Sicherheit als Teil des Informationsmanagements verstärkt in die Unternehmensführung einbinden

I Inhalt

II Zusammenfassung

III Ehrenwörtliche Erklärung

IV Vorwort

1. Einleitung
1.1. Ausgangslage
1.2. Schwachstellen in der Interaktion zwischen Management und Sicherheit in der Informationstechnologie
1.3. Ziele und Abgrenzung der Arbeit
1.4. Vorgehen und Aufbau der Arbeit

2. Sicherheit der Informationstechnologie und das Einbinden in die Managementperspektive
2.1. Unternehmensführung
2.2. Managementkonzepte
2.2.1. Corporate Governance/COSO
2.2.2. IT-Governance/COBIT
2.2.3. Informationssicherheit / ISO/IEC 2700x
2.2.4. IT-Service Management / ITIL
2.2.5. IT-Risikomanagement / ISO/IEC 31000
2.3. Technische und organisatorische Aspekte der Sicherheit
2.3.1. Abgrenzung der Sicherheit
2.3.2. Abhängigkeiten zwischen Risiken und der Sicherheit
2.3.3. Sicherheit - eingebunden in die Organisation der Unternehmung
2.4. Eine integrale Perspektive auf das Unternehmen zeigt ein vernetztes System
2.4.1. System
2.4.2. Systemisches Denken
2.5. Fazit

3. Theoretische Untersuchung zur Überprüfung der Forschungsfrage
3.1. Überlegung bei der Vorbereitung zur Durchführung der Untersuchung
3.1.1. Methodik der Untersuchung
3.1.2. Qualität der Untersuchung
3.1.3. Vorgehen bei der Untersuchung
3.2. Entwicklung des Wirkungsdiagramms – Informationssicherheit und Unternehmensführung
3.3. Untersuchung der Feedbackschleifen als Teil des Wirkungsdiagramms
3.3.1. Feedbackschleife - Unternehmenswachstum
3.3.2. Feedbackschleife IT-Service Funktionalität
3.3.3. Feedbackschleife-Risiko
3.4. Untersuchung der Kommunikation im Wirkungsdiagramm
3.5. Fazit

4. Wirkungszusammenhänge und Empfehlungen
4.1. Erkenntnisse zu den Wirkungszusammenhängen
4.2. Erkenntnisse im Kontext der Forschungsfrage
4.3. Empfehlungen zur verstärkten Einbindung der Sicherheit in die Unternehmensführung
4.3.1. Empfehlung zu den Dimensionen: Organisation, Managementkonzept und Prozess
4.3.2. Empfehlung zu den Dimensionen: Kommunikation
4.4. Praxis

5. Kritische Würdigung

6. Schlussbetrachtung und Ausblick
6.1. Schlussbetrachtung
6.2. Ausblick

7. Verzeichnisse
7.1. Abkürzungsverzeichnis
7.2. Abbildungsverzeichnis
7.3. Literaturverzeichnis
7.3.1. Lehr- und Fachbücher
7.3.2. Journalbeiträge
7.3.3. Arbeitspapiere, Studien, Standard
7.3.4. Elektronische Quellen

II Zusammenfassung

Durch die sich stetig verändernden und steigenden technischen Anforderungen sind die Unternehmungen vermehrt auf eine anpassungsfähige und nutzbringende Sicherheit der Informationstechnologie angewiesen. Durch den dadurch gesteigerten Wert der eingesetzten Daten und Informationen innerhalb der Unternehmungen hat sich die Informationstechnologie in der Vergangenheit zu einem Faktor entwickelt, welcher momentan wie aber auch in der Zukunft nicht unwesentlich für die Unternehmensführung in ihrer Führungsaufgabe ist.

Durch die kontrovers geführten Diskussionen zu den vorhandenen Managementkonzepten und zur Frage, wie die Unternehmensführung auf die neuen Rahmenbedingungen der Unternehmen zu reagieren habe, sieht der Autor einen Ansatz für die eigene Untersuchung. Ein erster Schritt soll dazu in dieser Masterarbeit unternommen werden. Der Autor setzte sich zum Ziel mit Hilfe der durchgeführten Untersuchung einen Teilbereich einer fiktiven Unternehmung mit einer Anzahl genutzter Managementkonzepte und die damit verbundene Interaktion zwischen der Unternehmensführung und dem Sicherheitsfachbereich, zu erfassen, darzustellen und zu analysieren.

In den vom Autor durchgeführten Recherchen zeigte sich, dass zurzeit keine umfangreichen Untersuchungen zum Themenfeld der Interaktion und den dabei entstehenden Wirkungszusammenhängen vorhanden sind. Auch wird durch den Autor vermutet, dass sich diese nur mit grossem Aufwand auswerten liessen, da keine allgemein verständliche Struktur als Orientierung dienen könnte. Was fehlt, ist eine Sammlung und das Verbinden von einzelnen Erfahrungen und Fachwissen aus Literatur und Beschreibungen von diversen Managementkonzepten, auf deren Basis eine Analyse möglich wäre. Aus diesem Grund wurde durch den Autor ein empirischer Ansatz für die Untersuchung verfolgt, um herauszufinden, welche Elemente im Teilbereich und welche potenziellen Wirkungen diese auf die Sicherheit der Informationstechnologie und die Unternehmensführung haben. Dabei lieferte das Studium von Literatur Informationen über Prozesse und formale Regeln. Beobachtungen durch den Autor über einen Zeitabschnitt von 15 Jahren - in unterschiedlichen Unternehmen - lieferten ergänzende Erkenntnisse zu den alltäglichen Handlungen in den Unternehmungen.

Um den zu untersuchenden Forschungsbereich als komplexes System detailliert wiederzugeben, wurde in dieser Arbeit die grafische Darstellung von Rückkopplungsschleifen in Form eines Wirkungsdiagramms genutzt. Die folgend durchgeführte Analyse der grafisch erstellten Wirkungszusammenhänge stellte wichtige Abhängigkeiten innerhalb der Unternehmung zur Frage der Sicherheit der Informationstechnologie fest. So liessen sich aufgrund der Fülle von unterschiedlich eingesetzten Managementkonzepte wie deren ungenügender Abstimmung keine stimmigen Informationen für die Unternehmensführung erstellen. Auch wird deutlich, dass der Stellenwert der Sicherheit von Informationstechnologie nicht durch die rein technische Sicht abgedeckt und gesteigert werden kann.

Auf Basis der durchgeführten Analyse der Wirkungszusammenhänge wird vorgeschlagen die Sicherheit der Informationstechnologie nicht mehr als rein technische und untergeordnete Disziplin zu betrachten. Es wird durch den Autor empfohlen, die Sicherheit als Dimension der operationellen Risiken zu betrachten und dabei in die Corporate Governance einzubinden. Dabei ist die Interaktion zwischen der Unternehmensführung und dem Sicherheitsbereich aktiv zu gestalten und hierbei der Mensch mit seinen Charaktereigenschaften zu berücksichtigen.

