

Sicherheitsmanagement (SICHM)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen verschiedene Sicherheitsbegriffe und können den Aufgabenbereich Informationssicherheit sinnvoll strukturieren. Sie können die wichtigsten Sicherheitsziele erörtern und kennen Elemente von Sicherheitsmanagement-Systemen. Sie kennen den Unterschied zwischen einer IT-Grundschutzzertifizierung und einer Zertifizierung von Sicherheitsprodukten.

Definitionen und Abkürzungen

  • Bedrohung (threat) = potenzielles Einwirken einer Gefahr auf Elemente der Informationsinfrastruktur. Synonyme: Gefährdung, sicherheitsgefährdendes Ereignis.

  • BSI = Bundesamt für Sicherheit in der Informationstechnik (Deutschland).

  • CC = Common Criteria for Information Technology Security Evaluation; internationale Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

  • Gefahr (threat) = Einflussfaktor, welcher sicherheitsrelevante Elemente beeinträchtigen und Schäden verursachen kann.

  • ITSEC = Information Technology Security Evaluation Criteria; europäische Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

  • IT-Verbund (information processing facility/ies) = Gesamtheit der infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der IT dienen. Synonym: Informationssystem.

  • Schwachstelle (vulnerability, weakness) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

  • Sicherheit (security, safety) = Zustand, in dem alle schutzwürdigen Belange der Informationsinfrastruktur vor Beeinträchtigungen geschützt sind.

  • Sicherheitsgefährdung (threat) = Synonyme: Bedrohung, sicherheitsgefährdendes Ereignis.

  • Sicherheitskonzept (security concept) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

  • Sicherheitskriterien (evaluation criteria) = Kriterien zur Evaluierung von Produkten der ITSicherheit.

  • Sicherheitsleitlinie (information security policy oder IT security policy) = Beschreibung der wichtigsten Aussagen der Sicherheitsstrategie eines Unternehmens.

  • Sicherheitsmanagement (security management) = Gesamtheit der Führungsaufgaben, die sich mit Sicherheit der Informationsinfrastruktur befassen.

  • Sicherheitsmanagement-System (security management system) = Gesamtheit der Hilfsmittel des Sicherheitsmanagements.

  • Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

  • Sicherheitsstrategie (security strategy) = grundsätzliche Festlegungen der Unternehmensleitung zum Stellenwert der Informationssicherheit; die wichtigsten Aussagen der Sicherheitsstrategie werden in einer Sicherheitsleitlinie dokumentiert.

  • Sicherungsmaßnahme (security control) = Vorkehrungen, die geeignet sind, die Informationssicherheit zu erhöhen. Synonyme: Sicherheitsmaßnahme, Schutzmaßnahme.

Zweck des Sicherheitsmanagements
Sicherheitsbegriff
Ebenenmodell der Sicherheit
Kausalmodell der Sicherheit
Sicherheitsziele
Sicherheitsmanagement-System
Zertifizierung nach ISO 27001 sowie IT-Grundschutz
Sicherheitskriterien und Produktzertifizierung

Forschungsbefunde

Luftman/McLean berichten über eine von der amerikanischen Society for Information Management durchgeführten Studie (schriftliche Befragung von 301 IT-Führungskräften, Grundgesamtheit und Rücklaufquote in der Quelle nicht angegeben, Untersuchungszeitraum Sommer 2003). Die Teilnehmer gaben an, dass Sicherheit und Datenschutz (security and privacy) die drittwichtigste Herausforderung für das IT-Management nach der Ausrichtung der IT auf die Unternehmensziele (IT and business alignment) und der strategischen Planung der IT (IT strategic planning) sei.

Luftman, J. / McLean, E. R.: Key Issues for IT Executives. In: MIS Quarterly Executive 3/2004, 89–104


Durch eine Auswertung der Ergebnisse von fünf -Sicherheitsstudien zwischen 1998 und 2006 kommt Witt zu folgenden Erkenntnissen: Die Anzahl der festgestellten Angriffe über das Internet hat kontinuierlich zugenommen. Dennoch werden Schäden durch Unfälle aufgrund von menschlichem oder technischem Versagen deutlich häufiger festgestellt als Schäden durch Angriffe. Gefahren durch unbeabsichtigte Ereignisse werden regelmäßig unter-, Gefahren durch beabsichtigte Angriffe überschätzt, wie ein Vergleich zwischen der wahrgenommenen Bedrohung und den tatsächlich eingetretenen Schäden zeigt. Mangelndes Sicherheitsbewusstsein bei Mitarbeitern sowie dem mittleren und dem oberen Management wird neben fehlenden finanziellen Mitteln regelmäßig als bedeutendstes Hindernis für die Verbesserung der Sicherheit angesehen. Über die verschiedenen Studien hinweg gaben 20 bis 30 % der Befragten an, Sicherheit sei – im Vergleich zu anderen IT-Zielen  ein vorrangiges und 30 bis 50 % Sicherheit sei ein gleichrangiges Ziel. Ca. 30 % der Befragten gaben an, Top-Manager sähen Informationssicherheit „eher als lästiges Übel“ an.

Witt, B. C. Rückblick nach vorn. Trends aus den -Sicherheitsstudien zwischen 1998 und 2006. In: Die Zeitschrift für Informationssicherheit 6/2006, 55–60


Campbell et al. untersuchten die Auswirkungen von in der Presse publizierten sicherheitsgefährdenden Ereignissen auf den Aktienkurs von Unternehmen (Identifikation von 84 in fünf überregionalen amerikanischen Tageszeitungen publizierten sicherheitsgefährdenden Ereignissen, Analyse von 43 Ereignissen in 38 Unternehmen, Untersuchungszeitraum Januar 1995 bis Dezember 2000). Ereignisse, bei denen unbefugte Personen Zugang zu vertraulichen Daten bekommen, führen häufig zu negativen Reaktionen an den Aktienbörsen. Bei anderen Sicherheitsverletzungen (z. B. Denial-of-Service-Angriffen oder Virenbefall) konnten hingegen keine negativen Auswirkungen auf den Aktienkurs festgestellt werden.

