Schwachstellenanalyse der Informationssicherheit

1 Ziel und Aufbau der Arbeit

Für betriebliche Informationen interessieren sich u. a. Mitarbeiter, Kunden und Konkurrenten der Unternehmen sowie der Staat und die Öffentlichkeit^[1]. In diesem Zusammenhang stellt sich die Frage, wie wertvolle betriebliche Informationen gegen jegliches Angriffspotential seitens Unbefugter Personen abzuschirmen sind und zugleich die Verfügbarkeit der Informationen sicherzustellen ist. Erschwert wird dieser Sachverhalt durch multimediale und kooperative Anwendungen, die zunehmend komplexere Konzepte fordern, um die Informationssicherheit zu gewährleisten^[2].

Es steht eine schier unerschöpfliche Anzahl von Veröffentlichungen zur Verfügung, in denen sich der Informationssicherheit angenommen wird. Das Gebiet erscheint vor allen Dingen deswegen unüberschaubar, weil viele Autoren fast ausschließlich den technischen Bereich der Sicherung von Informationen behandeln. Aufgrund des schnell voranschreitenden technischen Fortschritts werden in immer kürzeren Abständen Anleitungen dafür gegeben, wie zum Beispiel die Hard- und Software oder der Netzbetrieb vor Bedrohungen der Informationssicherheit geschützt werden können. So wichtig dieser Tatbestand auch ist, darf gerade im betrieblichen Umfeld nicht übersehen werden, dass auch Sicherheitsrisiken im nicht technischen Bereich der Informationsverarbeitung vorhanden sind. Man entdeckt aber in den Publikationen wenige Anregungen dafür, wie die Informationssicherheit in allen Unternehmensbereichen gewährleistet werden kann.

Die Wirtschaftsinformatik ist als interdisziplinäres Fachgebiet zwischen der Betriebswirtschaftslehre und der Informatik gefordert, Methoden zu liefern, die sich nicht alleine auf technische Sicherheitslösungen beschränken, sondern die Sicherheitsaspekte der gesamten IV mit einbeziehen. Da technische Sicherheitslösungen jederzeit aus der Informatik übernommen werden können, sollten sich wirtschaftsinformatische Betrachtungen der Informationssicherheit nicht vordergründig auf solche Probleme, wie Entwurfsmethoden von Verschlüsselungsalgorithmen konzentrieren.

Obwohl die technische Sichtweise alleine keine angemessene Basis für eine Untersuchung aller sicherheitsrelevanten Objekte der IV darstellt, ist es unverzichtbar, aktuelle technische Sicherheitslösungen zu beurteilen und gezielt anwenden zu können. So kann der unsystematische Einsatz von zeitgemäßen Sicherheitsmechanismen mit hohen Kosten und großem Zeitaufwand verbunden sein, ohne dass ein wirklich effektiver und effizienter Schutz von sicherheitsrelevanten Informationen erreicht wird. Zudem bedarf die Sicherheitsrelevanz von Informationen einer Skalierung, da absolute Sicherheit nicht zu gewährleisten ist. Sicherheitsmaßnahmen sind je nach Schutzbedarf und Gefährdung zu treffen. Die in jeder Hinsicht zunehmende Komplexität von Sicherheitskonzepten erfordert sorgfältigere Analysen des gesamten zu sichernden Bereichs, um unnötigen Zeit- und Kostenaufwand zu vermeiden. Die Analyse von Schwachstellen der Informationssicherheit stellt eine Möglichkeit dar, die Informationssicherheit zu beurteilen, um Maßnahmen gezielt einsetzen zu können. Diesen Beitrag kann eine Schwachstellenanalyse (SSA) jedoch nur dann leisten, wenn die Schwachstellen mit Hilfe von strukturierten Kriterien und Methoden untersucht werden.

Das Ziel vorliegender Diplomarbeit liegt darin, eine SSA der Informationssicherheit zu entwerfen, wobei das Verfahren einen relativ universell anwendbaren Charakter besitzen sollte. Die Bearbeitung des Themas erstreckt sich einschließlich des vorliegenden Abschnitts auf insgesamt fünf Kapitel, deren Aufbau und Inhalt nachfolgend beschrieben wird.

Im zweiten Kapitel werden zunächst die Begriffe "Schwachstelle" und "Schwachstellenanalyse" (2.1), "Information" und "Informationsverarbeitung" (2.2) eingeführt. In der Wirtschaftsinformatik hat sich mit dem Informationsmanagement (IM) bereits ein beachtliches Teilgebiet konstituiert, welches Vorgehensweisen für die Organisation der Informationsverarbeitung liefert. In Abschnitt 2.3 wird zunächst untersucht, welche Richtungen innerhalb des Informationsmanagements eingeschlagen werden, um Informationen zu bewirtschaften. Es ist unerläßlich, die derzeit praktizierten Verfahren zur Organisation der Informationsverarbeitung zu kennen, wenn man Schwachstellen der Informationssicherheit auffinden möchte. Außerdem wird zu klären sein, welchen Stellenwert die Sicherung von Informationen innerhalb des IM einnimmt. Am Ende des 2. Kapitels wird der Bereich aufgezeigt, auf den sich die Konzeption eines SSA-Systems im Rahmen dieser Arbeit beziehen wird.

Schwachstellen entstehen, wenn Soll-Ist-Abweichungen bei den Sicherheitsvorkehrungen eines Unternehmens vorliegen. Folglich müssen Kriterien und Methoden dargelegt werden, die üblicherweise angewendet werden sollten, um die Informationssicherheit zu gewährleisten. Erst dann sind Schwachstellen überhaupt identifizierbar und deren Ursachen nachvollziehbar. Die Untersuchung wird sich in Kapitel 3 zunächst auf Schwachstellen bei der Sicherheitsplanung beziehen. Der Schwerpunkt der Diplomarbeit wird jedoch darin liegen, ein SSA-System zu entwerfen, um Schwachstellen bei Entwicklung, Nutzung und Betrieb des Informationssystems (Kapitel 4) zu analysieren. Das fünfte Kapitel beinhaltet das Ergebnis der Arbeit: eine Checkliste mit Fragen zur Schwachstellenanalyse der Informationssicherheit für die in Kapitel 3 und 4 untersuchten Bereiche. Abschließend werden noch einige Bemerkungen dazu gemacht, welche Entwicklungen zukünftig als wünschenswert zu erachten sind, um die Informationssicherheit zu gewährleisten und damit Schwachstellen zu vermeiden.

