Um die zentrale Frage dieser Arbeit — wie wesentliche Anforderungen an die IS im Rahmen von Innovationsprojekten angemessen berücksichtigt werden können — zu beantworten, werden zunächst im zweiten Kapitel maßgebliche Grundlagen, Theorien und Termini vorgestellt.
Anschließend werden im dritten Kapitel entscheidende Methoden des Projektmanagements vorgestellt und basierend auf den gewonnenen Erkenntnissen ein standardisiertes Phasenmodell von Innovationsprojekten der IT formuliert. Dieses Vorgehen soll dazu beitragen, dass die im Rahmen dieser Arbeit entwickelten Ergebnisse sich auf alle gängigen Projektmanagement (PM)-Vorgehensmodelle abbilden lassen, ohne eine wesentliche Anpassung bestehender Prozesse nach sich zu ziehen.
Anschließend wird im vierten Kapitel untersucht, was Angemessenheit im Kontext der IS bedeutet und durch welche Faktoren diese beeinflusst wird. Das Fehlen einer solchen Begriffsdefinition führt in der Praxis immer wieder dazu, dass die an einem Projekt beteiligten Parteien keine allgemein akzeptierte Handlungsbasis finden. In der Folge wird meist ein binärer Ansatz verfolgt. Entweder werden keinerlei Sicherheitsaspekte betrachtet oder aber die Umsetzung aller denkbaren Maßnahmen erzwungen. Beide Varianten sind kaum dazu geeignet, zu einem positiven Ergebnis zu führen.
Im nächsten Schritt gilt es, die in den vorangegangenen Kapiteln gewonnenen Erkenntnisse zu einer Methode zu integrieren, die sich zum einen auf alle gängigen PM-Standards abbilden lässt und zum anderen eine Umsetzung der Mindestanforderungen aus der IS gewährleistet. Ein entsprechender Versuch wird in Kapitel 5 durch die Entwicklung eines Modells zur phasenorientierten Absicherung von Innovationsprojekten unternommen. Darauf basierend wird in Kapitel 6 ein Prüfschema entwickelt, das als Grundlage für die Durchführung strukturierter Audits dient. Das Vorgehensmodell wird im weiteren Verlauf in Kapitel 7 validiert. Den Abschluss bildet das Fazit in Kapitel 8.
Inhaltsverzeichnis
1 Einleitung
1.1 Lösungsansatz und Methodik
1.2 Forschungsstand
1.3 Abgrenzung
2 Grundlagen und Terminologie
2.1 Produktinnovation in der IT
2.2 Methoden des Projektmanagements
2.2.1 Klassisches Projektmanagement
2.2.1.1 PRINCE2
2.2.1.2 Sequenzielle Modelle
2.2.1.3 Project Management Body of Knowledge
2.2.1.4 Individual Competence Baseline
2.2.2 Agile Methoden
2.2.2.1 Scrum
2.2.2.2 (Rapid) Prototyping
2.2.2.3 Lean (Startup)
2.2.2.4 Design Thinking
2.2.2.5 DevOps
2.2.3 Hybride/Selektive Modelle
2.2.4 Weitere PM-Methoden
2.3 Informationssicherheit und deren Ziele
2.4 Stand der Technik
2.5 Angemessenheit
3 Standardisiertes Phasenmodell von Innovationsprojekten der IT
3.1 Phasen- und Aktivitätsanalyse maßgeblicher PM-Methoden
3.1.1 PRINCE2
3.1.2 V-Modell
3.1.3 PMBOK
3.1.4 Scrum
3.1.5 Lean Startup
3.1.6 Design Thinking
3.2 Definition des Phasenmodells
4 Einflussfaktoren angemessener Informationssicherheit
4.1 Regulatorische Anforderungen
4.1.1 EU-DSGVO & BDSG (neu)
4.1.2 BSIG & BSI-Kritisverordnung
4.1.3 Weitere Gesetze und Verordnungen
4.1.3.1 Grundsätzlich gültige Regularien
4.1.3.2 Funktionsabhängige Regularien
4.2 Rahmenwerke der Informationssicherheit
4.2.1 Management der Informationssicherheit
4.2.2 Kontext- und funktionsbezogene Anforderungen
4.2.3 Technologiespezifische Best Practices
4.3 Security & Privacy by Design & by Default
4.4 Schutzbedarf der verarbeiteten Daten
4.5 Risikobereitschaft der Organisation
4.6 Weitere interne und externe Rahmenbedingungen
4.7 DevSecOps: Sicherheit in der Softwareentwicklung
4.8 Grundsätze angemessener Informationssicherheit
5 Phasenorientierte Absicherung von Innovationsprojekten der IT
5.1 Phase 1: Anforderungsdefinition
5.1.1 Informationssicherheitsrichtlinien
5.1.2 Verwaltung der Werte
5.1.3 Zugangssteuerung
5.1.4 Physische und umgebungsbezogene Sicherheit
5.1.5 Anschaffung, Entwicklung und Instanthaltung von Systemen
5.1.6 Compliance
5.2 Phase 2: Entwicklungszyklus
5.2.1 Verwaltung der Werte
5.2.2 Betriebssicherheit
5.2.3 Kommunikationssicherheit
5.2.4 Anschaffung, Entwicklung und Instandhaltung von Systemen
