IT-Management
Strategie, Finanzen, Sicherheit
0815
2016
978-3-7398-0137-7
978-3-8676-4722-9
UVK Verlag
Stefan Beißel
Ob Startup oder großer Konzern, ohne IT ist inzwischen kaum noch ein Unternehmen arbeitsfähig. Es ist daher nicht überraschend, dass sich das IT-Management zu einem der wichtigsten Erfolgsfaktoren entwickelt hat.
Das Buch vermittelt die Grundlagen und Aufgaben des IT-Managements. Es behandelt die Themen IT-Strategie, Budget und Ressourcen, IT-Services und Prozesse, Governance, Risk und Compliance sowie IT-Sicherheit. Der Leser gewinnt dadurch Einblicke in das IT-Management, die nicht nur für Führungskräfte, sondern auch für Fachkräfte im operativen Bereich relevant sind.
Die Kombination aus Theorie, Best Practice-Beispielen und Anwendung unterstützt das Verständnis effizient und führt zu einer schnellen Einsetzbarkeit in der Praxis. Zu jedem Kapitel werden Übungsfragen und Aufgaben mit entsprechenden Lösungshinweisen angeboten.
<?page no="2"?> Stefan Beißel IT-Management <?page no="4"?> Stefan Beißel IIT T- -M Ma anna agge emme ennt t Strategie, Finanzen, Sicherheit 2. Auflage UVK Verlagsgesellschaft mbH Konstanz mit UVK/ Lucius München <?page no="5"?> Hinweis Begleitend zu diesem Buch bieten Autor und Verlag eine Service-Seite an: www.uvk-lucius.de/ it-management Dort finden Studierende und Lehrende 1) ein Glossar mit Erklärungen zu wichtigen Begriffen 2) zahlreiche Übungsaufgaben zum Studium und zur Weiterbildung Die erste Auflage erschien bei utb. Bibliografische Information der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http: / / dnb.ddb.de> abrufbar. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. ISBN 978-3-86764-722-9 (Print) ISBN 978-3-7398-0136-0 (EPUB) ISBN 978-3-7398-0137-7 (EPDF) © UVK Verlagsgesellschaft mbH, Konstanz und München 2016 Umschlaggestaltung: Susanne Fuellhaas, Konstanz Umschlagmotiv: UVK Verlagsgesellschaft mbH Schützenstr. 24 • 78462 Konstanz Tel. 07531-9053-0 • Fax 07531-9053-98 www.uvk.de <?page no="6"?> www.uvk-lucius.de/ it-management VVoorrwwoorrtt Das heutige wirtschaftliche Umfeld ist stark von den Merkmalen unserer Informationsgesellschaft geprägt, in der die Information einen fundamentalen Stellenwert besitzt. Sie kann zu erheblichen Wettbewerbsvorteilen führen und große wirtschaftliche oder politische Macht verleihen. Die moderne Informationstechnologie (IT) ermöglicht die zielgerichtete Nutzung und Steuerung des Wirtschaftsguts Information. Innerhalb von Unternehmen bietet die IT oft nicht nur eine Unterstützung von Geschäftsprozessen, sondern sie bildet immer öfter den Kern des ganzen Geschäftsmodells. Eine strukturierte Steuerung aller IT-Aktivitäten ist essenziell, um die IT wirtschaftlich effizient einsetzen zu können. Denn sie unterliegt einer stetigen Weiterentwicklung und ist wie kaum eine andere Branche von einem andauernden Fortschritt und Wandel betroffen. Bedeutende Merkmale des technischen Fortschritts sind eine immer größere Speicherkapazität, längere Speicherdauer und komplexere Verarbeitung von Informationen. Ein Beispiel für den andauernden Wandel ist das Internet, das zunächst von wenigen Editoren und vielen Benutzern in Anspruch genommen wurde. Anschließend hat es sich zu einer Plattform gewandelt, auf der Benutzer selbst neue Inhalte erstellt haben (Web 2.0). Das Verständnis der Inhalte und deren Auswertungsmöglichkeiten sind immer weiter gestiegen und bilden heute das semantische Internet (Web 3.0). Das Internet gewinnt eine immer größere Bedeutung, was z.B. an der steigenden Nutzung verteilter Services unter dem Stichwort Cloud Computing erkennbar ist. Nicht nur das Ergebnis der IT, sondern auch die Gestaltung effizienter Prozesse und die überlegte Nutzung von Ressourcen innerhalb der IT sind essenzielle Erfolgsfaktoren und verlangen daher erhöhte Aufmerksamkeit. Außerdem schützt eine hohe Qualität die IT vor nachgelagerten Aufwänden zur Fehlerbehebung und Nachbesserung. Ausgefeilte Sicherheitsstandards schützen zudem vor internen und externen Angriffen sowie anderen Gefahren, die <?page no="7"?> 6 Vorwort sowohl zu finanziellen Schäden, als auch zu Reputationsverlust führen können. Die Umsetzung von Gesetzesvorgaben, Standards und Best Practices dient der Einhaltung wichtiger Vorgaben und verhilft der IT zur Ausrichtung an Branchenvorgaben oder anerkannten Geschäftspraktiken. Das IT-Management ist notwendig, um die vielfältigen IT-Aktivitäten in einem Unternehmen planen, vorbereiten, steuern, überwachen und bewerten zu können. Das vorliegende Werk erleichtert die Einführung in dieses komplexe Thema, das nicht nur für Führungskräfte, sondern auch für Inhaber operativer Rollen relevant ist. Das IT-Management umfasst Bereiche aus den Kategorien IT-Strategie, Budget & Ressourcen, IT-Services & Prozesse, Governance, Risk & Compliance und IT-Sicherheit. Während die IT-Strategie die Ausrichtung und langfristige Orientierung für und durch die IT vorgibt, ist das Management von Budget & Ressourcen für einen wirtschaftlich effizienten Einsatz der IT notwendig. Die Kategorie IT-Services & Prozesse befasst sich mit dem fast selbstverständlich gewordenen Dienstleistungsgedanken sowie der Optimierung und Modellierung von Geschäftsprozessen. Governance, Risk & Compliance sorgen für eine ordnungsgemäße IT, die konform zu internen und externen Regeln ist. Die IT-Sicherheit dient der Festlegung und Umsetzung eines angemessenen Sicherheitsniveaus und damit dem Schutz vor Kompromittierung, Manipulation und Beschädigung von Informationen und IT- Systemen. Bergisch Gladbach Stefan Beißel <?page no="8"?> www.uvk-lucius.de/ it-management IInnhhaalltt Vorwort .................................................................................................... 5 11 GGrruunnddllaaggeenn ddeess IITT--MMaannaaggeemmeennttss .................................. 11 1.1 Grundbegriffe ....................................................................... 11 1.2 Vorgehensweisen.................................................................. 16 1.3 Organisationsformen ........................................................... 20 1.4 Stakeholder des IT-Managements ..................................... 25 1.5 Stakeholderanalyse ............................................................... 34 1.6 Literatur zu Kapitel 1........................................................... 39 22 IITT--SSttrraatteeggiiee......................................................................... 41 2.1 Grundlagen ........................................................................... 41 2.2 Strategieentwicklung ............................................................ 44 2.2.1 Business Motivation Modell ............................................... 44 2.2.2 Produkt-Markt-Matrix ......................................................... 47 2.2.3 Enterprise Wide Information Management ..................... 49 2.3 Strategieumsetzung .............................................................. 52 2.3.1 Balanced Scorecard .............................................................. 52 2.3.2 Management von IT-Investitionen.................................... 56 2.4 Umfeldanalyse....................................................................... 64 2.4.1 Fünf-Kräfte-Modell ............................................................. 64 2.4.2 STEP-Analyse....................................................................... 68 2.5 Situationsanalyse................................................................... 70 2.5.1 BCG-Matrix .......................................................................... 70 2.5.2 SWOT-Matrix....................................................................... 73 2.5.3 McFarlans Bedeutungsmatrix ............................................. 76 <?page no="9"?> 8 Inhalt www.uvk-lucius.de/ it-management 2.5.4 4C-Net-Business-Modell ..................................................... 80 2.6 Zielfindung............................................................................ 82 2.6.1 SMART.................................................................................. 82 2.6.2 Technology Roadmap.......................................................... 85 2.7 Entscheidungstheorie .......................................................... 90 2.7.1 Grundlagen ........................................................................... 90 2.7.2 Nutzwertanalyse ................................................................... 91 2.7.3 Analytic Hierarchy Process ................................................. 96 2.8 Literatur zu Kapitel 2......................................................... 107 33 BBuuddggeett && RReessssoouurrcceenn ................................................... 109 3.1 Kostenrechnung ................................................................. 110 3.1.1 Grundbegriffe ..................................................................... 110 3.1.2 Kostenarten......................................................................... 113 3.1.3 Basis der Kostenrechnung ................................................ 118 3.1.4 Kostenrechnungsmethoden mit Zeitbezug .................... 119 3.1.5 Kostenrechnungsmethoden mit Umfangsbezug ........... 124 3.1.6 Kostenrechnungssysteme.................................................. 126 3.1.7 IT-Chargeback .................................................................... 127 3.2 IT-Budgetierung ................................................................. 128 3.3 IT-Demand Management ................................................. 129 3.4 IT-Kennzahlen ................................................................... 131 3.5 IT-Sourcing ......................................................................... 137 3.6 IT-Asset Management ....................................................... 142 3.7 Human Resource Management ........................................ 149 3.8 IT-Projektmanagement ..................................................... 151 3.8.1 Grundlagen des IT-Projektmanagements....................... 151 3.8.2 Netzplantechnik ................................................................. 153 3.8.3 Gantt-Diagramm ................................................................ 158 <?page no="10"?> Inhalt 9 www.uvk-lucius.de/ it-management 3.8.4 Projektportfolio-Management .......................................... 158 3.8.5 Wiederverwendung von Projektwissen ........................... 160 3.9 Literatur zu Kapitel 3......................................................... 162 44 IITT--SSeerrvviicceess && PPrroozzeessssee .................................................. 163 4.1 Grundlagen von IT-Services ............................................ 164 4.2 Information Technology Infrastructure Library............ 167 4.3 RACI-Matrix ....................................................................... 172 4.4 Service Level Agreements ................................................. 174 4.5 Servicekatalog ..................................................................... 175 4.6 Grundlagen von Geschäftsprozessen.............................. 176 4.7 Optimierungstechniken für Geschäftsprozesse ............. 179 4.8 Geschäftsprozessmodellierung......................................... 184 4.8.1 Grundlagen der Geschäftsprozessmodellierung............ 184 4.8.2 Architektur integrierter Informationssysteme................ 185 4.8.3 Ereignisgesteuerte Prozesskette ....................................... 188 4.8.4 Unified Modeling Language ............................................. 193 4.8.5 Business Process Modeling Notation.............................. 202 4.8.6 Flussdiagramme .................................................................. 207 4.9 Literatur zu Kapitel 4......................................................... 209 55 GGoovveerrnnaannccee" RRiisskk && CCoommpplliiaannccee................................. 211 5.1 IT-Governance ................................................................... 211 5.2 IT-Risikomanagement ....................................................... 216 5.2.1 Überblick ............................................................................. 216 5.2.2 Identifizierung von Risiken............................................... 216 5.2.3 Risikobewertung ................................................................. 217 5.2.4 Auswahl der Risikobewältigungsmethode ...................... 223 5.2.5 Implementierung von Gegenmaßnahmen...................... 223 <?page no="11"?> 10 Inhalt 5.3 IT-Compliance.................................................................... 224 5.3.1 Grundlagen der IT-Compliance....................................... 224 5.3.2 Beispiele aus der Praxis ..................................................... 225 5.3.3 Eingrenzung von Compliance-Umgebungen................. 232 5.4 Literatur zu Kapitel 5......................................................... 238 66 IITT--SSiicchheerrhheeiitt .................................................................... 239 6.1 Schutzziele........................................................................... 239 6.2 Sicherheitsniveau ................................................................ 242 6.3 Vorgehensmodelle ............................................................. 243 6.3.1 ISO 27001 ........................................................................... 243 6.3.2 IT-Grundschutz ................................................................. 245 6.4 Routineaufgaben................................................................. 248 6.5 Gefahren.............................................................................. 250 6.5.1 Hacker.................................................................................. 250 6.5.2 Angriffe................................................................................ 251 6.6 Schutzmaßnahmen............................................................. 