2 Grundlagen

2.1 Schwachstelle und Schwachstellenanalyse

Ursprünglich entstammt der Begriff „Schwachstelle“ dem Bereich der Fertigung. Seit etwa 20 Jahren beschäftigt man sich innerhalb der Konstruktions-, Werkstoff-, Fertigungs- und Instandhaltungstechnik bereits mit der Schwachstellenforschung, um Schäden während der industriellen Fertigungsprozesse zu vermeiden. Das Wort "Schwachstelle" setzt sich aus den beiden Teilworten „schwach“ und „Stelle“ zusammen. Im Kontext der vorliegenden Fragestellung wird für „schwach“ die Bedeutung "funktionsmäßig unzureichend"^[3] angenommen. Durch den Begriff „Stelle“ wird eine räumliche Zuordnung ausgedrückt, die im direkten Sinne z. B. eine Maschine und im übertragenen Sinne beispielsweise eine organisatorische Einheit oder Tätigkeit sein kann^[4]. Die genauere Begriffsbestimmung der Schwachstelle soll anhand von Parametern erfolgen, die allgemein gültig sind. In der Schwachstellenforschung sind diesbezüglich drei wichtige Axiome aufgestellt worden, die eine Definition des Begriffs Schwachstelle nicht verletzen sollte^[5] und die auch im Bereich der Informationssicherheit sinnvoll sind:

- Axiom der Nichtidentität: Eine Schadensstelle ist eine Schwachstelle, eine Schwachstelle ist nicht unbedingt eine Schadensstelle. Wird z. B. eine Information durch unbefugte Dritte modifiziert, kann möglicherweise eine Schwachstelle durch unzureichende Verschlüsselung vorliegen. Die ungenügende Codierung von Information bedingt jedoch nicht zwangsläufig deren Modifikation durch Unberechtigte.
- Axiom der Achronität: Solange eine Schwachstelle nicht zur Schadensstelle geworden ist, kann sie ein zeitlich wiederholbares Ereignis sein. Solange beispielsweise das Mithören von Übermittlungsinformationen nicht durch einen konkreten Schaden bemerkt wird, kann es wiederholt stattfinden.
- Axiom der Ortsdifferenz: Eine Schwachstelle ist nicht unbedingt der Ort der Schwachstellenursache, d. h. eine Trennung von Ursachenort und Störungsort ist möglich. Dies ist beispielsweise dann der Fall, wenn ein Mitarbeiter nicht ausreichend in der Anwendung eines Programmes geschult ist und eine unsachgemäße Bildschirmeingabe tätigt. Die Störung wird sicherlich an einer Stelle zum Vorschein treten, die nicht zwangsläufig auf die Ursache „Mitarbeiterfehlverhalten“ schließen lässt.

Für die weiteren Ausführungen wird der Analysegegenstand „Schwachstelle“ wie folgt definiert:

Eine Schwachstelle ist ein kausaler Ereignisort, an welchem eine reale oder potentielle Abweichung von einem erwünschten Zustand explizit auftritt oder implizit auftreten kann^[6]. Sie kann mit wirtschaftlich vertretbaren Mitteln so verändert werden, dass die Schadenshäufigkeit und/oder der Schadensumfang sich verringert^[7]. Solche Schwachstellen lassen sich bei der Informationsverarbeitung eigentlich in allen Bereichen finden.

Die „Schwachstellenanalyse“ ist ein umfassender Begriff für Vorgehensweisen, um in einem System die unzureichend funktionierenden Elemente und Elementbeziehungen aufzuspüren mit dem Ziel, die festgestellten Schwächen zu beseitigen^[8]. Schwachstellenanalysen werden im betriebswirtschaftlichen Bereich mit Hilfe verschiedener Methoden durchgeführt^[9]. Das Ablaufschema einer SSA ist normalerweise durch das Abarbeiten von Checklisten mit Fragen charakterisiert. Bei solchen Checklisten können die Antworten entweder mit Hilfe von Duellen Systemen (ja/nein) oder mittels Ratingssystemen (hoch - niedrig) gegeben werden. Ein Vorteil dieser Systeme liegt in deren Standardisierungsmöglichkeiten^[10]. Bei einer SSA wird von den tatsächlichen Gegebenheiten, d.h. vom Ist-Zustand eines Systems, ausgegangen^[11]. Anhand von Abweichungen des Ist-Zustandes von den Zielen, die erreicht werden sollen, kann man eine Schwachstelle erkennen^[12].

Das Ablaufschema einer SSA, welches in den nachfolgenden Kapiteln weiter zu verfeinern sein wird, läuft grob skizziert in folgenden Phasen ab^[13]:

1) Erarbeiten des Sicherheitsziels im Sinne des angestrebten Sicherheitsniveaus
2) Auswahl und Anpassung eines geeigneten und möglichst standardisierten SSA-Systems
3) Erhebung der Schwachstellen (Abarbeiten des SSA-Systems)
4) Auswertung
5) Schwachstellenbeseitigung
6) Ermittlung des Restrisikos und ggf. Übergang zu einer Risikoanalyse (RA)

Dieses grobe Vorgehensschema wird in nachfolgenden Kapiteln vornehmlich bezüglich der Auswahl und Anpassung eines geeigneten und möglichst standardisierten SSA-Systems (Schritt 2) weiter detailliert. Die restlichen Schritte werden ebenfalls ausführlicher ausgearbeitet.

2.2 Information, Informationssystem und Informationsverarbeitung

Das Gebiet der Informationssicherheit umfasst zunächst einmal alle Fragen, die sich im Zusammenhang mit dem sicheren Verarbeiten, Erfassen, Übertragen und Speichern von Informationen ergeben.

In der Literatur wird häufig eine Differenzierung zwischen "Daten" und "Informationen" vorgenommen^[14]. Die Unterscheidungsansätze sind vielfältig und uneinheitlich. Die dabei häufig vorzufindende Unterteilung in Betrachtungsebenen der Semiotik^[15] wird auch an dieser Stelle verwendet, um den Begriff der Information im betriebswirtschaftlichen Sinn brauchbar zu präzisieren. Wie gezeigt wird, bietet die Semiotik Erklärungspotential, um den Inhalt gängiger Definitionen von Information in der BWL abzudecken. Obwohl in der Literatur bis zu fünf Betrachtungsebenen genannt werden, reicht die Erläuterung von den folgenden drei Betrachtungsebenen der Semiotik für vorliegenden Zweck aus^[16]:

- Die syntaktische Ebene enthält Signale, Zeichen und Symbole^[17] und alle Regeln, nach denen diese Elemente kombiniert werden können oder zusammengesetzt werden müssen^[18]
- Auf der semantischen Ebene erhalten die Signal-, Zeichen und Symbolketten einen Sinn bzw. eine Bedeutung und es kann von Daten gesprochen werden, weil durch die Art der Zusammenstellung der Signale, Zeichen und Symbole eine Nachricht entsteht, deren Bedeutung ein Empfänger der Nachricht verstehen kann^[19]. Bei Daten handelt es sich um die Gesamtheit aller verfügbaren Texte, Zahlen, Grafiken, etc.^[20]
- Zu den Daten kommt auf der pragmatischen Ebene die Zweckorientierung hinzu, und aus den Daten werden Informationen^[21]. Die Pragmatik bringt den Aspekt des zweckgerichteten Handels zum Erreichen eines Ziels zum Ausdruck^[22]. Sie beinhaltet die Relation zwischen der Information und der durch sie ausgelösten Handlungen bzw. Wirkungen^[23], denn der Sender einer Information beabsichtigt, eine Handlung beim Empfänger zu bewirken^[24].

