Prozessorientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsma?nahmen

Aktuelle Technologien, bspw. aus den Bereichen Cloud-Computing oder Data-Science, bieten einerseits erhebliches Potential für den Erhalt und die St?rkung der Wettbewerbsposition von Unternehmen. Andererseits birgt die Einführung solcher Technologien neue Risiken, bspw. in Verbindung mit Data-Security, Cloud-Hacking oder Datenschutz. Um diesen Risiken entgegen zu steuern, definieren sowohl der Gesetzgeber als auch die Unternehmen selbst weitreichende und übergreifende Anforderungen an die IT-Sicherheit.

Die Umsetzung solcher Anforderungen verlangt zumeist ein komplexes Bündel von ITS-Ma?nahmen, das sowohl hohe Investitionskosten mit sich bringt, als auch in einem hohen Grad die Gesch?ftsprozesse von Unternehmen beeinflusst. Artikel 32 (1) der DSGVO fordert bspw., dass angemessene technische und organisatorische Ma?nahmen umgesetzt werden, die die Schutzziele Vertraulichkeit, Integrit?t, Verfügbarkeit und Belastbarkeit bei der Verarbeitung personenbezogener Daten sicherstellen. Für die Umsetzung dieser Anforderung sind sowohl technische Vorkehrungen erforderlich, wie bspw. Verschlüsselung und Pseudonymisierung personenbezogener Daten, als auch prozessuale Konfigurationen, wie bspw. Kontrollen zur Sicherstellung von Compliance oder Konsequenzen für die Verfügbarkeit von Informationen in Prozessschritten.

Damit die Profitabilit?t eines Unternehmens nicht durch die Umsetzung von ITS-Ma?nahmen(-bündeln) beeintr?chtigt wird, gilt es daher, geeignete Handlungsalternativen zu identifizieren und basierend auf wirtschaftlichen Kriterien auszuw?hlen. Ans?tze zur ganzheitlichen Bewertung und Auswahl solch komplexer Bündel von ITS-Ma?nahmen und deren Wechselwirkungen mit Gesch?ftsprozessen sind daher notwendig, um Unternehmen die Auswahl der effektivsten ITS-Ma?nahme unter ?konomischen Gesichtspunkten überhaupt zu erm?glichen.

Bestehende Verfahren, wie bspw. der Return on Investment, bauen auf der Investitionstheorie auf und fokussieren die eindimensionale Bewertung einzelner ITS-Ma?nahmen (bspw. die Einführung einer Firewall) unter Berücksichtigung direkt zurechenbarer und rein monet?rer Kosten- und Nutzenwirkungen. Investitionstheoretische Verfahren sto?en jedoch bei der Bewertung von ITS-Ma?nahmenbündeln zur Umsetzung gegenw?rtiger IT-Sicherheitsanforderungen und deren Wechselwirkungen mit Gesch?ftsprozessen aktuell an ihre Grenzen.

Das Projekt ProBITS adressiert die Grenzen bestehender Verfahren bei der Bewertung komplexer ITS-Ma?nahmen(-bündel) und baut dafür auf den Ans?tzen des modernen Gesch?ftsprozessmanagements auf. Gesch?ftsprozessmodelle geben einen spezifischen Einblick in die Ablauf- und Organisationsstrukturen, die ITS-Ma?nahmen(-bündeln) zugrunde liegen, und er?ffnen damit neue Analyse- und Verbesserungspotentiale. Die Untersuchung von prozessbasierten ITS-Ma?nahmen (d.h. ITS-Aktivit?ten und ITS-Aktivit?tssequenzen innerhalb von Gesch?ftsprozessen) im Hinblick auf die Wirtschaftlichkeit erfordert einen spezifischen Bewertungsansatz, damit Ineffizienzen identifiziert und Prozessverbesserungen stimuliert werden k?nnen. ProBITS wird hierfür einen innovativen Ansatz bereitstellen, um zukünftig eine gesch?ftsprozessorientierte Bewertung von ITS-Ma?nahmen methodisch, mehrdimensional, skalierbar und werkzeuggestützt zu erm?glichen.