Campbell, K. et al.: The economic cost of publicly announced information security breaches: empirical evidence from the stock market. In: Journal of Computer Security 3/2003, 431–448


Die vom TÜV Nordrhein-Westfalen gemeinsam mit dem Fachmagazin KES – Zeitschrift für Informationssicherheit durchgeführte Sicherheitsenquete 1992 kommt zu dem Ergebnis, dass die größte Sicherheitslücke die Mitarbeiter sind (schriftliche Befragung, N = 200 Industriebetriebe, Behörden, Versicherungen und Banken). Irrtum und Nachlässigkeit sind für 83 %, technische Defekte und Bedienungsfehler für je knapp 72 % aller Störungen verantwortlich. Nur bei einem Viertel der Abteilungsrechner wird regelmäßig Datensicherung durchgeführt; der Passwortschutz wird von jedem dritten Benutzer ignoriert. 57 % der IT-Leiter beklagen die mangelhafte Sensibilität ihrer Vorgesetzten für Sicherheit, die Hälfte vermisst ein Gesamtkonzept zur Sicherheit. Der Anteil der Kosten für die Sicherheit an den Gesamtkosten der IT betrug 1990 5,2 % und sank 1992 auf 4,8 %.

o.V. zitiert nach Informatik Magazin 2/1993, 14


Berger/Häntschel fanden bei einer Sicherheitsstudie in einem Unternehmen der pharmazeutischen Industrie (Durchführungszeitraum 10/1993 bis 3/1994), dass es sich bei Risikoklasse C (Routinefälle) fast ausschließlich um Gefährdungen der Gruppen menschliche Fehler und kriminelle Handlungen handelt; nur drei Fälle stammen aus der Gruppe Umgebungseinflüsse. Daraus folgte, dass das Risikopotenzial durch personelle Maßnahmen (insbesondere durch Schulung) dauerhaft auf ein Drittel gesenkt werden kann, was einer Schadensminderung von rd. € 285.000 pro Jahr entspricht. Die Kosten für diese Maßnahmen (Abschreibungen und Personalkosten) wurden mit rd. € 170.000 pro Jahr angegeben.

Berger, W. / Häntschel, I.: Erfolgreiches Sicherheitsmanagement – Eine Fallstudie. In: Bauknecht, K. et al. (Hrsg.): Sicherheit in Informationssystemen SIS '96. Zürich 1996, 37-52


Eine im Auftrag der Federal Trade Commission (FTC) in den USA durchgeführte Überprüfung von Scanner-Kassen ergab u. a. (Beobachtung im Echtzeitbetrieb über 18 Monate, N = 17.000 Artikel in 294 Geschäften in sieben Bundesstaaten, Untersuchungszeitraum 1995/1996): Die Genauigkeit betrug 95 %, d. h. bei 20 gescannten Artikeln hatte einer einen falschen Preis. Die Fehlerrate war in Supermärkten mit 3,37 % am niedrigsten, in Kaufhäusern mit 9,15 % am höchsten. Als Fehlerursache wurde falsches Auszeichnen festgestellt; die Scanner arbeiteten fehlerfrei.

o.V. zitiert nach SCAN News 11/1996


Oppliger weist auf empirische Studien hin (ohne sie im Einzelnen zu nennen), die zeigen, „ ... dass für mehr als 80 % aller Fälle von Datenverlust oder Datenbeschädigung die Mitarbeiter der geschädigten Unternehmen selbst verantwortlich sind. 50 % dieser Fälle ereignen sich dabei aus Unwissenheit oder sind auf einen Ausbildungsmangel zurückzuführen.“

Oppliger, R.: IT-Sicherheit. Grundlagen und Umsetzung in der Praxis. Braunschweig/Wiesbaden 1997


Nach einer Studie der Meta Group Deutschland werden in den untersuchten Unternehmen durchschnittlich rd. € 11.000 pro Jahr und Mitarbeiter für IT ausgegeben, nur rd. 1/30 davon für IT-Sicherheit. Auf Grund dieses krassen Missverhältnisses werden große Sicherheitsprobleme auf die Unternehmen zukommen. Wesentliche Ursachen sind: Unzureichende Budgets (29 %), mangelnde Unterstützung durch die Unternehmensleitung (14 %) und – in der Folge – fehlende Aufklärung über das notwendige Maß an Sicherheit (10 %). Damit trägt das Management für den gefährlichen Sicherheitsrückstand die Verantwortung.

Zitiert nach F.A.Z. vom 28.12.2000, 25


Mit dem Forschungsprojekt DRIM – Dresden Identity Management werden Grundlagen, Techniken und Einsatzszenarien für ein datenschutzgerechtes Identitätsmanagement erforscht. In dem Projekt sind, teilweise aufbauend auf vorausgegangenen Projekten, mehrere Software-Bibliotheken entwickelt worden. Ziel des Projekts ist es, mit Hilfe dieser Bibliotheken einen Prototypen für ein Identitätsmanagementsystem zu bauen. Es werden auch Einsatzszenarien entwickelt, in denen der Prototyp getestet und evaluiert werden kann.

http://drim.inf.tu-dresden.de. Abruf am 11.12.2004

Aus der Praxis

Im Jahr 2005 werden Kunden der Postbank Opfer von so genannten Phishing-Angriffen. Kriminelle verschicken E-Mails, in welchen behauptet wird, der Absender sei die „Administration der Postbank Online Banking“. Aus Sicherheitsgründen müsse man die „Autorisation“ der Kunden erneuern. Die Empfänger werden aufgefordert, auf einen Link in der E-Mail zu klicken. Die dann erscheinende Webseite sieht einer Webseite der Postbank täuschend ähnlich. Dort wird man aufgefordert, Kontodaten, PIN und TAN einzugeben. Die Angreifer nutzen diese Informationen, um Geldbeträge von Kundenkonten abzubuchen.

(http://wiwo.de vom 04.07.2005)


Am 18.06.2002 fallen beim Arcor-Onlinedienst nacheinander drei voneinander unabhängige Klimaanlagen aus. Die Temperaturen im Rechenzentrum steigen so stark an, dass sich die Administratoren gezwungen sehen, die Webserver herunterzufahren und abzuschalten. Dadurch fällt der gesamte Onlinedienst von Arcor aus. Erst nach einigen Stunden kann der Betrieb wieder aufgenommen werden.

(http://www.heise.de/newsticker/meldung/28364; Abruf: 25.04.2007)


Im Oktober 2002 erhielten einige Kunden des Mobilfunkanbieters O2 Rechnungen, in denen zahlreiche „abgehende Mailbox-Verbindungen“ zu einer immer gleichen Festnetznummer berechnet wurden. Viele dieser Verbindungen fanden genau zu der gleichen Zeit statt wie Gespräche, die ebenfalls in der Rechnung aufgeführt waren. Betroffen waren offenbar Kunden von O2, deren Telefongespräche von der Polizei oder von Geheimdiensten abgehört wurden. Die Ursache war ein Softwarefehler in einem Update eines Abrechnungsprogramms von O2.

(Pitt von Bebenburg: Abgehörte sollten heimlichen Lauschangriff auch noch selbst bezahlen. In: Frankfurter Rundschau, Nr. 253/44, 31.10.2002, S. 1)


Die Website http://www.iso27001certificates.com wies im Februar 2011 weltweit 7136 ISO-27001-Zertifikate nach, davon 154 in Deutschland, 37 in Österreich und 7 in der Schweiz.