III Ehrenwörtliche Erklärung

Ich bestätige hiermit, dass

- ich die vorliegende Thesis selbstständig und ohne Benutzung anderer als der angegebenen Quellen und Hilfsmittel angefertigt habe
- die benutzten Quellen wörtlich oder inhaltlich, als solche kenntlich gemacht wurden und
- diese Arbeit in gleicher oder ähnlicher Form noch keiner Prüfungskommission vorgelegt wurde.

Abbildung in dieser Leseprobe nicht enthalten

IV Vorwort

Nach meiner technischen Grundausbildung arbeitete ich zunächst in operativen Entwicklungsbereichen, bevor ich durch betriebswirtschaftliche Weiterbildungen in die Aufgabenbereiche der Prozess- und Organisationsentwicklung wechselte. Tätig in unterschiedlichen, mehrheitlich grösseren Unternehmungen in den Fachbereichen Technik und Informatik, konnte ich durch weitere Ausbildungen mein Wissen in Themenbereichen wie Management, Prozess-, Risiko- und Sicherheitsmanagement vertiefen und dieses in internen Projekten anwenden. Ich erhielt so Einblick in unterschiedlich angewendete Managementkonzepte und das dabei genutztes Vorgehen, wie die Art und Weise der Interaktion zwischen der Unternehmensführung und dem Sicherheitsbereich.

Meine persönliche intensive und kritische Auseinandersetzung mit diesem Themenbereich lieferte den Anstoss darüber nachzudenken. Einerseits stellte sich mir die Frage, wie die Unternehmensführung nutzbringend über die Sicherheit der Informationstechnologie informiert werden kann. Andererseits muss etwas unternommen werden, damit die damit verbundenen Aktivitäten und Prozesse wirksamer ablaufen. Dies sind Fragen, die ich in der vorliegenden Arbeit untersucht habe.

Diese Arbeit stellt den Abschluss zum Master-Studiengang Master of Science in Business Consulting an der Hochschule für Wirtschaft in Zürich dar. Das Erstellen dieser Arbeit bedeutete für mich meine Ressource Zeit weiter zu optimieren, Prioritäten zu setzen, sich vertieft in Themenbereiche einzuarbeiten und nicht zuletzt sollte dabei neues Wissen generiert werden. Eine zeitintensive Arbeit, welche in der berufsbegleitenden Umsetzung ohne die herzliche Unterstützung von verschiedenen Seiten nicht möglich gewesen wäre.

Ich möchte daher an dieser Stelle meinen herzlichen Dank an meine Frau und meine Söhne richten. Ein spezieller Dank geht an Freunde, Arbeitskollegen und -kolleginnen, welche durch ihre unterschiedlichen Perspektiven diese Arbeit mit Inputs bereicherten. Namentlich geht mein Dank an Stefan Mäder, der mich bei der Erarbeitung der Themenbereiche und Erstellung der Arbeit begleitete.

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Im ersten Kapitel dieser Arbeit werden die Ausgangslage (Kapitel 1.1), die Schwachstellen in der Interaktion zwischen der Unternehmensführung und der Sicherheit der Informationstechnologie (Kapitel 1.2) und die Nutzung der Managementkonzepte erläutert. Ausgehend von der Forschungsfrage und den aufgestellten Thesen werden folgend die Zielsetzungen, erwartete Ergebnisse aufgezeigt und eine Abgrenzung des Themenbereichs vorgenommen (Kapitel 1.3). Die Beschreibung zum Vorgehen und Aufbau der Arbeit (Kapitel 1.4). schliesst dieses erste Kapitel ab.

1.1. Ausgangslage

Die Informations- und Kommunikationstechnologie hat sich in der Vergangenheit stark entwickelt; mit einer Weiterentwicklung ist auch zukünftig zu rechnen. Bereits im Jahr 1993 wurde dazu erklärt, dass die Systeme der Informationstechnologie zunehmend für die Unternehmungen relevant werden und dies als ernst zu nehmendes Thema einzustufen ist.^[1] Diese Wichtigkeit der Informationen, welche in den Geschäftsprozessen der Unternehmen genutzt werden, wurde im Jahre 2004 im Lexikon der Wirtschaftsinformatik ausser Frage gestellt. Dabei äussern sich die Herren Heinzel und Roithmayer dahingehend, dass Informationen alle anderen Produktionsfaktoren durchdringen werden.^[2] Äusserungen, die sich nach heutiger Betrachtung bewahrheitet haben. So macht die Konferenz für Berufsbildung Information and Communication folgende Angaben zur Entwicklung der Informationstechnologie. Es zeichnet sich für die Zukunft ab, dass bis 2017 rund 212’300 Schweizerinnen und Schweizer im Sektor der Informations- und Kommunikationstechnologie arbeiten werden. Das entspricht einem dreifachen Wert der erwerbstätigen Personen, welche im historisch verankerten Landwirtschaftssektor (62‘000) tätig sind und einem fast doppelt so hohen Wert der im Bankensektor (110‘000) Beschäftigten.^[3] Eine Entwicklung, welche unter anderem auch an der steigenden Anzahl mobiler Geräte erkennbar ist, wie die rasant zunehmende Vielfalt an Funktionalitäten bei Geräten und Anwendungen im Gebiet der Informations- und Kommunikationstechnologie zeigt. Der Mobile-Report der Firma Net-Metrix liefert quantitative Auswertungen und Informationen zur Entwicklung der mobilen Internetnutzung über sogenannte Small Screen Devices. Die aktuelle Ausgabe des Reports zeigt, dass der mobile Besuch im Internet immer beliebter wird. Nutzte das Internet im Jahr 2010 mehr als jeder vierte Anwender über mobile Geräte wie z. B. das Smartphone, ist es gemäss Mitteilung von Net-Metrix aktuell fast jeder zweite Internetanwender.^[4]