5.2.5 Compliance
5.3 Phase 3: Kontrolle und Steuerung
5.3.1 Informationssicherheitsleitlinien
5.3.2 Organisation der Informationssicherheit
5.3.3 Anschaffung, Entwicklung und Instandhaltung von Systemen
5.3.4 Handhabung von Informationssicherheitsvorfällen
5.4 Phase 4: Produktveröffentlichung
5.4.1 Organisation der Informationssicherheit
5.4.2 Verwaltung der Werte
5.4.3 Physische und umgebungsbezogene Sicherheit
5.4.4 Kommunikationssicherheit
5.4.5 Anschaffung, Entwicklung und Instandhaltung von Systemen
5.4.6 Handhabung von Informationssicherheitsvorfällen
5.4.7 Compliance
6 Prüfschema
6.1 Phase 1: Anforderungsdefinition
6.2 Phase 2: Entwicklungszyklus
6.3 Phase 3: Kontrolle und Steuerung
6.4 Phase 4: Produktveröffentlichung
7 Validierung
7.1 Kick-off und Parameteranalyse
7.2 Prüfergebnisse
7.2.1 Findings
7.2.2 Zusammenfassung
7.3 Zufriedenheitsbefragung
8 Fazit
9 Appendix A: Prüfergebnisse Validierungsverfahren
10 Appendix B: Fragebögen Ergebnisvalidierung
Zielsetzung & Themen
Die vorliegende Arbeit hat das Ziel, eine Methode zu entwickeln, welche Sicherheitsmaßnahmen in IT-Innovationsprojekten frühzeitig integriert, ohne dabei die für Innovationen essenzielle kreative Entwicklungsfreiheit unnötig einzuschränken.
- Analyse und Vergleich gängiger Projektmanagement-Standards und -Methoden
- Entwicklung eines standardisierten Phasenmodells für IT-Innovationsprojekte
- Identifikation relevanter Einflussfaktoren für angemessene Informationssicherheit
- Erstellung einer phasenorientierten Richtlinie zur Absicherung von Innovationsprojekten
- Validierung der Methode anhand eines praktischen Anwendungsfalls
Auszug aus dem Buch
2.2.1 Klassisches Projektmanagement
In der Geschichte des Projektmanagements entwickelten sich zunächst die heute als klassischen Ansätze bezeichneten Methoden. Sie wurden und werden auch heute noch meist durch spezialisierte Organisationen, wie z. B. die International Project Management Association (IPMA) formalisiert und kontinuierlich weiterentwickelt. [51, o. S.] Ein wesentliches Merkmal all dieser Vorgehensweisen ist die Fähigkeit, im Vorfeld planbare, große Projekte über eine lange Laufzeit zu einem eingangs definierten Ziel zu führen. Projektergebnisse werden in der Regel erst zum Abschluss des Projektes geliefert. Gleichzeitig eignen sich die Methoden meist kaum für Vorhaben, die sich durch sich stetig verändernde Anforderungen auszeichnen, wie dies bei Entwicklungs- und Innovationsvorhaben vielfach der Fall ist. Veränderungen der Projektziele führen fast zwangsläufig zu Leistungseinbußen, da eine Anpassung der gesamten Projektplanung notwendig wird. Durch die zusätzlich benötigten zeitlichen und finanziellen Ressourcen bedingt kommt es nicht selten zu einer Verzögerung des Projektabschlusses und einer dadurch bedingten Steigerung der Kosten. [57, S. 14]
Die durch die oben genannten Risiken bedingte abnehmende Tendenz zum klassischen Projektmanagement zeigt sich in der Praxis, wurde aber auch im Rahmen wissenschaftlicher Studien untersucht. In der Publikation Studie über Erfolg und Anwendungsformen von agilen Methoden aus dem Jahr 2017 stellte Prof. Dr. A. Komus von der Hochschule Koblenz fest, dass lediglich 12 % der über 1000 befragten Organisationen und Einzelpersonen aus 30 Nationen rein klassische PM-Methoden einsetzten. Gleichzeitig wurde eine deutliche Tendenz zu agilen Methoden oder hybriden Modellen erkennbar (siehe hierzu Kapitel 2.2.3). Auch zeigten die Ergebnisse, dass IT- oder IT-nahe Projekte in besonderem Maße dazu tendieren, agile Methoden vorzuziehen. [56, S. 15]
Obwohl heute vermehrt agile Methoden im Rahmen von IT-Projekten eingesetzt werden, existiert besonders im öffentlichen Sektor noch eine Vielzahl von Organisationen, die weiterhin klassische Methoden vorziehen. Daher werden diese im Rahmen dieser Arbeit ebenfalls betrachtet. Die Eigenschaften dieser Standards werden im Folgenden hinsichtlich der in Kapitel 2.2 aufgezeigten Fragen — stellvertretend für die Methoden des klassischen Projektmanagements — analysiert.