Das deutsche Bundesministerium für Wirtschaft und Technologie (http://www.bmwi.de) hat 2011 die Task Force „IT-Sicherheit in der Wirtschaft“ gegründet, die vor allem kleine und mittelständische Unternehmen beim sicheren IT-Einsatz unterstützen soll.


Das deutsche Bundesamt für Verfassungsschutz machte bereits 2008 darauf aufmerksam, dass die Hauptträger von Spionageaktivitäten gegen deutsche Unternehmen Nachrichtendienste der Russischen Föderation und der Volksrepublik China seien. Angesichts der Auswahl der Angriffsziele und der angewandten Methoden internetbasierter Angriffe auf Computersysteme sei eine nachrichtendienstliche Beteiligung „in vielen Fällen sehr wahrscheinlich“ (4). Die russische Wirtschaft profitiere in erheblichem Maße davon, dass alle russischen Nachrichtendienste gesetzlich verpflichtet seien, Wirtschaftsspionage zu betreiben.

Bundesamt für Verfassungsschutz: Spionage gegen Deutschland. Aktuelle Entwicklungen. Köln 2008


Laut einem Bericht des IT-Sicherheitsunternehmens McAfee haben aus China operierende Hacker seit 2009 Öl- und Gasunternehmen u. a. in Taiwan, Griechenland und den USA angegriffen und dabei vertrauliche Informationen über aktuelle Projekte, Gebote für Ölfelder und die Finanzen der Unternehmen eingesehen.

McAfee: Global Energy Cyberattacks: “Night Dragon”. Version 1.4. (White Paper). http://www.mcafee.com, Santa Clara 2011, Abruf: 14.02.2011

Methodenverweise

Kontrollfragen

  1. Wie beurteilen Sie folgende Definition? Sicherheit ist gegeben, wenn die in den IT-Grundschutz-Katalogen vorgeschlagenen Sicherungsmaßnahmen implementiert sind.

  2. Welche Aufgaben haben Führungskräfte im Hinblick auf IT-Sicherheit?

  3. Welchen – neben dem Sicherheitsmanagement – anderen Aufgaben des Informationsmanagements dient ein Sicherheitsmanagement-System?

  4. Welche Inhalte sollte eine Sicherheitsleitlinie umfassen und wie lassen sich diese strukturieren?

  5. Welche Argumente sprechen für und welche gegen die Zertifizierung eines Sicherheitsmanagement-Systems?

  6. Wie kann der Aufgabenbereich Informationssicherheit sinnvoll strukturiert werden?

  7. Welche Ursachen und Wirkungen kann ein sicherheitsgefährdendes Ereignis haben? Beantworten Sie die Fragen mit einem selbst gewählten Beispiel.

  8. Welche Aufgaben umfasst das Sicherheitsmanagement?

  9. Worin besteht der Unterschied zwischen einem Sicherheitskonzept und einer Sicherheitsleitlinie?

  10. Welches sind - empirisch betrachtet - die bedeutendsten Gefahrenquellen für die Informationssicherheit?

Quellen

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2009. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits. Version 2.1. Stand: 03.03.2008. Bonn 2008

  • Department of Trade and Industry. Information Technology Security Evaluation Criteria (ITSEC). Version 1.2. London 1991

  • Ernst & Young (Hrsg.): Outpacing change. Ernst & Young’s 12th annual global information security survey. o. O. 2009, http://www.ey.com; Abruf 18. Mai 2010

  • Ernst & Young (Hrsg.): Borderless security. Ernst & Young’s 2010 Global Information Security Survey. o. O. 2010. http://www.ey.com; Abruf 07. April 2011

  • Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf 30. März 2011

  • Ko, M. / Osei-Bryson, K.-M. / Dorantes, C.: Investigating the Impact of Publicly Announced Information Security Breaches on Three Performance Indicators of the Breached Firms. In: Information Resources Management Journal 2/2009, 1–21

  • Luftman, J. / McLean, E. R.: Key Issues for IT Executives. In: MIS Quarterly Executive 3/2004, 89-104

  • NIST Special Publication 800-100: Information Security Handbook: A Guide for Managers. Washington 2006

  • Rumpel, R.: Planung und Betrieb von Informationssicherheits-Managementsystemen. Erfahrungen aus der Praxis. In: Datenschutz und Datensicherheit 1/2011, 12–15

  • Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993, 20-46

Vertiefungsliteratur

  • Bishop, M.: Computer Security. Art and Science. Boston 2003

  • Eckert, C.: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 5. A., München/Wien 2008

  • Gollmann, D.: Computer Security. 2. A., Chichester 2006

  • Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006

  • Straub, D. W. / Goodman, S. / Baskerville, R. (Hrsg.): Information Security: Policy, Processes, and Practices. Armonk NY 2008

Informationsmaterial

Normen

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

  • ISO/IEC 15408-1:2009: Information technology - Security techniques - Evaluation criteria for IT security. – Part 1: Introduction and General Model

  • ISO/IEC 27000:2009: Information technology – Security techniques – Information security management systems – Overview and vocabulary

  • ISO/IEC 27001:2005: Information technology – Security techniques – Information security management systems – Requirements

  • ISO/IEC 27002:2005: Information technology – Security techniques – Code of practice for information security management

  • ISO/IEC 27003:2010: Information technology – Security techniques – Information security management system implementation guidance

  • ISO/IEC 27004:2009: Information technology – Security techniques – Information security management – Measurement

  • ISO/IEC 27005:2008: Information technology – Security techniques – Information security risk management

  • Abbildungsarchiv: Sicherheitsmanagement (SICHM)

Sicherheitskonzepte (SIKON)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen Prinzipien zur Entwicklung von Sicherheitskonzepten und können den Unterschied zwischen Risikoanalysen und Grundschutzkonzepten erklären. Sie können Sicherheitskonzepte entwerfen und kennen Werkzeuge zur Entwicklung von Sicherheitskonzepten.

Definitionen und Abkürzungen

  • ALE = Annual Loss Exposure bzw. Annual Loss Expectancy; Erwartungswert für den pro Jahr aufgrund von Sicherheitsgefährdungen zu erwartenden Schaden.

  • ENISA = European Network and Information Security Agency; Einrichtung der europäischen Union, die als Anlauf- und Beratungsstelle in Fragen der Netz- und Informationssicherheit für die Mitgliedstaaten und die EU-Organe dient.

  • Grundschutz (baseline protection) = Prinzip zur Entwicklung von Sicherheitskonzepten, bei dem Sicherungsmaßnahmen anzuwenden sind, welche für einen normalen Schutzbedarf als angemessen und ausreichend betrachtet werden.

  • Grundschutzmaßnahmen (baseline controls) = Mindestumfang von Maßnahmen zur Sicherung einer Informationsinfrastruktur mit einem durchschnittlichen Schutzbedarf.