Für den betriebswirtschaftlichen Bereich wird die Bedeutung des Begriffs Information mit Hilfe der Semiotik in ausreichendem Maße konkretisiert. Oftmals wird Information auf diesem Gebiet als zweckorientiertes bzw. zielgerichtetes Wissen definiert^[25]. Demgegenüber definiert Heinrich Information als handlungsbestimmendes Wissen über historische, gegenwärtige und zukünftige Zustände und Vorgänge der Wirklichkeit^[26]. Auf der pragmatischen Ebene wird der Begriff Information hinsichtlich beider Aspekte präzisiert: Erst wenn zu den Daten die Zweckorientierung hinzukommt, spricht man von Informationen, wobei der Zweck darin liegt, Handlungen bei dem Empfänger der Information auszulösen, die der Zielerreichung dienen.

Es gibt aber in der betriebswirtschaftlichen Literatur noch weitere Ansätze, die den Wert von Informationen umschreiben: Der Information werden Merkmale zugeschrieben, die sie zum Wirtschaftsgut, zum Produktions- und zum Wettbewerbsfaktor aufwerten^[27]. In ihrer Eigenschaft als Wirtschaftsgut weist die Information beispielsweise reales Vorhandensein, Verfügbarkeit, Übertragbarkeit, relative Knappheit und ökonomische Eignung auf. Als Produktionsfaktor wird Information gleichberechtigt neben die Faktoren Arbeit, Kapital und Boden gestellt. Einen Wettbewerbsfaktor stellt die Information besonders für solche Länder dar, die nicht über eigene Rohstoffvorkommen verfügen^[28]. Zudem lassen sich Wettbewerbsstrategien, wie die Kostenführerschaft, die Differenzierung oder die Konzentration mittels Informationen besser durchsetzen^[29].

Einige weitere Eigenschaften von Information, die in der Literatur aufgezählt werden, sind u. a.^[30]:

- Information ist ein immaterielles Gut, welches bei mehrfacher Nutzung nicht verbraucht wird. Es ist also ein vielfältiger Besitz möglich.
- Die Übertragung und Vervielfältigung von Information ist einfach und kann mit niedrigen Kosten durchgeführt werden.
- Informationen sind erweiterbar und verdichtbar und ihr Wert kann durch das Hinzufügen, Selektieren, Konkretisieren und Weglassen verändert werden.
- Informationen können von unterschiedlicher Qualität sein (z. B. bezüglich der Genauigkeit und Vollständigkeit).
- Die Summe aller Komponenten einer Information hat mitunter einen höheren Wert als die zusammengerechneten Teilwerte.
- Informationen überlagern die betrieblichen Funktionen deren Aktivitäten erst mit Hilfe von Informationen ausgeführt werden können. Das hat zur Folge, dass Informationen Fließgrößen sind und Prozesscharakter besitzen.
- Durch Informationen können Beziehungen zu Individuen, Unternehmen oder Institutionen angebahnt werden.
- Informationen durchlaufen einen Lebenszyklus ähnlich wie andere Güter, der sich von ihrer Entstehung, über die Nutzung und Verarbeitung bis hin zu ihrer Archivierung oder Löschung erstreckt.
- Die Kosten einer Information sind schwer identifizierbar, da kein Preisbildungsmechanismus existiert. Dennoch können Informationen nicht als freie Ressourcen aufgefasst werden, denn durch ihre Beschaffung, Entstehung, Nutzung, Verarbeitung und Weiterleitung entstehen Kosten; obendrein ist die Information eine knappe Ressource (im Überfluss existieren lediglich Daten).
- Informationen können gegen finanzielle oder sonstige Vergütungen gehandelt werden.
- Informationen sind sehr „flüchtig“, da sie die Neigung zur Diffusion und zur Überwindung von auferlegten Grenzen haben.

Die meisten der vorgenannten Merkmale treten durch den Einsatz moderner Informationstechnik (IT) noch deutlicher in Erscheinung, da Informationen zunehmend schneller und einfacher bearbeitet werden können.

Während bei Daten die ausschließliche maschinelle Speicherung und Verarbeitung möglich ist, muss bei Informationen zwangsläufig die Kommunikation hinzutreten^[31], denn auf der pragmatischen Betrachtungsebene bedarf es eines Senders und eines Empfängers der Information. Der Begriff der „Datenverarbeitung“ wird aus diesem Grund nicht weiter betrachtet, da er zunächst lediglich die Verarbeitung von Daten durch den Computer bezeichnet^[32]. Hieraus lässt sich an Anbetracht der Themenstellung keine geeignete Grundlage ziehen, weil keine Aussage darüber gemacht wird, ob die Übertragung von Daten (d. h. die Kommunikation) eingeschlossen ist. Hauptaugenmerk liegt folglich auf der „Informationsverarbeitung“, als deren Bestandteil die Datenverarbeitung angesehen wird. Das Gebiet der IV ist breit gefächert. So kann unter die Verarbeitung von Daten und Informationen etwa deren Erfassung, Ein- und Ausgabe, Speicherung, Verknüpfung, Auswertung und Übertragung fallen. Mit Hilfe von Hard- und Software werden auch Vorgänge wie das Steuern von Produktionsabläufen, Messen und Regeln, Überwachen, Kontrollieren usw. realisiert^[33].