253 6.6.1 Schutz vor Unbefugten ..................................................... 253 6.6.2 Kontrolle des Datenverkehrs ........................................... 256 6.6.3 Vermeidung von Schwachstellen ..................................... 257 6.6.4 Richtlinien ........................................................................... 261 6.6.5 Ausfallsicherheit und Wiederherstellung ........................ 261 6.7 Kryptographie..................................................................... 262 6.7.1 Verschlüsselung .................................................................. 262 6.7.2 Hashing................................................................................ 266 6.7.3 Zertifikate ............................................................................ 267 6.8 Literatur zu Kapitel 6......................................................... 269 Index .............................................................................................. 271 <?page no="12"?> www.uvk-lucius.de/ it-management 11 GGrruunnddllaaggeenn ddeess IITT--MMaannaaggeemmeennttss Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie die Grundbegriffe des IT-Managements kennen und gebrauchen können, den PDCA-Zyklus und den Managementzyklus beschreiben können, die Organisationsformen eines Unternehmens und die möglichen Einordnungen der IT aufzeigen können, die Stakeholder des IT-Managements und ihre Interessen benennen können, den Ablauf einer Stakeholderanalyse skizzieren können. 11..11 GGrruun nddbbeeg grriif fffee Informationen bilden die fundamentale Basis aller Themen rund um die Informationstechnologie (IT). Um den Begriff Informationen zu beschreiben, gilt es zunächst zu überlegen, wie sie entstehen. Auf der ersten Betrachtungsebene befindet sich das Zeichen. Es ist Bestandteil eines existierenden Zeichenvorrats, der sich meist aus Buchstaben, Ziffern und Sonderzeichen zusammensetzt und auch Zeichensatz genannt wird. Mehrere Zeichen können unter Berücksichtigung von Regeln der Syntax zusammengesetzt werden. Diese zusammengesetzten Zeichen werden als Daten bezeichnet. Daten, die in einem Kontext stehen und durch eine Person oder ein System interpretiert werden können, werden durch die Interpretation zu Informationen. <?page no="13"?> 12 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management Wenn Informationen zu einem Erkenntnisgewinn führen, entsteht daraus neues Wissen. Angenommen, es ist ein Zeichensatz gegeben, der aus Buchstaben, Ziffern und Sonderzeichen, unter anderem einem Leerzeichen, besteht. Wenn mehrere Zeichen aus einem solchen Zeichensatz zusammengesetzt werden, entstehen Daten, z.B. „700 Megabyte“. Durch die Interpretation als Speichergröße eines Datenträgers werden die Daten zu Informationen. Die Information, dass eine Compact Disc standardmäßig über eine Kapazität dieser Speichergröße verfügt, kann zu einem Erkenntnisgewinn führen, aus dem Wissen entsteht. Abb. 1: Begriffe im Zusammenhang Die Informationstechnologie (IT) ist die Wissenschaft über die Speicherung, Übertragung und Verarbeitung von Informationen unter Einbeziehung von elektronischen Hilfsmitteln. Elektronische Hilfsmittel können in die beiden Kategorien Hardware und Software unterteilt werden. Hardware umfasst alle physischen Objekte in der IT, wie z.B. Datenträger, Prozessoren und Computergehäuse. Als Software werden alle nicht physischen, virtuellen Objekte bezeichnet. Darunter fallen z.B. Anwendungen, Betriebssysteme und Datenbanken. Die Speicherung, Übertragung und Verarbeitung von Informationen lassen sich wie folgt voneinander abgrenzen: Bei der Speicherung werden Informationen, also interpretierbare Daten, technisch auf einem Datenträger abgebildet. Grund- Erkenntnisse Kontext Syntax Zeichenvorrat Daten Zeichen Informationen Wissen <?page no="14"?> 1.1 Grundbegriffe 13 www.uvk-lucius.de/ it-management sätzlich erfolgt dies in Form eines Binärcodes, der durch Systeme in Binär- oder Textdaten umgewandelt wird. Während Binärdaten durch eine kompatible Applikation interpretiert werden müssen, können Textdaten auch von Personen direkt interpretiert werden. Datenträger, die Daten speichern, können stationär oder mobil eingesetzt werden. Stationäre Datenträger befinden sich als Systembestandteil im Inneren von Servern, Workstations oder Netzwerkspeichern. Mobile Datenträger, z.B. CD, DVD, Bänder und SD-Karten, können mithilfe von Laufwerken gelesen werden. Andere mobile Datenträger, z.B. USB-Festplatten, USB-Sticks und Firewire-Festplatten, können direkt an Systemschnittstellen angeschlossen werden. Um Speicherkapazitäten von Datenträgern effizienter nutzen zu können, werden Datenmengen oft komprimiert. Da vor der Verwendung von komprimierten Daten jedoch zunächst eine leistungsintensive Dekomprimierung stattfinden muss, ist dies nur für Daten sinnvoll, die nicht direkt verfügbar sein müssen. Die Übertragung von Informationen erfolgt, wenn diese von einem zu einem anderen System übermittelt werden. Für die Übermittlung können lokale Netzwerke (Local Area Networks), z.B. innerhalb eines Geschäftsgebäudes, und Weitverkehrsnetze (Wide Area Networks), wie z.B. das Internet, genutzt werden. Die Infrastruktur lokaler Netzwerke kann sowohl kabelgebunden als auch kabellos sein (Wireless Local Area Network). Insbesondere bei Übertragungen über das öffentlich zugängliche Internet spielt der Schutz von Vertraulichkeit und Integrität eine große Rolle (siehe Kapitel IT-Sicherheit). Die Verarbeitung von Informationen beinhaltet die Überführung von interpretierten Daten in anders formatierte oder strukturierte Daten. Sie können z.B. zusammengeführt, verteilt, angereichert, abstrahiert oder transformiert werden. Die Verarbeitung ist oft Bestandteil eines Geschäftsprozesses oder unterstützt diesen. Ein Händler, der im E-Commerce tätig ist, verarbeitet z.B. eingegebene Kundendaten im Rahmen einer Bestellabwicklung bei Fakturierung und Versand. Die Verarbeitung kann durch einen Anwender ausgelöst werden, der eine Applikation bedient und damit eine manuelle Verarbeitung beginnt, oder durch ein zeit- oder fallbezogenes Ereignis, bei dem ein <?page no="15"?> 14 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management System automatisch die Verarbeitung beginnt. Ein zeitbezogenes Ereignis ist z.B. das Erreichen eines bestimmten Wochentags. Ein fallbezogenes Ereignis ist z.B. die Eingabe einer Bestellung durch einen Kunden im E-Commerce. Die wichtigsten Tätigkeitsbereiche in der IT eines Unternehmens sind Helpdesk, Betrieb und Applikationen. Der Helpdesk dient der Unterstützung von Anwendern zu allen Problemstellungen in der IT. Beim Helpdesk werden technische Probleme oder Bedienungsfragen durch die Anwender gemeldet. Daraufhin unterstützen Mitarbeiter aus dem Helpdesk bei der Fehleranalyse und Problembehebung. Außerdem sind sie beratend tätig und weisen die Anwender bei Bedarf in die Bedienung neuer technischer Lösungen ein. Der Betrieb dient der Überwachung und Aufrechterhaltung der IT-Infrastruktur. Hierzu gehören vor allem das Netzwerk und die IT-Systeme. Auch Speicherkapazitäten, die zentral zur Verfügung stehen, werden durch den Betrieb verwaltet. Der Bereich Applikationen beinhaltet Design, Entwicklung, Steuerung und Pflege aller Applikationen, die im Unternehmen betrieben werden. Sie können entweder durch Fremdfirmen, wie z.B. Standardsoftware, oder durch das Unternehmen selbst entwickelt worden sein. Auch der Aufbau und die Weiterentwicklung der notwendigen Infrastruktur für Applikationen fallen in diesen Bereich. Dazu gehören ein IT-System mit ausreichenden Kapazitäten, wie Speicher und Rechenleistung, und eine Netzwerkanbindung zu anderen Systemen. Das IT-Management umfasst alle Manager und Managementaufgaben innerhalb der IT. Man unterscheidet zwischen einer institutionellen und funktionellen Betrachtungsweise des IT-Managements: Das institutionelle IT-Management bezeichnet die Personen, die als Führungskräfte im IT-Bereich eingesetzt werden. Das funktionelle IT-Management bezeichnet die Führungsaufgaben, die zur Planung, Vorbereitung, Steuerung, Überwachung und Bewertung aller Tätigkeiten im Bereich der IT wahrgenommen werden. Sie können in fachliche und disziplinarische Führungsaufgaben aufgeteilt werden: <?page no="16"?> 1.1 Grundbegriffe 15 www.uvk-lucius.de/ it-management Fachliche Führungsaufgaben umfassen die Ausübung von Weisungsbefugnissen bezogen auf den Arbeitseinsatz, also die geschäftlichen Tätigkeiten der geführten Mitarbeiter. Damit kann der Arbeitseinsatz zielgerichtet geplant und gesteuert sowie auf Abweichungen reagiert werden. Weisungen können von einem Linienvorgesetzten an einen hierarchisch untergeordneten Mitarbeiter oder von einem Projektleiter an ein Mitglied des Projektteams erfolgen. Disziplinarische Führungsaufgaben umfassen die Bewertung von Arbeitsergebnissen der Geführten, deren Förderung und Weiterentwicklung, die Maßregelung bei Verstößen sowie die Festlegung von Rahmenbedingungen, wie Arbeitszeit, Urlaub und Entlohnung. Fachliche und disziplinarische Führungsaufgaben werden nicht zwingend von derselben Person wahrgenommen. Projektleiter, die ihre Führungsaufgaben nur im Rahmen eines zeitlich begrenzten Projekts ausführen, erfüllen meist nur fachliche Führungsaufgaben. Mitarbeiter aus Personalabteilungen, die grundsätzlich nicht zum IT-Bereich in Linien-Organisationen gehören, und somit auch nicht zum IT-Management, erfüllen meist nur disziplinarische Führungsaufgaben. Personen, die fachliche und disziplinarische Führungsaufgaben gleichzeitig wahrnehmen, sind meist in Form von Vorgesetzten zu finden und leiten Teams, Abteilungen oder Bereiche. Das IT-Management ist die Gesamtheit aller fachlichen und disziplinarischen Führungsaufgaben, die zur Planung, Vorbereitung, Steuerung, Überwachung und Bewertung aller Tätigkeiten im Bereich der IT wahrgenommen werden, und aller Führungskräfte, die mit der Ausführung dieser Führungsaufgaben institutionell betraut sind. Bei dieser Definition werden sowohl die funktionelle als auch die institutionelle Sichtweise des IT-Managements berücksichtigt. <?page no="17"?> 16 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management Ein verwandter Bereich zum IT-Management ist das IT-Controlling. Auch das IT-Controlling umfasst Aufgaben zur Planung, Vorbereitung, Steuerung, Überwachung und Bewertung aller Tätigkeiten im Bereich der IT. Allerdings ist das IT-Controlling auf den Wertbeitrag der IT fokussiert, während beim IT-Management der Fokus auf der Führungsfunktion und -institution liegt. Ein IT- Controller hat das primäre Ziel, die Tätigkeiten in der IT so zu steuern, dass der Wertbeitrag durch die IT erhöht wird. Er hat in der Regel keine direkte Führungsbefugnis, sondern nutzt ein Steuerungssystem, um indirekten Einfluss auf die Tätigkeiten zu nehmen. Ein IT-Manager hat hingegen das primäre Ziel, mithilfe seiner institutionellen Führungsbefugnis die Mitarbeiter zu einer effektiven und effizienten Durchführung von Tätigkeiten in der IT zu bewegen. 11..22 VVoorrggeehheen nsswweei is seenn Vorgehensweisen zum IT-Management sind grundsätzlich in Form von Theorien, Best Practices und Pragmatiken zu finden. Theorien sind vornehmlich mit der wissenschaftlichen Forschung verknüpft und verfolgen eine abstrakte und erklärende Sichtweise. Best Practices befinden sich zwar ebenfalls auf einem abstrakten Niveau, sind jedoch im Gegensatz zu Theorien mehrfach in der Praxis bewährt und haben auch dort ihren Ursprung. Die Herkunft von Best Practices ist stets bekannt. Sie stammen z.B. von großen Unternehmen oder Zusammenschlüssen von Unternehmen. Auch Pragmatiken haben ihren Ursprung in der Praxis und wurden dort mehrfach umgesetzt. Die Herkunft von Pragmatiken ist im Gegensatz zur der von Best Practices hingegen unbekannt. Eine bekannte Pragmatik zur Vorgehensweise im Management ist der PDCA-Zyklus von William Edwards Deming und Walter Andrew Shewhart (Zollondz 2011, S. 86 ff.). Er besteht aus vier Phasen, die zur Steuerung und kontinuierlichen Verbesserung von Prozessen oder Produkten eingesetzt werden können. <?page no="18"?> 1.2 Vorgehensweisen 17 www.uvk-lucius.de/ it-management Abb. 2: PDCA-Zyklus In der Plan-Phase werden Ziele definiert und Voraussetzungen für Tätigkeiten geschaffen, die der Zielerreichung dienen. Da die Phasen in der Regel mehrmals durchlaufen werden, können die Ziele immer stärker erweitert werden. Stark eingegrenzte Ziele am Anfang des Phasendurchlaufs sind eine gute Möglichkeit, um einen schnellen Eindruck über die Auswirkungen der geplanten Tätigkeiten zu erhalten und die Risiken zu reduzieren. Angenommen, eine Software für Textverarbeitung soll durch eine Software eines anderen Herstellers ersetzt werden. Dann kann das Ziel so eingegrenzt werden, dass zunächst nur ein Arbeitsplatz mit der neuen Software versorgt werden soll. In der Do-Phase werden die geplanten Tätigkeiten ausgeführt. Je nach Zieldefinition können dadurch Prozesse oder Produkte erstellt oder verändert werden. In dieser Phase müssen zusätzlich Daten über die Ergebnisse gesammelt werden, die in den nächsten Phasen ausgewertet werden können. Die Check-Phase umfasst die Analyse der gesammelten Daten aus der vorherigen Phase. Sie stellt diese Daten den erwarteten Ergebnissen gegenüber, die in der Plan-Phase mithilfe der Zieldefinition erarbeitet wurden. Dadurch werden Abweichungen ersichtlich. Die Interpretation der abweichenden Daten führt zur Bildung von Informationen, welche in der nächsten Phase genutzt werden. Damit die Menge der Daten und der daraus gebildeten Informationen nicht zu groß wird, bieten sich die Anwendung eingegrenzter Ziele und deren zyklische Erweiterung an. Die ACT-Phase nutzt die Informationen über die in der Check- Phase festgestellten Abweichungen und identifiziert Notwendigkeiten zur Korrektur. Dies ist wiederum der Input für die Plan- Phase, in der Korrekturmaßnahmen als Ziele festgelegt werden, P l a n D o C h e c k A c t <?page no="19"?