  • ISF = Information Security Forum; Vereinigung von mehr als 250 Unternehmen und Behörden, die den Standard of Good Practice for Information Security heraus gibt.

  • IT-Grundschutzkataloge (baseline catalogues) = Publikation des BSI mit Beschreibungen von Sicherheitsgefährdungen und Empfehlungen zu Maßnahmen, welche ein Mindestmaß an Sicherheit gewährleisten sollen.

  • Malware = Software-Anomalien, z. B. Viren, Würmer, Trojanische Pferde.

  • Penetrationstest (penetration test) = Experimentelle Untersuchung mit dem Ziel, Schwachstellen zu identifizieren und Sicherungsmaßnahmen zu umgehen, um Potenzial für Verbesserung von Sicherheitskonzepten aufzudecken.

  • Restrisiko (residual risk) = Risiko, das nicht durch Sicherungsmaßnahmen neutralisiert oder durch Versicherungen überwälzt werden kann oder soll.

  • Risiko (risk) = Kombination aus zu erwartender Häufigkeit bzw. Eintrittswahrscheinlichkeit eines gefährdenden Ereignisses und dem beim Ereigniseintritt zu erwartenden Schadensausmaß.

  • Risikoanalyse (risk analysis, risk assessment) = Prinzip zur Entwicklung von Sicherheitskonzepten, bei dem Schadenshöhen und Eintrittswahrscheinlichkeiten von Bedrohungen bzw. sicherheitsgefährdenden Ereignissen detailliert ermittelt werden.

  • Schutzbedarf (security requirements) = angestrebtes oder erforderliches Sicherheitsniveau einer Informationsinfrastruktur.

  • Schwachstelle (vulnerability, weakness) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

  • Sicherheitskonzept (security concept, security plan) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

  • Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

Zweck der Sicherheitskonzepte
Grundschutz
Risikoanalysen
Werkzeuge für Sicherheitskonzepte
Grundschutz oder Risikoanalysen?

Forschungsbefunde

Im Rahmen der /Microsoft-Sicherheitsstudie 2006 (schriftliche Befragung von 163 für IT-Sicherheit verantwortlichen Mitarbeitern von Unternehmen und Behörden in Deutschland, Österreich und der Schweiz, Größe der Grundgesamtheit und der Stichprobe sowie Rücklaufquote in der Quelle nicht angegeben) wurden folgende Erkenntnisse gewonnen: Die wichtigsten Kriterien zur Risikobewertung waren Verstöße gegen Gesetze/Vorschriften/Verträge (56 % der Befragten hielten diese Gefährdungen für sehr wichtig, 34 % für wichtig), Imageverlust (52 % sehr wichtig, 33 % wichtig), Verzögerung von Arbeitsabläufen (39 % sehr wichtig, 53 % wichtig), direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen (39 % sehr wichtig, 49 % wichtig), Schaden bei Dritten/Haftungsansprüche (40 % sehr wichtig, 48 % wichtig) und indirekte finanzielle Verluste (z. B. Auftragsverlust) (35 % sehr wichtig, 42 % wichtig). Die Kriterien direkter finanzieller Schaden an Hardware oder Ähnlichem (17 % sehr wichtig, 61 % wichtig) und Verstöße gegen interne Regelungen (13 % sehr wichtig, 63 % wichtig) waren für die Risikobewertung dagegen von geringerer Bedeutung. 68 % der Befragungsteilnehmer gaben an, für die Durchführung von Risikoanalysen und die Entwicklung von Sicherheitskonzepten auf die Hilfe von Beratern zurückzugreifen.
o. V.: Lagebericht zur Informationssicherheit. /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 4/2006, 24–31
o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 5/2006, 40–48


Gordon/Loeb analysierten den Budgetierungsprozess für Sicherheitsausgaben in US-amerikanischen Unternehmen (schriftliche Befragung von für das IT-Sicherheitsbudget verantwortlichen Mitarbeiter in 199 Unternehmen, welche im Standard & Poors-500-Index vertreten sind, 38 auswertbare Fragebögen, Untersuchungszeitraum nicht angegeben). Gordon/ Loeb untersuchten, ob Sicherheitsausgaben ökonomisch, d. h. mit quantifizierten und rational nachvollziehbaren Kosten-Nutzen-Analysen begründet werden. Die Untersuchung ergab, dass Sicherheitsverantwortliche ökonomische Methoden zur Begründung des Sicherheitsbudgets insbesondere dann verwenden, wenn sich der Nutzen von Sicherungsmaßnahmen glaubhaft quantifizieren lässt. Bei einer erheblichen Anzahl von Befragungsteilnehmern wird die Höhe der Ausgaben für Sicherungsmaßnahmen aber an der Höhe des Vorjahresbudgets oder an den Ausgaben vergleichbarer Unternehmen ausgerichtet oder mit Hilfe eines „must-do approach“ festgelegt. Der „must-do approach“ kann im Kontext dieser Lerneinheit als Grundschutz interpretiert werden.

Gordon, L. A. / Loeb, M. P.: Budgeting Process for Information Security Expenditures. In: Communications of the ACM 1/2006, 121–125


Rees/Allen analysierten die Verwendung von Risikoanalysen für die IT-Sicherheit (schriftliche Befragung von IT-Führungskräften in 1000 mittelständischen und großen US-amerikanischen Unternehmen, 55 auswertbare Antworten, Untersuchungszeitraum nicht angegeben). 91 % der Teilnehmer haben ein Sicherheitskonzept (information security policy or plan) entwickelt, 67 % haben dafür Risikoanalysen verwendet. 65 % der Teilnehmer haben nur einige ausgewählte sicherheitsrelevante Elemente in Risikoanalysen berücksichtigt. Lediglich 9 % gaben an, die Informationsinfrastruktur vollständig in Risikoanalysen einbezogen zu haben. Die Zufriedenheit der Teilnehmer und der wahrgenommene Nutzen der Ergebnisse sind hoch, wenn Risikoanalysen häufig durchgeführt werden, wenn quantitative Maße für Eintrittswahrscheinlichkeiten von Schäden verwendet werden und wenn die Informationsinfrastruktur umfassend in die Analyse einbezogen wird. Allerdings führen nur wenige Unternehmen Risikoanalysen in dieser Weise durch. Die Teilnehmer berichten über erhebliche Schwierigkeiten bei der Identifizierung von Gefahren und der Schätzung von Schadensausmaßen.

