Wissensschutz - Regelungen und Maßnahmen zum Schutz wettbewerbsrelevanten Wissens am Beispiel ausgewählter Wissensprozesse

Inhaltsverzeichnis

Anhangsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einführung
1.1 Motivation
1.2 Zielsetzung
1.3 Inhaltliches und methodisches Vorgehen

2 Grundlagen und thematische Fokussierung
2.1 Vom Datenschutz zum Wissensschutz
2.1.1 Daten, Informationen, Wissen
2.1.2 Schutz von Daten
2.1.3 Schutz von Informationen
2.1.4 Schutz von Wissen
2.2 Wissensmanagement und Wissensprozesse
2.3 Zielkonflikt: Wissensmanagementziele versus Schutzziele

3 Schutzbedarf von Wissen
3.1 Typisierung von Wissen
3.1.1 Eigenschaften und Besonderheiten
3.1.2 Dimensionen und Typen
3.2 Wettbewerbsrelevanz von Wissen
3.3 Werthaltigkeit von Wissen

4 Bedrohungen und Schwachstellen
4.1 Externe Faktoren
4.2 Organisation und Prozesse
4.3 Systeme und Technologien
4.4 Mitarbeiter
4.5 Folge- und Kumulationsschäden

5 Regelungen und Maßnahmen zum Schutz von Wissen
5.1 Rechtliche Regelungen und Maßnahmen
5.2 Organisationale Regelungen und Maßnahmen
5.2.1 Organisation und Prozesse
5.2.2 Kooperation
5.2.3 Mitarbeiter
5.3 Technische Regelungen und Maßnahmen
5.4 Diskussion unter Zielkonfliktaspekten

6 Operationalisierung von Wissensschutz
6.1 Effektiver Schutzbedarf
6.2 Ausgewählte Wissensprozesse
6.2.1 Content Management Prozess
6.2.2 Kompetenz Management Prozess

7 Schlussbetrachtungen
7.1 Fazit
7.2 Ausblick

Anhang

Literaturverzeichnis

Zusammenfassung

Unternehmen sind zunehmend von dem Wissen abhängig, welches die Quelle ihrer Wettbewerbsvorteile darstellt. Das Wissensmanagement ist um die Erhöhung der Transparenz von Wissen durch Kodifizierung oder Visualisierung bestrebt. Gleichzeitig forciert es dessen Verteilung, gemeinsame Nutzung und Wiederverwendung. Das ermöglicht eine effiziente Generierung von neuem Wissen sowie Innovationen. Die zunehmende Transparenz und Wissensteilung birgt wiederum die Gefahr Wettbewerbsvorteile, infolge des Verlustes wettbewerbsrelevanten Wissens und anschließender Imitation durch Konkurrenten, einzubüßen. Entsprechend der Tatsache, dass Wissen zugleich geteilt und geschützt werden muss, stehen Unternehmen vor einem Zielkonflikt. Die Diplomarbeit definiert das Konzept des Wissensschutzes unter dem Fokus von Regelungen und Maßnahmen, welche die Aneignung von wettbewerbsrelevantem Wissen durch Wettbewerber verhindern. Sie bestimmt kritisches Wissen und bietet einen Überblick über potentielle Bedrohungen und Schwachstellen, mit denen Unternehmen sich konfrontiert sehen können. Die Regelungen und Maßnahmen werden unter Zielkonfliktaspekten diskutiert und abschließend auf ausgewählte Wissensprozesse angewendet und verifiziert.

Summary

Organizations are increasingly dependent on knowledge assets as primary sources of competitive advantage. Knowledge management typically aims at increasing the transparency of knowledge, codifying it, visualizing it and enhancing knowledge sharing in order to improve use and reuse of knowledge assets as well as to enforce knowledge creation and innovations. However, increased transparency and urged knowledge sharing also bear the risk that knowledge-based competitive advantages are diluted by means of abuse or theft and subsequent imitation by competitors. Due to the fact that organizational knowledge needs to be shared and protected simultaneously, organizations are faced to two conflicting targets. This diploma thesis defines the concept of knowledge protection, focusing on rules and countermeasures against the appropriation of knowledge assets by rivals. It determines the relevant knowledge assets and provides an overview over potential threats and vulnerabilities organizations could be confronted with. Additionally, considering the conflicting goals, the corresponding protection measures have to be discussed and aligned. Finally, these measures are approved by applying them to chosen knowledge processes.

Anhangsverzeichnis

Anhang A. Ergebnisse empirischer Studien

Anhang B. Bedrohungen, Schwachstellen und Gefahrenszenarien

Anhang C. Regelungen und Maßnahmen

Abbildungsverzeichnis

Abbildung 1: Inhaltliches und methodisches Vorgehen

Abbildung 2: Bedrohungen, Werte, Risiken und Maßnahmen

Abbildung 3: Schutzbedarf von wettbewerbsrelevantem Wissen

Abbildung 4: Vom Datenschutz zum Wissensschutz

Abbildung 5: Zusammenhang zwischen wissensintensiven Geschäftsprozessen, Wissensprozess und Wissensmanagement-Aktivitäten

Abbildung 6: Konfliktsituation Wissensmanagement und Schutz von Wissen

Abbildung 7: Hexagon der relevanten Dimensionen des Wissensschutzes

Abbildung 8: Werthaltigkeit und Schutzbedarf von Wissen

Abbildung 9: Interaktion zwischen Bedrohungen und Schwachstelle

Abbildung 10: Gezielte Angriffe auf Mensch und Maschine

Abbildung 11: Schwachstellen auf unterschiedlichen Management-Ebenen

Abbildung 12: Die Wirkung der Regelungen unter Zielkonfliktaspekten

Abbildung 13: Content Management Prozess

Abbildung 14: Kompetenz Management Prozess

Abbildung 15: Klassifikation von Wirtschaftskriminalität

Abbildung 16: Opfer von Wirtschaftskriminalität in Deutschland zwischen 2003 und 2005 je nach Beschäftigungszahl des Unternehmens

Abbildung 17: Bedrohungen, Schwachstellen und Gefahren aus der Praxis

Abbildung 18: Beziehung zum Täter

Abbildung 19: Angriffs- und Missbrauchstypen

Abbildung 20: Verlust in Dollar im Jahr 2006 je nach Angriffstyp

Abbildung 21: Finanzielle Schäden ausgewählter Wirtschaftsdelikte in Deutschland im Zeitraum von 2003 bis 2005

Abbildung 22: Immaterielle Schäden

Abbildung 23: Maßnahmen zur Entdeckung und Prävention von Wirtschaftskriminalität in Deutschland

Tabellenverzeichnis

Tabelle 1: Bedeutung der Gefahrenbereiche für deutsche Unternehmen

Tabelle 2: Effektiver Schutzbedarf

Tabelle 3: Übersicht über Bedrohungen (B) und Schwachstellen (S)

Tabelle 4: Gefahrenszenarien - Zusammenhang zwischen Schwachstellen (S), Bedrohungen (B) und Maßnahmen (R/O/T)

Tabelle 5: Übersicht über Ausgewählte Regelungen und Maßnahmen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einführung

“Most organizations are naive in their attempts to secure their most valuable resource: Knowledge” (Desouza/Awazu 2004, 1)^[1].

Im Jahre 1993 kam es zu der sogenannten „Lopez-Affaire“, als der spanische Topmanager Jose Ignacio Lopez de Arriortua von General Motors (GM) zusammen mit sieben weiteren Führungskräften zu Volkswagen wechselte. Dabei konnten Beweise erbracht werden, dass sie eine Vielzahl von sensitiven Dokumenten, zu denen Lopez annähernd exklusive Rechte hatte, u. a. die Pläne für ein neues Fahrzeugmodell von GM, entwendeten (vgl. Liebeskind 1997, 635). Neben dem illegalen Transfer von Dokumenten oder Datenträgern musste GM ebenfalls den Verlust von hochquali­fizierten Mitarbeitern beklagen. Damit ging unschätzbarer Bestand unternehmens­eigenen Wissens unwiederbringlich verloren.

Dass dies kein Einzelfall ist und viele Unternehmen ihrer wertvollsten Ressource unzureichenden Schutz und Aufmerksamkeit zukommen lassen, zeigen einige weitere Beispiele aus der Praxis: In dem 2001 aufgedeckten Spionagefall beim Federal Bureau of Investigation (FBI) wurde publik, dass Robert P. Hanssen^[2] dem russischen Geheim­dienst über 15 Jahre lang amerikanische Geheimnisse verkaufte. Im Jahre 2003 wurde zufällig entdeckt, dass im Internet frei zugänglich, geheime Dokumente der letzten vier Jahre sowie der vollständige Quellcode des elektronischen Wahlautomaten von Diebold Election Systems^[3] zur Verfügung standen (vgl. Freeman 2004, 3f). 2006 wurde ein Informationsleck im Verwaltungsrat von Hewlett Packard (HP)^[4] vermutet, welches durch gezielte Falschinformationen und illegale Bespitzelung durch Privatdetektive identifiziert werden sollte. Eine derartige Preisgabe von Wissen kann zu erheblichen, oft schwer determinierbaren, nachhaltigen wirtschaftlichen Folgeschäden führen (vgl. Barrier 2004, 1).

Das Internet und korrespondierende Technologien eröffnen im Sinne von beispielsweise Cyberkriminalität oder „Competitive Intelligence“^[5] der Wirtschafts- und Konkurrenz­spionage neue Dimensionen. So wurden im zweiten Quartal 2006 88 Prozent der neuen „IT-Schädlinge“ zum Diebstahl vertraulicher Informationen konzipiert (vgl. Panda Software 2006). Die Methoden zum Ausspähen und Manipulieren von Daten und Diensten werden zunehmend professioneller. Per Identitätsdiebstahl und soziale Manipulation^[6] wird auch der Mitarbeiter zum Fokus dieser Aktivitäten (vgl. CZ 39/2006, 1). Klassische Ziele sind Technologie- und Know-how-Diebstahl sowie die Erlangung von Wettbewerbsvorteilen etwa durch das Ausspionieren von Ausschrei­bungen, Verträgen, Preisinformationen und sensiblen Dokumenten zu Forschung und Entwicklung sowie Produkten. Das Ausspähen von Unternehmensnetzen mit dem Ziel der unbefugten Kenntnisnahme von Unternehmensdaten wird in den nächsten zehn Jahren an Bedeutung zunehmen (vgl. BSI 2005, 31).