> 18 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management und somit die Grundlage für einen weiteren Durchlauf des Zyklus gelegt wird. Wenn keine Korrekturen notwendig sind, kann der Zyklus bei Bedarf mit erweiterten Zielen erneut durchlaufen werden. Um Managementfunktionen zu strukturieren und in eine logische Abfolge zu bringen, wurde der klassische Managementzyklus definiert, der aus fünf Phasen besteht (Schreyögg/ Koch 2007, S. 9 ff.): Abb. 3: Managementzyklus [1] Die Planung ist die primäre Aktivität, an der sich die Inhalte aller anderen Phasen ausrichten. Sie dient dazu, generelle Überlegungen zum angestrebten Ergebnis und zu den dafür eingesetzten Mitteln durchzuführen. Dabei werden sowohl kurzals auch langfristige Perspektiven berücksichtigt. Aufgrund sich ändernder Rahmenbedingungen oder anfänglich unbekannter Parameter können Rückkopplungen von den folgenden Phasen zurück zur Planung erfolgen. Auf diese Weise können die betroffenen Phasen neu ausgerichtet werden. [2] Im Rahmen der Organisation werden Stellen für die zu erledigenden Aufgaben definiert und mit einer Organisationsform hierarchisch angeordnet. Die Stellen werden zu Organisationseinheiten zusammengefasst und Weisungsstrukturen werden legitimiert. Dadurch ergibt sich ein ef- [1] Planung [2] Organisation [3] Personaleinsatz [4] Führung [5] Kontrolle reguläre Abfolge Rückkopplungen <?page no="20"?> 1.2 Vorgehensweisen 19 www.uvk-lucius.de/ it-management fektives Kommunikationssystem, bei dem z.B. Probleme an übergeordnete Organisationseinheiten weitergegeben werden können. Auf dieser Hierarchieebene findet eine Problemeskalation statt. Außerdem wird durch die Organisation eine große Überschaubarkeit geschaffen, welche die Zuweisung und Steuerung von Aufgaben erleichtert. [3] Der Personaleinsatz dient einerseits der Besetzung von Stellen, die in der Organisation definiert wurden. Andererseits sollen die Besetzungen durch Stelleninhaber auch dauerhaft bewahrt werden. Zu diesem Zweck werden regelmäßige Personalbeurteilungen und -entwicklungen durchgeführt. Außerdem ist ein Entlohnungssystem empfehlenswert, das eine hohe Arbeitsqualität adäquat entlohnt. [4] Zur Führung zählen alle Führungsaufgaben, die für die fachliche und disziplinarische Führung des Personals notwendig sind. Der Vorgesetzte erteilt Weisungen an seine hierarchisch unterstellten Mitarbeiter. Anschließend wird er in Abhängigkeit seiner Führungstechnik die Erfüllung der Weisungen mehr oder weniger stark steuern und korrigieren. Neben der Zuweisung und Steuerung von Aufgaben versucht der Vorgesetzte auch eine möglichst optimale Motivation, Kommunikation und Konfliktbehandlung zu etablieren. [5] Die Kontrolle beinhaltet einen Abgleich zwischen angestrebtem und erreichtem Zustand. Dieser Soll-/ Ist-Abgleich dient dazu, den Erfolg des gesamten Managementzyklus zu beurteilen. Festgestellte Abweichungen können dazu führen, dass eine Rückkopplung in eine der vorherigen Phasen erforderlich ist. Sollte der angestrebte Zustand in ausreichendem Maß erreicht worden sein, ist der Managementzyklus abgeschlossen. In der Regel wurden durch ihn neue Erkenntnisse und Rahmenbedingungen geschaffen, die bei einem neuen Durchlauf des Managementzyklus zu berücksichtigen sind. <?page no="21"?> 20 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management 11..3 3 OOrrggaanniissaat tiioonnssffoorrmme enn Eine Voraussetzung für das IT-Management ist die Organisation des Unternehmens, um Führungskräfte zu institutionalisieren und Führungsaufgaben zu legitimieren. Diese Organisation kann die Formen Stab-Linien-Organisation, Projekt-Organisation, Matrix- Organisation oder Prozess-Organisation annehmen. Bei der Stab-Linien-Organisation sind Organisationseinheiten, welche ein oder mehrere Stellen gruppieren, in einer Hierarchie angeordnet. Auf der obersten Ebene befindet sich die Geschäftsleitung. Dazu untergeordnet sind z.B. Bereiche, Abteilungen und Teams. Stabsstellen können sich in jeder Hierarchieebene befinden und haben selbst keine untergeordneten Stellen. In der Praxis existieren verschiedene Bezeichnungen für Organisationseinheiten in der Hierarchie. Neben den oben genannten sind weitere Bezeichnungen anzuführen, z.B. Department, Fachrichtung, Ressort, Sektion, Sektor, Sparte und Teilbereich. Mitarbeiter, die Stellen einer Organisationseinheit besetzen, verfügen über Weisungsbefugnisse gegenüber Mitarbeitern aus untergeordneten Organisationseinheiten. Letztere haben die Pflicht, die erhaltenen Weisungen aus übergeordneten Organisationseinheiten auszuführen. Wenn über Mitarbeitern nur eine Organisationseinheit steht, von der sie Weisungen empfangen, spricht man von einer Einlinien-Organisation. Wenn sie von mehreren übergeordneten Organisationseinheiten Weisungen empfangen, spricht man von einer Mehrlinien-Organisation. Die Weitergabe von Aufgaben durch weisungsbefugte Mitarbeiter wird als Delegation bezeichnet. Bei der Delegation werden Zuständigkeiten zur Erfüllung von Aufgaben übertragen. Der Mitarbeiter, an den eine Aufgabe delegiert wurde, besitzt aus organisatorischer Sicht die Pflicht und Kompetenz zur Erledigung der Aufgabe. Die Verantwortung zur Erledigung einer Aufgabe kann jedoch nicht vollständig delegiert werden. Nicht nur der Delegierte besitzt Verantwortung zur Erfüllung der Aufgabe, sondern auch der Delegierende, der seine ursprüngliche Verantwortung behält. <?page no="22"?> 1.3 Organisationsformen 21 www.uvk-lucius.de/ it-management Abb. 4: Stab-Linien-Organisation Die Projekt-Organisation orientiert sich an der Erledigung von Projekten, die von ihrer Natur zeitlich befristet sind. Daher muss sich diese Organisationsform immer wieder an neue Projekte anpassen und ist generell sehr flexibel. Mitarbeiter werden oft keinen festen Stellen, sondern Rollen zugeordnet, welche ebenfalls zeitlich befristet sind. Die Organisationseinheiten in dieser Organisation existieren lediglich während der Laufzeit eines Projekts. Bei jedem neuen Projekt werden sie erneut zusammengesetzt. Innerhalb der Laufzeit eines Projekts besitzt die Projekt-Organisation Ähnlichkeiten mit der Stab-Linien- Organisation. Auch hier existiert eine Hierarchie mit weisungsbefugten Organisationseinheiten. Abb. 5: Projekt-Organisation Die Matrix-Organisation ist eine hybride Organisationsform und kombiniert die Stab-Linien-Organisation mit der Projekt- Organisation. Während die Stab-Linien-Organisation dauerhaft existiert, wird bei Bedarf parallel dazu eine Projekt-Organisation Geschäftsleitung Abteilung 1 Stabsstelle Stelle 1 Abteilung 2 Stelle 2 Stelle 3 Stelle 4 Geschäftsleitung Stelle 1 Stelle 4 Stelle 3 Stelle 5 Leitung Projekt 1 Leitung Projekt 2 Stelle 2 Stelle 6 <?page no="23"?> 22 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management geschaffen. Dadurch ist eine flexible Projektarbeit möglich, bei der die Stellen aus der Stab-Linien-Organisation zusätzlich Rollen in der Projekt-Organisation ausfüllen müssen. Allerdings ist die Matrix-Organisation sehr konfliktgefährdet. Mitarbeiter, die Stellen und Projektrollen parallel ausführen, befinden sich ständig zwischen zwei konkurrierenden Anspruchsinhabern. Zum einen haben sie einen Vorgesetzten aus der Stab-Linien-Organisation, der primär eine optimale Durchführung des Tagesgeschäfts anstrebt, und zum anderen einen Projektleiter, der primär den erfolgreichen Projektabschluss anstrebt. Wenn keine festen Vorgaben zum Einsatz der Arbeitsleistung existieren, wie z.B. 60 % Tagesgeschäft und 40 % Projektarbeit, werden beide Anspruchsinhaber einen maximalen Einsatz der Arbeitsleistung für ihre Interessen anstreben. Dies führt zu Konflikten bei Mitarbeitern, die gegenüber beiden Anspruchsinhabern gleichermaßen zur Befolgung von Weisungen verpflichtet sind. Abb. 6: Matrix-Organisation Die Prozess-Organisation ist wie die Stab-Linien-Organisation dauerhaft eingerichtet. Im Gegensatz zur Stab-Linien-Organisation basiert die organisatorische Einteilung bei der Prozess- Organisation auf Geschäftsprozessen anstatt auf Funktionen. Auch hier werden Rollen verwendet, die jedoch nicht temporär wie bei der Projekt-Organisation, sondern dauerhaft ausgerichtet sind. So kann es vorkommen, dass ähnliche Rollen mit vergleichbaren Funktionen zu unterschiedlichen Organisationsein- Geschäftsleitung Abteilung 1 Stelle 1 Abteilung 2 Stelle 2 Stelle 3 Stelle 4 Leitung Projekt 1 Leitung Projekt 2 <?page no="24"?> 1.3 Organisationsformen 23 www.uvk-lucius.de/ it-management heiten gehören, da sie jeweils einem anderen Geschäftsprozess zugeordnet sind. Ein Beispiel ist die Kosten- und Leistungsrechnung, die nicht nur in einer zentralen Organisationseinheit, sondern auch dezentral zu jedem Geschäftsprozess durchgeführt werden kann. Die Weisungsbefugnisse in einer Prozess- Organisation liegen bei Prozessverantwortlichen, die für die Koordination innerhalb und zwischen Organisationseinheiten zuständig sind. Je nach Bedeutung eines Prozesses unterscheidet man zwischen Kern- und Unterstützungsprozessen. Während Kernprozesse für das Unternehmen von essenzieller Bedeutung sind, erleichtern oder verbessern Unterstützungsprozesse die Durchführung von Kernprozessen. Abb. 7: Prozess-Organisation Die Einbindung der IT-Abteilung als Organisationseinheit in eine Stab-Linien-Organisation kann als Linieninstanz oder Stabsstelle erfolgen. Als Linieninstanz kann sie entweder als eigenständiger Bereich direkt unter der Geschäftsleitung eingeordnet oder einem anderen Bereich untergeordnet werden, und sich damit auf einer tieferen Hierarchieebene befinden. Welche Alternative gewählt wird, hängt von der Bedeutung der IT im Unternehmen ab. Als eigenständiger Bereich hat sie eine sehr viel größere Bedeutung im Unternehmen. Das Geschäftsfeld und die Ausrichtung des Unternehmens spielen dabei eine große Rolle. So wird ein Unternehmen, das primär in der IT-Branche tätig ist, der IT- Abteilung eine größere Bedeutung beimessen als ein Unternehmen, das in einer ganz anderen Branche aufgestellt ist, z.B. ein Einzelhändler. Geschäftsleitung Stelle 1 Stelle 4 Stelle 3 Stelle 5 Leitung Prozess 1 Leitung Prozess 2 Stelle 2 Stelle 6 <?page no="25"?> 24 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management Als Stabsstelle wird die IT-Abteilung übergreifend eingeordnet und kann teilweise auch zusätzliche Weisungsbefugnisse gegenüber anderen Organisationseinheiten besitzen. Sie kann damit einen großen beratenden Einfluss auf die Geschäftsleitung wahrnehmen. Abb. 8: Mögliche Einbindungen der IT in die Stab-Linien- Organisation Bei der Projekt-Organisation können IT-Mitarbeiter als Teil des Projektteams eingesetzt werden, um mit ihrem Know-how und ihrer technischen Kompetenz die Projektarbeit zu unterstützen. In einer Matrix-Organisation halten die IT-Mitarbeiter nicht nur Rollen im Projektteam, sondern gleichzeitig auch Stellen in der Stab-Linien-Organisation inne. Hierbei handelt es sich um eine Sonderform der Matrix-Organisation, bei der eine Stab-Linien- Organisation nicht durch parallele Projekte überlagert wird, sondern durch eine eigenständige Abteilung. So können Mitarbeiter neben ihren eigentlichen Stellen zusätzlich Rollen in der IT-Abteilung ausfüllen. Dies ist organisatorisch mit der Übernahme von Rollen aus einem Projekt vergleichbar. Im Gegensatz zu Projekten ist diese Überlagerung jedoch nicht zeitlich befristet, sondern dauerhaft angelegt. Bei der Prozess-Organisation besitzt jeder Geschäftsprozess eigene Rollen für die Ausführung von IT-Tätigkeiten. Es ist also keine abgrenzbare IT-Abteilung, sondern es sind nur Rollen vorhanden, die IT-Tätigkeiten im Rahmen von festgelegten Geschäftsprozessen verantworten. Reine IT-Geschäftsprozesse haben in Unternehmen außerhalb der IT-Branche oft den Charakter von Unterstützungsprozessen. Geschäftsleitung IT IT Abteilung Bereich Abteilung IT Abteilung <?page no="26"?> 1.4 Stakeholder des IT-Managements 25 www.uvk-lucius.de/ it-management 11..4 4 SSttaakkeehhoollddeerr ddeess IITT--M Ma an naag geemme ennttss Als Stakeholder werden alle Personen und Personengruppen bezeichnet, die ein Interesse am Zustand oder Erfolg des Unternehmens verfolgen. Der Begriff Stakeholder ist sehr weit gefasst und berücksichtigt auch Interessenhalter, die nur indirekt oder temporär mit dem Unternehmen in Verbindung stehen, wie z.B. Kunden oder politische Interessengruppen. Das IT-Management wird durch die Interessen der Stakeholder beeinflusst. Während einige Stakeholder, wie die Geschäftsleitung, direkten Einfluss auf die Ausgestaltung der Aufgaben im IT-Management nehmen, haben andere, wie z.B. Kunden, eher indirekten Einfluss. Kunden beeinflussen die Umsatzzahlen eines Unternehmens und können dadurch ihren Interessen Bedeutung verleihen. Abb. 9: Stakeholder des IT-Managements Die Eigentümer des Unternehmens werden auch als Shareholder bezeichnet. Sie haben grundsätzlich ein Interesse am Unternehmenserfolg. Der Unternehmenserfolg kann je nach Rechtsform des Unternehmens aus wirtschaftlicher, ideeller, sozialer oder kultureller Sicht bewertet werden. Der wirtschaftliche Unternehmenserfolg lässt sich z.B. am Gewinn vor Zinsen und Steuern (engl. Earnings Before Interest and Taxes oder kurz Fachabteilungen Eigentümer Geschäftsleitung Kontrollorgane Dienstleister Lieferanten Kunden Mitarbeiter IT Erfolg Führung Regeln Arbeitsleistung Beauftragung Kauf Waren Dienstleistungen <?page no="27"?