Rees, J. / Allen, J.: The State of Risk Assessment Practices in Information Security: An Exploratory Investigation. In: Journal of Organizational Computing & Electronic Commerce 4/2008, 255–277


Die /Microsoft-Sicherheitsstudie 2010 gibt einen Lagebericht zur Informationssicherheit (schriftliche Befragung von 135 für IT-Sicherheit verantwortliche Mitarbeitern von Unternehmen und Behörden in Deutschland, Österreich und der Schweiz, Rücklaufquote nicht angegeben; Untersuchungszeitraum Dezember 2009 bis Mai 2010) mit folgenden Erkenntnissen:

Die wichtigsten Kriterien zur Risikobewertung sind Verstöße gegen Gesetze/Vorschriften/Verträge (59 % der Befragten halten diese Gefährdungen für sehr wichtig, 34 % für wichtig), Imageverlust (57 % sehr wichtig, 38 % wichtig), Schaden bei Dritten/Haftungsansprüche (39 % sehr wichtig, 50 % wichtig) und direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen (38 % sehr wichtig, 46 % wichtig). Für die Risikobewertung sind dagegen folgende Kriterien von geringerer Bedeutung: Verzögerung von Arbeitsabläufen (23 % sehr wichtig, 59 % wichtig), indirekte finanzielle Verluste (31 % sehr wichtig, 36 % wichtig), Verlust oder Schaden von oder an Hardware u. ä. (22 % sehr wichtig, 52 % wichtig) und Verstöße gegen interne Regelungen (10 % sehr wichtig, 66 % wichtig).
o. V.: Lagebericht zur Informationssicherheit (1). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 4/2010, 26–34
o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 5/2010, 12–20
o. V.: Lagebericht zur Informationssicherheit (3). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 6/2010, 14–21

Aus der Praxis

Das Beratungsunternehmen Experton Group AG publizierte 2007 die Ergebnisse einer Umfrage unter 45 deutschen IT-Verantwortlichen. Danach führen 55 % der Befragten punktuelle Risikoanalysen durch. 41 % geben an, ein umfassendes Risikomanagement einschließlich regelmäßiger Risikoanalysen anzuwenden. Nur 30 % der Befragten konzipieren Risikoanalysen gemeinsam mit der Geschäftsführung oder den Fachabteilungen. Die Verfasser der Studie bedauern, dass IT-Sicherheit immer noch primär als reine IT-Aufgabe wahrgenommen wird und der Beitrag des Top-Managements unzureichend sei. Dies erschwere die Schaffung eines angemessenen Sicherheitsbewusstseins, die Konzeption eines strategischen Risikomanagements und den Informationsaustausch mit den Fachabteilungen.
Experton Group : Neue Studie der Experton Group zur IT-Sicherheit. 2007. http://www.experton-group.de; Abruf: 20.04.2007


Das ISF gibt den Standard of Good Practice for Information Security heraus. Auf der Grundlage des Standards können die Mitgliedsorganisationen im Rahmen des Information Security Status Surveys durch eine Selbstevaluation überprüfen, inwieweit sie die Vorgaben des Standards erfüllen.
Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf: 31.03.2011
Unternehmen und Behörden, welche Sicherheitskonzepte mit der Grundschutzvorgehensweise erstellen, können sich beim BSI registrieren lassen. Diese Liste wird unter der Überschrift Management-Report zur Anwendung des IT-Grundschutzes auf der Website des BSI publiziert.
Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de

Aufgabenverweise

Kontrollfragen

  1. Welchen Stellenwert haben Sicherheitskonzepte im Rahmen von Sicherheitsmanagement-Systemen?

  2. Wie würden Sie vorgehen, um ein Sicherheitskonzept für den Forschungs- und Entwicklungsbereich eines Unternehmens zu entwickeln?

  3. Welche Teilaufgaben verursachen den größten Aufwand bei der Durchführung von Risikoanalysen?

  4. Welche Probleme ergeben sich bei der Bewertung eines Risikos mit dem ALE?

  5. Wie lässt sich die Wirtschaftlichkeit von Sicherungsmaßnahmen bewerten?

  6. Wodurch unterscheiden sich Grundschutzmaßnahmen und Risikoanalysen?

  7. Welches sind die wesentlichen Schritte der Grundschutzvorgehensweise des BSI?

  8. Worin besteht der Unterschied zwischen der Szenario- und der Simulationstechnik bei einer Risikoanalyse?

  9. Welches sind charakteristische Merkmale von Risiken, die sich mit einem a) kardinalen und b) ordinalen Maßstab bewerten lassen?

  10. Unter welchen Umständen würden Sie für die Entwicklung eines Sicherheitskonzepts Grundschutzmaßnahmen auswählen und unter welchen Umständen Risikoanalysen durchführen?

Quellen

  • Boehme, R.: Wann sind IT-Security-Audits nützlich? In: Bernstein, A. / Schwabe, G. (Hrsg.): Proceedings of the 10th International Conference on Wirtschaftsinformatik WI 2.011. Volume 1. Zürich 2011, 385–394

  • Braun, H. / Silbernagel, D.: Penetrationstests als Instrument der IT-Revision. In: Datenschutz und Datensicherheit 11/2009, 693–694

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): GSTOOL – Handbuch. Version 4.5. Bonn 2008. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Sicherheitshandbuch: Handbuch für die sichere Anwendung der Informationstechnik. 4. Entwurf v. 26. Juli 1991, Bonn 1991

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2009. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Fischer, D.: WLAN-Sicherheit in deutschen Unternehmen und Behörden. In: KES - Die Zeitschrift für Informations-Sicherheit 1/2010, 66–72

  • Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf 31. März 2011

  • o. V.: Lagebericht zur Informationssicherheit (1). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 4/2010, 26–34

  • o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 5/2010, 12–20

  • o. V.: Lagebericht zur Informationssicherheit (3). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 6/2010, 14–21

  • Siemens UK: CRAMM. http://www.cramm.com; Abruf 31. März 2011

Vertiefungsliteratur

  • Lippold, H. et al.: Sicherheitskonzepte und ihre Verknüpfung mit Sicherheitsstrategie und Sicherheitsmanagement. In: WIRTSCHAFTSINFORMATIK 4/1992, 367-377

  • Peltier, T. R.: Information Security Risk Analysis. 2. A. Boca Raton 2005

  • Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006, 508-570

  • Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993

  • Stelzer, D.: Risikoanalysen als Hilfsmittel zur Entwicklung von Sicherheitskonzepten in der Informationsverarbeitung. In: Roßbach, P. / Locarek-Junge, H. (Hrsg.): IT-Sicherheitsmanagement in Banken. Frankfurt a. M. 2002, 37-54

Informationsmaterial

Normen

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

  • ISO/IEC 27000:2009: Information technology – Security techniques – Information security management systems – Overview and vocabulary

  • ISO/IEC 27001:2005: Information technology – Security techniques – Information security management systems – Requirements

  • ISO/IEC 27002:2005: Information technology – Security techniques – Code of practice for information security management

  • ISO/IEC 27003:2010: Information technology – Security techniques – Information security management system implementation guidance

  • ISO/IEC 27004:2009: Information technology – Security techniques – Information security management – Measurement

  • ISO/IEC 27005:2008: Information technology – Security techniques – Information security risk management

  • ISO 31000:2009: Risk management – Principles and guidelines

  • ISO/IEC 31010:2009: Risk management – Risk assessment techniques

  • NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Washington 2010

  • Abbildungsarchiv: Sicherheitskonzepte (SIKON)

Servicemanagement (SEMAN)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen den Zweck des Servicemanagements und Anforderungen, die an das Servicemanagement gestellt werden. Sie können die daraus abgeleiteten Aufgaben nennen und erläutern. Sie kennen wesentliche Inhalte von ITIL und ISO/IEC 20000 und können deren Bedeutung für das Servicemanagement erklären.