1.1 Motivation

Der Erfolg eines Unternehmens (Organisation) ist determiniert durch die Existenz einer unternehmensspezifischen einzigartigen Ressource (vgl. Maier 2002, 90). Das ist die Kernaussage in der von Wernerfelt (1984) aufgestellten ressourcenorientierten Perspektive^[7] des strategischen Managements. Unter der Betrachtung, dass Wissen die wertvollste Ressource in Unternehmen darstellt, wurde daraus die wissensorientierte Perspektive^[8] abgeleitet. Das Resultat ist, dass Wissen als die Quelle der Wettbewerbsvorteile für Unternehmen gilt^[9]. Zur Generierung und Konservierung dieser Wettbewerbsvorteile werden unterschiedlichste Maßnahmen in Unternehmen getroffen, unter denen auch das Wissensmanagement mittlerweile eine fundamentale Bedeutung einnimmt.

„Wissensmanagement ist eine Herausforderung für alle Unternehmen, welche in der Wissensgesellschaft überleben und ihre Wettbewerbsposition ausbauen wollen.“ (Probst et al. 1999, 17). Es betrachtet Wissen als wertvollste Ressource im Unternehmen und versucht dem entsprechend Kernaktivitäten, wie Identifikation, Erwerb, Entwicklung, (Ver)teilung, Nutzung, Bewahrung und Bewertung von Wissen, durch geeignete Instrumente und Maßnahmen zu unterstützen (vgl. Probst et al. 1999, 53; vgl. Maier 2002, 68). Im Fokus stehen dabei Ziele, wie Verbesserung der Wissenstransparenz, Zugriff auf Wissen, Innovationen, Wissensspeicherung, Kommunikation, Dokumentation und Wissensverteilung (vgl. Maier 2002, 316).

Obwohl die Relevanz von Wissen für Unternehmen erkannt und der Umgang mit Wissen durch Wissensmanagement gefördert wird, findet der Schutz dieser wertvollsten Ressource bisher nur marginale Berücksichtigung^[10]. Ein einfaches Beispiel verdeutlicht diese Problematik. Die Rezeptur von Coca Cola ist eines der am besten gehüteten Geheimnisse. Sollte dieses Wissen veröffentlicht werden, ist es unwahrscheinlich, dass gleichermaßen hohe Gewinne erwirtschaftet werden können. Wettbewerber würden von diesem Wissen profitieren und damit die Gewinne von Coca Cola reduzieren. Dies zeigt, dass Wissen geschützt werden muss und kein Gut der Allgemeinheit sein darf (vgl. Desouza/Awazu 2005, 30).

Durch Wissensschutz können Wettbewerbsvorteile gesichert werden. Folglich muss selektiert werden, welches Wissen zu schützen ist, in welcher Weise und vor wem es geschützt werden muss. Das Handlungsfeld Wissensschutz ist damit ein spannungsgeladenes Feld zwischen der Intention des geteilten Wissens, was Wissensmanagement ermöglichen sollte, und des unberechtigten Zugriffs auf wertvolles Wissen, dessen breite Veröffentlichung zu Problemen führen kann.

Die Bestrebungen des Wissensmanagements, sowie aktuelle Umfeldfaktoren schaffen eine besondere Herausforderung bezüglich Wissensschutz. So stellen strategische Allianzen und der aktive Austausch von Wissen mit Lieferanten und Partnern bzw. Wettbewerbern (Coopetition^[11] ) eine gezielte und teilweise strategisch notwendige externe Wissensquelle dar. Dies erleichtert u. a. den Anstoß von Innovationen, birgt aber auch ein höheres Gefahrenpotential in sich^[12]. Mit der Absicht sich auf seine Kernkompetenzen zu konzentrieren oder kostengünstiger zu produzieren, steht Outsouring und Offshoring^[13] im Blickfeld vieler Unternehmen. Der bewusste Umgang mit schutzbedürftigem Wissen ist dabei besonders wichtig. Des Weiteren bilden sich im Rahmen des Wissensmanagements spezifische Organisationsformen^[14] heraus, die aufgrund zunehmender Kundenorientierung und Globalisierung^[15] auch die weltweite Mobilität der Mitarbeiter erforderlich machen. Unterstützt wird dies durch das Internet und eine Reihe neuer Technologien und Systeme^[16] zum Austausch und zur Verwendung von explizitem und implizitem Wissen, die wiederum unzählige Angriffspunkte bieten.

Fazit ist, dass das Wissen die Voraussetzung für Wettbewerbsvorteile in Unternehmen darstellt. Wenn es nicht gelingt geeignete Sicherheitsmaßnahmen zu implementieren, wird riskiert dieses Wissen in Form von Diebstahl, Missbrauch, Spionage oder Unfall zu verlieren (vgl. Desouza/Awazu 2005, 30). Das zeigt, dass ein integriertes Wissensschutzkonzept, welches die Basiskonzepte für Daten- und Informationsschutz voraussetzt, über alle Ebenen im Unternehmen erforderlich ist.

1.2 Zielsetzung

Primäres Ziel ist es, das Konzept des Wissensschutzes mit dem Handlungsfeld des Wissensmanagements zu integrieren. Dabei gilt es den Wissensschutz aus verschiedenen Perspektiven zu beleuchten, um die Grundlage für die Auswahl gezielter Regelungen und Maßnahmen zum Schutz von Wissen zu schaffen. Es muss beantwortet werden, was die zentralen Elemente des Wissensschutzes sind und welchen Einfluss sie nehmen. Dabei gilt es, gerade aus der Perspektive des Wissensmanagements das Bewusstsein für den Schutz von Wissen zu schaffen. Von essentieller Bedeutung ist, welche Regelungen und Maßnahmen zum Schutz von Wissen dienen und inwiefern sie eventuell den Zielen des Wissensmanagements kontraproduktiv entgegenwirken.

Darüber hinaus soll beantwortet werden warum der Schutz von Wissen so bedeutsam ist, wovor Wissen zu schützen ist, welche Eigenschaften Wissen besitzt, ob sich Wissen möglicherweise durch seine Erscheinungsform selbst schützen kann und letztendlich welches Wissen einen besonderen Anspruch auf Schutz hat?

Ziel ist es zu ermitteln, wann Wettbewerber einen Anreiz besitzen Wissen zu stehlen und welchen Herausforderungen und Restriktionen sie bei der Enteignung bzw. Aneignung fremden Wissens gegenübergestellt sind. Des Weiteren ist es zu erörtern, welche Bedeutung Bedrohungen und Schwachstellen besitzen, wo sie anzutreffen sind und inwiefern Unternehmen darauf einwirken können.

Im Vergleich zu den wenigen bisherigen Betrachtungen im Bereich Wissens­schutz, die sich eher auf Studien aus Militär- oder Geheimdienst beziehen (vgl. Desouza/Vanapalli 2005; Nauth 1999)^[17], steht hier vor allem die praktische Anwend­barkeit für Wirtschaftsunternehmen im Vordergrund. Aus unterschiedlichsten Gründen (z. B. Datenschutz oder Betriebsrat) ist eine direkte Übernahme der Vorgehensweisen zum Schutz des unternehmensinternen Wissens nicht praktikabel. Dennoch können sie interessante Ansatzpunkte liefern.

1.3 Inhaltliches und methodisches Vorgehen

Diese Untersuchung schlägt Regelungen und Maßnahmen zum Schutz von wettbewerbsrelevantem Wissen vor und diskutiert die entsprechenden potentiell resultierenden positiven und negativen Wirkungen und Einflüsse auf das Wissens­management. Die Grundlage stellt eine Vielzahl wissenschaftlicher Literatur sowie empirische Studien aus der Praxis dar. Das inhaltliche und methodische Vorgehen ist in Abbildung 1 dargestellt.

Zur Herleitung des Konzeptes gilt es zunächst, die Thematik des Wissensschutzes zu fokussieren. Das beinhaltet unter anderem, analog der Abgrenzung von Daten, Informationen und Wissen, die Entwicklung vom Datenschutz zum Wissensschutz aufzuzeigen. Des Weiteren umfasst es die Darstellung der Konfliktsituation aus Wissensmanagementzielen und den Zielen, die den Schutz von Wissen bewirken sollen (Kapitel 2).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Inhaltliches und methodisches Vorgehen

Die Grundlage zur Determinierung konkreter Regelungen und Maßnahmen bildet der effektive Schutzbedarf von Wissen. Dieser basiert auf der Analyse des Schutzbedarfes von Wissen (Kapitel 3) sowie auf dem Gefahrenpotential, welches sich aus der Kombination von Bedrohung und Schwachstelle ergibt (Kapitel 4). Die aufgestellten und diskutierten Regelungen und Maßnahmen (Kapitel 5) werden anschließend durch die Operationalisierung des Wissensschutzes und ausgewählte Wissensprozesse verifiziert (Kapitel 6). Die Schlussbetrachtung greift zentrale Elemente der Untersuchung auf und stellt deren Ergebnisse sowie weiteres Forschungspotential dar (Kapitel 7).