Die IV geschieht zunehmend durch technische Systeme, bestehend aus Hard- und Software. Solche Systeme werden als "informationstechnische Systeme" (IT-Systeme) bezeichnet^[34]. Das gesamte „Informationssystem“ (IS) eines Unternehmens beinhaltet jedoch alle Bestandteile der Informationsverarbeitung, d. h. sowohl die technischen als auch die nicht technischen Komponenten der IV. Es schließt die Gesamtheit von Menschen, Hard- und Software sowie deren Informations- und Kommunikationsbeziehungen im betrieblichen Umfeld ein^[35]. Das IT-System ist demnach nur ein Element des gesamten IS. Tabelle 1 gibt eine exemplarische Übersicht über mögliche Komponenten innerhalb eines betrieblichen IS:

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1: Komponenten eines Informationssystems^[36]

IV und Informationssystem können also sehr vielfältige Erscheinungsformen aufweisen. Beide Begriffe können erst entsprechend ihrer tatsächlichen Ausprägung in einem real existierenden Unternehmen inhaltlich konkretisiert werden. Im Informationssystem spielen sich Informationsverarbeitung und Kommunikation ab. Die Komplexität jener Prozesse wird an dieser Stelle zunächst (unabhängig von einer fassbaren Verwirklichung) auf ein anschauliches Maß reduziert. Dies geschieht, indem die vorangegangenen Ergebnisse des Kapitels 2.2 in Tabelle 2 zusammengefasst und die Aktionen des Senders und Empfängers innerhalb der Kommunikation hinzugefügt werden. Um dabei alle Verarbeitungs- und Kommunikationsprozesse abzudecken, die im Zuge der IV geschehen können, wird unterstellt, dass Sender und Empfänger beliebige Objekte des gesamten IS sein können. Objekte des Informationssystems können etwa Hard- und Software, Daten, Infrastrukturen, Dokumente oder Personen sein^[37].

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Informationsverarbeitung^[38]

Im Rahmen der vorliegenden Arbeit wird eine Checkliste zur Schwachstellenanalyse der Sicherheit von Informationen entwickelt. Dennoch sind auch Daten als schützenswert anzusehen; die gleiche Information kann in verschiedenen Kontextsituationen andere Handlungsausführungen bewirken, und nach der jeweiligen Handlung bleibt nur die semantische Referenz (die Daten) erhalten^[39]. Wenn Daten in anderem Zusammenhang wieder zur Information generiert werden können oder sollen, muss auch deren Sicherheit frei von Schwachstellen sein. Hieraus ergibt sich aber keine Schwierigkeit, da die Datenverarbeitung als Bestandteil der IV angesehen wird.

2.3 Informationsmanagement und Informationssicherheit

Bei genauerer Literaturauswertung im Bereich betrieblicher Informationsverarbeitung zeigt sich, dass das Informationsmanagemt (IM) als methodische Leitlinie zur Organisation der IV inzwischen eine bedeutende Rolle einnimmt. Abgesehen davon, dass sehr vielfältige methodische Vorgehensweisen seitens der Autoren auf diesem Gebiet formuliert worden sind^[40], wird die Begründung für das IM darin gesehen, dass die Information u. a. bedingt durch ihre Aufwertung zum Produktionsfaktor als eigener Bereich im Unternehmen bewirtschaftet werden soll^[41]. Um dieser Aufgabe und der Bedeutung der Information als strategischer Ressource gerecht zu werden, wird die Forderung erhoben, in Unternehmen ein Informationsmanagement (IM) zu implementieren^[42]. Seit den 80er Jahren ist das IM in Großunternehmen als neue Führungsaufgabe erkannt worden, seit Beginn dieses Jahrzehnts etabliert es sich in der Unternehmensführung, und derzeit wird es als konstitutiver Faktor der Unternehmensführung angesehen^[43].

In der Wirtschaftsinformatik als ökonomische Wissenschaftsdisziplin finden sich zwei verschiedene Interpretationen des IM: die vorrangig technisch und die vorrangig betriebswirtschaftliche Ausrichtung. Bei der technischen Sichtweise liegt der Schwerpunkt auf der Gestaltung des IT-Systems mit Hard- und Software, Netzwerken, Datenbanken, usw. Man kann auch sagen, dass sich ein technisch orientiertes IM mit dem Realisieren und Nutzen der gesamten IT-Infrastruktur beschäftigt. Unter der betriebswirtschaftlichen Sichtweise werden die Aufgaben festgelegt, die notwendig sind, um Information erfolgreich zu managen. Hierbei sollen möglichst alle Aufgaben bestimmt werden, die dazu nötig sind, die Schaffung und den Betrieb des gesamten Informationssystems zu gewährleisten. Da Information und Kommunikation sich gegenseitig bedingen^[44], fällt die Realisierung und Nutzung der gesamten IuK-Infrastruktur hierunter. Die Notwendigkeit eines integrierten und ganzheitlichen Ansatzes dieser Aufgabengestaltung steht derzeit bei den meisten Autoren außer Frage^[45].

Wenn die Informationsverarbeitung inzwischen mit Hilfe des IM organisiert wird, stellt sich die Frage, ob auch die Informationssicherheit einen Stellenwert als Aufgabe innerhalb des IM einnimmt bzw. wenn ja, welche Bedeutung ihr zugemessen wird. Wertet man die Literatur bezüglich des IM genauer aus, wird Folgendes deutlich: Dem Aufgabengebiet der Informationssicherung wird innerhalb des IM wenig Bedeutung zugemessen^[46]. Beschäftigen sich die Autoren einschlägiger Publikationen überhaupt mit dem Thema, so beschränkt sich dies mitunter auf ein Kapitel zweiter oder dritter Gliederungsstufe^[47]. Ausnahmen sind selten anzutreffen: Heinrich etwa ordnet das Sicherheitsmanagement innerhalb der Aufgaben IM auf administrativer Ebene an^[48], Schwarze deklariert das Sicherheits- und Katastrophenmanagement als Querschnittsaufgabe des Informationsmanagements^[49], und in Scheers „Handbuch Informationsmanagement“ findet sich zumindest ein Aufsatz zu dem Thema^[50].