Definitionen und Abkürzungen

  • Change Request = Anforderung einer (Ver-)Änderung. Synonym: Request for Change.CI = Configuration Item; IT-Komponente, die vom Konfigurationsmanagement verwaltet wird.
  • CMDB = Configuration Management Database; Datenbank, mit der CIs verwaltet werden. CSI = Continual Service Improvement.
  • IT-Dienstleister (IT service provider) = Struktureinheit, die IT-Dienstleistungen für unternehmensinterne oder -externe Kunden erbringt
  • IT-Dienstleistung (IT-Service) = Dienstleistung, die für einen oder mehrere unternehmensinterne oder -externe Kunden erbracht wird. Synonym: IT-Service.
  • ITIL = Information Technology Infrastructure Library; Leitfaden für das IT-Servicemanagement.
  • IT-Service = IT-Dienstleistung.
  • IT-Servicemanagementsystem (IT service management system) = Gesamtheit der Hilfsmittel zur Realisierung des IT-Servicemanagements.
  • itSMF; = IT Service Management Forum (GB).
  • Konfiguration (configuration) = Zusammenstellung der Funktionseinheiten eines Systems, die zur Erfüllung einer bestimmten Aufgabe erforderlich sind.
  • MOF = Microsoft Operations Framework; Leitfaden für das IT-Servicemanagement.
  • OGC = Office of Government Commerce (GB).
  • Qualitätsniveau (quality level) = Ausmaß an geforderter oder vorhandener Qualität.
  • Service Desk = Struktureinheit, der operative Aufgaben des Störungsmanagements zugeordnet sind. Synonyme: Helpdesk, User-Help-Desk, Benutzerservice-Zentrum
  • Servicekatalog (service catalogue) = Beschreibung der von einem IT-Dienstleister angebotenen Services.
  • SLA = Service Level Agreement; Serviceebenen-Vereinbarung; Vereinbarung über vom Kunden gewünschte und vom Dienstleister zugesagte Ausprägungen von Eigenschaften einer IT-Dienstleistung. Synonym: Dienstgütevereinbarung.
  • Störung (incident) = unerwünschtes Ereignis, das zu einer Beeinträchtigung eines IT-Services oder zum Ausfall eines Elements der IT-Infrastruktur führt oder führen kann.
  • Unified Messaging System = System, das Nachrichten über verschiedene Medien (z. B. E-Mail, Fax, SMS) empfangen und weiterleiten und auf das mit Hilfe verschiedener Medien zugegriffen werden kann.
Zweck des Servicemanagements
IT-Services
Teilaufgaben des Servicemanagements
Rahmenwerke des Servicemanagements
Forschungsbefunde

Aus der Praxis

In einem Interview von Bhattacharya mit Doug King (Vice President und Transition & Transformation Executive bei IBM Global Technology Services) beschreibt dieser den Nutzen eines ITIL-konformen Servicemanagements. Die Standardisierung des Dienstleistungsgeschäfts in einem international tätigen Unternehmen erlaubt es, Mitarbeiter an unterschiedlichen Standorten, in verschiedenen Erdteilen und bei verschiedenen Kunden flexibel einzusetzen, da überall die gleichen Servicemanagement-Prozesse verwendet werden.


Bhattacharya, K.: Interview mit Doug King zum Thema „Die Auswirkung von Virtualisierung und Cloud-Computing auf IT-Service-Management“. In: WIRTSCHAFTSINFORMATIK 1/2011, 54-55

Methodenverweise

Kontrollfragen

  1. Welche Zwecke werden mit IT-Servicemanagement verfolgt?

  2. Wodurch unterscheiden sich Geschäftsprozessmanagement, IT-Servicemanagement und IT-Governance?

  3. Welcher Zusammenhang besteht zwischen Störungs-, Problem- und Änderungsmanagement?

  4. Welches sind typische Business Services, die ein interner IT-Bereich Fachabteilungen anbietet?

  5. Welche Bedeutung hat IT-Servicemanagement für die Erreichung der strategischen IT-Ziele?

  6. Welche Aufgaben umfasst IT-Servicemanagement?

Quellen

  • Cannon, D. / Wheeldon, D.: Operation (ITIL), Version 3. London 2007

  • Disterer, G.: Zertifizierung der IT nach ISO 20000. In: WIRTSCHAFTSINFORMATIK 6/2009, 530–534

  • Iqbal, M. / Nieves, M.: Service Strategy (ITIL), Version 3. London 2007

  • Lacy, S. / MacFarlane, I.: Service Transition (ITIL), Version 3. London 2007

  • Marrone, M. / Kolbe, L. M.: Einfluss von IT-Service-Management-Frameworks auf die IT-Organisation. Eine empirische Studie zu Vorteilen, Herausforderungen und Prozessen. In: WIRTSCHAFTSINFORMATIK 1/2011, 5–19

  • Office of Government Commerce (OGC): The Official Introduction to the ITIL Service Lifecycle. London 2007

  • Rudd, C. / Lloyd, V.: Service Design (ITIL), Version 3. London 2007

  • Spalding, G. / Case, G.: ITIL Continual Service Improvement London 2007

  • Tan, W.-G. / Cater-Steel, A. / Toleman, M.: Implementing IT Service Management: A Case Study Focussing on Critical Success Factors. In: Journal of Computer Information Systems 2/2009, 1–12

Vertiefungsliteratur

  • Beims, M.: IT-Service Management in der Praxis mit ITIL 3: Zielfindung, Methoden, Realisierung 2. A., München 2009

  • Bernhard, M. G. et al. (Hrsg.): Praxishandbuch Service-Level-Management: Die IT als Dienstleistung organisieren. 2. A., Düsseldorf 2006

  • Böhmann, T. / Krcmar, H.: Grundlagen und Entwicklungstrends im IT-Servicemanagement. In: HMD - Praxis der Wirtschaftsinformatik 237/2004, 7-21

  • Böttcher, R.: IT-Servicemanagement mit ITIL V3: Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen. Hannover 2007