2 Grundlagen und thematische Fokussierung

Die Tragweite einer Bedrohung sowie der assoziierte Wert von wettbewerbsrelevantem Wissen determiniert die notwendigen Interventionen des Managements zum Schutz des Wissens^[18]. Wenn die Signifikanz der Bedrohung hoch ist, der innewohnende Wert des Wissens hingegen gering, ist es aus ökonomischer Sicht ineffizient übermäßig hohe Investitionen in den Schutz dieses Wissens zu tätigen. Die Sicherheit ist demnach immer in Beziehung zu Bedrohungen, Schwachstellen und zur Bedeutung des jeweiligen Objektes zu bringen (vgl. Nägeli 2003, 79). Diese Zusammenhänge, der Risikoanalyse entlehnt, werden in Abbildung 2 verdeutlicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Bedrohungen, Werte, Risiken und Maßnahmen (Quelle: In Anlehnung an Devargas 1993, 54; Damm et al. 1999, 24; Yapp 2003, 174; Eckert 2004, 16)

Risiko ist die Wahrscheinlichkeit des Eintritts eines unerwünschten Ereignisses in einem bestimmten Zeitraum und der mit dem Ereignis verbundene Schaden (vgl. Heinrich 1999, 245). Trifft eine Bedrohung auf eine Schwachstelle im Unternehmen (organisatorisch, menschlich oder technisch), dann entsteht für das Unternehmen eine Gefahr (vgl. Damm et al. 1999, 23). Bedrohungen bzw. Bedrohungspotentiale sind potentielle negative Einwirkungen auf ein System von außen. Schwachstellen sind Sicherheitslücken innerhalb des Systems. Die Existenz einer Bedrohung alleine stellt noch keine Gefahr für das System dar. Erst wenn eine konkrete Bedrohung durch Ausnutzung einer Schwachstelle aktiviert wird, handelt es sich um eine Gefahr für das System (vgl. Devargas 1993, 46). Aus dieser Gefahr entsteht schließlich in

Zusammenwirkung mit dem Schadenspotential und einer abzuschätzenden Eintrittswahrscheinlichkeit das Risiko (vgl. Damm et al. 1999, 24).

Um das Schadenspotential zu bestimmen, ist es notwendig, die sicherheits­relevanten Objekte, also die zu schützenden Werte (Assets) zu identifizieren und deren Bedeutung innerhalb des Systems des Unternehmens zu quantifizieren (vgl. Eckert 2004, 15). Nach der Ermittlung von Werten und Gefahren kann der Schaden bestimmt werden, der entsteht wenn ein solcher Wert einer Gefahr ausgesetzt wird. Das Risiko einer Bedrohung ergibt sich schließlich aus der Höhe des potentiellen Schadens und der Wahrscheinlichkeit für den Schadenseintritt (vgl. Damm et al. 1999, 24).

Ziel ist es, dieses Risiko durch Präventionsmaßnahmen auf ein akzeptables Restrisiko zu reduzieren (vgl. Devargas 1993, 54). Wobei das Restrisiko jenes Risiko beschreibt, welches nicht durch gezielte Maßnahmen neutralisiert werden kann oder soll (vgl. Heinrich 1999, 245). Beachtet werden muss, dass nicht nur Kosten durch den Schadensfall entstehen, sondern gleichfalls bei der Implementierung von Regelungen und Maßnahmen. Dies stellt ein Optimierungsproblem dar, dessen Ziel die Minimierung der Gesamtkosten, aus dem mit der Eintrittswahrscheinlichkeit gewichtetem Schadens­potential und dem Mitteleinsatz für die Präventionsmaßnahmen, ist (Windemann et al. 2006, 53). Einerseits sehen sich Unternehmen aufgrund des rasanten technologischen und gesellschaftlichen Wandels stets mit differierenden Bedrohungen konfrontiert, zum anderen ist eine vollständige Eliminierung der Risiken suboptimal.

Die Risikobetrachtung bezieht sich u. a. auf Probleme, die aus Anwendung und Nichtanwendung von Wissen resultieren. Der Wissensschutz umfasst lediglich die mit der Nutzung von Wissen verbundenen Gefahren. Die folgende Untersuchung (siehe Abbildung 3) zielt darauf ab, gefährdetes wettbewerbsrelevantes Wissen zu bestimmen sowie geeignete Regelungen und Maßnahmen für dessen Schutz abzuleiten. Basis dafür stellt die Bestimmung von schutzbedürftigem Wissen (Kapitel 3) und die Identifi­zierung von Bedrohungen und Schwachstellen (Kapitel 4) dar. Wie bereits beschrieben wird eine Bedrohung erst unter Ausnutzung einer Schwachstelle zur Gefahr.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Schutzbedarf von wettbewerbsrelevantem Wissen (Quelle: in Anlehnung an Alberts et al. 2001, 3ff)

Die Regelungen und Maßnahmen werden unter der Besonderheit des Wissensschutzes, dem Zielkonflikt aus Wissensmanagement und Wissensschutz, unter dem Aspekt der Effizienz (Kapitel 5) diskutiert. Abschließend werden die Phasen anhand des effektiven Schutzbedarfes aufeinander abgestimmt und in ausgewählten Wissensprozessen (Kapitel 6) verifiziert. Zunächst sind dafür einige fundamentale, angrenzende bzw. korrespondierende Thematiken zu erörtern. Dies umfasst u. a. die Historie vom Datenschutz zum Wissensschutz (Abschnitt 2.1), die Bedeutung von Wissens­management und prozessorientiertem Wissensmanagement für Unternehmen (Abschnitt 2.2), sowie den Zielkonflikt, der sich aus den Wissensmanagementzielen und den Schutzzielen ergibt (Abschnitt 2.3).

2.1 Vom Datenschutz zum Wissensschutz

Datenschutz, Datensicherheit und Informationssicherheit sind in Literatur und Praxis sehr gebräuchliche Begriffe. Der Wissensschutzbegriff im Sinne von Schutz von Wissen wird hingegen selten beschrieben. Analog der historischen Entwicklungsstufen vom Daten- zum Wissensmanagement (vgl. Maier 2002, 36; in Anlehnung an Ortner 1991) oder dem Stufenmodell von Daten über Informationen zu Wissen (vgl. Rehäuser/Krcmar 1996, 7), wurden sukzessive entsprechende Sicherheitsmaßnahmen berücksichtigt und integriert. Allerdings wurde der Wissensschutz als das Pendant zum Wissensmanagement bzw. Wissen bisher nicht hinreichend diskutiert. Obwohl die Relevanz von Wissen für die Wettbewerbsposition als wertvollste Ressource erkannt wurde, was durch die bewusste Wandlung zur Wissensgesellschaft und die gezielte Einführung von Wissensmanagement induziert wird, ist der Schutz von sensiblem Wissen wenig etabliert. Ein Grund dafür sind die speziellen Eigenschaften von

Wissen^[19]. Außerdem sind die Unternehmen momentan noch mit Aktivitäten zum Schutz von Daten und Informationen beschäftigt, wobei der Wissensschutz noch viel schwieriger und aufwendiger zu realisieren ist^[20].

An dieser Stelle ist es wesentlich, Wissen von Informationen, aber auch von Daten zu differenzieren und anschließend in die entsprechende Schutzperspektive einzu­ordnen. Dabei wird eruiert wie der Wissensschutz auf seinen Vorstufen aufbaut. Im Abschluss des Kapitels 2.1 fasst die Abbildung 4 die zentralen Erkenntnisse zusammen.

2.1.1 Daten, Informationen, Wissen

Nach dem Stufenmodell von Rehäuser/Krcmar (1996) werden Zeichen durch Syntaxregeln zu Daten. Sind diese Daten in einen konkreten Kontext eingebunden und durch eine Person interpretiert, so erhalten sie eine Semantik und werden zu Informationen. Diese Informationen werden durch Pragmatik, also die Verknüpfung mit vorhandenen Informationen und Erfahrungen, zu Wissen, aus dem Handlungs­alternativen abgeleitet werden können (vgl. Rehäuser/Krcmar 1996, 6)^[21]. Die drei Grundelemente dieses Modells - Daten, Informationen und Wissen - werden im Folgenden detaillierter definiert:

Daten sind Zeichen, die einem Alphabet zugeordnet sind (vgl. Krcmar 2003, 14). Sie stellen „die Gesamtheit der verfügbaren Texte, Zahlen, Statistiken, Graphiken, Bilder, Audio- und Videodokumente usw. - unabhängig von deren Nutzung für die jeweilige Unternehmung“ dar (Lehner et al. 1995, 14). informationen sind Daten, die derartig gestaltet sind, dass sie für den Empfänger eine Bedeutung haben (vgl. Maier et al. 2005, 5). Sie sind „das kontextabhängige Ergebnis der wissensgesteuerten Interpretation von Umweltreizen“ (Lehner et al. 1995, 266).

Wissen entsteht durch Verknüpfung bzw. Vernetzung von Informationen und Erfahrung (vgl. Krcmar 2003, 15). Es umfasst alle kognitiven Erwartungen, welche ein Individuum oder ein organisatorischer Akteur verwendet, um Situationen zu interpretieren und Aktivitäten, Handlungen und Lösungen abzuleiten. Diese kognitiven Erwartungen sind Beobachtungen, die bedeutungsvoll organisiert, akkumuliert und durch Erfahrung, Kommunikation oder Schlussfolgerung in einen Kontext eingebettet werden (vgl. Maier 2002, 66). Wissen kann in expliziter Form, bspw. als verfasstes Dokument, Lessons Learned^[22], Best Practice^[23] und Produktbeschreibung oder in impliziter Form, bspw. als persönliches Wissen, informelle Verhaltensregeln oder geteilte Erfahrungen, betrachtet werden^[24]. Implizites Wissen existiert in den Köpfen der Individuen. Es kann im Gegensatz zu explizitem Wissen nicht niedergeschrieben werden und ist nur unter erhöhtem Aufwand übertragbar (vgl. Grant 1996, 136f). Der Austausch dokumentierten Wissens (explizites Wissen) umfasst genau genommen die Übertragung von Informationen zwischen Sender und Empfänger, die durch Zusatzinformationen (Kontext) eine Interpretation und Internalisierung beim Empfänger ermöglichen und Handlungen induzieren. Wissenstransfer kann demnach auch den Austausch von Information oder Dokumenten darstellen, sofern diese es ermöglichen das ursprüngliche Wissen in der eigenen Wissensbasis zu reproduzieren. Unterstützend wirken an dieser Stelle insbesondere Wissensmanagementsysteme, welche durch Vernetzung, Meta-Daten, Personenbezug, etc. zum Erhalt des ursprünglichen Kontextes beitragen. Um Daten und Informationen von Wissen abzugrenzen und entsprechend auch deren jeweilige Schutzperspektiven, bedarf es im Folgenden einer detaillierteren Betrachtung.