Abbildung in dieser Leseprobe nicht enthalten

Es kann also nach heutigem Stand der Literatur davon ausgegangen werden, dass Informationssicherheit nicht unbedingt als fester Aufgabenbestandteil des IM angesehen wird. Dabei es sich keineswegs als überflüssig oder nebensächlich dar, Sicherheit in allen Bereichen der IV zu fordern. Im Gegenteil: Erst durch einen - in angemessener Weise - abgesicherten IV-Bereich ist eine reibungslose betriebliche Informationsverarbeitung möglich. Wenn das Gebiet der IV mit Hilfe des IM organisiert wird, können die Informationen nicht völlig losgelöst vom IM geschützt werden. Vielmehr ist ein mit dem IM zusammen arbeitendes Sicherheitsmanagement anzustreben, um die betrieblichen Informationen ausreichend zu schützen. Denn die Informationssicherheit sollte integraler Bestandteil der IV sein^[51]. Abbildung 1 liefert eine Grundlage, den relevanten Schwachstellenanalysebereich der Informationssicherheit zu identifizieren:

Abb. 1: Informationssicherheit^[52]

Um den Anspruch an eine integrierte Informationssicherheit zu erfüllen, ist die gesamte Informationssicherheit eines IS von Bedeutung, denn integrierte Sicherheit bedingt die ganzheitliche Sichtweise aller Sicherheitsprobleme im Unternehmen^[53]. Da zudem alle Bereiche des Informationssystems Schwachstellen aufweisen können darf sich die Konzeption einer Schwachstellenanalyse nicht nur auf die Sicherheit der IT-Infrastruktur, sondern auf den Sicherheitsbereich der gesamten IuK-Infrastruktur der betrieblichen Informationsverarbeitung beziehen. Im betrieblichen Umfeld kann man den Begriff der Informationssicherheit immer erst durch die genaue Spezifikation der Merkmale eines konkret vorliegenden Informationssystems vollständig definieren.

Das Gebiet der Informationssicherheit kann an dieser Stelle etwas näher präzisiert werden, indem die Aufgaben beschrieben werden, die bei der Realisierung und Nutzung des Informationssystems anfallen. Hierzu bietet Heinrich einen fundierten aufgabenorientierten Ansatz für das IM, der als Ausgangspunkt im Rahmen dieser Diplomarbeit gewählt wird, um das betriebliche Aufgabenfeld hinsichtlich Information und Kommunikation umfassend beschreiben zu können. Nach Heinrich stellen sich die Aufgaben zur Schaffung und Nutzung des Informationssystems im Sinne einer Informationsfunktion dar: Wenn alle betriebswirtschaftlichen Aufgaben bezüglich Information und Kommunikation zu einer betrieblichen Funktion zusammengefasst werden, kann man von einer Informationsfunktion sprechen. Die Informationsfunktion hat die Schaffung und Nutzung der gesamten Informationsinfrastruktur zum Gegenstand^[54] und stellt sich als eine besondere Querschnittsfunktion dar, die an den Schnittpunkten der Grundfunktionen (wie Beschaffung, Produktion und Vertrieb) und der Querschnittsfunktionen (z. B. Personal, Finanzierung und Logistik) auftritt:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Informationsfunktion^[55]

Die Aufgaben der Informationsfunktion sind auf strategischer, administrativer und operativer Ebene anzusiedeln^[56]. Dabei haben die strategischen Aufgaben die langfristige Ausrichtung der IV an den Unternehmenszielen zum Inhalt. Die administrativen Aufgaben setzen diese strategische Planung um und sind somit als Aufgaben der Realisierung und Aufrechterhaltung der Infrastruktur, insbesondere der gesamten Systemplanung und -entwicklung, zu sehen. Die Aufgaben des Betriebes und der Nutzung einer vorhandenen IuK-Infrastruktur sind operativ^[57].

Natürlich können die Aufgaben, die bei der Implementierung eines IM notwendig sind, nicht analog auf die Organisation der Informationssicherheit übertragen werden. Der Ansatz Heinrichs stellt jedoch, dem Sachverhalt des Sicherheitsmanagements angemessen verändert und akzentuiert, einen geeigneten Ausgangspunkt dar, um alle sicherheitsrelevanten Aspekte der unternehmensweiten Informationsverarbeitung einbeziehen zu können. Um die Sicherheit von Informationen zu gewährleisten, fallen Aufgaben in jedem der zuvor genannten Bereiche an. Im Rahmen vorliegender Arbeit werden folgende Aspekte im Hinblick auf Schwachstellen der Informationssicherheit untersucht:

Im strategischen Aufgabenbereich werden Schwachstellen aufgezeigt, die bei der Situationsanalyse, beim Formulieren der Sicherheitsziele und bei der Maßnahmenplanung vorliegen können. Aus dem administrativen und operativen Bereich werden die sicherheitsrelevanten Aufgaben im Zuge der Systementwicklung und bei Betrieb und Nutzung analysiert. Die beiden unteren Aufgabenbereiche werden deshalb von besonderem Interesse sein, weil davon auszugehen ist, dass die Anzahl möglicher Schwachstellen von der strategischen über die administrative bis hin zur operativen Aufgabenebene zunimmt, weil auch die Anzahl der in die IV involvierten Objekte größer wird. Außerdem unterliegen die Aufgaben des Betriebs und der Nutzung einer vorhandenen IuK-Infrastruktur in der Regel keiner zeitlichen Begrenzung.

3 Schwachstellen bei der strategischen Sicherheitsplanung

3.1 Situationsanalyse

3.1.1 Definition des Informationssystems

Schwachstellen ergeben sich durch Gegebenheiten in der Aufbau- und Ablaufstruktur eines Systems, durch welche Angriffe auf die Informationen nicht ausreichend abgewehrt werden können^[58]. Aus diesem Grund liegt es nahe, zunächst einmal das Informationssystem näher zu untersuchen.

Nach der allgemeinen Systemtheorie besteht ein System aus einer gewissen Anzahl von Elementen, die miteinander in Beziehung stehen und von ihrer Umwelt abgegrenzt sind. Durch die Definition der Schnittstellen erfolgt die Abgrenzung des Systems von seiner Umwelt bzw. von den umliegenden Systemen. Mit der Schnittstellenabgrenzung des IS zu anderen Systemen, werden zugleich die Analysegegenstände der SSA auf ein überschaubares Gebiet reduziert. Schwachstellen, die außerhalb von den per Definition festgelegten Schnittstellen des IS auftreten, können nicht mehr kontrolliert werden, weil in Umsystemen i. d. R. ex ante keine Sicherheitsmaßnahmen ergriffen werden. Anhaltspunkte zur Systemabgrenzung können sich etwa ergeben, wenn die einsetzbaren Vorkehrungen mehr kosten als sie nutzen. Darüber hinaus kann man Systeme u. a. aus zwei Blickrichtungen betrachten. Zum Einen ist es möglich, sich auf den Input und Output zu konzentrieren ohne das System selbst genauer zu untersuchen. Im dem Fall stellt sich das System als "Black Box" dar und der Wirkungsaspekt steht im Vordergrund. Interessanter ist in vorliegendem Zusammenhang jedoch die Betrachtung des Strukturaspekts, d. h. der Transformation des Dateninputs zum Datenoutput. Dazu ist der Inhalt der Black Box genauer zu analysieren. Wenn vorausgesetzt wird, dass betriebliche Informationen beim Empfänger eine Handlung zum Erreichen der Unternehmensziele bewirken sollen, ist zunächst zu analysieren, wo und wie sie im Zuge der IV transformiert werden.