  • Ebel, N.: ITIL V3 Basis-Zertifizierung: Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung. München 2008

  • Olbrich, A.: ITIL kompakt und verständlich: Effizientes IT Service Management - Den Standard für IT-Prozesse kennenlernen, verstehen und erfolgreich in der Praxis umsetzen. 4. A., Wiesbaden 2008

Informationsmaterial

Normen

  • ISO/IEC 20000-1:2005. Information Technology - Service Management - Part 1: Specification

  • ISO/IEC 20000-2:2005. Information Technology - Service Management - Part 2: Code of Practice

Links

Serviceebenen-Vereinbarungen (SEVER)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen den Zweck von Serviceebenen-Vereinbarungen und deren interne und externe Partner. Sie wissen, welche Inhalte diese Vereinbarungen haben und wie ihre Einhaltung durch Managementprozesse gesichert wird. Sie können die Phasen des Entwicklungsprozesses für Serviceebenen-Vereinbarungen und Managementprozesse erläutern. Sie können das Nutzenpotenzial von Serviceebenen-Vereinbarungen angeben.

Definitionen und Abkürzungen

  • Benutzerservice (service desk) = Struktureinheit, der operative Aufgaben des Störungsmanagements zugeordnet sind. Synonyme: Helpdesk, User-Help-Desk.

  • CobiT = Control Objectives for Information and Related Technology Model; Leitfaden für Governance.

  • Dienstleistung (service) = selbstständige, marktfähige Leistung, die mit der Bereitstellung und/oder Verwendung von vorhandenen Fähigkeiten verbunden ist, deren Erstellung interne und externe Faktoren mit dem Ziel kombiniert, an Menschen und/oder Objekten eine Nutzen stiftende Wirkung zu erreichen.

  • Dienstleistungsqualität (service quality) = Übereinstimmung von definierten Anforderungen für Eigenschaften und Merkmale von Dienstleistungen mit den tatsächlich realisierten Anforderungen. Synonym: Servicequalität.

  • ITIL = Information Technology Infrastructure Library; Leitfaden für Servicemanagement.

  • OLA = Operational Level Agreement.

  • Qualitätsniveau (quality level) = Ausmaß an geforderter oder vorhandener Qualität.

  • Serviceebene (service level) = Qualitätsniveau einer Dienstleistung.

  • Serviceebenenmanagement (service level management) = Führungsaufgabe, die mit der Festlegung von Serviceebenen und der Vereinbarung von Serviceebenen zwischen Dienstleistungsnehmer und Dienstleistungsgeber im Zusammenhang steht.

  • Servicegrad (service degree) = Verhältnis von tatsächlichem zum vereinbarten Ausmaß der Dienstleistungsqualität.

  • Servicekultur (service culture) = Ausmaß der Akzeptanz des Dienstleistungsgedankens und des gelebten Dienstleistungsbewusstseins im Unternehmen.

  • SLA = Service Level Agreement; Serviceebenen-Vereinbarung; Vereinbarung über vom Kunden gewünschte und vom Dienstleister zugesagte Ausprägungen von Eigenschaften einer Dienstleistung.

  • SLR = Service Level Requirement; Serviceebenen-Anforderung; vom Kunden formulierte Anforderung an eine Dienstleistung.

  • SLS = Service Level Specification; Serviceebenen-Spezifizierung; detaillierte Beschreibung einer Serviceebenen-Vereinbarung, die als Leitlinie für die Gestaltung einer Dienstleistung dient.

Zweck von SLAs
SLAs in Management­systemen
Bestandteile von SLAs
Leistungsumfang von SLAs
Strukturformen von SLAs
Kontext von SLAs
Entwickeln von SLAs
Nutzenpotenzial von SLAs

Forschungsbefunde

Nach einer Untersuchung von McKinsey & Co. messen 85 % der Unternehmen, die IT-Dienstleistungen fremd vergeben haben, die vereinbarte Zielerreichung. Nur ein kleiner Teil der Unternehmen setzt dafür allerdings qualifizierte Kennzahlen und Messmethoden ein (z. B. Benchmarks). 66 % der Unternehmen verlassen sich bei der Messung auf allgemeine und wenig aussagekräftige Indikatoren oder auf nicht quantifizierbare Erfahrungen. (Zitiert nach Bernhard et al., 71f.)
Bernhard, M. G. / Lewandowski, W. / Mann, H. (Hrsg.): Service-Level-Management in der IT – Wie man erfolgskritische Leistungen definiert und steuert. Düsseldorf 2000


Franke berichtet über Ergebnisse einer Studie der Schwetz Consulting zur Situation bezüglich Einstellung, Einführung und Erfolge mit IT-Servicemanagement (schriftliche Befragung deutscher Unternehmen, N = 67). ITIL war einem Drittel der Befragten unbekannt; ein weiteres Drittel verfügte über ITIL-konforme Prozesse. Etwa 30 % setzten bewusst keine ITIL-konformen Prozesse und keine entsprechende Software ein. Als Haupthindernis wurden der erwartete Aufwand für die Prozessdefinition und die anschließende Optimierung genannt. Zu den am häufigsten implementierten ITIL-Prozessen gehören Change Management, Security Management und Service-Desk. Auch wenn ITIL in Deutschland noch nicht weit verbreitet ist, gibt es in rd. 85 % der befragten Unternehmen Anwendungen, die gleiche oder ähnliche Funktionalität haben, denen aber in vielen Fällen die ITIL-Konformität oder eine entsprechende Zertifizierung fehlt.
Franke, S.: Servicemanagement. In: Computer Zeitung vom 13.9.2004, 10


Kemper et al. führten in Zusammenarbeit mit Detecon International eine explorative Studie durch, in der u. a. geklärt werden sollte, welche Verbesserungen sich durch die Ausrichtung der IT-Prozesse an ITIL realisieren lassen und welche Vorgehensweisen dabei den größten Erfolg versprechen (Internet-Befragung per E-Mail, N = 780 Personen, R = 24 %). Die Mehrzahl der ITIL-Implementierungen wurde als Erfolg gewertet, wobei die Erfolgsrate bei Unternehmen mit großen IT-Abteilungen deutlich höher ist. Eine messbare Steigerung der Wirtschaftlichkeit durch Neuausrichtung der IT-Prozesse ist jedoch meist nicht eingetreten. Auch Mitarbeiterzertifizierungen nach ITIL haben zu keinen signifikanten Verbesserungen geführt. Die Einbindung der Mitarbeiter sowie die Berücksichtigung der Unternehmenskultur sind ein wichtiger Erfolgsfaktor bei der Ausrichtung der IT-Abteilung an ITIL-konformen Prozessen.
Kemper, H.-G. / Hadjicharalambous, E. / Paschke J.: IT-Servicemanagement in deutschen Unternehmen – Ergebnisse einer empirischen Studie zu ITIL. In: HMD 237/2004, 22-31