2.1.2 Schutz von Daten

Der Schutz von Daten ist keinesfalls mit dem naheliegenden Terminus des Datenschutzes^[25] zu verwechseln, denn „Ziel des Datenschutzes ist der Schutz [des Persönlichkeitsrechts] des Einzelnen vor einer Beeinträchtigung durch die Verwendung von ihn betreffenden Daten. Die Geheimhaltung betrieblicher Daten ist also keine Frage des Datenschutzes“ (Mertens et al. 2001, 245). Vielmehr wird an dieser Stelle der Schutz von Daten^[26] vor Verlust, Manipulation, Missbrauch und Nicht-Verfügbarkeit fokussiert (vgl. Levitin/Redman 1998, 90; Maier et al 2005, 127f). Besondere Herausforderung stellen dabei die sichere Speicherung und Übertragung sowie der autorisierte Zugriff dar. Zur Gewährleistung dieser Aspekte stehen vor allem technische Maßnahmen im Sinne der Computer- und Netzwerksicherheit im Vordergrund (vgl. Schneier 2001, 113).

Diese drei Herausforderungen sind offensichtlich nicht überschneidungsfrei. Die sichere Speicherung der Daten zielt erstens auf die Verschlüsselung der gespeicherten Daten z. B. durch kryptographische Verfahren wie DES, AES, RSA und zweitens auf die bewusste redundante Datenhaltung per RAID sowie drittens auf die Abwehr von Angriffen, die gegen die gespeicherten Daten gerichtet sind, ab. Konkret umfasst Letzteres die Prävention^[27] vor und die Identifizierung^[28] von nicht autorisiertem Eindringen. Die sichere Übertragung der Daten konzentriert sich auf Sicherheits­protokolle allgemein, wie WEP, IPSec, SSL, HTTPS und speziell auf die verschlüsselte, signierte Übertragung von Daten über bspw. PGP oder S/MIME. Der autorisierte Zugriff auf Daten umfasst zum einen die Authentifikation und Autorisierung der Nutzer und Systeme und zum anderen digitale Signaturen, die zur Verifizierung von Autor und Integrität dienen, sowie digitale Zertifikate, die von einer zentralen vertrauensvollen Vergabestelle publiziert und zur Authentifizierung von öffentlichem Schlüssel und digitaler Signatur verwendet werden (vgl. Maier et al. 2005, 129ff )^[29].

2.1.3 Schutz von Informationen

Daten gehen als Rohware in Informationen ein (vgl. Schwinn et al. 1998, 36). Die Information wird also eher als ein Produkt, wie z. B. ein Finanzreport (vgl. Desouza/Awazu 2004, 2) oder ein Produktionsfaktor verstanden, der zur Vorbereitung von Entscheidungen und Aktionen dient (vgl. Maier 2002, 38). Aus der Produktperspektive bedeutet dies für den Informationsschutz, dass die Informationen „etikettiert“, an einem sicheren Ort gespeichert, autorisierten Personen zur Verfügung gestellt und über sichere Kommunikationswege an einen bestimmten Empfänger transferiert werden müssen. Der Schutz von Informationen erfordert demnach keine anderen Aktivitäten als die, die für den Schutz eines Produktes notwendig wären (vgl. Desouza/Awazu 2004, 2).

„Durch den Zusammenschluss von Systemen und [den] Austausch elektronischer Daten ist der Informationsschutz zu einer unternehmensweiten Aufgabe geworden“ (Windemann et al. 2006, 51). Der Schutz von Daten und Informationen ist dem gezielten IT-Sicherheitsmanagement, entsprechend der IT-Grundschutz-Kataloge^[30], zuzuordnen. Im Fokus des Informationsschutzes, als Teilgebiet der Informations­sicherheit, stehen neben elektronischen Informationen auch schriftliche und verbal kommunizierte Informationen. Zur Vermeidung von bewusstem oder unbewusstem menschlichen Fehlverhalten und technischen Unzulänglichkeiten müssen technische Systeme sowie organisatorische Methoden und Prozesse ebenfalls geschützt werden. Dies kann unter den folgenden Aspekten subsumiert werden:

Informationen müssen so geschützt werden, dass (1) die Vertraulichkeit in angemessener Weise gewahrt ist, (2) deren Integrität sichergestellt ist, (3) sie bei Bedarf verfügbar sind, (4) die Beteiligung an einer Transaktion nicht geleugnet werden kann, (5) sie gesetzliche, vertragliche und aufsichtsrechtliche Verpflichtungen erfüllen können (vgl. BSI 1999, 1). Somit umfassen die Herausforderungen zum Schutz von Informa­tionen die Vertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit und Authentizität. Zur Gewährleistung der Vertraulichkeit ist sicher zu stellen, dass Informationen nicht durch unautorisierte Personen, Instanzen oder Prozesse eingesehen werden können (vgl. Damm et al. 1999, 23). Die Vermeidung unberechtigter Änderung, Erstellung oder Duplizierung von Informationen wird als Integrität bezeichnet (vgl. BSI 1999, 5). Die Verfügbarkeit umfasst die Sicherstellung des Zugriffs und der Funktionsfähigkeit bei Zugriffswunsch einer autorisierten Instanz (vgl. Damm et al. 1999, 23). Der Grundsatz der Verbindlichkeit besagt, dass später nachgewiesen werden kann, dass die an einer Transaktion Beteiligten die Transaktionen tatsächlich autorisiert haben und sie über keinerlei Mittel verfügen, ihre Beteiligung zu bestreiten (vgl. BSI 1999, 6). Und unter Authentizität wird die Echtheit einer Information verstanden, die anhand eindeutiger charakteristischer Eigenschaften nachgewiesen werden kann. Diese Echtheitsprüfung bezieht sich in erster Linie auf den Ursprungs- und Urhebernachweis (vgl. Eckert 2004, 7).

2.1.4 Schutz von Wissen

Der Schutz von Wissens zielt primär auf den Erhalt der Wettbewerbsfähigkeit ab. Im Fokus steht Wissen, welches als strategische Ressource die Kernkompetenzen eines Unternehmens bildet und maßgebend für dessen Wettbewerbsvorteile verantwortlich ist. Wissen gilt es demnach vor Enteignung, nicht intendiertem Transfer und fremder Imitation zu schützen. Im Sinne der oben verwendeten Definition von Wissen handelt es sich bei der Übertragung von wettbewerbskritischen Dokumenten oder Nachrichten streng genommen nicht um Wissen, das ausgetauscht wird, sondern um Informationen, die durch den gleichen Kontextbezug bei Sender und Empfänger erst zu Wissen werden. Im Gegensatz zu Informationen hat Wissen eine Handlungskomponente und stellt stets eine Funktion in einer bestimmten Situation, Perspektive oder Intention dar (vgl. Nonaka/Takeuchi, 1995, 58). Wissen ist mehr als nur ein Produkt; es ist fließend, dynamisch und mobiler als Informationen^[31]. Es ist nicht so einfach zu erfassen, da es in den Köpfen der Individuen residiert, in Arbeitsprozesse eingebettet sowie in Produkt- und Dienstleistungsangeboten integriert ist. Mit anderen Worten, Wissen ist in einem ständigen Fluss, wobei es stets seinen Zustand im Austausch zwischen Individuum und Wirtschaftseinheit ändert. Wissen ist demnach dynamisch und wird durch Aktionen repräsentiert (vgl. Desouza/Awazu 2005, 30).

Informationen (teilweise öffentlich verfügbar), wie Preis- und Produkt­informationen, Bilanzen, Daten über Lieferanten, Vertriebswege oder Absatzmärkte, die separat betrachtet scheinbar von geringer wettbewerbskritischer Relevanz sind, können durch Kumulation (z. B. Competitive Intelligence) u. a. zukünftige strategische Positionierungsbestrebungen und somit wettbewerbsrelevantes Wissen preisgeben. Die Kompromittierung von Wissen resultiert nicht allein aus der Offenlegung einer Information. Denn erst wenn diese Information mit weiteren Informationen oder Wissen akkumuliert und mit entsprechender Erfahrung verknüpft wird, um schließlich eine Aktion abzuleiten, wird diese zu Wissen. Das zeigt, dass in Bezug auf Wissen nicht nur das Individuum, sondern immer auch eine konkrete Handlungskomponente von essentieller Bedeutung ist. Daraus lässt sich ableiten, dass eine konkrete Gefahr für Wissen erst besteht, wenn es Handlungen implizieren kann.

Die englischsprachige Literatur bietet ein breites Spektrum an potentiellen Äquivalenzen zum Wissensschutz. Zumeist werden diese Termini^[32] im Zusammenhang mit Patentierung geistigen Eigentums, aber auch mit Datenschutz verwendet, was der hier definierten Semantik von Wissensschutz nicht hinreichend entspricht. Dieser einseitigen Sichtweise fehlt es an Bezug zum Wissensmanagement und dem Bewusstsein für die Relevanz bzw. Vernetzung von Organisation, Technik und Mensch. Lediglich durch die Kombination sorgfältig abgestimmter personeller, organisatorischer, technischer und rechtlicher Maßnahmen wird eine umfassende Schutzwirkung erzielt. Treffender scheint hingegen: “Knowledge Protection“^[33], “Securing Knowledge (Assets)”^[34] oder “Secure Knowledge Management”^[35]. Dabei steht weder die Wissensbewahrung bzw. der Schutz vor Wissensverlust noch kurzfristige Nichtverfügbarkeit im Fokus (vgl. Schubert/Scholz 2006, 1). Die Wissensbewahrung ist ein Element der Wissensorganisation im Wechselspiel zwischen Lernen und Speichern von Wissen. Lernen ermöglicht das Schließen der Wissens­lücken, die sich aus der strategischen Ist-Perspektive und dem Soll ergeben (vgl. Probst et al 1999, 141ff, 162). Hingegen ist die Wissensbewahrung jeweils für die Sicherung des relevanten Wissensstandes des „organisationalen^[36] Gedächtnisses“ vor ungewolltem Vergessen verantwortlich (vgl. Probst et al. 1999, 316). Repräsentiert wird das organisationale Gedächtnis durch Erfahrung und Wissen von Individuen bzw. durch deren Wissensprodukte. Demnach befasst sich die Wissensbewahrung mit Wissensverlust durch bspw. Kündigung, Tod, nicht wiederherstellbares elektronisch gespeichertes Wissen, höhere Gewalt sowie Nichtverfügbarkeit von Wissen durch bspw. Streik, Krankheit, defekte Kommunikationskanäle oder Systeme (vgl. Probst et al. 1999, 289ff, 317; North 1999, 204ff).