Diese immer neueren und weiter ausgereiften Informations- und Kommunikationstechnologien können nicht nur für den privaten Bereich genutzt werden. Auch Unternehmen wird ermöglicht, diese in fast allen betriebswirtschaftlichen Abläufen einzusetzen. Bei einem Einsatz kann somit die Informationstechnologie die entscheidenden Geschäftsprozesse eines Unternehmens unterstützen, bei der Bearbeitung von Aufträgen bis hin zum Rechnungswesen. „[…] In vielen Industriebereichen hat die Informationstechnologie dabei zu wesentlichen Transformationen und Innovationen geführt. Im Finanzdienstleistungssektor hat sich die ICT zu einer wesentlichen Kernkompetenz entwickelt, in anderen Branchen hat die Informationstechnologie durch digitale Multimedia neue Produktwelten rund um Video und Audio geschaffen.“^[5] In der heutigen Art der Nutzung der Informationstechnologie spielen somit die Informationen und deren Daten eine immer grössere Rolle. Untersuchungen von IBM zu den Datenmengen gehen davon aus, dass 90 % aller weltweit verfügbaren Daten in den vergangenen zwei Jahren entstanden sind.^[6] Dabei müssen die Unternehmen nicht nur mit dieser Menge an Daten umzugehen wissen. So wirkt sich dies auch auf die Anzahl von Informations- und Kommunikationsbeziehungen aus und stellt erhöhte Anforderungen an die Fachbereiche der Informationstechnologie, aber auch an die Sicherheit.^[7] Unter Betrachtung dieser Entwicklung und deren Einflüsse auf das Unternehmen stellt die Information heute einen Wert dar. Durch den Wert der eingesetzten Daten und Informationen innerhalb der Unternehmungen hat sich die Technologie für die Informations- und Datenverarbeitung, in den vergangenen Jahren zu einem Faktor entwickelt, welcher heute wie auch in der Zukunft nicht unwesentlich für die Unternehmensführung ist. Der Umgang mit Daten innerhalb vieler Unternehmen wird jedoch als problematisch beschrieben.^[8] Eine Tatsache, welche es nachvollziehen lässt, dass die Bewertung der Informationstechnologie heute in Unternehmen strategisch höher ist als noch vor einigen Jahren. Wie durch den Autor in der Literaturrecherche festgestellt wurde, wird jedoch der Beitrag der Fachbereiche Informationstechnologie wie die Nutzen von neueren Funktionalitäten zum Unternehmenserfolg in der Theorie und Praxis zurzeit noch unterschiedlich und widersprüchlich diskutiert, obwohl verschiedene empirische Studien eine Beziehung zwischen der Informationstechnologie und dem Erfolg von Unternehmen nachweisen.^[9]

Aufgrund dieser stetigen Entwicklung von Daten und Informationen sowie der damit verbundenen Anforderungen an die Qualität wird die Frage der Sicherheit immer stärker zu einem entscheidenden Faktor für die Gestaltung der Infrastruktur der Informationstechnologie und deren Betrieb. So wirken sich zum Beispiel die mobilen Geräte, Cloud Services oder die sozialen Medien nachhaltig auf die Risiken der Informationstechnologie und die dadurch benötigten Sicherheitsmassnahmen einer Unternehmung aus. Ausfallzeit, Geld-, Zeit- und Imageverlust sollen tunlichst vermieden werden. Ein Bestreben der Unternehmen, welches verständlich wird, wenn man diesbezüglich Zahlen aus der Marktforschung betrachtet. Das Marktforschungsunternehmen Coleman Parkes liefert z. B. in seiner Studie Avoidable Cost of Downtime 2010 Zahlen, welche die Ausfälle in der Informationstechnologie beziffern. Dabei geben die an der Studie teilgenommenen europäischen Unternehmen Kosten von durchschnittlich 263‘347 Euro/jährlich an.^[10] Es ist daher nachvollziebar, dass Unternehmen von einer weiter steigenden Bedeutung der Informationstechnologie und deren Sicherheit ausgehen und dabei der Sicherheit einen hohen bis sehr hohen Stellenwert einräumen. So jedenfalls äussert sich die Mehrheit der befragten Unternehmen in einer durchgeführten Studie des ibi Research über den Status quo und Entwicklungstendenzen hinsichtlich Sicherheitsstandards und Compliance.^[11]

Nicht nur die Fachbereiche Informationstechnologie, auch die Unternehmensführung wird durch die oben beschriebenen Entwicklungstendenzen beeinflusst. Erkennbar wird dies dadurch, dass die Unternehmensführung sich vermehrt mit Informationen zu bestehenden und benötigten Ressourcen in der Informationstechnologie befasst. Dabei wird von der Unternehmensleitung erwartet, dass sie mögliche Sicherheitsrisiken erkennt und nachhaltige Massnahmen zur Behandlung einleitet. Die Transformation von bestehenden Informationen und vorhandenem Wissen in nutzbare Steuerungsgrössen der Unternehmensführung spielt dabei ein wichtiger Aspekt, vor allem vor dem Hintergrund der steigenden Komplexität. Dabei wird die Komplexität durch die Veränderung bei der innerbetrieblichen Arbeitsteilung, wie durch die hoch technologischen Fertigungsprozesse, weiter genährt.^[12] Die Unternehmensleitung sieht sich heute wie auch zukünftig in ihrer Führungsaufgabe vor der Herausforderung, dass immer mehr Entscheidungen gefragt sind, die sinnvolle Kompromisse darstellen. Kompromisse, bei welchen alle Perspektiven, somit auch die der Informationstechnologie und die damit verbundene Sicherheit, berücksichtigt werden müssen.

1.2. Schwachstellen in der Interaktion zwischen Management und Sicherheit in der Informationstechnologie

Persönliche Beobachtungen in unterschiedlichen Unternehmungen zeigen dem Autor, dass in der Praxis Managementkonzepte im Rahmen der Unternehmensführung, der Informationstechnologie und der Sicherheit eingesetzt werden. Mit diesen werden Informationen bereitgestellt, welche jedoch bei einer ungenügenden Abstimmung Insel-Lösungen darstellen. Eine ungenügende integrale Betrachtung beim Aufbau und der Nutzung der Konzepte kann zu Fehlinterpretationen und nicht zuletzt zu Fehlentscheidungen führen. Um die Beobachtungen und die damit erkannte Problematik der Sicherheit und deren Informationen aufzeigen zu können, soll der Zusammenhang anhand einer Darstellung in Abbildung 1 und einer Situationsbeschreibung vereinfacht dargestellt werden¸ die Darstellung beruht auf Erfahrungswerten des Autors.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Situationsdarstellung

Quelle: Eigene Darstellung

Situationsbeschreibung

Gemäss der allgemeinen Wirtschaftslehre strebt die Unternehmensführung auf Basis der strategischen und taktischen Vorgaben eine operative Umsetzung an. Wird die Sicherheit der Informationstechnologie dabei als rein technisches Problem bewertet und folglich nach unten in den Fachbereich Sicherheit der Informationstechnologie delegiert, zeigen sich negative Auswirkungen in den Folgeaktivitäten. David Birchall befasst sich in seinem Buch: Information assurance - Strategic alignment and competitive advantage^[13] mit solchen Auswirkungen. Die Erfahrungswerte des Autors zeigen ein ähnliches Bild, welches folgend mit einer Beschreibung der Verkettung der Aktivitäten sowie möglichen negativen Auswirkungen zusammenfassend aufgezeigt wird.

