Prozessorientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen

Aktuelle Technologien, bspw. aus den Bereichen Cloud-Computing oder Data-Science, bieten einerseits erhebliches Potential für den Erhalt und die Stärkung der Wettbewerbsposition von Unternehmen. Andererseits birgt die Einführung solcher Technologien neue Risiken, bspw. in Verbindung mit Data-Security, Cloud-Hacking oder Datenschutz. Um diesen Risiken entgegen zu steuern, definieren sowohl der Gesetzgeber als auch die Unternehmen selbst weitreichende und übergreifende Anforderungen an die IT-Sicherheit.

Die Umsetzung solcher Anforderungen verlangt zumeist ein komplexes Bündel von ITS-Maßnahmen, das sowohl hohe Investitionskosten mit sich bringt, als auch in einem hohen Grad die Geschäftsprozesse von Unternehmen beeinflusst. Artikel 32 (1) der DSGVO fordert bspw., dass angemessene technische und organisatorische Maßnahmen umgesetzt werden, die die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit bei der Verarbeitung personenbezogener Daten sicherstellen. Für die Umsetzung dieser Anforderung sind sowohl technische Vorkehrungen erforderlich, wie bspw. Verschlüsselung und Pseudonymisierung personenbezogener Daten, als auch prozessuale Konfigurationen, wie bspw. Kontrollen zur Sicherstellung von Compliance oder Konsequenzen für die Verfügbarkeit von Informationen in Prozessschritten.

Damit die Profitabilität eines Unternehmens nicht durch die Umsetzung von ITS-Maßnahmen(-bündeln) beeinträchtigt wird, gilt es daher, geeignete Handlungsalternativen zu identifizieren und basierend auf wirtschaftlichen Kriterien auszuwählen. Ansätze zur ganzheitlichen Bewertung und Auswahl solch komplexer Bündel von ITS-Maßnahmen und deren Wechselwirkungen mit Geschäftsprozessen sind daher notwendig, um Unternehmen die Auswahl der effektivsten ITS-Maßnahme unter ökonomischen Gesichtspunkten überhaupt zu ermöglichen.

Bestehende Verfahren, wie bspw. der Return on Investment, bauen auf der Investitionstheorie auf und fokussieren die eindimensionale Bewertung einzelner ITS-Maßnahmen (bspw. die Einführung einer Firewall) unter Berücksichtigung direkt zurechenbarer und rein monetärer Kosten- und Nutzenwirkungen. Investitionstheoretische Verfahren stoßen jedoch bei der Bewertung von ITS-Maßnahmenbündeln zur Umsetzung gegenwärtiger IT-Sicherheitsanforderungen und deren Wechselwirkungen mit Geschäftsprozessen aktuell an ihre Grenzen.

Das Projekt ProBITS adressiert die Grenzen bestehender Verfahren bei der Bewertung komplexer ITS-Maßnahmen(-bündel) und baut dafür auf den Ansätzen des modernen Geschäftsprozessmanagements auf. Geschäftsprozessmodelle geben einen spezifischen Einblick in die Ablauf- und Organisationsstrukturen, die ITS-Maßnahmen(-bündeln) zugrunde liegen, und eröffnen damit neue Analyse- und Verbesserungspotentiale. Die Untersuchung von prozessbasierten ITS-Maßnahmen (d.h. ITS-Aktivitäten und ITS-Aktivitätssequenzen innerhalb von Geschäftsprozessen) im Hinblick auf die Wirtschaftlichkeit erfordert einen spezifischen Bewertungsansatz, damit Ineffizienzen identifiziert und Prozessverbesserungen stimuliert werden können. ProBITS wird hierfür einen innovativen Ansatz bereitstellen, um zukünftig eine geschäftsprozessorientierte Bewertung von ITS-Maßnahmen methodisch, mehrdimensional, skalierbar und werkzeuggestützt zu ermöglichen.