Diese Aspekte haben eine Berechtigung im Wissensmanagement, entsprechen aber nicht der Intention von Wissensschutz. In den genannten Fällen erlischt die Verfügbarkeit von Wissen, wodurch möglicherweise auch die Wettbewerbsfähigkeit mittel- oder langfristig beeinflusst werden kann. Wissensschutz hat im Gegensatz dazu das Ziel die Exklusivität des Wissens zu schützen, denn darauf fundieren die Wettbewerbsvorteile einer Organisation. Das bedeutet, dass Wissen kein gemeinschaftliches Gut auf dem Markt sein darf (vgl. Desouza/Awazu 2005, 30). Weitere Herausforderungen stellen hierbei u. a. der Schutz vor Verlust von Wissen, die Werterhaltung von Wissen, die Integration in das Wissensmanagement (z. B. aktiver Wissensaustausch intern und mit Kunden und Partnern, Etablierung strategischer Allianzen als externe Wissensquellen), die Vertraulichkeit von Wissen, die sichere und gezielte Übertragung bzw. Verteilung von Wissen, der autorisierte Zugriff auf Wissen sowie die Reduzierung dessen Wahrnehmbarkeit (vgl. Liebeskind 1999, 198) dar.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Vom Datenschutz zum Wissensschutz

Die Abbildung 4 stellt zusammenfassend die zuvor beschriebenen Stufen, beginnend mit dem Schutz von Daten über den Schutz von Informationen bis hin zum Schutz von

Wissen mit seinen entsprechenden Herausforderungen, dar. Basis dieser Betrachtung sind die Kernelemente Daten, Informationen und Wissen, welche in den korrespondierenden Managementinitiativen tragend sind. Folgende Ansätze wurden in ihren Entstehungs- und Reifephasen grundlegend geprägt: Datenmanagement^[37] (Mitte 70er bis Ende 80er Jahre), Informationsmanagement^[38] (90er Jahre) und Wissens­management (Ende 90er bis 00er Jahre) (vgl. Maier 2002, 36).

Die Abbildung veranschaulicht, dass nicht nur das Wissensmanagement von seinen Vorstufen, dem Daten- und dem Informationsmanagement profitiert, sondern dass darüber hinaus der Wissensschutz nicht ohne grundlegende Methoden und Maßnahmen seiner Vorstufen realisiert werden kann. Abgrenzungskriterium ist der von links nach rechts zunehmende Einfluss bzw. die Relevanz von Individuen, Gruppen und der Organisation. Die technischen Komponenten im Hintergrund stellen ferner wichtige Basisvoraussetzungen dar, die stets weiter entwickelt werden müssen, um an die ständig neuen Bedürfnissen und Herausforderungen der Wissensgesellschaft angepasst werden zu können.

2.2 Wissensmanagement und Wissensprozesse

Während Wissensmanagement vereinfacht gesprochen die Steuerung und Verwaltung der Ressource Wissen im Blickfeld hat, versucht die Prozessorientierung das Unternehmen aus Sicht von Prozessen zu betrachten und zu steuern. Die Verknüpfung beider Teile liegen im prozessorientierten Wissensmanagement begründet (vgl. Remus 2002, 13). Im Folgenden werden die Bedeutung und die zentralen Konzepte des Wissensmanagements kurz erläutert und Wissensprozesse von wissensintensiven Geschäftsprozessen im Rahmen des prozessorientierten Wissensmanagements abgegrenzt. Dieser Abschnitt ist bewusst knapp gehalten und stellt lediglich einen Überblick dar. Zu beiden Themen existiert eine Fülle an Literatur, auf die an dieser Stelle nur verwiesen werden kann.

Wissensmanagement ist „ein integriertes Interventionskonzept, das sich mit den Möglichkeiten zur Gestaltung der organisationalen Wissensbasis befasst“ (Probst et al. 1999, 47). Es übernimmt einerseits die Rolle des „Übersetzers“ von Konzepten des „organisationalen Lernens“ und des „organisationalen Gedächtnisses“ in Management­begriffe, andererseits auch die eines „Integrators“ verschiedenster Management­Konzepte, wie z. B. Strategisches Management, Prozessmanagement, Human Resource Management und Informationsmanagement (vgl. Lehner 2000). Die Ausrichtung auf Managementkonzepte soll schließlich zu einem zielgerichteten Umgang mit Wissen, Fähigkeiten und (Kern-)Kompetenzen auf einer strategischen, organisationsweiten Ebene beitragen (vgl. Maier 2002, 30ff). Es wird als Managementfunktion definiert, die für die regelmäßige Auswahl, Umsetzung und Evaluierung geeigneter Wissens­strategien verantwortlich ist. Diese Strategien zielen auf eine Erhöhung der organisatorischen Leistungsfähigkeit durch Verbesserung des Umgangs mit organisationsinternem und -externem Wissen ab^[39].

In diesem Zusammenhang sind die Mitarbeiter eines Unternehmens die Träger der wertvollen Ressource Wissen. Es gilt diese, durch Wissensmanagement für den Umgang mit Wissen zu befähigen und zu motivieren. Die Hauptaufgabe eines Unternehmens besteht folglich darin Wissensstrategien einzuführen, die es ermöglichen Wissen zu identifizieren, zu bewahren, zu nutzen und auszuschöpfen (vgl. North 1999, 3).

Das Wissensmanagement definiert Wissensziele und bietet Unterstützungs­funktionen auf technischer und auf organisatorischer bzw. human-orientierter Ebene für implizites und explizites Wissen entlang dem Wissenslebenszyklus. Dabei wird versucht sowohl auf technischer Seite als auch auf human-orientierter Seite Werkzeuge zur Verfügung zu stellen, die die Wissensstrategie unterstützen. Das umfasst u. a. die Bereitstellung von Dokumentenmanagement-Funktionalitäten, intelligente Suche, Text Mining, Wissenslandkarten, E-Learning, Shared Information Spaces, Collaboration, Groupware, Communities, Topic Maps, Skill Directories, Expertenverzeichnisse, Best Practices und Lessons Learned^[40].

Hansen, Nohria und Tiemey (1999) haben zwei zu unterscheidende Wissensstrategien geprägt: Kodifizierung und Personalisierung. Die Kodifizierungs- strategie zielt auf die Externalisierung^[41], Dokumentation und Speicherung von Wissen (in Anwendungssystemen) ab und wird kurz mit „people-to-documents“ beschrieben. Die auch mit „people-to-people“ bezeichnete Personalisierungsstrategie geht davon aus, dass ein Großteil des Wissens nicht losgelöst von den Menschen betrachtet werden kann und fördert die Sozialisation^[42], Vernetzung und Kommunikation der Mitarbeiter zur Übertragung und Entwicklung von Wissen (vgl. Hansen et al. 1999).

Die Wahl der Wissensstrategie ist nicht nur vom Ziel „people-to-documents“ oder „people-to-people“ abhängig, sondern vielmehr vom gegebenen Umfeld und Wissenstyp. Allerdings wird vorgeschlagen, statt einer reinen Strategie einen 80% - 20% -Mix mit einer klaren Tendenz zu einer der beiden Strategien zu realisieren (vgl. Hansen et al. 1999,112f). So ist der Schwerpunkt auf die Personalisierungs- strategie zu setzen, falls die Mitarbeiter eher in kreativen, innovativen sowie oft wechselnden Tätigkeiten arbeiten und das entsprechende Wissen implizit (in den Köpfen) vorliegt und nicht externalisierbar ist. Hier wird im Sinne der Sozialisation versucht implizites Wissen einer Person einer anderen Person zu übertragen. Kodifizierung ist hingegen sinnvoll bei gegebener Wiederverwendbarkeit von Wissen und hohen Qualitätsansprüchen, also auch bei validierten sich wiederholenden Abläufen, Tätigkeiten und Prozessen. So können zum Beispiel Projekterfahrungen in Lessons Learned oder Best Practices abgespeichert und für ähnliche Projekte z. B. die Errichtung eines neuen Standorts, wieder verwendet werden (vgl. Hansen et al. 1999). In Anlehnung an diese beiden Strategien hat Zack (1999) die Systeme zur technischen Unterstützung des Wissensmanagements in integrative und interaktive unterteilt (vgl. Zack 1999b, 50f).

Zur Umsetzung der Wissensstrategien, hat sich das Modell der Bausteine des Wissensmanagements von Probst/Raub/Romhardt (1999) bewährt (vgl. Probst et al. 1999, 58; Lehner 2000, 242). Es besteht aus acht Bausteinen, wovon sechs (Wissens­identifikation, -erwerb, -entwicklung, -verteilung, -nutzung, und -bewahrung) als die operativen Bausteine oder Kemprozesse des Wissensmanagements definiert werden. Die übrigen beiden (Wissensziel und Wissensbewertung) bilden die Verknüpfung des Wissensmanagements mit der Unternehmensstrategie und bauen das Modell so zum „Managementregelkreis“ aus (vgl. Probst et al. 1999, 56f).