Mögliche Strukturkomponenten, die sich sowohl auf die Ablauf- als auch auf die Aufbaustruktur eines Informationssystems beziehen, können sein^[59]:

- die Geschäftsprozesse
- die Tätigkeiten und Vorgänge (mit Tätigkeitsabläufen und Vorgangsketten)
- die Aufgaben
- die betroffenen Bereiche, Abteilungen und Stellen
- Über- und Unterordnungsbeziehungen zwischen Bereichen, Abteilungen und Stellen
- räumliche Verteilung von Bereichen, Abteilungen und Stellen
- die Informationsarten
- die Hardware
- die Software

Neben dem Strukturaspekt des Informationssystems sind auch die IV-Prozesse des Unternehmens genauer zu untersuchen.

3.1.2 Planung und Analyse der IV-Prozesse

Das Konzept der "Architektur integrierter Informationssysteme" (ARIS) ermöglicht es die Unternehmensprozesse in einem Modell abzubilden. Auf der Grundlage von ARIS werden die Geschäftsprozesse im Form von "ereignisgesteuerten Prozessketten" (EPK) modelliert. Kernelemente einer EPK sind Ereignisse, Funktionen und Verknüpfungsoperatoren, Datenobjekte und Organisationseinheiten. Die Ereignisse führen zu Zustandsveränderungen von Datenobjekten^[60]. Ferner ist aus einer EPK der Informationsfluss ersichtlich. Mit Hilfe der Modellierung von EPKs können die Geschäftsprozesse entweder analysiert oder neu gestaltet werden. Um die Komplexität der Unternehmensprozesse zu reduzieren, wird dabei der Gesamtzusammenhang in einzelne Sichten zerlegt. Es handelt sich bei diesen Sichten um die Daten-, Funktions-, Organisations- und Ressourcensicht^[61]:

Die Datenobjekte und die Ereignisse bilden die Datensicht, wobei die Datenobjekte aus Stamm- und Bewegungsdaten bestehen und die Ereignisse einen bestimmten Zustand der Daten repräsentieren. Die Funktionssicht beinhaltet die Beschreibung der Funktion, die Aufzählung der Teilfunktionen und die Anordnungsbeziehungen, die zwischen den Funktionen bestehen. Die Struktur und die Beziehungen von Bearbeitern und Organisationseinheiten bilden die Organisationssicht. Inhalt der Ressourcensicht sind die IT-Ressourcen.

Es sprechen mehrere Gründe dafür, die Geschäftsprozessmodellierung mit EPKs an dieser Stelle als Methode zum Planen und Analysieren von IV-Prozessen vorzuschlagen: Erstens handelt es sich bei dieser Methode um ein gängiges Verfahren zur Prozessmodellierung. Zweitens sind die Zustandsveränderungen von Datenobjekten und die Informationsflüsse erkennbar. Drittens ist es möglich, die am Prozess beteiligten Bearbeiter bzw. Organisationseinheiten zu identifizieren. Viertens wird auch die IT-Ressource transparent. Fünftens ist es unabdingbar, die Information in Zusammenhang mit dem Geschäftsprozess zu betrachten, an dem sie beteiligt ist, um ihren Wert für das Unternehmen bestimmen zu können. Durch die Modellierung der Geschäftsprozesse werden mit diesem Verfahren die wesentlichen Strukturaspekte des Informationssystems (vgl. vorheriger Abschnitt) hinsichtlich des Aufbaus und Ablaufs in hinreichend detaillierter Form transparent gemacht. Sollen Schwachstellen der Informationssicherheit aufgedeckt werden, stellen alle der vorgenannten Elemente und Sichten relevante Gegenstände der Analyse dar^[62].

[...]

---

^[1] Vgl. Stockar, Daniel von: Informationssicherheit - Bedeutung und Durchsetzung von Sicherheitsstandards im Unternehmen, in: Sicherheitsrisiko Informationstechnik - Analysen, Empfehlungen, Maßnahmen in Staat und Wirtschaft, DuD-Fachbeitrag 19, Hrsg.: Cyranek, Günther; Bauknecht, Kurt, Braunschweig et al.: Vieweg Verlag 1994, S. 81.

^[2] Vgl. Rosenbaum, Ute; Klasen, Wolfgang: Informationssicherheit in IT-Anwendungen, in: HMD, 190/1996, S. 29.

^[3] Vgl. Mexis, Nikolaus D.: Handbuch Schwachstellenanalyse - Erfolgreiches Instrument zur Kostensenkung und Unternehmenssicherung - Know-how für erfolgreiche Unternehmen, Köln: Verlag TÜV Rheinland 1990, S. 81. Der Autor zählt noch weitere Konnotationen des Wortes Schwachstelle auf, die in vorliegendem Zusammenhang nicht sinnvoll herangezogen werden können, da sie sich ausdrücklich auf Eigenschaften von materiellen Werkstoffen beziehen.

^[4] Vgl. Tönz, Constantin: Prozeßorientierte Schwachstellenanalyse in kleinen und mittleren Unternehmen, Dissertation Nr. 1617 an der Hochschule für Wirtschafts-, Rechts- und Sozialwissenschaften St. Gallen 1994, S. 13.

^[5] Vgl. Mexis, Nikolaus D.; Hennig, Joachim: Handbuch Schwachstellenanalyse und -beseitigung, 2., völlig überarb. und erw. Aufl., Köln: Verlag TÜV Rheinland 1994, S. 121.

^[6] Vgl. Tönz, Constantin: Prozeßorientierte Schwachstellenanalyse in kleinen und mittleren Unternehmen, a. a. O., S. 13.

^[7] Vgl. DIN 31051 nach: Mexis, Nikolaus D.: Handbuch Schwachstellenanalyse - Erfolgreiches Instrument zur Kostensenkung und Unternehmenssicherung - Know-how für erfolgreiche Unternehmen, a. a. O., S. 82. Tönz, Constantin: Prozeßorientierte Schwachstellenanalyse in kleinen und mittleren Unternehmen, S. 11. Inzwischen gibt es eine veränderte Definition der Schwachstelle in DIN 31051 mit dem Wortlaut: „...die mit technisch möglichen und wirtschaftlich vertretbaren Mitteln so verändert werden kann, daß die Ausfallhäufigkeit und Abnutzung sich verringern.“ Der Begriff des Schadens kommt darin nicht mehr vor. Für vorliegende Zwecke wird dennoch die ältere Version beibehalten, da sie besser auf den Bereich der Informationssicherheit übertragen werden kann.