Die durch die delegierte Stelle ermittelten Sicherheitsrisiken bzw. mögliche Schäden für den Betrieb werden mit entsprechenden Instrumenten/Methoden transparent gemacht und in Bezug zu den Kosten möglicher Handlungsoptionen gestellt. Dabei werden die Methoden und spezifischen Instrumente der Fachbereiche laufend verbessert, immer mit dem Ziel der Unternehmensführung Daten und Informationen liefern zu können, womit diese effizient und nachhaltig ihre Arbeit erbringen kann. Gegenüber der Unternehmensleitung wird folglich aus der Sicht der Sicherheit und der Technik argumentiert. Argumente, mit denen sich die Unternehmensführung wiederum schwer tut, zumal dabei auch unterschiedliche Terminologien benutzt werden. Die benötigte Transparenz fehlt. Die Wichtigkeit einer Investition in die Sicherheit im Bereich der Informationstechnologie kann durch die Unternehmensführung in dieser Situation nicht oder nur ungenügend betrachtet werden. Eine Situation, welche die Unternehmensleitung in eine ungünstige Lage bringt, in der sie mit den nicht abgestimmten und integral funktionierenden Managementkonzepten in eine Zeit blickt, in welcher die Informationstechnologien rasante Entwicklungen durchlaufen. Die Unternehmensführung hat dabei oftmals keine Vorstellung über den aktuellen, integralen Stand der Sicherheit im Bereich der Informationstechnologie.

Ausgestaltung und Einbindung der Sicherheit in die Methoden der Unternehmensführung

Die Situationsbeschreibung lässt erkennen, dass es sich bei der Ausgestaltung und Einbindung der Sicherheit der Informationstechnologie in die Konzepte der Unternehmensführung somit nicht nur um die Führung der Technologie handelt. Es geht auch um eine Ausrichtung auf gemeinsame Ziele, um den Transfer von Informationsinhalten und das persönliche Verhalten. Informationen müssen so festgelegt werden, dass sie dabei als Steuerungsgrössen genutzt werden können und die Instrumente und Konzepte durch die betroffenen Akteure nicht nur als rein zu befolgende Regelungen verstanden werden.

Schlagzeilen in der öffentlichen Presse und den Medien während der vergangenen Wochen und Monate, wie zum Beispiel über den Diebstahl von Daten, haben aufgezeigt, dass die Situation in Bezug auf die Sicherheit der Informationstechnologie durch die Unternehmungsführung falsch verstanden oder eingeschätzt wurde. Auswirkungen haben sich für die jeweiligen Unternehmungen in unterschiedlichster Form gezeigt. Eine Situation, die zu einem Umdenken veranlassen sollte.

Eine Anpassung und Abstimmung der eingesetzten Managementkonzepte tut not; benötigte Handlungen, mit welchen sich jedoch die Unternehmensführung seit Längerem schwertut. So wurde zu diesem Verhalten der Unternehmensführung bereits im Jahr 2005 in einer Studie von Kaplan und Norton festgestellt, dass z. B. 67 % der Unternehmen mit ihren Führungskräften ihre operativen Strategien nicht mit der Unternehmensstrategie in Einklang bringen.^[14] Auch heute ist das Thema der Verbindung der Unternehmensprozesse mit der Informationstechnologie immer noch aktuell und wird in der Fachliteratur unter den Begriffen wie z. B. IT-Business Alignement oder Strategic-Alignement besprochen.

Aus Sicht der Unternehmensführung scheint es also Argumente und Motive zu geben, warum Informationen, welche nach dem aktuellen Wissen und den eingesetzten Managementkonzepten zur Sicherheit der Informationstechnologie nicht genutzt werden können. Der Autor nimmt an, dass ein persönliches Vorgehen der Führungskraft und die Verschiedenheit der praktischen Ausgestaltung der Führungsinstrumente die Informationen wesentlich beeinflussen und so auch deren Nutzen bestimmen.

1.3. Ziele und Abgrenzung der Arbeit

Die geschilderten Sachverhalte wie auch die Problembeschreibung bilden das inhaltliche und zentrale Thema dieser Arbeit und sind in der allgemeinen Forschungsfrage wie folgt zusammenfasst.

Können die Informationen zur Sicherheit der Informationstechnologie, welche durch Instrumente und Methoden bereitgestellt werden, durch die Unternehmensleitung in die Führungsstrukturen- und -prozesse eingebunden und genutzt werden?

Anhand der gestellten Forschungsfrage lassen sich folgende Thesen aufstellen:

a) Wenn Managementkonzepte der Unternehmensleitung keine integrale Perspektive in Bezug auf die Sicherheit in der Informationstechnologie aufweisen, dann reduziert sich der Nutzen für die Unternehmensführung.
b) Die integrale Perspektive der Unternehmensführung in ihrer Aufgabe bestimmt die Effektivität der Sicherheit in der Informationstechnologie.
c) Die Risikobetrachtung wirkt als ein verbindendes Element für die effektive Nutzung der Managementkonzepte.

Das erste Ziel dieser Arbeit ist anhand bestehender Literatur die theoretischen Managementkonzepte, Instrumente und Methoden bezüglich der Informationstechnologie und deren Sicherheit als auch deren Einbindung in die Führungsstrukturen- und -prozesse zu untersuchen. Dabei sollen die Zusammenhänge erfasst und analysiert werden. Mit diesen Aktivitäten wird geklärt, was die Literatur zu ausgewählten Themen besagt und wie diese für das Management nutzbar sind.

Weiter soll diese Arbeit mittels Analyse der Transformation von Informationen zur Sicherheit mögliche Ursachen und Auswirkungen aufzeigen, mit welchen die Unternehmensführung wie auch die Sicherheitsverantwortlichen in den Fachbereichen während ihrer Aufgaben konfrontiert sind. Es soll, auf einer konzeptionellen Ebene eine strukturierte Sichtweise auf die Abhängigkeit und Interaktion zwischen den wesentlichen Elementen (Risiko, Betrieb, Sicherheit, Governance) darzustellen.

Abgeleitet von den gewonnenen Erkenntnissen sollen Empfehlungen für ein grundsätzliches Konzept beschrieben werden. Bei einer Umsetzung soll dies der Unternehmensleitung ermöglichen, die wesentlichen Bestandteile von Sicherheit im Bereich der Informationstechnologie zu kennen und entsprechende Massnahmen einordnen und beurteilen zu können.

Die Grenzen der Arbeit beziehen sich auf die oben erwähnen Ziele und die Ausarbeitung von Empfehlungen. Explizit nicht behandelt werden folgende Punkte:

- Monetäres Bewertungsinstrument für Investitionen im Bereich der Sicherheit
- Bewertung der Methoden und Instrumente
- Gestaltung eines unternehmensübergreifenden Informationssystems

1.4. Vorgehen und Aufbau der Arbeit

Im ersten Kapitel dieser Arbeit wird die Forschungsfrage erarbeitet. Dabei werden die Ausgangslage erfasst und die Problematik im Bereich der Informationstechnologie und der Sicherheit wie deren Interaktion mit der Unternehmensführung beschrieben; anschliessend wird die Forschungsfrage formuliert.

Im Kapitel zwei werden die theoretischen Grundlagen über Konzepte des Service-, Risiko- und der Sicherheit im Fachbereich der Informationstechnologie (IT), inhaltlich erarbeitet. Dabei werden nach der Definition wichtiger Begriffe auch deren Bedeutungen in der Unternehmung erklärt. Dies bildet die aktuelle Grundlage für die vorliegende Arbeit. Auf Basis dieser Ausführungen ist es möglich die weiteren Ausführungen, in dieser Arbeit, nachvollziehen zu können.