Die Prozessorientierung liefert eine Möglichkeit zur Integration der extern orientierten, marktbasierten Perspektive (vgl. Porter 1998; Porter 1999) und der intern orientierten, ressourcenbasierten Perspektive (vgl. Maier 2002, 102). Dies wird unter dem Terminus des prozessorientierten Wissensmanagements subsumiert. In Anlehnung an die zuvor gewählte Definition für Wissensmanagement ist diese folgendermaßen zu erweitern: „Prozessorientiertes Wissensmanagement wird definiert als Managementaufgabe, die für die regelmäßige Auswahl, Umsetzung und Evaluation von prozessorientierten Wissensmanagementstrategien zuständig ist, mit dem Ziel die Wissensverarbeitung in den wissensintensiven operativen Geschäftsprozessen zu unterstützen, zu verbessern und weiterzuentwickeln, um schließlich zur Kernwertschöpfung des Unternehmens beizutragen“ (vgl. Remus 2002, 82).

Wissensintensive operative Geschäftsprozesse (kurz: wiGP) werden definiert als Geschäftsprozesse, die einen wesentlich höheren Bedarf an Wissen haben als andere. Die Wissensintensität dieser Prozesse ist abhängig von Faktoren, wie Anzahl zu lösender Probleme, Halbwertszeit des Wissens, notwendiger Kreativität, Prägung durch Zufälle, Anzahl zu treffender Entscheidungen, Kommunikationsbedarf und Anzahl zu erzeugender wissensintensiver Dokumente (vgl. Eppler et al. 1999, 223f). Wissens­prozesse übernehmen die Wissensversorgung zwischen den einzelnen wissensintensiven operativen Geschäftsprozessen (siehe Abbildung 5) (vgl. Maier 2002, 180f). Sie sind Service- oder Unterstützungsprozesse, die den Wissensfluss innerhalb und zwischen wissensintensiven operativen Geschäftsprozessen ermöglichen. Sie sorgen unter anderem für die systematische Sammlung, Verbesserung (Mehrwertgenerierung), Speicherung und Verteilung von Wissen (vgl. Maier 2005, 181). Im Gegensatz zu wissensintensiven (operativen) Geschäftsprozessen ist das "Hauptleistungsobjekt" von Wissensprozessen Wissen. Dieses Leistungsobjekt stellen sie als Serviceleistung wissensintensiven operativen Geschäftsprozessen zur Verfügung (vgl. Remus 2002, 117). Der Wissensprozess repräsentiert sozusagen den Wissensfluss und die Wertschöpfungskette des Wissens (vgl. Remus/Lehner 2000, 1). Was in einem Geschäftsprozess erzeugt wird, findet in einem anderen seine Anwendung. Ein Wissensprozess ist die Verknüpfung aus einzelnen Wissensmanagement-Aktivitäten (kurz: WM-Aktivitäten), wie z. B. Wissen generieren, Wissen bewerten, Wissen speichern oder Wissen nutzen (vgl. Remus 2002, 107).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Zusammenhang zwischen wissensintensiven Geschäftsprozessen, Wissensprozess und Wissensmanagement-Aktivitäten

(Quelle: Remus 2002, 121)

Die Abbildung 5 stellt diese Zusammenhänge zwischen wissensintensiven operativen Geschäftsprozessen, Wissensprozess und WM-Aktivitäten dar. Wie hier gezeigt wird, beginnt der Wissensprozess mit dem Entstehen und der Externalisierung von Wissen in einem wissensintensiven operativen Geschäftsprozess. Dieses Wissen wird im Anschluss bewertet, z. B. durch einen Themenverantwortlichen (Subject Matter Specialist), Wissensvermittler (Knowledge Broker) oder eine „Wissensgemeinschaft“ (Community). Die dritte WM-Aktivität klassifiziert, strukturiert, formatiert und verknüpft dieses Wissensobjekt^[43] mit anderen Wissensobjekten oder setzt es in einen Kontext und wirkt somit auf das Wissen wertsteigernd. Anschließend ist das Wissenselement zu speichern, unabhängig ob es ein Dokument oder eine Verknüpfung mit einem Experten ist. Bevor es wiederum in einem wissensintensiven Geschäftsprozess verwendet werden kann, muss es entsprechend an Nutzer verteilt werden. Das kann prinzipiell über Bereitstellung (pull) oder Zustellung (push) realisiert werden. Wird das Wissen lediglich bereit gestellt kann der Nutzer es durch die Verwendung intelligenter Suchfunktionen finden. Die Zustellung erfolgt über z. B. Zuordnung zu Nutzerprofilen oder als eine vom Nutzer zuvor angefragte Aktuali­sierung. Die während der Anwendung entstandenen Erfahrungen werden in Form eines Feedbacks gesammelt und dienen der Verbesserung und Aktualisierung des Wissens. Ebenfalls werden die Nutzer, die kürzlich dieses Wissen verwendet haben, über die Änderung benachrichtigt (vgl. Remus 2002 117ff; Maier 2002, 180f).

In Anlehnung an die Bausteine des Wissensmanagements von Probst et al. (1999) können Wissensprozesse, anhand zweier ineinander greifender Regelkreise, weiter unterteilt werden in (Wissens)managementprozesse und spezifische Wissensprozesse (vgl. Remus 2002, 119). Erstere ähneln den traditionellen Managementprozessen und beschreiben einen äußeren Regelkreis mit den Elementen Definition der Ziele und Implementierung sowie der Messung und Bewertung von Wissen. Der innere Regelkreis, bestehend aus spezifischen Wissensprozessen (WM-Aktivitäten)^[44], umfasst u. a. Wissensidentifikation, -präsentation, und -verteilung (vgl. Lehner/Remus 2000, 1; Remus 2002, 120). Beispiele für Wissensprozesse sind Wissensgenerierungsprozess, Wissensakquirierungsprozess, Wissenszustellungsprozess, Wissenspublizierungs- prozess, Wissenssuchprozess, Content Management Prozess, Kompetenz Management Prozess oder Community Management Prozess (vgl. Remus 2002, 107; Maier 2002, 179f; Riempp 2004, 144ff).

Nach diesem kurzen Überblick über Wissensmanagement und Wissensprozesse scheinen die WM-Aktivitäten, die u. a. ein verbessertes Auffinden und Nutzen von Wissen zur Folge haben, eine gewisse Transparenz zu erzeugen, die dem Schutz von Wissen entgegengerichtet ist. Der nachfolgende Abschnitt erarbeitet den Zielkonflikt zwischen Wissensmanagement und dem Schutz der wertvollen Ressource Wissen.

2.3 Zielkonflikt: Wissensmanagementziele versus Schutzziele

Wissen muss geteilt und geschützt werden. Es muss mit den richtigen Personen innerhalb und außerhalb der Organisation geteilt, aber gleichzeitig auch vor Wett­bewerbern geschützt werden^[45]. Darüber hinaus erhöhen die steigenden Anforderungen an das Wissensmanagement die Sicherheitsrisiken im Unternehmen (vgl. Bedekovic 2005, 2). Der Wissensschutz steht folglich im Spannungsfeld zwischen Transparenz und Verbreitung des Wissens im Zuge des Wissensmanagements einerseits und dem Schutz und der Geheimhaltung kritischen Wissens vor Wettbewerbern andererseits. Das suggeriert ein gewisses Konfliktpotential bei der Integration von Wissensmanagement und dem Schutz von Wissen. Um dies im Weiteren zu verdeutlichen, wird eine kleine Auswahl an Schutzzielen kurz vorgestellt und anschließend in einer Gegenüberstellung mit den Wissensmanagementzielen abgebildet. Ausgehend von dieser Konfliktsituation werden entsprechend Wissensschutzziele abgeleitet.

Schutzziele sind primär:

- Erhalt der Exklusivität des Wissens für das Unternehmen: stellt sicher, dass kein Wissen die Unternehmensgrenzen passiert und verhindert die Imitation durch Wettbewerber (vgl. Kogut/Zander 1992, 383f; Liebeskind 1997, 624),
- Vertraulichkeit bzw. Geheimhaltung: sämtliche Dokumente und Wissensträger werden vertraulich behandelt (vgl. Probst et al. 1999, 233).
Unterstützt werden können diese Ziele durch bspw. folgendende Sekundärziele:
- Vermeidung von Transfer bzw. Verbreitung: durch Unterbindung von
(Kommunikations-)Kanälen wird die Vertraulichkeit von Wissen forciert (vgl. Probst et al. 1999, 232),
- Limitierter Zugang (physisch & technisch): die Verfügbarkeit von bzw. der Zugang zu Wissen ist physisch oder technisch begrenzt (vgl. Probst et al. 1999, 233),
- Kontrolle und Überwachung: Systeme und Mitarbeiter werden akribisch auf Fehler und Fehlverhalten analysiert (vgl. Liebeskind 1999, 206ff),
- Kapselung der Mitarbeiter: Störung der Kommunikation und Interaktion (vgl. Liebeskind 1999, 207; Simonin 1999, 601),
- Schaffung von Intransparenz: die Sichtbarkeit von Wissen wird reduziert (vgl. Probst et al. 1999, 116),
- Abschottung des Unternehmens nach außen: jegliche Kooperation mit

Vertragspartnern wird zur Wahrung der Vertraulichkeit auf das wesentliche reduziert (vgl. Liebeskind 1999, 210).

Die hier vorgeschlagenen Ziele zum Schutz von Wissen sind bewusst überspitzt dargestellt, zeigen aber besonders die Schwierigkeiten, denen Wissensschutz gegen­übergestellt ist, gerade unter der Berücksichtigung des Wissensmanagements.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Konfliktsituation Wissensmanagement und Schutz von Wissen

Die Abbildung 6 stellt die Wissensmanagementziele^[46] und Schutzziele gegenüber. Die Schutzziele beschreiben eine Umgebung, die das Unternehmen durch strenge Kontrolle im höchsten Maße vor allen potentiellen Gefahren bewahrt. Damit ist verbunden, dass es sich zugleich in seinen Operationen lähmt bzw. behindert und eine Vielzahl von Marktchancen vergibt. Die Wissensmanagementziele hingegen offerieren ein gewisses Vertrauen gegenüber Mitarbeitern und externen Partnern. Dabei kann allerdings auch die Gefahrenlage für wettbewerbsrelevantes Wissen in einer offenen, „wissensteilungs­willigen“ Unternehmenskultur unterschätzt werden. Diese beiden Zieldimensionen haben keinen Anspruch auf Vollständigkeit, geben aber einen guten Überblick über die Konfliktsituation. Besonders hervorgehoben ist der jeweilige Zielkonflikt zwischen beiden. Die Markierungen kennzeichnen typische Konfliktschwerpunkte. Sie lassen sich je nach Verständnis bzw. Interpretation der einzelnen Ziele noch erweitern oder reduzieren. Kernaussage bleibt, dass sich aus dem gleichzeitigen Schutz und Management von Wissen eine schwerwiegende, nicht übersehbare Anzahl von Konflikten ergibt.