> 26 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management EBIT) bemessen. Um den Unternehmenserfolg zu verbessern, ist im IT-Management vor allem eine effektive Steuerung von Ressourcen gefordert. Eigentümer eines Unternehmens können natürliche oder juristische Personen sein. Juristische Personen sind Zusammenschlüsse von natürlichen oder anderen juristischen Personen, die ein unabhängiges Vermögen besitzen. In Abhängigkeit der Rechtsform des Unternehmens gibt es verschiedene mögliche Eigentumsverhältnisse. Man unterscheidet zwischen Einzelunternehmern, Personengesellschaften und juristischen Personen. Ein Einzelunternehmer (§§ 1 ff. HGB) kann sich im Handelsregister eingetragen lassen und erhält daraufhin die Bezeichnung eingetragener Kaufmann (e.K.). Er ist zur kaufmännischen Buchführung und Bilanzierung verpflichtet und mit seinem gesamten Privatvermögen für alle Verbindlichkeiten seines Unternehmens haftbar. Personengesellschaften sind Zusammenschlüsse von natürlichen oder juristischen Personen, die mit ihrem Privatvermögen haftbar sind. Verbreitete Formen von Personengesellschaften in Deutschland sind die Gesellschaft bürgerlichen Rechts (GBR), die offene Handelsgesellschaft (OHG) und die Kommanditgesellschaft (KG). Zur Gründung einer GBR (§§ 705 ff. BGB) schließen sich natürliche oder juristische Personen für einen vereinbarten Zweck zusammen und verpflichten sich zur Einhaltung eines Gesellschaftsvertrags. Der Vertrag kann nicht nur schriftlich, sondern auch mündlich oder durch konkludentes Handeln geschlossen werden. Die OHG (§§ 105 ff. HGB) zeichnet sich dadurch aus, dass ein Handelsgewerbe betrieben werden muss. Sondervereinbarungen, z.B. zu Einlagen, Verlustbeteiligungen und Geschäftsführung, müssen in den Gesellschaftsvertrag eingetragen werden. Das Hauptmerkmal einer KG (§§ 161 ff. HGB) ist die Existenz zusätzlicher Eigentümer, die als Kommanditisten bezeichnet werden und lediglich mit ihrer Kapitaleinlage haften. Sie sind nicht mit ihrem privaten Vermögen haft- <?page no="28"?> 1.4 Stakeholder des IT-Managements 27 www.uvk-lucius.de/ it-management bar und nicht an der Geschäftsführung beteiligt. Demgegenüber stehen komplementäre Eigentümer, die mit ihrem privaten Vermögen haftbar und zur Geschäftsführung berechtigt sind. Auch die KG basiert auf einem Gesellschaftsvertrag. Juristische Personen besitzen ihr eigenes Vermögen. Die Haftbarkeit ist darauf beschränkt und wird nicht auf das Privatvermögen ihrer Eigentümer ausgeweitet. Beispiele sind der eingetragene Verein (e.V.), die Gruppe der Kapitalgesellschaften und die eingetragene Genossenschaft (eG). Der e.V. (§§ 55 ff. BGB) ist rechtsfähig und wird im Vereinsregister eingetragen. Er verfolgt einen ideellen und keinen wirtschaftlichen Zweck. Kapitalgesellschaften sind durch spezielle Vorschriften über die Handhabung ihres Kapitals gekennzeichnet. Sie basieren wie Personengesellschaften auf einem Gesellschaftsvertrag, sind jedoch rechtlich vollkommen eigenständig. Verbreitete Formen von Kapitalgesellschaften in Deutschland sind die Aktiengesellschaft (AG), die Gesellschaft mit beschränkter Haftung (GmbH) und die Kommanditgesellschaft auf Aktien (KGaA). Bei einer AG (§§ 1 ff. AktG) sind die Aktionäre die Eigentümer des Unternehmens. Das Grundkapital der AG wird in Aktien zerlegt, welche einen entsprechenden Eigentumsanteil am Unternehmen verbriefen. Bei einer AG müssen strenge Vorschriften eingehalten werden, z.B. in Bezug auf Vorstand und Aufsichtsrat. Eine GmbH (§§ 1 ff. GmbHG) zeichnet sich durch ihre Haftungsbeschränkung aus. Die Eigentümer der GmbH haften nicht mit ihrem privaten Vermögen, da die Haftung auf das Gesellschaftsvermögen beschränkt ist. Vor Gründung der GmbH muss eine Mindestkapitaleinlage in Höhe von 12.500 € hinterlegt werden, also die Hälfte des Stammkapitals (§ 7 Abs. 2 GmbHG). Eine KGaA ist vergleichbar mit einer AG, allerdings besteht der Vorstand der KGaA aus Komplementären, die wie bei einer reinen KG mit ihrem privaten Vermögen <?page no="29"?> 28 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management haftbar sind. Die Komplementäre müssen dabei nicht zwingend aus natürlichen Personen bestehen, sondern können wiederum eine juristische Person sein, z.B. eine GmbH. Die eG (§§ 1 ff. GenG) ist eine Mischform zwischen e.V. und Kapitalgesellschaft. Sie ist ein Zusammenschluss von Mitgliedern, der aus wirtschaftlichem, sozialem oder kulturellem Zweck betrieben wird. Die Genossenschaftsanteile verbriefen die Kapitaleinlage der Mitglieder. Obwohl sie nicht mit ihrem persönlichen Vermögen haften, existiert eine Nachschusspflicht, sofern sie in der Genossenschaftssatzung nicht ausgeschlossen wurde. Ein Haftungsausschluss des Privatvermögens der Eigentümer hat nicht nur Vor-, sondern auch Nachteile. Die Bonität des Unternehmens ist deutlich schlechter. Insbesondere in der Gründungsphase ist die Aufnahme von Krediten schwierig. Im Rahmen einer Kreditwürdigkeitsprüfung wird der Kreditgeber den Ausschluss der persönlichen Haftung grundsätzlich negativ beurteilen. Er hat im Fall der Zahlungsunfähigkeit des Unternehmens größere Probleme seine Forderungen einzutreiben, wenn nicht auf das Privatvermögen der Eigentümer zugegriffen werden kann. Außerdem kann er den Haftungsausschluss als negative Signalwirkung interpretieren, da die Gesellschafter womöglich selbst Zweifel am Unternehmenserfolg haben. Um die Nachteile zu relativieren, kann das Privatvermögen der Gesellschafter bei der Kreditaufnahme wieder in die Haftung eingeschlossen werden, z.B. mit einer persönlichen Bürgschaft oder durch das Stellen von Sicherheiten. Die Geschäftsleitung besitzt ein Interesse an einer optimalen Führung des Unternehmens. Sie kann, wie das IT-Management, sowohl institutionell als auch funktionell definiert werden. Die institutionelle Geschäftsleitung umfasst die Personen, die Aufgaben der Geschäftsleitung wahrnehmen und entsprechende Stellen in der Organisation ausfüllen. Bei den Gesellschaftsformen GBR, KG, KGaA und OHG sind die Gesellschafter in der Regel gleichzeitig Mitglied der Geschäftsleitung. <?page no="30"?> 1.4 Stakeholder des IT-Managements 29 www.uvk-lucius.de/ it-management Die funktionelle Geschäftsleitung umfasst alle Aufgaben der Geschäftsleitung. Dazu gehören die Führungsaufgaben im Innenverhältnis des Unternehmens und die Vertretung des Unternehmens in allen Rechtsgeschäften im Außenverhältnis. Die Geschäftsleitung ist zur ordnungsgemäßen Geschäftsleitung verpflichtet. Für Kapitalgesellschaften ist dies sogar gesetzlich vorgeschrieben (§ 43 Abs. 1 GmbHG, § 93 Abs. 1 Satz 1 AktG). Unter anderem muss eine ordnungsmäßige Buchführung durch die Geschäftsleitung sichergestellt werden (§ 238 Abs. 1 HGB). Sie muss dafür sorgen, dass alle Angaben in der Buchführung richtig, willkürfrei, klar, übersichtlich, detailliert und vollständig sind. Durch Gesellschaftsvertrag, Anstellungsvertrag oder Gesellschafterbeschluss kann die Geschäftsleitung an weitere Vorgaben gebunden sein. Die Fachabteilungen haben ein Interesse an der zeitnahen, kostengünstigen und qualitativ hochwertigen Befriedigung ihres Bedarfs bezüglich IT. Dazu gehören zum einen alle technischen Hilfsmittel, die zur geschäftlichen Aufgabenerfüllung durch die Fachabteilung benötigt werden, und zum anderen die Umsetzung neuer Anforderungen an die IT, die sich aus Projekten oder geändertem Bedarf ergeben. Fachabteilungen sind Organisationseinheiten in einer Stab- Linien-Organisation, die mehrere gleichartige Stellen zusammenfassen. Diese Stellen haben einen ähnlichen oder zusammenhängenden Aufgabenbereich und denselben Vorgesetzten. Aufgrund der Zusammenfassung der Stellen zu einer Abteilung kann die Kommunikation und Koordination zwischen diesen Stellen verbessert werden. Die Beauftragung neuer technischer Lösungen erfolgt in der Regel durch ein Fachkonzept. Hier werden alle funktionalen Anforderungen aus Sicht der Fachabteilung beschrieben. Unter anderem kann eine Prozessbeschreibung enthalten sein. Im Anschluss an das Fachkonzept erfolgt die Erstellung eines technischen Konzepts, auch DV-Konzept, das aus technischer Sicht die Voraussetzungen und Spezifikationen der notwendigen Datenverarbeitung beschreibt. Das technische Konzept wird grundsätzlich durch die IT-Abteilung verfasst. Das Fachkonzept kann in ein Lastenheft eingehen, welches neben funktionalen Anforderungen noch weitere Vorga- <?page no="31"?> 30 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management ben, z.B. zur Projektplanung, enthält. Das technische Konzept kann Bestandteil eines Pflichtenhefts sein, das Realisierungsvorgaben für alle Anforderungen und Vorgaben aus dem Lastenheft spezifiziert. Lasten- und Pflichtenheft werden meist bei externen Ausschreibungen von Aufträgen verwendet. Das Interesse der Mitarbeiter bezieht sich auf den Empfang von Dienstleistungen zur Unterstützung und Beratung in Bezug auf alle IT-Themen. Um ihre Entlohnung zu sichern und zu verbessern, sind sie außerdem an einem effektiven Einsatz ihrer Arbeitsleistung interessiert. Mitarbeiter stehen mit dem Unternehmen in einem Arbeitnehmer-Arbeitgeber-Verhältnis, das über einen Arbeitsvertrag geregelt ist. Der Arbeitsvertrag ist eine Unterart des Dienstvertrags und verpflichtet den Arbeitnehmer zur Erbringung der vereinbarten Arbeitsleistung sowie den Arbeitgeber zur Vergütung dieser Arbeitsleistung. Daneben existieren weitere sekundäre Pflichten, wie z.B. die Verschwiegenheitspflicht des Arbeitnehmers und die Fürsorgepflicht des Arbeitgebers. Die Motivation der Mitarbeiter zur Leistungserbringung kann intrinsisch oder extrinsisch sein. Bei der intrinsischen Motivation hat der Mitarbeiter ein selbst- oder eigenbestimmtes Interesse an der Leistungserbringung. Der Mitarbeiter erfährt beu der Arbeit eine Selbsterfüllung, z.B. weil sie ihm Spaß macht oder er sie aufgrund seines eigenen Verständnisses als selbstverständlich erachtet. Bei der extrinsischen Motivation wird der Mitarbeiter durch externe Faktoren zur Leistungserbringung angetrieben. Diese können die finanzielle Vergütung, externe Erwartungshaltungen oder ein Interesse am Unternehmenserfolg sein. Externe Kunden, die Dienstleistungen oder Waren von einem Unternehmen erwerben, sind an niedrigen Preisen und hoher Qualität interessiert. Wenn das Unternehmen in der IT-Branche tätig ist, haben die Tätigkeiten des IT-Managements direkten Einfluss auf die Kernprozesse des Unternehmens, und damit auf die Produktion von Dienstleistungen oder Waren. Andernfalls beeinflussen sie die Unterstützungsprozesse, die sich indirekt auswirken. <?page no="32"?> 1.4 Stakeholder des IT-Managements 31 www.uvk-lucius.de/ it-management Die Geschäftsbeziehung zwischen Kunde und Unternehmen wird im deutschen Rechtssystem gemäß dem Abstraktionsprinzip in eine schuld- und sachrechtliche Komponente getrennt. Die schuldrechtliche Komponente ist das Verpflichtungsgeschäft, bei dem sich die Geschäftspartner zur Durchführung eines Geschäfts verpflichten. Die sachrechtliche Komponente ist das Erfüllungsgeschäft, bei dem die geschuldete Leistung bewirkt wird. Beim Handel mit Waren oder Dienstleistungen gehen die Geschäftspartner im Rahmen des Verpflichtungsgeschäfts folgende Verpflichtungen ein: Der Kunde verpflichtet sich durch den Kauf, die Zahlung für eine Ware (Kaufvertrag gemäß § 433 BGB) oder Dienstleistung zu tätigen (Dienstvertrag gemäß § 611 BGB). Das Unternehmen verpflichtet sich durch den Verkauf, im Gegenzug die Ware an den Kunden zu übergeben (§ 929 Satz 1 BGB) oder die Dienstleistung für den Kunden zu erbringen. Beispiele für Verpflichtungsgeschäfte sind die mündliche Willenserklärung in einem Kaufhaus oder das Tätigen einer Bestellung in einem Online-Shop. Das Verpflichtungsgeschäft wird oft auch durch konkludentes Handeln begründet. Ein Beispiel dafür ist das Ablegen eines Artikels auf ein Kassenband. Durch das Verpflichtungsgeschäft geht das Eigentum an einer Ware vom Unternehmen auf den Kunden über oder der Kunde erwirbt eine Forderung auf eine Dienstleistung. Das Schuldverhältnis aus dem Verpflichtungsgeschäft erlischt durch das Erfüllungsgeschäft, bei dem die geschuldete Leistung an den Gläubiger bewirkt wird (§ 362 Abs. 1 BGB). In der Praxis beinhaltet das Erfüllungsgeschäft zum einen die Übergabe der Ware vom Unternehmen an den Kunden oder die Erbringung einer Dienstleistung. Im Fall der Übergabe einer Ware geht nun auch der Besitz an der Ware auf den Kunden über. Zum anderen tätigt der Kunde die Zahlung, indem dieser z.B. Bargeld übergibt oder das Unternehmen z.B. mittels Debit- oder Kredit-Karte zum Einzug von Buchgeld berechtigt. Durch die Einzugsberechtigung erwirbt das Unternehmen eine <?page no="33"?> 32 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management neue Forderung gegenüber dem Kunden. Diese neue Forderung tritt erfüllungshalber neben die alte Forderung des Kaufpreises (§ 364 Abs. 2 BGB). Das Unternehmen muss zuerst aus dieser neuen Forderung Befriedigung suchen. Sollte eine Befriedigung aus der neuen Forderung nicht möglich sein, z.B. wenn das Konto nicht gedeckt ist, dann besitzt das Unternehmen noch die ursprüngliche Forderung, die es zivilrechtlich geltend machen kann. Dienstleister stehen mit dem Unternehmen in Geschäftsbeziehung und erbringen eine vereinbarte Dienstleistung. Sie haben ein Interesse an der Zahlungsfähigkeit (Solvenz) des Unternehmens und an einer Leistungserbringung, die für das Unternehmen zufriedenstellend ist. Die Geschäftsbeziehung zwischen Unternehmen und Dienstleister kann anhand der Vertragsform ein Werkvertrag oder ein Dienstvertrag sein. Beim Werkvertrag (§§ 631 ff. BGB) verpflichtet sich der Dienstleister zur Erbringung einer erfolgreichen Leistung und das Unternehmen zur Zahlung einer vereinbarten Vergütung. Im Gegensatz dazu wird beim Dienstvertrag (§§ 611 ff. BGB) ausschließlich die Erbringung der Leistung vereinbart und nicht der Erfolg. Ein weiterer Unterschied ist, dass der Dienstvertrag den Charakter eines Dauerschuldverhältnisses haben kann, wie z.B. beim Arbeitsvertrag. Dabei wird nicht nur die einmalige Leistung, sondern ein dauerhaftes Verhältnis mit wiederkehrenden Aktivitäten vereinbart. Die Geschäftsbeziehung zwischen dem Unternehmen und Lieferanten basiert auf einem Kaufvertrag. Ein Lieferant verpflichtet sich zur Übergabe einer Sache, wie z.B. Hardwarekomponenten, und das Unternehmen zur Zahlung des geschuldeten Kaufpreises. Lieferanten haben ebenfalls ein Interesse an der Zahlungsfähigkeit (Solvenz) des Unternehmens. Im Gegensatz zu Dienstleistern erfolgt die Bezahlung häufig vor Übergabe der Sache, wodurch sich der Lieferant vor Zahlungsunfähigkeit des Unternehmens schützen kann. Außerdem sind Lieferanten da- <?page no="34"?