Im Kapitel drei werden das Vorgehen und die Durchführung der Untersuchung beschrieben. Dabei werden auch die Unternehmensleitung und deren Verhaltensweise im Umgang mit der IT-Sicherheit und den Risiken beleuchtet. Insbesondere werden die in Kapitel 1.2 dargestellten Praxisprobleme verdeutlicht.

Das vierte Kapitel enthält eine Zusammenfassung der wesentlichen Erkenntnisse, welche das bestehende Wissen ergänzt und leitet daraus Empfehlungen ab und dient als fundierter Ausgangspunkt für weitere Untersuchungen.

Das fünfte Kapitel enthält eine kritische Würdigung der Arbeit. Der sechste und abschliessende Teil fasst die Arbeit zusammen und dient dem Ausblick auf weitere Themenbereiche welche es zu klären und zu untersuchen gilt.

Abbildung 2 verdeutlicht die Struktur mit den Schwerpunkten der jeweiligen Kapitel und die Vorgehensweise der Arbeit. Die Gliederung der Unterkapitel wird jeweils zu Beginn der Kapitel erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Aufbau und Struktur der vorliegenden Arbeit

Quelle: Eigene Darstellung

2. Sicherheit der Informationstechnologie und das Einbinden in die Managementperspektive

Bevor der Themenbereich im dritten Kapitel näher betrachtet und untersucht wird, soll in diesem Kapitel der theoretische Rahmen, beim Einbinden der Sicherheit der Informationstechnologie in die Aktivitäten der Unternehmensführung, aufgezeigt werden. Dabei sollen Begrifflichkeiten zur Thematik der Sicherheit der Informationstechnologie geklärt und in die Perspektive des Managements hineingenommen werden. Die fünf folgenden Unterkapitel befassen sich mit den Grundlagen aus der Literatur zu der Unternehmensführung (Kapitel 2.1), den Managementkonzepten (Kapitel 2.2), den technischen und organisatorischen Aspekten der Sicherheit (Kapitel 2.3) und der integralen Perspektive auf das Unternehmen als vernetztes System (Kapitel 2.4). Anschliessend folgt ein erstes Fazit (Kapitel 2.5).

In den Themenfeldern der Informationstechnologie, der Sicherheit wie auch in Bereichen der Unternehmensführung wird in der täglichen Praxis wie aber auch in der Theorie eine Vielzahl von Begriffen verwendet. In den einzelnen Themenfeldern sind verschiedene Definitionen anzutreffen und die Begriffe sind trotz ihrer häufigen Verwendung zweifelhafter denn je. Es besteht kein einheitlicher oder allgemeingültiger und akzeptierter Sprachgebrauch. In der gelebten Praxis stellt der Autor fest, dass Begriffe auch als sinnverwandte Worte verwendet werden. Die Vermutung des Autors ist naheliegend, dass durch die Themenbereiche mit ihren Interessenvertretern wie zum Beispiel Organisationen oder Buchautoren versucht wird, sich durch das Kreieren eigener und neuer Begriffe zu profilieren. Für ein gemeinsames Verständnis ist dies jedoch problematisch und verhindert eine gemeinsame Sichtweise auf die jeweiligen Themenbereiche und die darin genutzten Begriffe.

Der Autor hält sich bezüglich der Managementlehre in dieser Arbeit im Wesentlichen an die Begriffswelt von Fredmund Malik. Für die Terminologie bei der Sicherheit und dem Risiko in der Informationstechnologie orientiert sich der Autor an den internationalen ISO/IEC-Normreihen.

- Unternehmen

Die Begriffe Unternehmen und Organisation werden ungeachtet der Verwendung der Art und Rechtsform gleichbedeutend genutzt.

- Management

Der Begriff Management wird gleichbedeutend mit Führung gesetzt und als sinnverwandtes Wort verwendet. Das Wort Führung ist die deutsche Übersetzung für Management. Der Begriff Management wird unterschiedlich ausgelegt, in der funktionalen Dimension, in der das Management durch eine Person ausgeführt wird, und einer Institution z. B. in Form der Geschäftsführung oder des Vorstandes einer Gesellschaft.

Der Begriff Managementkonzept wird in dieser Arbeit gleichbedeutend mit Managementinstrument und Managementmethode verwendet.^[15]

- Informationstechnologie

Informationstechnik bezeichnet und fasst die Begriffe der Informations- und Datenverarbeitung und die dafür beanspruchten Programme und die physischen Informatikbestandteile zusammen. Der teils gleichbedeutend verwendete Begriff Informationstechnologie kommt aus dem Englischen und ist eine Übersetzung des englischen Begriffes information technology, der die mit diesem Gebiet verbundene Technik und Technologie bezeichnet.^[16] In dieser Arbeit wird der Begriff der Informationstechnik gleichbedeutend mit der Informationstechnologie, der Informations- und Kommunikationstechnik oder auch mit der Informations- und Telekommunikationstechnik verwendet.

2.1. Unternehmensführung

Unter der Bezeichnung Unternehmensführung wird im Generellen eine Sammlung von Führungsaufgaben verstanden, welche auf allen Führungsebenen innerhalb eines Unternehmens entstehen und ausgeführt werden. In der Betriebswirtschaftslehre wir die Unternehmensführung unter zwei Aspekten betrachtet: zum einen der Mensch als Mitarbeitender der ein Unternehmen leitet, zum anderen die Tätigkeiten und die Prozesse des Führens eines Unternehmens.^[17]

Fragt man eine Führungskraft welche grundlegenden Arbeiten sie ausführt, dann wird sie als Antwort höchstwahrscheinlich in etwa sinngemäss die oben bereits erwähnten Aufgaben und Tätigkeiten angeben. Die Unternehmungsführung plant, organisiert, koordiniert und kontrolliert. Diese grundlegenden Tätigkeiten wurden bereits im Jahr 1916 durch den französischen Industriellen Henri Fayol eingeführt. Diese sagen jedoch über die eigentlichen Tätigkeiten einer Führungskraft bzw. eines Managers wenig aus.^[18] Eine zentrale Aufgabe der Unternehmensführung ist sicherlich jedoch Entscheidungen herbeizuführen und diese auszusprechen respektive diese festzulegen. Eine anspruchsvolle Aufgabe, welche in der Praxis auf unterschiedliche Weise gelebt und durch die Unternehmensführung ausgelegt wird. Eine Auslegung, welche sich auch in der Qualität der Entscheidungen niederschlägt. Henry Mintzberg untersuchte diese Qualität wie auch weitere Kriterien bei Führungspositionen in unterschiedlichen Ebenen. Dabei kommt er zum Schluss, dass Führungskräfte zu oft ad hoc entscheiden, sich in operativen Einzelaufgaben verzetteln, ihr Herrschaftswissen horten und Probleme mit dem Delegieren haben. Mintzberg ist der Auffassung, dass Management weder Wissenschaft noch Beruf sei, sondern eine Tätigkeit, welche sich in der täglichen Praxis abspielt und auf Erfahrungswerten in den Verbindungen zwischen Kunst, Wissenschaft und Handwerk beruht^[19]. Die angesprochene Problematik wird in anderen Managementkonzepten anders strukturiert. So ist Fredmund Malik etwas anderer Meinung. Das Managen kann strikt auf das Handwerk reduziert wie folgt definiert werden: „Management ist die Transformation von Ressourcen in Nutzen.“^[20]