^[8] Vgl. Krcmar, Helmut: Schwachstellenanalyse, in: Lexikon der Betriebswirtschaft, Hrsg.: Lück, Wolfgang, Landsberg am Lech: Verlag moderne Industrie 1983, S. 995.

^[9] Vgl. Tönz, Constantin: Prozeßorientierte Schwachstellenanalyse in kleinen und mittleren Unternehmen, a. a. O., S. 17.

^[10] Vgl. Voßbein, Reinhard: Schwachstellenanalyse versus Risikoanalyse - ernstzunehmende Alternative?, in: IT-Sicherheit - Eine neue Qualitätsdimension, 3. Deutscher Sicherheitskongreß des BSI 1993, Hrsg.: Bundesamt für Sicherheit in der Informationstechnik, Ingelheim: SecuMedia Verlag 1994, S. 342.

^[11] Vgl. Krcmar, Helmut: Schwachstellenanalyse, a. a. O., S. 995. Wittmer, Thomas: Erfolgreiche Datensicherung - Wie Sie Ihre Hard- und Software besser schützen, Planneg/München: Verlag Wirtschaft, Recht und Steuern 1988, S. 54.

^[12] Vgl. Tönz, Constantin: Prozeßorientierte Schwachstellenanalyse in kleinen und mittleren Unternehmen, a. a. O., S. 13.

^[13] In Anlehnung an Voßbein, Reinhard: Schwachstellenanalyse versus Risikoanalyse - ernstzunehmende Alternative?, a. a. O. S. 342.

^[14] Vgl. z. B.: Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, München et al.: Oldenbourg Verlag 1995, S. 4. Vgl. Kersten, Heinrich: Sicherheit in der Informationstechnik - Einführung in Probleme, Konzepte und Lösungen, in: Sicherheit in der Informationstechnik, Hrsg.: Pohl, Hartmut; Weck, Gerhard, 2. völlig überarb. Aufl., München et al.: Oldenbourg Verlag 1995, S. 71 f. Krcmar, Helmut: Informationsmanagement, Berlin et al.: Springer-Verlag 1997, S. 19. Schwinn, Klaus; Dippold, Rolf; Ringgenberg, André; Schnider, Walter: Unternehmensweites Datenmanagement - Von der Datenbankadministration bis zum modernen Informationsmanagement, in: Zielorientiertes Business Computing, Hrsg.: Fedtke, Stephen, Braunschweig et al.: Vieweg Verlag 1998, S. 30. Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, Dissertation an der wirtschaftswissenschaftlichen Fakultät der Universität Zürich 1995, S. 17 ff.

^[15] Semiotik = Lehre von Zeichen und Zeichensystemen (z. B. Schrift).

^[16] Vgl. Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, Göttingen: Unitext-Verlag 1992, S. 9. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 6 ff. (Dieser Autor geht darüber hinaus von zwei zusätzlichen Betrachtungsebenen aus.) Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, a. a. O., S. 17 f.

^[17] Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 9.

^[18] Vgl. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 7.

^[19] Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 9 f. Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, a. a. O., S. 17.

^[20] Vgl. Schwinn, Klaus; Dippold, Rolf; Ringgenberg, André; Schnider, Walter: Unternehmensweites Datenmanagement - Von der Datenbankadministration bis zum modernen Informationsmanagement, a. a. O., S. 30.

^[21] Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 9.

^[22] Vgl. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 7.

^[23] Vgl. Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, a. a. O., S. 17.

^[24] Vgl. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 7 f.

^[25] Vgl. u. a. Stahlknecht , Peter; Hasenkamp, Ulrich: Einführung in die Wirtschaftsinformatik, Berlin et al.: Springer-Verlag 1997, S. 9.

^[26] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, 6., überarbeitete und ergänzte Auflage, München et al.: Oldenbourg Verlag 1999, S. 319.

^[27] Vgl. Hübner, Heinz: Informationsmanagement und strategische Unternehmensführung - vom Informationsmarkt zur Innovation, München et al.: Oldenbourg Verlag 1996, S.1.

^[28] Vgl. Hübner, Heinz: Informationsmanagement und strategische Unternehmensführung - vom Informationsmarkt zur Innovation, a. a. O., S. 2 f.

^[29] Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 21 ff.

^[30] Vgl. Krcmar, Helmut: Informationsmanagement, a. a. O., S. 24 f. Schramböck, Patrick: Sicherheit in Computernetzwerken, Online im Internet: http://swe.uni-linz.ac.at/theses/schramboeck-patrick/ schramboeck.htm, 08/1996, S. 6 f. Krcmar, Helmut: Informationsmanagement, a. a. O., S. 24 f. Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, a. a. O., S. 26 f.

^[31] Vgl. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 6.

^[32] Vgl. Vgl. Stahlknecht, Peter; Hasenkamp, Ulrich: Einführung in die Wirtschaftsinformatik, a. a. O., S. 13.

^[33] Vgl. Kersten, Heinrich: Sicherheit in der Informationstechnik - Einführung in Probleme, Konzepte und Lösungen, a. a. O., S. 71.

^[34] Vgl. Kersten, Heinrich: Sicherheit in der Informationstechnik - Einführung in Probleme, Konzepte und Lösungen, a. a. O., S. 71.

^[35] Vgl. Schwinn, Klaus; Dippold, Rolf; Ringgenberg, André; Schnider, Walter: Unternehmensweites Datenmanagement - Von der Datenbankadministration bis zum modernen Informationsmanagement, a. a. O., S. 35.

^[36] Vgl. Stockar, Daniel von: Informationssicherheit - Bedeutung und Durchsetzung von Sicherheitsstandards im Unternehmen, a. a. O., S. 80.

^[37] Vgl. Konrad, Peter: Geschäftsprozessorientierte Simulation der Informationssicherheit - Entwicklung und empirische Evaluierung eines Systems zur Unterstützung des Sicherheitsmanagements, in: Reihe Wirtschaftsinformatik, Band 20, Hrsg.: Seibt, Dietrich; Derings, Ulrich; Mellis, Werner, Köln: Josef Eul Verlag 1998, S. 21.

^[38] In Anlehnung an: Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 9 und Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 6.

^[39] Vgl. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 8.

^[40] Vertiefende Literatur zu dem Thema Informationsmanagement findet sich u. a. bei den Autoren, die in den nachfolgend zitiert werden.