> 1.4 Stakeholder des IT-Managements 33 www.uvk-lucius.de/ it-management ran interessiert, dass die Beschaffenheit der Sache für das Unternehmen zufriedenstellend ist. Im Gegensatz zu Kaufverträgen zwischen einem Kunden, der als Verbraucher (§ 13 BGB) eingestuft wird, und einem Unternehmen besteht bei Kaufverträgen zwischen zwei Unternehmen die häufig genutzte Möglichkeit, die Gewährleistung auszuschließen. Die Gewährleistung gibt dem Käufer einer Sache das Recht, bei Mängeln Nacherfüllung, Rücktritt oder Kaufminderung zu erlangen. Mängel können durch Abweichungen von der vereinbarten Beschaffenheit der Sache (Sachmängel gemäß § 434 BGB) oder durch Rechtsansprüche von Dritten an der Sache (Rechtsmängel gemäß § 435 BGB) entstehen. Außerdem ist das Widerrufsrecht (§ 355 BGB) bei Kaufverträgen zwischen zwei Unternehmen nicht vorhanden. Demgegenüber kann ein Verbraucher z.B. bei Haustürgeschäften oder Fernabsatzverträgen vom Kaufvertrag zurückzutreten. Das Interesse von Kontrollorganen an der IT eines Unternehmens besteht darin, dass vorgeschriebene Regeln eingehalten werden. Regeln schreiben der IT ein bestimmtes Verhalten oder einen bestimmten Zustand vor, der eingehalten werden soll. Kontrollorgane ist ein Oberbegriff für alle staatlichen oder privaten Unternehmen oder Zusammenschlüsse, die mandatorische oder fakultative Regeln für das Unternehmen vorgeben. Mandatorische Regeln müssen durch das Unternehmen eingehalten werden und finden sich z.B. in Gesetzen wieder. Fakultative Regeln können durch das Unternehmen auf freiwilliger Basis eingehalten werden. Während das Unternehmen mandatorische Regeln einhält, um die negativen Auswirkungen einer Nichteinhaltung zu verhindern, wie z.B. Strafzahlungen, hält das Unternehmen fakultative Regeln ein, weil es sich daraus Vorteile verspricht. Ein häufiges Ziel ist die Standardisierung von Prozessen oder Produkten. Dadurch können zum einen interne Tätigkeiten effizienter gestaltet, der Ressourceneinsatz verbessert sowie zum anderen eine positive Außenwirkung erreicht werden. Dies kann zu Wettbewerbsvorteilen gegenüber Unternehmen führen, die diese Regeln nicht einhalten. Um die Einhaltung von fakultativen Regeln zu verbriefen, werden am Markt <?page no="35"?> 34 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management Zertifizierungen angeboten, die eine Prüfung durch unabhängige Dritte umfassen. Das Erreichen der Zertifizierung kann mit einem Zertifikat nachgewiesen werden und wird häufig als aktive Werbemaßnahme durch das Marketing genutzt. 11..55 SSttaakkeeh hoolld deer raannaallyyssee Die Stakeholderanalyse kann dazu genutzt werden, um vor der Durchführung eines Vorhabens, z.B. eines Projektes, das Umfeld in Bezug auf Stakeholder transparent zu machen. Für den Erfolg eines Vorhabens ist es von grundlegender Bedeutung, kooperierende gegenüber konkurrierenden Stakeholdern abgrenzen zu können. Eine zielgerichtete Berücksichtigung von Stakeholderinteressen kann kooperierende Stakeholder zur Unterstützung anregen und konkurrierende Stakeholder von Widerständen abhalten. So können wichtige Entscheidungsträger im Unternehmen vom Vorhaben überzeugt werden und im optimalen Fall das Vorhaben auf Ebene des Senior Managements befürworten. Daraus ergeben sich z.B. Vorteile in Bezug auf Budgetierung und Priorisierung des Vorhabens. Die Stakeholderanalyse ist von einer hohen Subjektivität geprägt, da sowohl durch die Analysierenden als auch durch die Analysierten individuelle Einschätzungen getroffen werden. Um die Subjektivität der Analysierenden zu reduzieren, bietet sich die Zusammenstellung einer Kommission an. Diese kann im Gegensatz zu einem einzelnen Analysierenden eher objektive und nachvollziehbare Einschätzungen finden. Die Besetzung der Kommission sollte aus einem heterogenen Personenkreis bestehen, um durch unterschiedliche Sichtweisen eine möglichst umfassende Identifikation und Bewertung von Stakeholdern und ihren Interessen zu erreichen. Außerdem sollte das Analyseverfahren innerhalb der Kommission möglichst vereinheitlicht und umfassend protokolliert werden. Dadurch wird die Nach- <?page no="36"?> 1.5 Stakeholderanalyse 35 www.uvk-lucius.de/ it-management vollziehbarkeit nicht nur innerhalb der Kommission, sondern auch gegenüber Außenstehenden stark erhöht. Die Analysierten wählen ihre Interessen meist subjektiv. Eine Reduzierung dieser Subjektivität kann im Rahmen der Stakeholderanalyse nicht erreicht werden, da die Interessensauswahl als Ergebnis eines abgeschlossenen Entscheidungsprozesses bereits vorgegeben ist. Allerdings kann durch Befragung der Stakeholder eine Transparenz über die Interessen geschaffen werden, so dass die Interessenauswahl der Stakeholder verständlich wird und damit zumindest eine Intersubjektivität geschaffen werden kann. Die Stakeholderanalyse umfasst in Anlehnung an Resch die folgenden sechs Schritte (Resch 2012, S. 128 ff.): [1] Definition von Ziel, Scope und Granularität: Nachdem das Vorhaben als gegeben angesehen werden kann, müssen zunächst die weiteren Rahmenbedingungen für die Stakeholderanalyse festgelegt werden. Das Ziel beschreibt, warum die Stakeholderanalyse ausgeführt werden soll. Z.B. können die Adressaten für Unterstützungsmaßnahmen identifiziert und hinzugezogen werden. Oder es soll verhindert werden, dass einzelne Stakeholder das Vorhaben blockieren oder zum Scheitern bringen (Showstopper). Der Scope gibt an, welcher Betrachtungsausschnitt bei der Identifikation der Stakeholder zugrunde gelegt werden soll. Z.B. können interne oder externe Stakeholder, Manager oder alle Mitarbeiter sowie das In- oder Ausland als Abgrenzung dienen. Die Granularität bezieht sich darauf, wie stark die Betrachtung der Stakeholder abstrahiert wird. Ein hoher Abstraktionsgrad führt dazu, dass Personengruppen, wie z.B. Unternehmen, als Stakeholder betrachtet werden. Ein niedriger Abstraktionsgrad führt dazu, dass einzelne Personen als Stakeholder betrachtet werden. Dazwischen befinden sich weitere Abstraktionsgrade, z.B. Abteilungen. <?page no="37"?> 36 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management [2] Identifikation und Auswahl von Stakeholdern: Durch die geplante Berücksichtigung von Stakeholderinteressen besitzt die Rolle eines Stakeholders eine gewisse Attraktivität. Potenzielle Stakeholder werden also bemüht sein, in die Gruppe der ausgewählten Stakeholder aufgenommen zu werden. Demgegenüber steht jedoch der Arbeitsaufwand der Analysierenden, welche nicht nur die Analyse an sich, sondern auch die Kommunikation mit den Stakeholdern übernehmen. Daher sollten nur diejenigen Stakeholder ausgewählt werden, die einen wesentlichen Einfluss auf den Erfolg des Vorhabens besitzen. Ähnliche Stakeholder können zu Stakeholdergruppen zusammengefasst werden. [3] Priorisierung von Stakeholdern: Das Ziel dieses Schritts ist die Erstellung einer Rangfolge in Bezug auf die Einflussstärke von Stakeholdern. Hierzu muss zunächst der Einfluss jedes Stakeholders auf den Erfolg des Vorhabens gemessen werden. Zur Messung eignen sich Attribute, deren Werte auf einer nominalen, ordinalen oder kardinalen Skala eingeordnet werden können. Macht, Involvierung und Berechtigung sind Beispiele für die ordinale Skala. Mithilfe von Gewichten können die Attributswerte zu einer Bewertung der Einflussstärke aggregiert werden. Dabei ist es möglich, dass ein Stakeholder absolut betrachtet eine sehr wichtige Position im Unternehmen innehält, z.B. ein Bereichsleiter, jedoch relativ betrachtet nur unwesentlichen Einfluss auf das Vorhaben besitzt. [4] Identifikation der Stakeholderinteressen: Die Interessen sollen hierbei so detailliert betrachtet werden, dass erkennbar ist, ob Stakeholder dem Vorgehen gegenüber positiv oder negativ eingestellt sind. Teilweise können sich hierbei Überschneidungen mit dem IT- Demand Management ergeben, da auch hier mit Anforderungen an die IT umgegangen wird. Die Detaillierungsebene ist im Rahmen der Stakeholderanalyse jedoch eher auf einem abstrakteren Niveau angesiedelt. <?page no="38"?> 1.5 Stakeholderanalyse 37 www.uvk-lucius.de/ it-management [5] Stakeholdermap: Die Stakeholdermap ermöglicht die Visualisierung der bisherigen Feststellungen und gibt einen Überblick über Prioritäten, Interessenskonkruenzen und -konflikte der Stakeholder. Abb. 10: Stakeholdermap [6] Berücksichtigung der Stakeholderinteressen: Die Stakeholderinteressen können durch die Anpassung des Vorhabens oder durch die Umsetzung von zusätzlichen Maßnahmen berücksichtigt werden. Man unterscheidet dabei generell zwischen drei unterschiedlichen Arten der Berücksichtigung: vollständige Bedürfnisbefriedigung: Die Interessen aller ausgewählten Stakeholder werden berücksichtigt. Ausrichtung: Die Interessen einer Teilmenge der ausgewählten Stakeholder werden berücksichtigt. Die Interessen der anderen Stakeholder werden daran angepasst. Dies kann z.B. durch Weisungen erfolgen, die von hierarchisch übergeordneten Stakeholdern erfolgen. Ausbalancierung: Hierbei wird ein Kompromiss zwischen den Interessen der Stakeholder geschaffen. Es wird eine Balance angestrebt, mit der sich alle Stakeholder zufrieden geben können. Stakeholder 1 Stakeholder 4 Stakeholder 3 Stakeholder 2 Interessenkonflikt Interessenkon ruenz Priorität <?page no="39"?> 38 1 Grundlagen des IT-Managements www.uvk-lucius.de/ it-management Fallbeispiel Stakeholderanalyse: Vorhaben: Die IT-Abteilung des Unternehmens möchte die Kosten für IT-Services mithilfe von IT-Chargeback gegenüber internen Kostenstellen verrechnen. [1] Definition von Ziel, Scope und Granularität: Ziel: Eine Behinderung des Vorhabens soll ausgeschlossen werden. Scope: interne Stakeholder der IT-Abteilung Granularität: Organisationseinheiten [2] Identifikation und Auswahl von Stakeholdern: Eigentümer, Geschäftsleitung, Fachabteilungen, Mitarbeiter [3] Priorisierung von Stakeholdern: Eigentümer: hoch Geschäftsleitung: hoch Fachabteilungen: mittel Mitarbeiter: niedrig [4] Identifikation der Stakeholderinteressen: Eigentümer: Gewinnmaximierung (+) Geschäftsleitung: Steuerung (+) Fachabteilungen: interne Kostenkontrolle (+) Mitarbeiter: Arbeitsaufwand (-) [5] Stakeholdermap: Abb. 11: Stakeholdermap zum Fallbeispiel [6] Berücksichtigung der Stakeholderinteressen: Es erfolgt eine Ausrichtung der Interessen der Mitarbeiter an den Interessen von Eigentümern, Geschäftsführung und Eigentümer Mitarbeiter Fachabteilungen Geschäftsleitung Interessenkonflikt Interessenkon ruenz Priorität <?page no="40"?> 1.6 Literatur zu Kapitel 1 39 Fachabteilungen. Die Interessen der Mitarbeiter werden durch Zielvereinbarungen angepasst, in denen die Mitarbeiterziele an Kostenreduzierungen orientiert werden. Zur Kalkulation der internen Kosten soll wiederum das IT- Chargeback genutzt werden. 11..66 LLiit teerraattuur r zzuu K Kaappiitteel l 1 1 Resch, O. (2012) Stakeholdermanagement in IT-Projekten. In: Kammerer, S.; Amberg, M.; Lang, M. (Hrsg.): Führung im IT- Projekt: Fachliche und soziale Kompetenzen für den Projekterfolg, Düsseldorf 2012 Schreyögg, G.; Koch, J. (2007) Grundlagen des Managements: Basiswissen für Studium und Praxis, Wiesbaden 2007 Zollondz, H.-D. (2011) Grundlagen Qualitätsmanagement: Einführung in Geschichte, Begriffe, Systeme und Konzepte, 3. Auflage, München 2011 <?page no="42"?> www.uvk-lucius.de/ it-management 22 IITT--SSttrraatteeggiiee Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie häufig verwendete Begriffe rund um die IT-Strategie kennen und verwenden können, die Unterschiede zwischen Vision, Strategie, Taktik, Ziel und Mission aufzeigen können, die mögliche Einbindung der IT in die Strategie eines Unternehmens erläutern können, Werkzeuge zur Entwicklung einer Strategie anwenden können, darlegen können, wie man die Umsetzung einer Strategie unterstützen kann, das Umfeld eines Unternehmens analysieren können, die Situation eines Unternehmens aus strategischer Sicht beurteilen können, erklären können, wie Ziele gefunden und formuliert werden können, Techniken anwenden können, die eine Entscheidungsfindung formalisieren und unterstützen. 22..11 GGrruun nddlla aggeen n Um den Begriff Strategie zu verstehen und von verwandten Begriffen abgrenzen zu können, werden zunächst Vision, Strategie, Taktik, Ziel und Mission definiert: Eine Vision ist die Beschreibung eines Zustands, in dem sich das Unternehmen in Zukunft befinden möchte. Dabei spielt der Weg dorthin keine Rolle. Ob der Zustand tatsächlich erreicht werden kann, ist sehr ungewiss. Z.B. könnte ein Beratungsun- <?page no="43"?> 42 2 IT-Strategie www.uvk-lucius.de/ it-management ternehmen die Vision haben, in der Region das angesehenste und profitabelste Beratungsunternehmen für die IT-Branche zu sein. Eine Strategie beschreibt ein langfristiges Vorgehen, das jedoch noch sehr abstrakt und allgemein gehalten ist. Sie deutet an, wie die Vision generell erreicht werden kann. Das Beratungsunternehmen könnte eine hohe Beratungsqualität durch die Orientierung an Standards und Best Practices erzielen wollen. Eine Taktik leitet sich aus der Strategie ab und ist ein etwas spezifischeres, mittelfristig durchzuführendes Vorgehen, das für die Zielerreichung förderlich ist. Das Beratungsunternehmen könnte die Taktik verfolgen, ein Beratungs-Toolkit zu entwickeln, dass den Kunden die selbstständige Recherche in einer Informationssammlung zu vergangenen Beratungsvorgängen erlaubt. Ein Ziel ist ein angestrebter Zustand des Unternehmens, der qualitativ und langfristig ausgerichtet ist und auf einer realitätsbezogenen Einschätzung beruht. Das Beratungsunternehmen könnte das Ziel haben, seinen Kunden überdurchschnittlich hohe Beratungsqualität anzubieten. Ein Ziel wird in der Regel mithilfe von Zwischenzielen detailliert und quantifiziert. Sie sind kurzbis mittelfristig orientiert und an feste Termine gebunden. Das Beratungsunternehmen könnte das genannte Ziel mit dem Zwischenziel detaillieren, im zweiten Quartal eines bestimmten Jahres von 80 % seiner Kunden positives Feedback im Rahmen einer schriftlichen Evaluation zu erhalten. Eine Mission beschreibt die operativen Geschäftstätigkeiten eines Unternehmens. Diese sind die täglich anfallenden Aufgaben, welche die Basis für die Gewinnerzielung des Unternehmens bilden. Das Beratungsunternehmen könnte die Mission haben, Beratungsleistungen für alle IT-Unternehmen in der Region auszuführen. Je nachdem wie IT und Geschäftsmodell des Unternehmens zueinander in Beziehung stehen, unterscheidet man zwei strategische Ausrichtungen: <?page no="44"?