Der Autor stellte in seinen Recherchen fest, dass in der aktuellen Literatur keine Einigkeit darüber besteht, was eine Führungsposition beinhaltet. Dabei folgt die Unternehmensführung in ihrer praktischen Verrichtung des Führens nicht eindeutig festgelegten, vorgegebenen und allgemeingültigen Gesetzen, die in Methoden und Instrumenten verankert sind und damit angemessen umgesetzt werden können. Mehrheitlich wird unter Führung eine individuelle und durch das Unternehmen gelebte Praxis verstanden. Diese richtet sich nach den persönlichen und den bevorzugten Aspekten der Menschen richtet, welche Führung betreiben.^[21]

2.2. Managementkonzepte

Nachdem im vorhergehenden Kapitel unterschiedliche Perspektiven zum Begriff Unternehmensführung aufgezeigt wurden, soll folgend auf die Möglichkeiten eingegangen werden, wie das Ziel eines angemessen Niveaus der Sicherheit in Unternehmen zu erreichen ist und welche Managementkonzepte dabei unterstützend eingesetzt werden können.

Zur Unterstützung und verbesserten Bewältigung von Managementaufgaben sind eine Vielzahl von Modellen, Konzepten, Ansätzen etc. entstanden, welche massgeblich durch akademische Einrichtungen, Unternehmensberater oder Unternehmen getrieben werden. Dabei wird auch der Begriff Managementkonzept genutzt, auch wenn dieser in der Literatur nicht genau und einheitlich definiert ist. Dadurch wird dieser, wie durch den Autor in der Praxis festgestellt wird, unterschiedlich verwendet und es besteht durch die unterschiedliche Auslegung des Begriffes häufig keine klare Trennung zu ähnlichen Begriffen mit anderer Bedeutung. So werden z. B. Managementmethoden, Managementmodelle oder Managementinstrumente unterschiedlich angewendet.^[22] In ihrer Entstehung sind die Managementkonzepte stark durch die Erfahrungswerte und Annahmen durch die Beobachtungen ihrer Erfinder geprägt. Dabei kann eine wissenschaftliche Bearbeitung des Themas meist nicht nachgewiesen werden.^[23]

Die folgende Definition wurde von Hofmann im Jahr 2002 vorgelegt: „Ein Konzept lässt sich auffassen als meist induktiv gewonnene, systematische Interpretation von Erfahrungen mitunter verbunden mit einem Handlungswissen, das häufig unter einem generalisierten Begriff zusammengefasst wird. Managementkonzepte umfassen sowohl strukturelle Elemente als auch Managementpraktiken.“^[24] Abgestützt auf diese Definition wird in dieser Arbeit ein Managementkonzept als eine in der Praxis bewährte Vorgehensweise zur Unterstützung der Informationstechnologie und deren Sicherheit betrachtet. Dabei wird der Begriff Managementkonzept als sinnverwandtes Wort für Managementmodell, Managementinstrument und Managementsystem verwendet. Versucht man die unterschiedlichen Arten der Managementkonzepte zu strukturieren, so lassen sich diese in drei Hauptgruppen einteilen, welche gleichzeitig einen kontinuierlichen Managementprozess darstellen. Die Hauptgruppen sind:^[25]

- strategisches Gestalten,
- Steuerung und Kommunikation
- Analyse und Synthese.

Dabei lassen sich die Hauptgruppen weiter unterteilen, wie in der folgenden Abbildung visualisiert:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Managementkonzepte im kontinuierlichen Managementprozess

Quelle: Eigene Aufbereitung in Anlehnung an: Vgl. Schawel Christian / Billing Fabian 2011S.14

In der folgenden Abbildung werden die gängigen Konzepte im Themenbereich der Informationstechnologie und deren Sicherheit in Bezug auf ihre Unterstützungstiefe und Anwendungsbreite dargestellt.^[26]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Einordnung der Management- Sicherheitskonzepte

Quelle: Eigene Aufbereitung in Anlehnung an: Vgl. König Hans-Peter 2006, S.141

Eines der zentralen Anliegen an Managementkonzepte, somit auch für die Konzepte für Informationstechnologie und deren Sicherheit, ist die Skalierbarkeit auf Geschäftsprozesse und Umwelteinflüsse der jeweiligen Unternehmen. Aufgrund deren Vielzahl wird folgend nur auf die im Rahmen der IT-Sicherheit und der Unternehmensführung relevanten eingegangen. Dies sind Managementkonzepte wie: COBIT, ISO 27001,ISO 31000, ITIL und COSO, die eine Auswahl an Managementkonzepten darstellen, welche die Unternehmensführung bei der Einführung, Verbesserung und Überwachung von Informationstechnologien unterstützen. Bei dieser Auswahl an Managementkonzepten orientierte sich der Autor am Bekanntheitsgrad und deren Relevanz für Unternehmen. Bei der Beurteilung der Relevanz orientierte sich der Autor an den grundlegenden Zielen beim Einsatz von IT-Sicherheits-Managementkonzepten; adäquates Sicherheitsniveau, Kostentransparenz und der strategische Bezug.

2.2.1. Corporate Governance/COSO

Der Begriff Corporate Governance wird aus verschiedenen Aspekten heraus genutzt und auch definiert. In der Literatur finden sich hauptsächlich ökonomische und rechtswissenschaftliche Beiträge und anhand deren unterschiedlicher Zielsetzungen diese jeweils auch unterschiedliche Begriffsdefinitionen und Abgrenzungen beinhalten. Weiterhin ist anzumerken, dass im deutschen Sprachraum keine einheitliche Übersetzung verwendet wird. Häufig wird der Ausdruck mit den Begriffen Unternehmensleitung und -kontrolle sowie Unternehmensführung übersetzt.^[27] Die Beschreibung umreist auch im Wesentlichen deren Inhalt. So sind die Aktivitäten im Rahmen der Corporate Governance im Wesentlichen verantwortlich und Voraussetzung für die wirtschaftliche Effizienz, die Glaubwürdigkeit und die Verlässlichkeit in das Unternehmen. In der Corporate Governance wird die Abhängigkeit wie das Geflecht der Beziehungen zwischen der Unternehmensführung und dem Unternehmen, den Anlegern, dem Aufsichtsorgan und weiteren Beteiligten festgelegt. Dabei werden auch die Ziele, deren Umsetzung wie die Modalitäten der Erfolgskontrolle festgelegt. Der Inhalt der Corporate Governance wie deren Umsetzung spielt jedoch auch im Bereich der internen Abläufe einer Unternehmung eine wichtige Rolle. Im Rahmen der Corporate Governance werden die strategische Analyse und die Prognose für das Unternehmen erstellt. Dabei orientiert sich die strategische Analyse einerseits an der Vergangenheit wie auch an der Gegenwart. Die strategische Prognose stellt den Zukunftsbezug in qualitativer wie quantitativer Weise her, wobei die technologische Entwicklung eine qualitative Grösse darstellt.