^[41] Vgl. z. B. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 35 ff. Krcmar, Helmut: Informationsmanagement, a. a. O., S. 22. Schwinn, Klaus; Dippold, Rolf; Ringgenberg, André; Schnider, Walter: Unternehmensweites Datenmanagement - Von der Datenbankadministration bis zum modernen Informationsmanagement, a. a. O., S. 30 ff. Stockar, Daniel Marc von: Informationssicherheit als unternehmerische Aufgabe, a. a. O., S. 15.

^[42] Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O., S. 41

^[43] Vgl. Brenner, Walter; Pörtig, Fritz: Informationsmanagement - eine ungeliebte unternehmerische Aufgabe, in: io-Management, 9/1998, S. 28 f.

^[44] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, a. a. O., S. 7.

^[45] Dies geht bei den meisten Autoren, die später noch zitiert werden bereits aus dem Titel hervor und dürfte nach heutigem Stand der Kenntnis nicht mehr zur Diskussion stehen, da die Bereitstellung von zweck- und zielorientierten Informationen anders gar nicht zu bewältigen ist.

^[46] Bei folgenden Autoren lässt sich entweder gar keine oder keine nennenswerte Einordnung der Informationssicherheit in das Informationsmanagement finden. Zum Teil sind die Gestaltungsempfehlungen für das Informationsmanagement allerdings so allgemein gehalten, dass die Informationssicherheit als Aufgabe weder explizit erwähnt noch ausgeschlossen ist: Vgl. Brockhaus, Rainer: Informationsmanagement als ganzheitliche, informationsorientierte Gestaltung von Unternehmen - organisatorische, personelle und technologische Aspekte, a. a. O. Heilmann, Heidi; Gassert, Herbert; Horváth, Péter: Informationsmanagement - Aufgabe der Unternehmensleitung, Stuttgart: Poeschel Verlag 1990. Vgl. Hübner, Heinz: Informationsmanagement und strategische Unternehmensführung - vom Informationsmarkt zur Innovation, a. a. O. Krcmar, Helmut: Informationsmanagement, a. a. O. Nawatzki, Jürgen: Integriertes Informationsmanagement - Die Koordination von Informationsverarbeitung, Organisation und Personalwirtschaft bei der Planung, Durchführung, Kontrolle und Steuerung des Einsatzes neuer Informationstechnologie in der Unternehmung, Bergisch Gladbach et al.: Eul Verlag 1994. Nüttgens, Markus: Koordiniert-dezentrales Informationsmanagement - Rahmenkonzept, Koordinationsmodelle, Werkzeug-Shell, Wiesbaden: Gabler Verlag 1995. Schmidt, Günter: Informationsmanagement - Modelle, Methoden, Techniken, Berlin et al.: Springer Verlag 1996. Schwinn, Klaus; Dippold, Rolf; Ringgenberg, André; Schnider, Walter: Unternehmensweites Datenmanagement - Von der Datenbankadministration bis zum modernen Informationsmanagement, a. a. O.

^[47] Vgl. z. B. Hildebrand, Knut: Informationsmanagement - wettbewerbsorientierte Informationsverarbeitung, a. a. O., S. 135 f. Pfau, Wolfgang: Betriebliches Informationsmanagement, Wiesbaden: Deutscher Universitäts-Verlag 1997, S. 50-52.

^[48] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, a. a. O., S. 245 ff.

^[49] Vgl. Schwarze, Jochen: Informationsmanagement - Planung, Steuerung, Koordination und Kontrolle der Informationsversorgung im Unternehmen, Herne et al.: Verlag neue Wirtschaftsbriefe 1998, S. 253 ff.

^[50] Vgl. Krallmann, Hermann; Wiegemann, Bernd: Ganzheitliche Sicherheit betrieblicher Informations- und Kommunikationssysteme, in: Handbuch Informationsmanagement - Aufgaben, Konzepte, Praxislösungen, Hrsg.: Scheer, August-Wilhelm, Wiesbaden: Gabler 1993, S. 697-711.

^[51] Vgl. Konrad, Peter: Geschäftsprozessorientierte Simulation der Informationssicherheit - Entwicklung und empirische Evaluierung eines Systems zur Unterstützung des Sicherheitsmanagements, a. a. O., S. 12.

^[52] In Anlehnung an: Kersten, Heinrich: Sicherheit in der Informationstechnik - Einführung in Probleme, Konzepte und Lösungen, a. a. O., S. 72.

^[53] Vgl. Mühlen, Rainer A. H. von zur: Integrierte Sicherheitskonzepte, in: Datenschutz-Management und Datensicherheit, 9. DAFTA-Tagungsband, Hrsg.: Gliss, Hans; Hentschel, Bernd; Wronka, Georg, Köln: Datakontext-Verlag 1987, S. 117.

^[54] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, a. a. O., S. 8.

^[55] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, a. a. O., S. 8.

^[56] Vgl. Heinrich, Lutz J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur, a. a. O., S. 17.

^[57] Vgl. Krcmar, Helmut: Informationsmanagement, a. a. O., S. 35.

^[58] Vgl. Drews, Hans-Ludwig; Kassel, Heinz; Leßenich, Heinz Rudolf: Lexikon Datenschutz und Informationssicherheit - juristische, organisatorische und technische Begriffe, 4., wesentlich überarb. und erw. Aufl., Berlin et al.: Siemens Aktiengesellschaft Abteilung Verlag 1993, S. 230.

^[59] In Anlehnung an: Petzel, Erhard: Management der Informationssicherheit - Grundlagen, kritische Bestandsaufnahme und Neuansatz, Weiden et al.: Eurotrans-Verlag 1996, S. 179.

^[60] Vgl. Scheer, August-Wilhelm; Jost, Wolfram: Geschäftsprozeßmodellierung innerhalb einer Unternehmensarchitektur, in: Scheschäftsprozeßmodellierung und Workflow-Management, Hrsg.: Vossen, Gottfried; Becker, Jörg, Bonn et al.: International Thomson Publishing 1996, S. 35.

^[61] Vgl. Scheer, August-Wilhelm: ARIS - Architektur integrierter Informationssysteme, in: Handbuch Informationsmanagement - Aufgaben, Konzepte, Praxislösungen, Hrsg.: Scheer, August-Wilhelm, Wiesbaden: Gabler 1993, S. 89.

^[62] Natürlich kann man über die IV-Prozesse auch mit Hilfe von anderen Methoden Aufschluss gewinnen. Dabei ist jedoch darauf zu achten, dass dieses Verfahren Transparenz bezüglich der gleichen Aspekte eröffnet, wie die Modellierung mit EPKs auf der Grundlage von ARIS.