> 2.1 Grundlagen 43 www.uvk-lucius.de/ it-management Das IT-Alignment ist die Ausrichtung der IT am Geschäftsmodell des Unternehmens. Die IT erhält Impulse aus der geschäftlichen Welt und passt sich daran an. Die IT fokussiert sich auf die Bedürfnisse von internen und externen Kunden sowie der Gesamtorganisation. Das IT-Enabling umfasst alle Impulse der IT, die nach außen gesteuert sind. Dadurch bietet die IT den Fachabteilungen nicht nur eine passive Unterstützung, sondern auch eine aktive Weiterentwicklung. Die IT ermöglicht die Realisierung neuer geschäftlicher Chancen durch neue Technologien und kann somit zu einer Ausrichtung des Geschäftsmodells an der IT führen. Die IT-Strategie ist eine Strategie, die für oder durch die IT des Unternehmens festgelegt wurde oder eine starke Beziehung zur IT besitzt. Rund um das Management von IT-Strategien sind folgende Aufgabenfelder von Bedeutung: Um die Entwicklung einer IT-Strategie zu unterstützen, können das Business Motivation Modell, die Produkt-Markt- Matrix und das Enterprise Wide Information Management eingesetzt werden. Für die Umsetzung einer IT-Strategie sind die Balanced Scorecard und das Management von IT-Investitionen geeignet. Für die Umfeldanalyse eines Unternehmens eignen sich das Fünf-Kräfte-Modell und die STEP-Analyse. Die Umfeldanalyse kann sowohl vor der Entwicklung als auch zur späteren Anpassung einer bestehenden IT-Strategie eingesetzt werden. Für die Situationsanalyse eines Unternehmens eignen sich die BCG-Matrix, die SWOT-Matrix und die Bedeutungsmatrix von McFarlan. Auch die Situationsanalyse kann im Rahmen von Entwicklung und Anpassung einer IT-Strategie eingesetzt werden. Eine Zielfindung erfolgt in der Regel im Anschluss an die Festlegung einer IT-Strategie und kann mit der SMART- Methode und der Technology Roadmap unterstützt werden. Immer wenn eine Entscheidungsfindung bei einer Auswahl zwischen Alternativen erforderlich ist, kommen vor allem die Nutzwertanalyse und der Analytic Hierarchy Process in Frage. <?page no="45"?> 44 2 IT-Strategie www.uvk-lucius.de/ it-management 22..22 SSttrraatteeg giie ee en nttwwiic ckkllu un ngg 22..22..11 BBuussiinneessss MMoottiivvaattiioonn M Mooddeellll Das Business Motivation Modell der Object Management Group (OMG 2010) ist ein Werkzeug, um Geschäftspläne zu entwickeln, zu kommunizieren und zu verwalten. Im Speziellen werden beim Business Motivation Modell Faktoren identifiziert, die zur Erstellung eines Geschäftsplans motivieren. Die Elemente des Geschäftsplans werden identifiziert und definiert. Außerdem wird das Zusammenwirken aller Faktoren verdeutlicht. Die wichtigsten Elemente des Business Motivation Modells sind der Endzustand, die Mittel, Einflüsse und Bewertungen. Abb. 12: Elemente des Business Motivation Modells Mittel Mittel Bewertungen der Einflüsse Bewertungen der Einflüsse Mission Mission Vorgehensweisen Vorgehensweisen Strategien Taktiken Direktiven Direktiven Richtlinien Regeln Endzustand Endzustand Vision Vision Ziele Ziele Hauptziel Zwischenziel Einflüsse Einflüsse interne Einflüsse interne Einflüsse externe Einflüsse externe Einflüsse Bewertung Anpassung Erreichung Auswirkung Auswirkung Anpassung <?page no="46"?> 2.2 Strategieentwicklung 45 www.uvk-lucius.de/ it-management Der Endzustand beschreibt, was ein Unternehmen erreichen möchte. Das kann z.B. die Marktführerschaft oder die Verteidigung der aktuellen Marktposition betreffen. Zum Ende gehören die Vision und Ziele. Die Vision ist ein übergreifendes Wunschbild über die Zukunft des Unternehmens. Sie beschreibt einen erwünschten Zustand. Die Ziele sind spezifischer und basieren auf realitätsbezogenen Einschätzungen. Sie werden in Haupt- und Zwischenziele unterteilt. Hauptziele sind eher langfristig und qualitativ ausgerichtet. Zwischenziele sind eher kurzfristig und quantitativ ausgerichtet. Sie sind an genaue Fristen gebunden und ihre Erreichung kann mithilfe von Kriterien gemessen werden. Die Mittel beschreiben, was ein Unternehmen tun will, um das Ende zu erreichen. Dazu gehören die Mission, Vorgehensweisen und Direktiven. Die Mission beschreibt den laufenden Betrieb des Unternehmens und sollte so weit gefasst sein, dass sie alle Geschäftstätigkeiten des Unternehmens berücksichtigt. Die Vorgehensweisen sind Maßnahmen, z.B. in Bezug auf Personen, Objekte und Prozesse, um die Arbeitsleistungen im Unternehmen auf festgelegte Ziele auszurichten. Sie umfassen Strategien (langfristig und abstrakt) und Taktiken (mittelfristig und etwas spezifischer). Die Direktiven umfassen Richtlinien und Regeln. Richtlinien steuern, leiten und formen Strategien und Taktiken. Regeln werden von Richtlinien abgeleitet. Sie sind praktikabler und weniger formal. Die Einflüsse können Änderungen verursachen, die sich im Unternehmen auf den Einsatz der Mittel oder die Erreichung des Endes auswirken. Der Ursprung der Einflüsse kann intern, innerhalb des Unternehmens, oder extern, außerhalb des Unternehmens, sein. Die Bewertungen werden durch ein Unternehmen durchgeführt, um die Auswirkungen von Einflüssen auf den Einsatz der <?page no="47"?> 46 2 IT-Strategie www.uvk-lucius.de/ it-management Mittel und die Erreichung des Endes festzustellen. Basierend auf diesen Bewertungen können die Mittel und das Ende angepasst werden. Fallbeispiel Business Motivation Modell: Ein Hotel erstellt einen neuen Geschäftsplan. Hierzu werden die Elemente des Business Motivation Modells als Grundlage genutzt. Endzustand: Vision: Das beste Hotel im Stadtteil werden. Hauptziele: Qualität der Dienstleistungen verbessern, 4- Sterne-Bewertung erhalten. Zwischenziele: Die Anzahl der mündlichen und schriftlichen Kundenbeschwerden im 1. Halbjahr des Jahres sollen im Vergleich zum vorherigen Halbjahr um 10 % sinken. Die Ausstattung des Hotels soll bis Ende des Jahres im Hinblick auf eine 4-Sterne-Bewertung erweitert werden. Mittel: Mission: Gehobene preisgünstige Hotelunterkünfte für Urlauber und Geschäftsreisende anbieten. - Strategien: Ein gehobenes Qualitätsniveau für alle Dienstleistungen sicherstellen. Die hohe Arbeitsqualität des Hotelpersonals aufrechterhalten. - Taktiken: Die Dienstleistungen durch Kunden bewerten lassen und Verbesserungsmaßnahmen ableiten. Hotelpersonal mindestens einmal im Jahr weiterbilden. - Richtlinien: Die Kundenzufriedenheit steht an oberster Stelle. Kundenfeedback soll immer erfragt werden. - Regeln: Alle externen Kundenanfragen sollen innerhalb einer Stunde beantwortet werden. Beim Auschecken eines Hotelgasts soll immer ein Feedbackbogen durch das Hotelpersonal ausgehändigt werden. Einflüsse: intern: Hotelgäste, Hotelpersonal extern: Lieferanten, Zertifizierer, Reiseattraktivität der Stadt <?page no="48"?> 2.2 Strategieentwicklung 47 www.uvk-lucius.de/ it-management Bewertungen: interne Einflüsse: Diese wurden bereits bei der Definition der Elemente berücksichtigt. externe Einflüsse: In Bezug auf Lieferanten kann z.B. bei der Nichtlieferbarkeit von wichtigen Ausstattungen die Anpassung des Zwischenziels Ausstattung notwendig werden. Zertifizierer wurden bei der gewünschten 4-Sterne- Bewertung berücksichtigt. In Bezug auf die Reiseattraktivität der Stadt kann z.B. bei einer steigenden Attraktivität, und damit einer wachsenden Konkurrenz, die Anpassung des Zwischenziels Kundenbeschwerden notwendig werden. 22..22..22 PPr roodduukktt--MMaarrkktt--MMaattrriixx Die Produkt-Markt-Matrix (Ansoff 1957) ist ein Werkzeug für die strategische Planung von Unternehmen, die das Wachstum ihrer Geschäfte anstreben. Die Matrix berücksichtigt die zwei Dimensionen Markt und Produkt. Die Strategie in Bezug auf Markt und Produkt kann jeweils beibehalten oder erneuert werden. Je nachdem, wie das Unternehmen Wachstum erreichen will, kann eine von vier möglichen Produkt-Markt-Kombinationen ausgewählt werden, die in der Matrix in Form von Quadranten dargestellt werden. Abb. 13: Produkt-Markt-Matrix Marktentwicklung Marktdurchdringung Produktentwicklung Diversifikation neue Märkte bestehende Produkte bestehende Märkte neue Produkte <?page no="49"?> 48 2 IT-Strategie www.uvk-lucius.de/ it-management Die Marktdurchdringung ist die Erhöhung des Marktanteils im bestehenden Markt mit den bestehenden Produkten. Hierbei werden Stamm- und Neukunden aus dem bestehenden Markt zum Kauf eines bereits bekannten Produkts angeregt. Die Marktentwicklung liegt vor, wenn die Produkte bestehen bleiben, jedoch der Zielmarkt für die Produkte neu ausgerichtet oder erweitert wird. Neue Märkte, z.B. auf überregionaler, nationaler oder internationaler Ebene, können großes Potenzial bieten. Jedoch sind die Erfolgsaussichten in diesen Märkten mit einer Ungewissheit behaftet. Bei der Produktentwicklung bleibt der Markt bestehen, jedoch wird mithilfe von neuen oder veränderten Produkten ein größerer Umsatz angestrebt. Hierbei werden neue Bedürfnisse der Kunden angesprochen. Dieses Vorgehen ist vor allem dann von Vorteil, wenn das Unternehmen einen festen Kundenstamm besitzt, der regelmäßig mit neuen Produkten versorgt werden will. Die Diversifikation umfasst sowohl eine Entwicklung des Markts als auch des Produkts. Hierbei wird ein neuer Markt mit einem neuen Produkt angesprochen. Diese Strategie beinhaltet die größten Potenziale, aber auch die größten Risiken. Man unterscheidet in Bezug auf die Verbindungen zum bisherigen Geschäftsfeld zwischen horizontaler, vertikaler und lateraler Diversifikation: Bei der horizontalen Diversifikation steht das neue Produkt in Zusammenhang mit dem alten Produkt. Z.B. kann ein Einzelhändler, der zuvor Herrenmode verkauft hat, auf Damenmode umsteigen. Bei der vertikalen Diversifikation werden Prozesse in Richtung des Endkunden (Vorwärtsintegration) oder Prozesse in Richtung der Lieferanten (Rückwärtsintegration) durch das Unternehmen selbst ausgeführt. Z.B. kann ein Möbelhersteller direkt an Endkunden verkaufen und somit die Rolle eines Einzelhändlers übernehmen. Die laterale Diversifikation liegt vor, wenn das Unternehmen mit einem völlig neuen Produkt ein neues Geschäftsfeld erschließen will. Z.B. kann ein Bäcker einen Kiosk eröffnen. <?page no="50"?> 2.2 Strategieentwicklung 49 www.uvk-lucius.de/ it-management Fallbeispiel Produkt-Markt-Matrix: Ein Softwarehersteller, der Software zum Abspielen von Video- Dateien selbst hergestellt und direkt über den eigenen Online- Shop verkauft hat, plant in Zukunft auch Software zum Abspielen von Audio-Dateien herzustellen und diese nicht nur über den eigenen Online-Shop, sondern auch über diverse Softwareportale zu vertreiben. Gemäß Produkt-Markt-Matrix handelt es sich um eine Diversifikation. Es wird ein neues Produkt hergestellt und der Markt wird durch die neuen Vertriebswege erweitert. Speziell ist es eine horizontale Diversifikation, da das neue Produkt mit dem alten in Zusammenhang steht. 22..22..33 EEn ntteerrpprriissee WWiiddee I Innffoorrm maattiioonn M Maannaaggeemmeenntt Das Enterprise Wide Information Management (EWIM) Modell (Benson u. Parker 1985) dient der Analyse des Zusammenwirkens von Geschäftsmodell und IT aus strategischer und operativer Sicht. Das Modell trennt ein Unternehmen in die Bereiche Nutzer und Datenverarbeitung. Beide Bereiche haben eine operative und eine strategische Ebene. Dadurch ergeben sich die vier Quadranten strategische Planung, Geschäftsplanung, Informationstechnologie und Informationssystem-Architektur. Die Verbindungen zwischen diesen Quadranten repräsentieren verschiedene Prozesse. Abb. 14: EWIM-Modell Strategische Planung Geschäftsplanung Informationssystem- Architektur Informationstechnologie strategisch Nutzer operativ Datenverarbeitung 1.) 2.) 3.) 4.) 5.) <?page no="51"?> 50 2 IT-Strategie www.uvk-lucius.de/ it-management [1] Ableitung der Geschäftsplanung aus der strategischen Planung: Dieser Prozess bildet die Basis für den operativen Geschäftsbetrieb. Die Ergebnisse der strategischen Planung werden genutzt, um daraus operative Tätigkeiten abzuleiten. Ein direkter Einfluss auf die IT ist hierbei meist nicht vorhanden. [2] Anpassung der Informationssystemarchitektur an die Geschäftsziele: Hierbei wird die IT des Unternehmens so ausgerichtet, dass sie die Geschäftsziele möglichst optimal unterstützen oder sogar erst ermöglichen kann. Unterstützend ist die IT in der Regel in Unternehmen, die nicht in der IT- Branche tätig sind und die IT für die Unterstützung von Kernprozessen nutzen. Für Unternehmen, die in der IT- Branche tätig sind, hat die IT selbst die Rolle eines Kernprozesses und ist unentbehrlich für die Zielerreichung. [3] Beeinflussung der Unternehmensstrategie durch Informationstechnologie: Die IT ist nicht nur passiver Bestandteil des Unternehmens, sondern kann auch aktiv die Strategie beeinflussen. Z.B. können neue technologische Fortschritte bedeutsam für die strategische Planung werden. Eine erleichterte Ausführung von Kernprozessen mithilfe der IT kann zu größeren Kapazitäten oder neuen Potenzialen führen. [4] Begrenzung der Technologieoptionen: In der IT eines Unternehmens existieren aber auch Begrenzungen, z.B. durch Know-how-Mangel, technische Rahmenbedingungen oder Sicherheitsmaßnahmen aufgrund immer gezielterer Hacker-Angriffe. Dies führt dazu, dass die technologischen Möglichkeiten nicht vollständig ausgenutzt werden können. [5] Strategische Ableitung der Informationssystemarchitektur: Die Integration der IT-Planung in die Strategieplanung ist ein Prozess, der die potenziellen Begrenzungen schon im <?page no="52"?