Die eingesetzte Technologie, somit auch die Informationstechnologie und deren Sicherheit, stellt für ein Unternehmen eine Ressource dar. Weitere Ressouren sind z. B. Kernkompetenzen oder auch Fähigkeiten. Interne Ressourcen müssen mit Blick auf die externen Chancen am Markt in Form einer Strategie ausgewogen kombiniert werden.^[28] Bei der Implementierung der Strategie müssen durch die Unternehmensführung verschiedene Aspekte berücksichtigt und bei deren Gestaltung eine Strategieorientierung sichergestellt werden. Dies sind:

- Organisationsstruktur (Fähigkeiten, Ressourcen, Entscheidungskompetenzen)
- Kostenplanung und Ressourcenallokation
- Vorgaben, Anweisungen und deren Etablierung
- Kontinuierlicher Veränderungsprozess
- Kommunikations- und Informationssysteme
- Anreizsysteme
- Arbeitsumgebung und Organisationskultur
- Führungskompetenz

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

1992 veröffentlichte das Committee of Sponsoring Organization of the Treadway Commission ein Managementkonzept, das Unternehmen bei der Beurteilung und Verbesserung interner Überwachungssysteme unterstützt. Das COSO-Managementkonzept wird mehr und mehr zu einem allgemein gültigen Standard welcher beim Aufbau eines internen Kontrollsystems genutzt wird. Vor acht Jahren, im Jahr 2004, wurde eine ergänzende Erweiterung des ursprünglichen Modells, das COSO ERM - Enterprise Risk Management Framework veröffentlicht. Dabei wurden zusätzliche Elemente eingebracht:^[29]

- Internes Kontrollumfeld
- Überwachungsfunktion
- Risikoreaktion
- Zielsetzung
- Ereignisidentifikation
- Information und Kommunikation
- Risikobeurteilung
- Kontrollaktivitäten

Das Managementkonzept COSO ist nicht speziell für die Informationstechnologie ausgerichtet und es werden auch keine Vorgaben zur Überprüfung der Informationstechnologie gemacht. Hierfür kann die Unternehmensführung das Managementkonzept COBIT verwenden, in welchem die Leitgedanken des COSO-Kontrollkonzeptes eingeflossen sind.

2.2.2. IT-Governance/COBIT

Der Begriff IT-Governance ist zu einem Schlagwort geworden; IT-Governance spielt eine wesentliche und aktuelle Rolle und hat als Instrument zur verbesserten Positionierung der Informationstechnologie eine zentrale Bedeutung.^[30] Unter der IT-Governance werden grundsätzliche Abläufe, Prozesse und Massnahmen zusammengefasst, die sicherstellen, dass mithilfe der eingesetzten Informationstechnologie die Unternehmensziele abgedeckt, benötigte Mittel verantwortungsvoll eingesetzt und dabei die Risiken angemessen überwacht werden. Mit der IT-Governance werden somit die wesentlichen Grundsätze und Anforderungen der Corporate Governance, auf den Fachbereich der Informationstechnologie angewendet.^[31] Dabei liegt die Verantwortung für die Festlegung der Vorgaben und Prozesse beim CIO (Chief Information Officer) respektive im Fachbereich der Informationstechnologie.^[32] IT-Governance als Themengebiet wird aktuell in ganz unterschiedlichen Themenzusammenhängen in Verbindung gebracht. Eine naheliegende Begründung scheint, dass der Begriff IT-Governance von einer Vielzahl von Parteien genutzt und belegt wird, die sich mit den unterschiedlichsten Aspekten von Informationstechnologien in Unternehmen, wie z. B. Corporate Governance, Geschäftsorientierung der Informationstechnologie und Compliance befassen.^[33] Es existieren verschiedene Auffassungen des Begriffs IT-Governance und er wird in der wissenschaftlichen Diskussion unterschiedlich definiert.^[34] Die Information Systems Audit and Control Association (ISACA) definiert Governance als “The oversight, direction and high-level monitoring and control of an enterprise to ensure the achievement of defined and approved objectives“.^[35] Die IT-Governance zielt demnach auf die Klärung von Rechten und Verantwortlichkeiten ab, also auf die Schaffung von allgemeinen Rahmenbedingungen und Strukturen, mit welchen die Informationstechnologie aus Sicht der Unternehmensführung geführt werden soll.^[36]

Control Objectives for Information and Related Technology (COBIT)

COBIT wurde erstmals 1996 veröffentlicht und durch das IT Governance Institute (ITGI) entwickelt. Erstmals in der Version 3 wurde der Aspekt der Unternehmensführung in das Regelwerk eingebunden. Weiter ausgebaut in der Version 4 wurde es auch nutzbar, um sich bei der Erstellung der Governance daran orientieren zu können. Im April 2012 wurde COBIT in der Version 5 durch die ISACA veröffentlicht. COBIT ist in dieser aktuellen Version ein prozessorientiertes Managementkonzept für die Lenkung von IT-Prozessen, bei welchem die gesamte Unternehmung betrachtet wird. Somit erklärt sich vermutlich auch der verwendete Begriff Governance of Enterprise IT (GEIT). Beim Managementkonzept COBIT werden die Unternehmensziele mit den Zielen der Informationstechnologie direkt verknüpft, wobei die Ziele der Unternehmung in COBIT den vier Themenbereichen der Balanced Scorecard^[37] zugewiesen sind. Die konsequente Ausrichtung der Mittel für die Informationstechnologie eines Unternehmens an den Zielen der Unternehmung ist das Hauptziel von COBIT. Das Managementkonzept COBIT wendet sich nicht nur an die Benutzer oder die Prüfstelle (Auditoren), sondern kann zugleich als umfassende Anleitung für die Unternehmensführung und die Leiter der Fachbereiche genutzt werden.^[38] Den Zielen des Fachbereiches Informationstechnologie werden Prozesse aus 37 definierten IT-Prozessen zugeteilt, dabei liefert COBIT Hilfestellungen in Form von Modellen und Messstrukturen. Somit legt COBIT einen Rahmen vor, der es dem Fachbereich der Informationstechnologie ermöglicht Ziele, Handlungsoptionen mit Umsetzungsprojekten und Messwerte, aus den Zielen der Unternehmung abzuleiten. So sind auch Prozesse vorgesehen welche den Aspekt der Sicherheit abdecken um damit die erwarteten Ergebnisse, welche mit IT-related Goals bezeichnet werden, zu erreichen. Um den durch das Managementkonzept COBIT ermöglichten Gesamtüberblick zu konkretisieren ist in der Praxis häufig der Standard ISO/IRC 2700x anzutreffen. Er ermöglicht eine Anbindung an COBIT, da eine Vielzahl von Sicherheitsanforderungen von COBIT dadurch abgedeckt werden.