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung führt in die Herausforderung ein, Sicherheit und kreative Innovationsprozesse in der IT zu vereinen, und skizziert den Aufbau sowie die Methodik der Arbeit.
2 Grundlagen und Terminologie: Dieses Kapitel erläutert zentrale Begriffe wie Produktinnovation, Projektmanagement-Methoden und Informationssicherheit, um eine theoretische Basis für die Arbeit zu schaffen.
3 Standardisiertes Phasenmodell von Innovationsprojekten der IT: Hier wird ein allgemeingültiges Phasenmodell entwickelt, das sich auf gängige Management-Methoden abbilden lässt, um IT-Projekte strukturiert abzubilden.
4 Einflussfaktoren angemessener Informationssicherheit: Das Kapitel analysiert regulatorische Anforderungen, Rahmenwerke und weitere interne sowie externe Einflussfaktoren, die das Sicherheitsniveau in Projekten bestimmen.
5 Phasenorientierte Absicherung von Innovationsprojekten der IT: Aufbauend auf dem Phasenmodell formuliert dieses Kapitel eine Richtlinie mit konkreten Maßnahmen und Anforderungen für die verschiedenen Projektphasen.
6 Prüfschema: Zur Sicherstellung der Einhaltung der Richtlinie wird ein Fragenkatalog entwickelt, der die Grundlage für strukturierte Audits in den vier Projektphasen bildet.
7 Validierung: Die entwickelte Methodik wird anhand eines praktischen Anwendungsfalls in einem realen Unternehmen erprobt, wobei die Ergebnisse und deren Relevanz evaluiert werden.
8 Fazit: Das Fazit fasst die zentralen Erkenntnisse zusammen und unterstreicht die Notwendigkeit, Informationssicherheit als integralen Bestandteil frühzeitig in Innovationsprozesse einzubinden.
Schlüsselwörter
Informationssicherheit, Projektmanagement, Produktinnovation, IT-Management, Phasenmodell, Risikomanagement, Security by Design, Agile Methoden, Regulatorische Anforderungen, Datenschutz, Compliance, Softwareentwicklung, DevSecOps, Audit, Prozessmanagement.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit beschäftigt sich mit der Herausforderung, ein angemessenes Sicherheitsniveau in IT-Innovationsprojekten zu etablieren, ohne die kreative Entwicklungsfreiheit der Teams zu stark einzuschränken.
Was sind die zentralen Themenfelder?
Die zentralen Themen sind das Projektmanagement, die Informationssicherheit und regulatorische Anforderungen bei der Produktentwicklung in der Informationstechnik.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist die Bereitstellung einer Methode, die einerseits Sicherheitsmaßnahmen frühzeitig in Innovationsprojekte integriert und andererseits die kreative Produktentwicklung nicht unnötig einschränkt.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine Literaturanalyse zur Erstellung von theoretischen Grundlagen und Modellen, kombiniert mit einem validierenden Prüfverfahren (Audit) in einem realen Unternehmenskontext.
Was wird im Hauptteil behandelt?
Im Hauptteil werden bestehende PM-Methoden analysiert, ein standardisiertes Phasenmodell entworfen, Einflussfaktoren für Informationssicherheit definiert und ein Prüfschema für die phasenorientierte Absicherung entwickelt.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird durch Begriffe wie Informationssicherheit, Projektmanagement, Innovationsprojekte, Security by Design, Compliance und Risikomanagement charakterisiert.
Warum ist eine Unterscheidung zwischen "klassischen" und "agilen" Methoden für das Phasenmodell wichtig?
Diese Unterscheidung ist entscheidend, da klassische Modelle eher phasenorientiert und statisch sind, während agile Methoden eher ereignisbasiert agieren. Das Ziel der Arbeit ist die Erstellung eines Modells, das auf beide Ansätze abbildbar ist.
Wie wurde die Praxistauglichkeit des entwickelten Modells überprüft?
Die Validierung erfolgte durch einen Workshop in einem realen Unternehmen, bei dem die entwickelte Richtlinie und das Prüfschema auf ein konkretes Entwicklungsprojekt angewendet wurden.
- Citation du texte
- Sebastian Krüsmann (Auteur), 2019, Produktinnovation in der Informationstechnik. Methodik zur Realisierung eines angemessenen Sicherheitsniveaus von Projekten, Munich, GRIN Verlag, https://www.grin.com/document/502139