> 2.2 Strategieentwicklung 51 www.uvk-lucius.de/ it-management Vorfeld berücksichtigen kann. So hat das Unternehmen die Möglichkeit, die IT bei strategischen und operativen Überlegungen optimal an den Geschäften auszurichten. Fallbeispiel EWIM Ein Unternehmen erhält den staatlichen Auftrag zum Verkauf von Vignetten für die PKW-Maut auf Autobahnen. Aus strategischer Sicht möchte das Unternehmen den Markt für Vignetten durchdringen. Das Geschäft besteht aus dem Verkauf von Maut-Vignetten. Die Informationstechnologie soll den Verkauf mit Point-of-Sale(POS)-Systemen unterstützen. Die Informationssystem-Architektur umfasst die POS-Systeme und die notwendige Infrastruktur. Abb. 15: Fallbeispiel EWIM [1] Aus der strategischen Planung der Marktdurchdringung wird die Geschäftsplanung abgeleitet, die den Verkauf von Maut-Vignetten an stationären und mobilen Standorten ermöglicht. [2] Die Informationssystemarchitektur wird an die Geschäftsziele angepasst, indem der Betrieb von POS-Systemen gefordert wird. Diese sollen die Geschäftstätigkeiten zum Vignettenverkauf unterstützen. [3] Die Informationstechnologie beeinflusst die Unternehmensstrategie, da die Verfügbarkeit von mobilen POS-Systemen mit UMTS-Verbindung den mobilen Verkauf von Vignetten ermöglicht, z.B. auf Autobahnen oder Fähren. Die strategische Entscheidung, möglichst viele stationäre Marktdurchdringung Verkauf von Maut-Vignetten POS & Infrastruktur POS-Systeme strategisch Nutzer operativ Datenverarbeitung 1.) 2.) 3.) 4.) 5.) <?page no="53"?> 52 2 IT-Strategie www.uvk-lucius.de/ it-management POS-Systeme zu betreiben, kann durch die Möglichkeiten von mobilen POS-Systemen geändert werden. [4] Die UMTS-Technologie zur Datenübertragung der POS- Systeme ist gleichzeitig auch eine Begrenzung. Gebiete mit fehlender Netzabdeckung können nicht mit mobilen POS- Systemen versorgt werden. [5] Die strategische Ableitung der Informationssystemarchitektur berücksichtigt die Möglichkeiten und Begrenzungen der IT schon im Vorfeld. So kann das Unternehmen die optimale Kombination aus stationären und mobilen POS-Systemen planen. 22..3 3 SSttrraat teeggiieeuumms seettzzuunngg 22..3 3..1 1 BBaallaanncceedd SSccoorre eccaarrd d Die Balanced Scorecard (Kaplan u. Norton 1992) ist ein Werkzeug, das zur strategischen Ausrichtung aller unternehmerischen Aktivitäten und zur Messung von Zielen genutzt werden kann. Dabei können sowohl monetäre und als auch nicht monetäre Messgrößen verwendet werden. In der Balanced Scorecard können verschiedene Perspektiven genutzt werden, welche eine ausgewogenen Zielerstellung und -messung gewährleisten sollen. Die ursprünglich empfohlenen Perspektiven sind Finanzen, Kunden, Prozesse und Innovationen. Sie können jedoch auch individuell angepasst oder erweitert werden. Finanzen: Die Finanzen werden von der Gewinnerwartung der Eigentümer beeinflusst. In dieser Perspektive werden Ziele behandelt, die sich z.B. auf Umsätze, Kosten oder Gewinne beziehen. Die Steigerung der Profitabilität steht dabei in der Regel im Mittelpunkt. Ein steigender Umsatz führt nicht zwingend zu einer <?page no="54"?> 2.3 Strategieumsetzung 53 www.uvk-lucius.de/ it-management höheren Profitabilität, z.B. wenn aufgrund von Kapazitätsproblemen neue Produktionssysteme angeschafft werden müssen. Sinkende Kosten können die Qualität der Produkte negativ beeinflussen, was sich auf die Verkaufszahlen auswirken kann. Kunden: Die Kundenperspektive bezieht sich auf die Konkurrenzfähigkeit des Unternehmens und das Auftreten gegenüber Kunden. Die Kunden sind meist essenziell für die Realisierung von Gewinnen und spielen daher eine primäre Rolle bei der strategischen Ausrichtung des Unternehmens. Mögliche Ziele sind z.B. die Steigerung der Kundenzufriedenheit und die Schaffung eines Alleinstellungsmerkmals. Ziele, welche nicht direkt messbar sind, wie z.B. Kundenzufriedenheit, können mithilfe von Ersatzgrößen, wie der Anzahl der Kundenbeschwerden, gemessen werden. Prozesse: Im Rahmen der Prozessperspektive werden interne Abläufe betrachtet und im Hinblick auf ihre Wertschöpfung optimiert. Ein wichtiger Maßstab für die Bewertung von Abläufen ist die Prozesseffizienz. Effiziente Prozesse haben einen hohen Wertschöpfungsbeitrag und werden verbessert oder weiterentwickelt. Ineffiziente Prozesse haben einen geringen oder sogar keinen Wertschöpfungsbeitrag und werden abgestoßen oder ausgelagert. Außerdem ist auch die Prozessdurchlaufzeit von Bedeutung. Kürzere Durchlaufzeiten verhelfen zu geringerem Lagerbestand und damit auch zu geringerer Kapitalbindung. Die Flexibilität des Unternehmens würde ansteigen. Innovationen: Die Innovationen sind wichtig, um Wachstum des Unternehmens zu fördern. Sie können Wachstum von innen oder von außen fördern. Von innen verhilft z.B. die Weiterbildung der Mitarbeiter zu mehr Wachstum. Neue Produkte können durch eine Steigerung der Verkäufe Wachstum von außen fördern. Um langfristig profitabel zu bleiben, sind Innovationen wichtig. Mit ihnen können antizipierte Marktentwicklungen zum Vorteil des Unternehmens genutzt werden. <?page no="55"?> 54 2 IT-Strategie www.uvk-lucius.de/ it-management Abb. 16: Balanced Scorecard Die Entwicklung einer Balanced Scorecard lässt sich mithilfe der folgenden Schritte skizzieren: [1] Strategieorientierung: Die Strategie des Unternehmens ist die Grundlage für die weiteren Schritte, insbesondere die Zielableitung. Die Strategie ist zwar noch sehr abstrakt und allgemein gehalten, beschreibt allerdings das grundsätzliche Vorgehen und steckt damit den Rahmen für die Ziele ab. [2] Zielableitung: Für jede Perspektive in der Balanced Scorecard werden Ziele aus der Strategie des Unternehmens abgeleitet. Die Ziele können kurzbis langfristig sein und sollten möglichst quantifizierbar sein, um die Messung der Zielerreichung zu ermöglichen. [3] Definition von Messgrößen: Zur Messung der Zielerreichung müssen Messgrößen definiert werden. Sie erhöhen die Transparenz und ermöglichen eine Einschätzung zum Zielerreichungsgrad. Während der Zielbearbeitung können mithilfe von Zwischenständen bereits mögliche Zeitverzögerungen erkannt und z.B. mit mehr Personal entgegengewirkt werden. [4] Festlegung von Maßnahmen: Maßnahmen verhelfen dazu, die zu messenden Aktivitäten oder Zustände den Vorgaben anzupassen, und damit die Finanzen Kunden Ziele Messgrößen Vorgaben Maßnahmen Ziele Messgrößen Vorgaben Maßnahmen Ziele Messgrößen Vorgaben Maßnahmen Ziele Messgrößen Vorgaben Maßnahmen Prozesse Innovationen Vision & Strategie <?page no="56"?> 2.3 Strategieumsetzung 55 www.uvk-lucius.de/ it-management Ziele zu erreichen. Sie haben den Charakter einer Taktik und leiten sich aus den strategischen Zielen ab. Sie beschreiben wie die Strategie ein Vorgehen, sind jedoch spezifischer und zeitlich kurzfristiger. Fallstudie Balanced Scorecard: Ein Softwareunternehmen entwickelt und vertreibt Applikationen für mobile Geräte. Die Strategie des Unternehmens ist das Bewahren einer stabilen konkurrenzfähigen Marktposition mit kontinuierlich wachsendem Umsatz. Das Unternehmen möchte profitabel und auch bei Nachfrageschwankungen finanziell unabhängig bleiben. Die Stammkunden sollen gehalten werden und gleichzeitig soll der Marktanteil durch den Zugewinn von Neukunden erhöht werden. Dies soll durch eine hohe Qualität und neue Funktionen der Applikationen erreicht werden. Ziele Messgrößen Vorgaben Maßnahmen Gewinn Betrag des Gewinns vor Steuern 100.000 EUR pro Geschäftsjahr Reduzierung der Fixkosten Finanzkraft Cash Flow 50.000 EUR sofort verfügbar Auflösung langfristiger Geldanlagen Tab. 1: Fallbeispiel Perspektive Finanzen Ziele Messgrößen Vorgaben Maßnahmen Kundenzufriedenheit Anzahl der Weiterempfehlungen 50 pro Monat Verringerung der Antwortzeiten bei Service-Anfragen Neukundengewinnung Anzahl Neukunden 10 pro Monat Prämien für Neukunden Tab. 2: Fallbeispiel Perspektive Kunden <?page no="57"?> 56 2 IT-Strategie www.uvk-lucius.de/ it-management Ziele Messgrößen Vorgaben Maßnahmen Projekterfolg Abbruchquote von Projekten 10 % oder weniger Schaffung eines Projekt-Office Produktqualität Anzahl Softwarefehler 2 pro Applikation Quellcode prüfen Tab. 3: Fallbeispiel Perspektive Prozesse Ziele Messgrößen Vorgaben Maßnahmen Neuerungen Patentanzahl 5 pro Jahr Erhöhung des Forschungsbudgets Mitarbeiterqualifikation Anteil zertifizierter Mitarbeiter 60 % Kostenübernahme bei Zertifizierungen Tab. 4: Fallbeispiel Perspektive Innovationen 22..33..22 MMaannaaggeemmeenntt vvoonn I ITT--IInnvveessttiittiioonneenn 22..33..22..11 NNuuttz zeen n uunndd KKo osstte en n vvoonn IITT--IInnvvees sttiittiioonneen n Der Return on Investment (ROI) ist ein Maßstab für den Investor, um den finanziellen Nutzen einer Investitionsentscheidung abwägen zu können. Umso höher der ROI, desto höher ist der finanzielle Nutzen für den Investor nach Einsatz der Investitionskosten. Grundlage für die Berechnung des ROI ist die Profitsteigerung, also der zusätzlich generierte Wert, der durch die Investition entstanden ist. ROI = Profitsteigerung : Investitionskosten <?page no="58"?> 2.3 Strategieumsetzung 57 www.uvk-lucius.de/ it-management Problematisch beim ROI als Entscheidungshilfe bei Investitionen ist, dass die Variablen Profitsteigerung und Investitionskosten frei definiert werden können, z.B. sind die Einbeziehung von Verwaltungskosten und der Betrachtungszeitraum variabel. Außerdem findet keine Risikobetrachtung der Investition statt. Die Investitionskosten können mit dem Total Cost of Ownership (TCO) geschätzt werden. Dabei werden nicht nur die Kosten der Anschaffung, sondern auch laufende Betriebs- und Wartungskosten sowie indirekte Kosten berücksichtigt. Die TCO kann beim ROI und bei anderen Kosten/ Nutzen-Betrachtungen verwendet werden. 22..33..22..22 VVaall IITT RRaahhmmeennwweerrkk Val IT (ISACA 2008) ist ein Rahmenwerk, um die Generierung von Wertschöpfungen mithilfe von IT-Investitionen zu unterstützen. Das Rahmenwerk enthält eine Sammlung von Best Practices zur Steuerung von Prozessen. Investitionen werden dabei als Bestandteile eines Portfolios betrachtet. Sie sollen der Wertschöpfung dienen und über den gesamten Lebenszyklus gesteuert werden. Aktivitäten zur Generierung von Wertschöpfung umfassen die Kategorisierung von Investitionen, die Festlegung und Überwachung von Metriken, die Einbeziehung von Stakeholdern sowie die kontinuierliche Überwachung, Bewertung und Verbesserung dieser Aktivitäten. Die Aktivitäten werden auf die drei Domänen Value Governance, Portfolio Management und Investment Management angewendet: Bei der Value Governance wird aus übergeordneter Sicht sichergestellt, dass Investitionen über ihren gesamten Lebenszyklus mit dem Ziel der optimalen Wertschöpfung gesteuert werden. Das Portfolio Management dient der Gesamtbetrachtung aller Investitionen in einem Portfolio und hat das Ziel, eine insgesamt hohe Wertschöpfung zu erreichen. <?page no="59"?> 58 2 IT-Strategie www.uvk-lucius.de/ it-management Beim Investment Management liegt der Schwerpunkt auf der geschäftlichen Bewertung und Verantwortung von einzelnen Investitionsentscheidungen. Abb. 17: Val IT Domänen und Prozesse Fallbeispiel Val IT: Eine Versicherungsholding befindet sich in Liquiditätsproblemen und erlässt die Vorgabe, Kosten soweit wie möglich zu minimieren, ohne die Geschäftstätigkeiten zu beeinträchtigen. Zur Überwachung wird jede Kostenstelle einzeln analysiert und ein Anstieg oder eine dauerhafte Stagnation der Kosten zur Geschäftsleitung eskaliert. Im Portfolio Arbeitsplätze sollen die Gesamtkosten für Lizenzen und Support verringert werden. Investitionen dürfen nicht zu einem Anstieg der durchschnittlichen Kosten führen. Bei Objekten, die während ihres Lebenszyklus zu einem Anstieg der durchschnittlichen Kosten führen, sollen kleinere Wartungsintervalle und Nachverhandlungen mit dem Lizenzgeber durchgeführt werden. Eine neue Investition wird nur genehmigt, wenn sie unmittelbar der Wertschöpfung dient. Sollte die Wertschöpfung entfallen, muss das Investitionsobjekt einer anderen Organisationseinheit zugeordnet werden, die damit eine Wertschöpfung erreichen kann. Im Rahmen Value Governance Value Governance allgemeine Vorgaben allgemeine Vorgaben Überwachen von Prozessen Überwachen von Prozessen Portfolio Management Portfolio Management Strategie Strategie Steuerung von Portfolios Steuerung von Portfolios Überwachen von Portfolios Überwachen von Portfolios Investment Management Investment Management geschäftliche Bewertung geschäftliche Bewertung Steuerung von Investitionen Steuerung von Investitionen Überwachen von Investitionen Überwachen von Investitionen <?page no="60"?> 2.3 Strategieumsetzung 59 www.uvk-lucius.de/ it-management der Überwachung erfolgt ein Vergleich der Wertschöpfung eines Objekts mit der durchschnittlichen Wertschöpfung vergleichbarer Objekte. Die Inhalte der Domänen Value Governance, Portfolio Management und Investment Management lassen sich demnach wie folgt skizzieren: Value Governance: - allgemeine Vorgabe: Kostenminimierung - Überwachen von Prozessen: Kostenstellenrechnung Portfolio Management: - Strategie: Gesamtkosten für Lizenzen und Support verringern - Steuerung von Portfolios: Anstieg der durchschnittlichen Kosten vermeiden - Überwachen von Portfolios: Wartungsintervalle und Nachverhandlungen Investment Management: - geschäftliche Bewertung: unmittelbare Wertschöpfung - Steuerung von Investitionen: Zuordnung zu anderen Organisationseinheiten - Überwachen von Investitionen: Vergleich mit durchschnittlicher Wertschöpfung Die Versicherungsholding betreibt zusammen mit allen Tochtergesellschaften 15.000 Arbeitsplätze. Der Großteil der Arbeitsplätze wurde von Windows auf Linux umgestellt. Die restlichen sollen innerhalb der nächsten vier Monate ebenfalls umgestellt werden. 90 % der Linux-Arbeitsplätze werden mit Red Hat Linux betrieben. Der Rest mit freien oder kommerziellen Distributionen anderer Hersteller. Eine Filiale für Kundenberatung möchte ihre zehn Arbeitsplätze ebenfalls umstellen und dazu das frei erhältliche Ubuntu einsetzen. Obwohl die Lizenzkosten bei null liegen, ist in der Holding kaum Know-how zu Ubuntu vorhanden. Aus Sicht des Investment Managements ist die Investition zu genehmigen, da sie der unmittelbaren Wertschöpfung in der Kundenberatung dient. Aus Sicht des Portfolio Managements ist die Investition abzulehnen, da zwar die Lizenzkosten für Windows entfallen und somit verringert werden, aber <?page no="61"?