Beispielsweise erschweren viele Mechanismen, die dem Schutz von Wissen innerhalb eines Unternehmens dienen, zugleich die interne und externe Kommuni- kation^[47]. Diese ist jedoch wichtig, denn sie fördert die Produktivität, die Entwicklung von Innovationen und kann zur Reduzierung von Entwicklungszeiten einerseits führen sowie den Zugang zu neuem (externen) Wissen andererseits schaffen (vgl. Liebeskind 1999, 210).

Ein weiteres Beispiel bezieht sich auf die Verteilung und den Transfer von Wissen. Die Studie über leistungsfähige Wissensarbeiter von Davenport und Prusak (2006) belegt, dass die Leistungsträger diejenigen sind, die ihr Wissen regelmäßig teilen (vgl. Davenport/Prusak 2006, 20). Somit stellt die gemeinsame Nutzung und Teilung von Wissen ebenfalls einen fundamentalen Kern dar. Zum anderen profitiert das Ziel der Geheimhaltung bzw. Vertraulichkeit u. a. von der eingeschränkten Verteilung von Wissen, denn „gewisse Kernwissensbestände, die grundlegend für die Wettbewerbs­position des Unternehmens sind, müssen vor einer Imitation durch Wettbewerber geschützt werden“ (Probst et al. 1999, 233f). Probst, Raub und Romhardt (1999) schlagen diesbezüglich vor, zwischen schutzbedürftigem und öffentlichem Wissen zu differenzieren, und postulieren folgende Grundsatzentscheidung zu analysieren: „Welche organisationalen Wissensbestände müssen geheim bleiben und vor einer breiten Verteilung geschützt werden?“ (Probst et al. 1999, 232). Angestrebtes Ziel ist also die „Nutzbarmachung von Wissen innerhalb gewisser Grenzen“ (Probst et al. 1999, 233).

Ein letztes Beispiel beschreibt den Konflikt aus Exklusivität und Dokumentation bzw. Externalisierung von Wissen. Es wird von Kogut/Zander (1992) als „Paradox der Replikation“ beschrieben und erklärt sich wie folgt: Die Bestrebung die Replikation von bestehendem und neuem Wissen zu beschleunigen führt zu dem grundlegenden

Paradox, dass die Kodifizierung und Vereinfachung von Wissen gleichzeitig die Wahrscheinlichkeit für Imitation erhöht^[48].

Wissensschutz bietet einen kombinierten Ansatz, der versucht diese Konflikte durch einen Kompromiss aus Vertrauen und Kontrolle sowie unter Berücksichtigung der Wettbewerbsrelevanz des Wissens und des Potentials für eine Bedrohung zu lösen (in Abbildung 6 rechts dargestellt). Der Wissensschutz beantwortet die Frage: Wie kann wettbewerbsrelevantes Wissen geschützt werden, ohne die Aktivitäten und Ziele des Wissensmanagements unverhältnismäßig negativ zu beeinflussen? Die Wissens­managementprozesse sollen also möglichst wenig Einschränkung finden und der Schutz des wettbewerbsrelevanten Wissens soll sicher gestellt werden.

Je nach Priorität bzw. Relevanz der Wissensmanagementziele und der spezifischen Unternehmensstrategie, kann die Wissensstrategie zur Umsetzung und Realisierung dieser Ziele differieren. Ebenso variiert das Wissensschutzkonzept je nach Unternehmenskontext und organisationsspezifischen Umfeldfaktoren in den Ansprüchen an Wissensmanagement und Schutz.

Im Rahmen dieser Untersuchung können lediglich Ansatzpunkte für eine Kategorisierung von Unternehmen hinsichtlich Wissensschutz vorgestellt werden. Ziel ist es einen Überblick über die potentiellen Regelungen und Maßnahmen zum Schutz von Wissen zu geben, die allerdings in gezielter Kombination, abhängig von den erwähnten unternehmensspezifischen Einflussfaktoren, einzusetzen sind. Eine derartige Selektion und Kombination bietet Potential für zukünftige Forschung.

Vorgestellt wurden die Konfliktsituationen, sowie die besonderen Herausforderungen und Restriktionen im Wissensschutz. Das Handlungsfeld von Wissensschutz wird im weiteren u. a. bestimmt durch:

- Schutz wettbewerbsrelevanten Wissens (Kapitel 3, insbesondere Abschnitt 3.2),
- Existenz akuter bzw. zukünftig potentieller Bedrohungen und Schwachstellen (Kapitel 4),
- Anreiz der Wettbewerber (Abschnitt 3.3).

3 Schutzbedarf von Wissen

Betrachtet man den Schutzbedarf von Wissen stellt sich die Frage: Wovor gilt es Wissen zu schützen? Schützen könnte man Wissen bspw. vor Nichtverfügbarkeit oder auch Veralterung bzw. „organisationalen Vergessen“ (vgl. Probst et al. 1999, 289ff, 317; North 1999, 204ff). Das ist allerdings an dieser Stelle irrelevant und fällt eher unter den Begriff der Wissensbewahrung (vgl. Schubert/Scholz 2006, 1). Besser gefragt: Ist das Wissen schon mit Verbreitung oder Veröffentlichung für das Unternehmen wertlos oder erst bei Aneignung (vgl. Liebeskind 1997, 629), Absorption (vgl. Cohen/Levinthal 1990) oder Imitation durch Wettbewerber? Die Verbreitung lässt sich von der Veröffentlichung dadurch differenzieren, dass sie innerhalb der Unternehmensgrenzen bzw. der vertrauten Parteien stattfindet. Die Veröffentlichung umfasst die Verletzung der Geheimhaltung (Vertraulichkeit) über die Unternehmens- und Kooperationsgrenzen hinaus. Die weiteren drei Ebenen werden in nachfolgenden Abschnitten erläutert. Am treffendsten scheint jedoch, die exklusive Anwendung des Wissens für das Unternehmen im Wissensschutz in den Vordergrund zu stellen. Denn erst die Interpretation und Anwendung durch Dritte beeinflusst die Wettbewerbsfähigkeit eines Unternehmens.

Als „Schutz“ bezeichnet man Maßnahmen, die eine zu schützende Sache oder Person vor der Wirkung einer Gefahr bewahren. Gefahren für Wissen können sowohl im Unternehmen selbst als auch umweltbedingt auftreten. Auch das Teilen von Wissen mit anderen Unternehmen ist mit einem Verlust gleichzusetzen. Wissensschutz muss somit auch externe Gefahren berücksichtigen und ist als übergeordneter Begriff zu verstehen (vgl. Schubert/Scholz 2006, 1).

Die Motivation bzw. die Gründe für den Wissensschutz werden durch folgende Aspekte bestimmt:

- Das Differenzierungspotential zwischen konkurrierenden Unternehmen ist nur noch über wenige Faktoren beeinflussbar, wie z. B. Wissen (vgl. Desouza/Awazu 2004, 1),
- Wettbewerbsvorteile sind über Wissensvorsprung bzw. Innovationsfähigkeit realisierbar (vgl. Rehäuser/Krcmar 1996, 14ff; Probst et al. 1999, 85f),
- bereits vorhandenes Wissen ist die Grundlage für Innovationen, Produkt- und Dienstleistungsveränderungen und schließlich zur „Überlistung“ der Wettbewerber (vgl. Desouza/Awazu 2004, 1; Hagel/Brown 2006, 17f),
- Wissen muss rar auf dem Markt sein, andernfalls hat es nur begrenzten Wert, denn nur seltene Ressourcen dienen zur Differenzierung und Generierung von Wettbewerbsvorteilen (vgl. Barney 1991, 393ff; Grant 1991, 12ff; Collis/ Montgomery 1995, 28ff; Zahn et al. 2000, 253ff; Maier 2002, 94f),
- durch „Verlust“^[49] von Wissen kann die Reputation, die Integrität oder gar die Existenz eines Unternehmens gefährdet werden (vgl. Freeman 2004, 1; PWC 2004, 14f),
- Patente und sonstige rechtliche Maßnahmen zum Schutz des geistigen Eigentums sind nicht ausreichend, um Wissen in all seiner Komplexität zu schützen (vgl. Liebeskind 1999, 200ff; Desouza/Awazu 2005, 31ff).

Um wettbewerbsfähig zu bleiben, muss das Wissen einer Organisation geschützt werden und gegenüber der externen Welt selten sein^[50]. Daraus ergibt sich die Definition von Wissensschutz folgendermaßen:

Def.: Wissensschutz schützt wettbewerbsrelevantes Wissen vor unbefugter (nicht intendierter) verbreitung/offenlegung, Absorption und imitation durch Dritte, die der organisation damit bewusst oder unbewusst Schaden zufügen. Dies umfasst den Schutz vor verlust der derzeitigen und zukünftigen Wettbewerbsposition sowie die Sicherung der vorhandenen bzw. angestrebten Wettbewerbsvorteile.

Nicht nur die Ressource selbst, sondern auch der Prozess zur Generierung und die Fähigkeit zur Beschreibung dieser Ressource muss natürlich ebenfalls geschützt sein, denn sonst könnte die Ressource einfach reproduziert werden (vgl. Barney 1991, 406). So muss der Prozess der Wissensgenerierung und -anwendung vor unautorisierter Veröffentlichung, Spionage, Verlust, Zerstörung und Manipulation geschützt werden (vgl. Desouza/Vanapalli 2005, 88).