2.2.3. Informationssicherheit / ISO/IEC 2700x

Die ISO/IEC 27001 und ISO/IEC 27002 sind internationale Standards zur Einführung der Sicherheit bei der Informationstechnologie, welche für unterschiedliche Arten von Unternehmen, wie z. B. kommerzielle Unternehmen oder gemeinnützige Organisationen, bedeutend sind.^[39] Der ISO/IEC-Standard 27001 ist ein Standard, welcher es ermöglicht eine Zertifizierung zu erlangen. Inhaltlich fasst er allgemeine Empfehlungen zum Management der Informationssicherheit zusammen. Standard ISO/IEC 27002, welcher auf dem Standard ISO 17799 und auf dem British Standard BS 7799 basiert, bietet eine allgemeingültige Grundlage in Form eines Rahmenwerkes, auf der Massnahmen und Leistungen vergleichbar sind. Dabei werden die Aktivitäten/Prozesse beschrieben, denen es bei einem funktionierenden Sicherheitsmanagement bedarf.^[40] Der Standard bezweckt, den Unternehmen ein Set von Massnahmen zur Erreichung der Informationssicherheit bereitzustellen. Bei der inhaltlichen Betrachtung des Standards ist der von ITIL verfolgte Ansatz zu erkennen. Er unterscheidet sich jedoch von diesem durch die klare Ausrichtung auf den Themenbereich der Sicherheit und eine geringere Detaillierung.

In folgender Abbildung wird ein knapper inhaltlicher Überblick der relevanten ISO/IEC-Standards mit einem Sicherheitsbezug gegeben, ohne dabei die einzelnen Standards weiter in dieser Arbeit zu differenzieren. Durch den unterschiedlichen und weitreichenden Bezug der Sicherheit der Informationstechnologie ist die Auflistung nicht abschliessend.

Abbildung in dieser Leseprobe nicht enthalten

[...]

---

^[1] Vgl. Baskerville Richard 1993, Information System Security Design Methods, ACM Computing Surveys (CSUR).

^[2] Vgl. Lutz et al. 2004, S.935

^[3] Vgl. Bildungsdirektion Kanton Zürich 2011, Kanton Zürich Bildungsdirektion, in: http://www.mba.zh.ch/internet/bildungsdirektion/mba/de/dienstleistungen_kommunikation/berufsbildungsmarketing/konferenzberufsbildung.htm, 15.03 2012.

^[4] Vgl. NET-Metrix AG 2012, Net Metrix-Mobile, in: http://www.net-metrix.ch/produkte/net-metrix-mobile/mobile-report, 05.April 2012.

^[5] Lothar Dietrich 2006, S.21

^[6] Vgl. VDI Verlag GmbH 2011, VDI Nachrichten, in: http://www.vdi-nachrichten.com/artikel/Unternehmen-in-der-Datenflut/56511/2, 15.März 2012.

^[7] Vgl. Böhm Markus 2008, S.15-29

^[8] Vgl. Bundesamt für Sicherheit ind der Informationstechnik (BSI) 2011, Publikationen, in: https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html, 02.04 2012.

^[9] Vgl. Beimborn et al. 2006, Die Bedeutung des Alignment von IT und Fachressourcen in Finanzprozessen Eine empirische Untersuchung, Wirtschaftsinformatik.

^[10] Vgl. Coleman Parkes Research: CA Technologies 2011, The Avoidable Cost of Downtime - The impact of IT downtime on employee productivity.

^[11] Vgl. Kronschnab et al. 2010, IT-Sicherheitsstandards und IT-Compliance 2010.

^[12] Vgl. Malik Fredmund 2007, S.33

^[13] Vgl. Birchall et al. 2004, S.17-35

^[14] Vgl. Norten David / Kaplan Robert 2006, Strategien (endlich) umsetzen, Harvard Business Manager.

^[15] Vgl. Malik Fredmund 2007, S.15

^[16] Vgl. Wikimedia Foundation Inc. 2011, Stichwort: Informationstechnik, in: http://de.wiktionary.org/wiki/Informationstechnik, 05.April 2012.

^[17] Vgl. Malik Fredmund 2007, S.16.

^[18] Vgl. Mintzberg Henry 2010, S.16.

^[19] Vgl. ebd., S.23-27.

^[20] Malik Fredmund 2007, S.33.

^[21] Vgl. Resch et al. 2005, S.113-121.

^[22] Vgl. Süss Stefan 2009, Die Institutionalisierung von Managementkonzepten. Eine strukturationstheoretisch-mikropolitische Perspektive, Zeitschrift für Betriebswirtschaft.

^[23] Vgl. Süss Stefan 2009, Managementkonzept, DBW Die Betriebswirtschaft.

^[24] Hofmann Erik 2002, S.3-38.

^[25] Vgl. Schawel Christian / Billing Fabian 2011, S.14

^[26] Vgl. König Hans-Peter 2006, S.141

^[27] Vgl. Zöllner Christine / Bassen Alexander 2007, S.8-12

^[28] Vgl. Kaplan Robert / Norton Davis 2009, S.52

^[29] Vgl. Brünger Christian 2009, S.17-22

^[30] Vgl. Fröhlich Martin / Kurt Glasner 2007, S.17-22

^[31] Vgl. Rüter et al. 2010, S.20

^[32] Vgl. Fröhlich Martin / Kurt Glasner 2007, S.55-60

^[33] Vgl. Fröhlich et al. 2007, Sichten der IT-Governance, IT-Governance.

^[34] Vgl. Meyer et al. 2003, IT-Governance - Begriff, Status quo und Bedeutung, Wirtschaftsinformatik 45.

^[35] Information Systems Audit and Control Association (ISACA) 2012, Glossary of Terms - English-German.

^[36] Vgl. Fröhlich Martin / Kurt Glasner 2007, S.63

^[37] Der Begriff Balanced Scorecard (BSC) bezeichnet ein Managementkonzept, bei welchem die relevanten Interessengruppen wie z.B. Kunde, Mitarbeiter, mit ihren Perspektiven auf einer Scorcard erfasst werden und ausgewogen balanced betrachtet werden. Dabei wird das zentrale Leitziel der Unternehmung auf Sub-Ziele herunter gebrochen und mit Kennzahlen als Messgrössen versehen.

^[38] Vgl. Rolling Meadows 2003, IT Governance für Geschäftsführer und Vorstände.

^[39] Vgl. ISO/IEC 2005, ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements.

^[40] Vgl. Kersten Heinrich / Klett Gerhard 2008, S.6