Aus der Praxis

Herrmann/Müller beschreiben die Einführung von SLAs im Kontext von Business-Intelligence-Leistungen bei T-Mobile Deutschland. Diese BI-Services stellen „eine spezifische Ausprägung von IT-Services dar, die in erster Linie relevante Informationen für Entscheider bereitstellen“ (235). Bei T-Mobile Deutschland werden folgende Gruppen von BI-Services unterschieden: Unterstützung des operativen Geschäfts (z. B. Informationsbereitstellung zur Kundenrückgewinnung oder zum täglichen Personaleinsatz im Callcenter), Unterstützung geschäftskritischer Berichtsprozesse (z. B. Informationen zum Monats-, Quartals- oder Jahresabschluss), Standardinformationen für nicht unternehmenskritische taktische oder operative Aufgaben für eine große Nutzerzahl (z. B. Informationen zur Entwicklung der Neukundengewinnung und zum Verkauf neuer Produkte), Individualauswertungen mit geringer Nutzerzahl (z. B. Ad-hoc-Berichte in Form von Sonderauswertungen zu Einzelprodukten oder Bereitstellung bestimmter „Rohinformationen“ für das Database-Marketing). Da die BI-Services sehr unterschiedlich sind, werden verschiedene SLAs benötigt, um die vielfältigen Anforderungen angemessen abbilden zu können. Die vereinbarten SLAs charakterisieren BI-Services anhand des Einsatzzwecks, der unterstützten Nutzungsprozesse, der inhaltlich notwendigen Themenbereiche sowie der Kritikalität. Qualitätsparameter legen fest, welches Qualitätsniveau die Bestandteile von BI-Services erfüllen müssen. Bei T-Mobile Deutschland haben sich die folgenden „aus Kundensicht wichtigsten und praxistauglichsten Qualitätseigenschaften herauskristallisiert“ (240): Aktualität eines Informationsobjekts beschreibt, welchen Aktualitätsstand die zuletzt dem Objekt hinzugefügten Informationen haben. Vollständigkeit bezeichnet den fachlichen Umfang der Informationen in einem Objekt. Korrektheit beschreibt die fachliche Richtigkeit von Informationen. Leistungsverhalten kennzeichnet die Geschwindigkeit der Rückmeldung an die Nutzer und ist nur für interaktive Analysemöglichkeiten relevant.

Aufgabenverweise

Kontrollfragen

  1. Warum sollte ein IT-Dienstleister SLAs mit seinen Kunden vereinbaren?

  2. Aus welchen Inhalten bestehen SLAs und welche Kennzahlen beschreiben typische Inhalte von SLAs?

  3. Welches sind wesentliche Phasen der Entwicklung von SLAs?

  4. In welchem Zusammenhang stehen SLRs, SLAs und OLAs?

  5. Warum sind SLAs für Outsourcing-Nehmer beim Cloud-Computing von besonderer Bedeutung?

  6. Welcher Zweck wird mit SLAs verfolgt?

  7. Aus welchen Elementen bestehen SLAs?

  8. Welche Kennzahlen beschreiben typische Inhalte von SLAs?

  9. Welches sind wesentliche Phasen der Entwicklung von SLAs?

  10. In welchem Zusammenhang stehen SLRs, SLAs und OLAs?

Quellen

  • Berger, T. G.: Service-Level-Agreements: Konzeption und Management von Service-Level-Agreements für IT-Dienstleistungen. Saarbrücken 2007

  • Bundesamt für Sicherheit in der Informationstechnik (BSI) : IT-Grundschutz-Kataloge 2008. Abruf: 27.06.2011

  • Grütter, R. / Schwabe, G. / Aschoff, F.-R.: Qualität von IT-Leistungen aus den Perspektiven von Anbietern und Nachfragern. Ergebnisse einer Umfrage in der Schweiz. In: Oberweis, A. et al. (Hrsg.): eOrganisation: Service-, Prozess-, Market-Engineering. 8. Internationale Tagung Wirtschaftsinformatik Karlsruhe, 28. Februar - 2. März 2007. Bd. 1. Karlsruhe 2007, 365-382

  • Heinrich, L. J. / Riedl. R.: Phasenmodell zur Entwicklung von Serviceebenen-Vereinbarungen. In: HMD - Praxis der Wirtschaftsinformatik 231/2003, 88-96

  • Herrmann, C. / Müller, S.-A.: Business Intelligence Services bei T-Mobile Deutschland: Service Level Agreements und servicebezogenes Datenqualitätsmanagement zur kundengerechten Leistungserbringung. In: Dinter, B. et al. (Hrsg.): DW2008. Synergien durch Integration und Informationslogistik. 27./28.10.2008 in St. Gallen, Switzerland. Lecture Notes in Informatics (LNI) - Proceedings. Bonn 2008, 229-248

  • IT Governance Institute (Hrsg.): COBIT 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadows 2007. Abruf: 15.11.2008

  • Rudd, C. / Lloyd, V.: Service Design (ITIL), Version 3. London 2007

Vertiefungsliteratur

  • Bernhard, M. G. et al. (Hrsg.): Praxishandbuch Service-Level-Management: Die IT als Dienstleistung organisieren. 2. A., Düsseldorf 2006

  • Eicker, S. / Heimann, E. / Bucksteeg, M.: Kostenabhängigkeitsbetrachtung für Service Levels von Managed Desktop Services am Beispiel der Verfügbarkeit. In: Bichler, M. et al. (Hrsg.): Multikonferenz Wirtschaftsinformatik 2008. Berlin 2008, 951-962

  • Kronz, A. / La Greca, C. / Kaffai, B.: Prozessorientiertes Service Level Management. In: Lehner, F. / Nösekabel, H. / Kleinschmidt, P. (Hrsg.): Multikonferenz Wirtschaftsinformatik 2006. Tagungsband 1. Berlin 2006, 35-46

  • Patel, P. / Ranabahu, A. / Sheth, A.: Service Level Agreement in Cloud Computing. In: Proceedings of the Workshop on Best Practices in Cloud Computing: Implementation and Operational Implications for the Cloud at ACM International Conference on Object-Oriented Programming, Systems, Languages, and Applications, Orlando, 2009. New York 2009, o. S.

Informationsmaterial

Normen

  • EN ISO 9000:2005. Qualitätsmanagementsysteme - Grundlagen und Begriffe

  • EN ISO 9001:2000. Qualitätsmanagementsysteme - Anforderungen

  • ISO/IEC 20000-1:2005. Information Technology - Service Management - Part 1: Specification

  • ISO/IEC 20000-2:2005. Information Technology - Service Management - Part 2: Code of Practice

  • Abbildungsarchiv: Serviceebenen-Vereinbarungen (SEVER)