Zur Erzielung eines optimalen Schutzes sind zunächst verschiedene Aspekte von Wissen zu beleuchten. Wo und in welchen Formen ist Wissen zu lokalisieren? Welche besonderen Eigenschaften besitzt Wissen? Welches ist eine geeignete Dimensionierung Probst et al. (1999) führen hier und an vielen weiteren Stellen ihrer Monographie das aus dem englischen für „organizational“ abgeleitete Wort „organisational“ ein, welches im deutschen Sprachraum bisher nicht existiert. Gemeint ist damit „die Organisation betreffend“, nicht aber „organisatorisch“ nach der weitläufigen Übersetzung. In diesem Zusammenhang wird das Wort im Weiteren entsprechend verwendet.

[...]

---

^[1] Übersetzung: Die meisten Unternehmen sind naiv in ihren Bemühungen ihre wertvollste Ressource zu schützen: Wissen.

^[2] Siehe Berühmte Fälle beim FBI - Spionagefall Robert Philip Hanssen. FBI, Feb. 2001. URL: http://www.fbi.gov/libref/historic/famcases/hanssen/hanssen.htm: Abfrage: 31.10.2006.

^[3] Siehe Diebold v. the Bloggers. Berkman Center for Internet & Society, Harvard Law School, Jan. 2004. URL: http://cyber.law.harvard.edu/briefings/ dvb: Abfrage:31.10.2006.

^[4] Siehe HP-Spionage-Skandal, Codename „KONA“. In: Spiegel Online, Sept. 2006. URL: http://www.spiegel.de/wirtschaft/0,1518.438191.00.html: Abfrage: 31.10.2006.

^[5] Wettbewerbsanalyse bezeichnet die systematische und legale Beschaffung und Auswertung von Informationen über Konkurrenten, um daraus Wettbewerbsvorteile zu generieren (vgl Porter 1999, 86ff; et al.).

^[6] Sie wird in der englischsprachigen Literatur zumeist als „Social Engineering“ oder „Social Hacking“ bezeichnet. Dies wird verstanden, als die Kunst oder Wissenschaft eine Person zu überzeugen eine gewünschte Tat zu vollbringen. Es beeinhaltet das Erlangen vertraulicher Informationen durch Annäherung an Personen mittels sozialer Kontakte (vorgespielte Telefonanrufe, gefälschte E-Mails, manipulierte Web-Auftritte) (vgl. Mitnick 2005; Schneier 2001, 260ff; Dolan 2004; Allen 2006, 4).

^[7] In der Literatur zumeist bezeichnet, als “Resource-based View” (vgl. Wernerfelt 1984; Prahalad/Hamel 1990; Barney 1991; Grant 1991; Penrose 1999).

^[8] In der Literatur zumeist bezeichnet, als “Knowledge-based View“ (vgl. Spender 1994; Grant 1996; Zahn et al. 2000, 251ff).

^[9] Originalzitat: “Knowledge resources are the source of competitive advantages for organizations” (Desouza/Vanapalli 2005, 1).

^[10] (vgl. Liebeskind 1997; Liebeskind 1996; Desouza/Awazu 2004; Desouza/Vanapalli 2005; Bayer/Maier 2006).

^[11]„Coopetition“ ist ein aus der englischen Sprache entnommener Kunstbegriff aus Kooperation (cooperation) und Wettbewerb (competition) (vgl. Brandenburger/Nalebuff 1996, 11ff).

^[12] (vgl. Hamel et al. 1989; Loebbecke/Fenema 2000; Hackney et al. 2005; Hagel/Brown 2006; Boisot 2006).

^[13] Gefahren bei Offshore-Outsourcing (vgl. Desouza/Awazu 2005, 211ff).

^[14] Beispiele dafür sind unendliche flache Organisation, invertierte Organisation, Sternexplosion, Spinnennetz, Hypertext, virtuelle Organisation (vgl. Nonaka/Takeuchi 1995, 160ff; North 1999, 79ff; Loebbecke/Fenema 2000).

^[15] Gefahren für verteilte Organisationen (vgl. Desouza/Awazu 2004, 77).

^[16] Überblick über die zukünftige Wissensinfrastruktur (vgl. Maier et al. 1005, 368ff).

^[17] Originalzitat: „While private sector organizations have long taken security for granted, this is not the case in the intelligence and defence sectors of the government“(vgl. Desouza 2005, 7).

^[18] Originalzitat: „The significance of the threat and the associated value of the knowledge asset determine the managerial intervention necessary to secure the asset“ (Desouza/Awazu 2005, 32).

^[19] Siehe dazu Kapitel 3.1.

^[20] Originalzitat: „Organizations are still grappling with information security issues and securing knowledge is even more difficult, tedious, and cumbersome than securing information“ (Desouza/Awazu 2005, 31).

^[21]Für weitere Differenzierung von Wissen und Information siehe (vgl. Nonaka/Takeuchi 1995, 57ff).

^[22] Lessons Learned sind systemisch dokumentierte Erfahrungen, die z. B. aus abgeschlossenen Projekten resultieren (vgl. Probst et al. 1999, 211; Maier et al. 2005, 46).

^[23] Best Practices umfassen bewährte Methoden, Erfahrungen oder Handlungswissen innerhalb eines Unternehmens, welche für andere Unternehmen ebenfalls effektiv und anwendbar sind (vgl. O’Dell/Grayson 2003; Maier et al. 2005, 46).

^[24] Basierend auf Polanyi’s Annahme, dass jedes Wissen über eine implizite Dimension verfügt (vgl. Polanyi 1966, 24), wird in der Literatur zumeist zwischen impliziten und expliziten Wissen unterschieden, siehe bspw. (vgl. Nonaka/Takeuchi 1995).

^[25] (vgl. Europäische Kommission 2000).

^[26] Vergleiche hierzu Definition von Daten in Abschnitt 2.1.1.

^[27] Auch bezeichnet als “Intrusion Prevention” (Firewalls).

^[28] Auch bezeichnet als „Intrusion Detection“ (Systeme mit Anomalie- bzw. Signaturerkennung).

^[29] Für weiterführende Literatur zu diesem Abschnitt (vgl. Schneier 1996; Schneier 2001; Stallings 2003; Eckert 2004 ).

^[30] Siehe IT-Grundschutz-Kataloge. BSI 2005. URL: http://www.bsi.de/gshb/deutsch/index.htm; Ab- frage:09.11.2006.

^[31] Originalzitat: „Knowledge is more than a product; it is fluid, dynamic, and more mobile than information” (Desouza/Awazu 2005, 30).

^[32] “Protecting Trade Secrets” (vgl. Barrier 2004),

^[33] “Protection of Proprietary Assets“ (vgl. Kale et al. 2000),

^[34] “Intellectual Asset Protection” (vgl. Manton 2006),

^[35] “Intellectual Property Protection” (vgl. Hertzfeld et al. 2004),

^[36] “Safeguarding Intellectual Property”.

^[37] (vgl. Liebeskind 1997, 629ff; Liebeskind 1996, 200ff; Alstete 2003; Norman 2001; Jiang 2002).

^[38] (vgl. Desouza/Vanapalli 2005, 79ff; Desouza/Awazu 2005; Herlau/Tetzschner 2001).

^[39] (vgl. Xu/Zhang 2004; Mundy/Chadwick 2004; Bertino et al. 2006).

^[40] (Schutz von Daten)

^[41] Sichere Speicherung der Daten: Def.: Daten sind Zeichen, die einem Alphabet zugeordnet sind (Krcmar 2003, 14).

^[42] Das Datenmanagement umfasst alle betrieblichen und technischen Funktionen der Datenmodellierung, der Datenadministration, der Datentechnik und des datenbezogenen Benutzerservices und zielt auf die optimale Nutzung der Daten im Unternehmen ab (vgl. Krcmar 2003, 86). Für weitere Details zu Datenmanagement (vgl. Schwinn et al.1998).

^[43] Informationsmanagement umfasst dass Management des Informationslebenszyklus, begonnen mit dem Managem. der Informationsquellen, über Informationsressourcen, Informationsangebot, Informationsnachfrage bis hin zum Managem. der Infrastrukturen der Informationsverarbeitung und Kommunikation (vgl. Krcmar 2003, 77ff; Maier 2002, 38ff). Für weitere Details zu Informationsmanagement (vgl. Heinrich 1999; Krcmar 2003).

^[44] Originalzitat: „Knowledge management is defined as the management function responsible for the regular selection, implementation and evaluation of goal-oriented knowledge strategies that aim at improving an organization’s way of handling knowledge internal and external [...] to improve organizational performance” (Maier, 2001, S. 48).

^[45] Zur Erklärung der einzelnen Werkzeuge wird auf die entsprechende Literatur verwiesen (vgl. North 1999; Maier 2002; Maier et al 2005; et al.).

^[46] Externalisierung ist einer der vier Wissenstransformationsprozesse nach Nonaka/Takeuchi (1995). Hierbei wird implizites Wissen in explizites Wissen umgewandelt Die weiteren Transformationsprozesse werden als Kombination, Sozialisation und Internalisierung bezeichnet (vgl. Nonaka/Takeuchi 1995, 62ff).

^[47] sozialisation ist ein weiterer Wissenstransformationsprozess. Er wandelt das implizite Wissen einer Person durch Übertragung in implizites Wissen einer anderen Person, z. B. durch Kommunikation von Mitarbeitern (vgl. Nonaka/Takeuchi 1995, 62ff).

^[48] Wissensobjekt wird oftmals auch als Wissenselement bezeichnet und umfasst einen abgrenzbaren Sachverhalt. Aufgrund des vernetzen Charakters von Wissen, ist eine Abgrenzung zumeist nicht so leicht möglich, dennoch wird es häufig im Zusammenhang von Wissensmanagementsystemen und gespeichertem Wissen gebraucht.

^[49] Vergleiche hierzu Bausteine des Wissensmanagements oder Wissensmanagement-Aktivitäten (vgl. Probst et al. 1999, 58; Maier 2002, 174ff).

^[50] Originalzitat: „Knowledge needs to be shared and protected. It needs to be shared with the right agents within and without the organization and, by the same token, must be protected from an organization’s competitors “ (Desouza/Awazu 2005, 29).