> 60 2 IT-Strategie www.uvk-lucius.de/ it-management die Supportkosten aufgrund Know-how-Mangel stark ansteigen werden. Für das Portfolio würden sich dadurch die durchschnittlichen Kosten erhöhen. 22..33..22..33 IITT--PPoorrttffo olliioo--MMaannaagge emmeen ntt Das IT-Portfolio-Management (Krcmar u. Buresch 1994) dient der Strukturierung und Steuerung von IT-Investitionen in einem Unternehmen. Die IT-Investitionen werden in Bezug auf Risiko und Wertgenerierung bewertet und beeinflusst. Zum einen können bereits vorhandene IT-Investitionen, wie z.B. IT-Projekte, durch die Änderung verfügbarer Ressourcen gestaltet werden. Zum anderen können zukünftige IT-Investitionen durch ein festgelegtes Schema bewertet und anhand geeigneter Kriterien ausgewählt werden. IT-Investitionen, wie z.B. Applikationen, können in Bezug auf die vier Dimensionen Nutzen, Risiko, Strategiefit und Bebauungsplanfit beurteilt werden. Die Dimensionen Nutzen und Risiko bilden die Projektbewertung und die Dimensionen Strategiefit und Bebauungsplanfit die Umfeldbewertung. Zusammenfassend ergibt sich die Gesamtbewertung (siehe Abb. 18). Projektbewertung: Nutzen: Der Nutzen wird anhand von Wirtschaftlichkeit und Nutzungsdauer eingeschätzt. In Bezug auf die Wirtschaftlichkeit werden die notwendigen Kosten den erwarteten Einnahmen gegenübergestellt. Ein Nutzen entsteht, wenn die Einnahmen langfristig höher sind als die Kosten. Die Nutzungsdauer ist von Bedeutung, um festzustellen, ob das Ergebnis der IT-Investition lange genug genutzt werden kann, um die Gewinnschwelle zu erreichen. Risiko: Das Risiko wird anhand von Projektdauer, Projektgröße und Ressourceneinsatz eingeschätzt. Je höher die Werte dieser Attribute sind, desto höher ist das Risiko. Bei hoher Projektdauer, Projektgröße oder hohem Res- <?page no="62"?> 2.3 Strategieumsetzung 61 www.uvk-lucius.de/ it-management sourceneinsatz bestehen zum einen die Gefahr, aufgrund des Umfangs zu scheitern, und zum anderen ein hohes Verlustpotenzial aufgrund des kostenintensiven Ressourceneinsatzes. Abb. 18: IT-Portfolio-Management Umfeldbewertung: Strategiefit: Der Strategiefit wird danach beurteilt, ob die IT-Investition zur Strategie des Unternehmens passt. Insbesondere werden hierbei die Perspektiven Kunden und Konkurrenz betrachtet. In Bezug auf die Kunden ist es wünschenswert, dass Waren und Dienstleistungen aus Kundensicht durch die IT-Investition verbessert oder zumindest nicht verschlechtert werden. Aus Sicht der Konkurrenz ist es wünschenswert, dass auch die Wettbewerbssituation verbessert oder zumindest nicht verschlechtert wird, z.B. wenn die IT-Investition zu Kostenreduzierungen führt. mittel hoch hoch niedrig niedrig Risiko Nutzen hoch hoch niedrig mittel hoch niedrig niedrig mittel Projektbewertung: mittel hoch niedrig niedrig hoch Bebauungsplanfit Strategiefit hoch hoch niedrig mittel hoch niedrig niedrig mittel Umfeldbewertung: mittel hoch niedrig niedrig hoch Umfeldbewertung hoch hoch niedrig mittel hoch niedrig niedrig mittel Gesamtbewertung: Projektbewertung <?page no="63"?> 62 2 IT-Strategie www.uvk-lucius.de/ it-management Bebauungsplanfit: Hierbei wird die IT-Investition danach beurteilt, ob sie mit den Ressourcen und der Infrastruktur des Unternehmens umgesetzt werden kann und ob sie unter Umständen sogar Vorteile für die geschäftlichen Aktivitäten im Unternehmen mit sich bringt. Im Detail werden dabei die Prozesse, die Architektur und die Technologie betrachtet. Fallbeispiel IT-Portfolio-Management: Ausgangssituation: - IT-Investition: Eine Versicherungsholding plant die Einführung von Tablet-PCs, um den Übergang zu einer papierlosen Organisation umzusetzen. Unter anderem sollen Verträge in digitaler Form angezeigt und von den Kunden digital unterschrieben werden. - IT-Strategie: Die IT-Strategie der Versicherungsholding ist die stetige Erhöhung der Wertgenerierung durch die IT und die Kostenreduzierung in der Gesamtorganisation durch moderne Produkte oder Prozesse der IT. Projektbewertung: - Nutzen: Die Anschaffungskosten der Tablet-PCs sind zunächst weitaus höher als die Kostenreduzierung durch das Einsparen von Druckkosten und Papierverbrauch. Langfristig werden die Kosteneinsparungen jedoch über den Kosten der Tablet-PCs liegen. Die Nutzungsdauer ist sehr lang, ohne dass eine zeitliche Beschränkung zu erkennen ist. Außerdem kann durch die IT-Investition eine positive Außenwirkung in Bezug auf Umweltschutz und Modernität geschaffen werden. Der Nutzen wird insgesamt als mittel beurteilt. - Risiko: Die Projektdauer ist schwer einzuschätzen. Aufgrund von potenziellen technischen und rechtlichen Komplikationen kann die Projektdauer sehr lang werden. In Bezug auf Projektgröße kann festgestellt werden, dass es sich um eine sehr hohe IT-Investition handelt, die außerdem mit großen Gefahren verbunden ist. Technische Probleme können die Geschäfte mit den Kunden verzögern oder behindern und rechtliche Probleme können zu kostenintensi- <?page no="64"?> 2.3 Strategieumsetzung 63 www.uvk-lucius.de/ it-management ven Rechtsstreitigkeiten führen. Der Ressourceneinsatz ist ebenfalls hoch. Während des Projekts müssen viele Spezialisten aus unterschiedlichen Fachgebieten eingebunden werden. Bevor die Tablet-PCs eingesetzt werden, müssen außerdem Schulungen und Betreuung zur Technik erfolgen. Das Risiko wird insgesamt als hoch beurteilt. Abb. 19: Projektbewertung zum Fallbeispiel Umfeldbewertung: - Strategiefit: Die Dienstleistungen gegenüber den Kunden werden tendenziell verbessert, da die Digitalisierung eine hohe Flexibilität, z.B. bei Vertragsänderungen und Übermittlung von Dokumenten, ermöglicht. Die Konkurrenzsituation wird ebenfalls verbessert, da langfristig durch die IT Einsparungen möglich werden, die zu Kostenreduzierungen in der Gesamtorganisation führen. Der Strategiefit wird insgesamt als hoch beurteilt. - Bebauungsplanfit: Die Ressourcen und Möglichkeiten sind für die Umsetzung der geplanten IT-Investition ausreichend. Die Prozesse im Unternehmen werden durch die zunehmende Digitalisierung effektiver und effizienter. Die Architektur wird verbessert, da Schnittstellen zwischen papierbehafteten und digitalen Formaten entfallen, und somit eine größere Kompatibilität erreicht wird. Die Technologie wird ebenfalls verbessert, da moderne Geräte und Applikationen genutzt werden. Der Bebauungsplanfit wird insgesamt als hoch beurteilt. mittel hoch hoch niedrig niedrig Risiko Nutzen hoch hoch niedrig mittel hoch niedrig niedrig mittel X <?page no="65"?> 64 2 IT-Strategie www.uvk-lucius.de/ it-management Abb. 20: Umfeldbewertung zum Fallbeispiel Gesamtbewertung: Aus dem mittleren Nutzen und dem hohen Risiko hat sich eine niedrige Projektbewertung ergeben. Aus dem hohen Strategiefit und dem hohen Bebauungsplanfit hat sich eine hohe Umfeldbewertung ergehen. Die Gesamtbewertung ist somit mittel. Abb. 21: Gesamtbewertung zum Fallbeispiel 22..44 UUm mffeel ld daannaally yssee 22..44..11 FFü ünnff--KKrrääffttee--MMooddeellll Das Fünf-Kräfte-Modell von Porter (2004) ist ein Werkzeug zur Analyse eines Markts und der damit verbundenen Wettbewerbsfähigkeit von Unternehmen in diesem Markt. mittel hoch niedrig niedrig hoch Bebauungsplanfit Strategiefit hoch hoch niedrig mittel hoch niedrig niedrig mittel X mittel hoch niedrig niedrig hoch Umfeldbewertung Projektbewertung hoch hoch niedrig mittel hoch niedrig niedrig mittel X <?page no="66"?> 2.4 Umfeldanalyse 65 www.uvk-lucius.de/ it-management Die Nutzung des Fünf-Kräfte-Modells bietet sich z.B. an, wenn ein neu gegründetes Unternehmen den passenden Markt sucht oder wenn ein verlustträchtiges Unternehmen den Markt wechseln möchte. Die Marktsituation wird dabei durch die Betrachtung von fünf Kräften analysiert. Sie repräsentieren Einflussfaktoren, die sich auf Kundenbeziehungen und Profitabilität von Unternehmen in einem Markt auswirken. Allerdings besitzt nicht jedes Unternehmen im selben Markt auch die gleiche Profitabilität, da zusätzlich unternehmensspezifische Faktoren, wie Geschäftsmodell und Kernkompetenzen, zum Tragen kommen. Die fünf Kräfte sind potenzielle Wettbewerber, bestehende Wettbewerber, Lieferanten, Kunden und Substitutionsprodukte. Abb. 22: Fünf-Kräfte-Modell Potenzielle Wettbewerber: Sie werden durch einen Markt, der eine hohe Profitabilität anbietet, stetig angezogen. Je mehr Wettbewerber dem Markt beitreten, desto geringer wird die Profitabilität im Markt. Der Eintritt von neuen Wettbewerbern in den Markt wird erst aufhören, wenn die Profitabilität gegen null tendiert. Durch Markteintrittsbarrieren können Unternehmen in einem Markt mit hoher Profitabilität den Eintritt von neuen Wettbewerbern erschweren, und dadurch den Rückgang der Profitabilität verhindern. Wie groß die Bedrohung durch neue Wettbewerber in einem Markt ist, kann von verschiedenen Faktoren abgeleitet werden. Diese sind in erster Linie Markteintrittsbarrieren (z.B. Gesetze), Relevanz von Know-how (z.B. Patente), Relevanz von Größen oder potenzielle Wettbewerber bestehende Wettbewerber Lieferanten Kunden Substitutionsprodukte <?page no="67"?> 66 2 IT-Strategie www.uvk-lucius.de/ it-management Mengen (z.B. Economies of Scale) und Reaktionen der Marktteilnehmer (z.B. Kundenloyalität, Marken). Bestehende Wettbewerber: Sie sind bereits im Markt aktiv und können aufgrund ihres Wettbewerbsverhaltens einen sehr großen Einfluss auf die Marktsituation haben. Die Bedrohung durch bestehende Wettbewerber kann z.B. anhand von Wettbewerbsstrategien, Differenzierungsgraden, Werbeintensität und Transparenz festgestellt werden. Lieferanten: Sie versorgen den Markt mit Rohstoffen, Komponenten und Arbeitsleistung. Insbesondere, wenn kaum alternative Bezugsquellen existieren, können Lieferanten einen großen Einfluss auf die Marktsituation haben. Sie können hohe Preise verlangen, lange Vorlaufzeiten besitzen, begrenzte Mengen liefern oder die Geschäftsbeziehung zu einzelnen Unternehmen abbrechen. Die Faktoren zur Marktbewertung in Bezug auf Lieferanten sind z.B. Lieferantenkonzentration, Relevanz der Produkte, Kosten eines Lieferantenwechsels und Loyalität der Arbeitskräfte. Außerdem kann der Lieferant die Geschäftsprozesse des Käufers selbst integrieren (Vorwärtsintegration) und damit den Käufer aus dem Geschäft drängen. Kunden: Sie können mittels ihres Kaufverhaltens Macht auf die Verkäufer ausüben. In einem Markt mit hoher Käufermacht existiert eine hohe Sensibilität in Bezug auf Preisänderungen. Verkäufer können die Käufermacht durch Loyalitätsmaßnahmen senken. Der Einfluss der Käufer auf den Markt lässt sich anhand von Preissensibilität, Informationsversorgung und dem Verhältnis von Käufern zu Verkäufern einschätzen. Außerdem können Kunden die Geschäftsprozesse des Verkäufers selbst integrieren (Rückwärtsintegration) und damit den Verkäufer aus dem Geschäft drängen. Substitutionsprodukte: Die Versorgung mit Substitutionsprodukten am Markt führt dazu, dass Kunden leicht auf alternative ähnliche Produkte zu- <?page no="68"?> 2.4 Umfeldanalyse 67 www.uvk-lucius.de/ it-management greifen können, aber auch die Unternehmen können in Bezug auf Lieferanten leicht Alternativen in Anspruch nehmen. Um die Versorgung mit Substitutionsprodukten zu beurteilen, sind z.B. Wechselkosten, Differenzierungsgrad, Qualität und Preisstrukturen zu betrachten. Fallbeispiel Fünf-Kräfte-Modell: Eine Computermesse bietet Verkaufsstände für ausschließlich wenige regionale Händler aus der Elektronikbranche an. Die Transparenz zwischen den Händlern ist gering. Es stehen mehrere Lieferanten zur Verfügung. Kunden auf der Computermesse sind in der Regel sehr gut informiert und erwerben alternative Produkte über Online-Shops. Die Marktsituation kann durch die Betrachtung der fünf Kräfte wie folgt beschrieben werden: - Potenzielle Wettbewerber: Die Begrenzung auf regionale Händler hat den Charakter einer Markteintrittsbarriere, die den Eintritt von neuen Wettbewerbern erschwert. - Bestehende Wettbewerber: Obwohl die Anzahl der regionalen Wettbewerber gering ist, herrscht wenig Transparenz, so dass die konkrete Bedrohung schwer festzustellen ist. - Lieferanten: Für die Händler stehen mehrere Lieferanten zur Auswahl, die im gegenseitigen Wettbewerb stehen, und daher kaum Macht auf die Händler ausüben können. - Kunden: Die Besucher der Computermesse sind in der Regel sehr gut über Preise informiert und reagieren daher sensibel auf Preiserhöhungen. - Substitutionsprodukte: Alternativ zu den Computerkomponenten auf der Computermesse können Kunden ähnliche Produkte im Online-Handel kaufen. Die Marktsituation lässt sich insgesamt als vorteilhaft beurteilen. In Bezug auf potenzielle Wettbewerber und Lieferanten besitzt der Markt eine große Attraktivität, die jedoch in Bezug auf Kunden und Substitutionsprodukte etwas abgeschwächt wird. <?page no="69"?> 68 2 IT-Strategie www.uvk-lucius.de/ it-management 22..4 4..2 2 SSTTEEP P--A Annaallyyssee Die STEP-Analyse (Fahey u. Narayanan 1986) ist ein Rahmenwerk für die Beurteilung makroökonomischer Einflussfaktoren auf ein Unternehmen. Mithilfe der STEP-Analyse können die externe Umwelt des Unternehmens betrachtet und strategische Entscheidungen vorbereitet werden. Mit ihr kann ein Verständnis über die aktuellen Marktbedingungen geschaffen und das Verhalten und die Positionierung von Wettbewerbern, Lieferanten und Kunden nachvollzogen werden. STEP ist ein Akronym, das die Analyse der sozialen (engl. social), technologischen (engl. technological), ökonomischen (engl. economical) und politischen (engl. political) Umwelt beschreibt. Abb. 23: STEP-Analyse S: Bei der sozialen Analyse werden die kulturellen Aspekte in der Gesellschaft betrachtet, zu der die Marktteilnehmer gehören. Unter anderem können Bevölkerungswachstum, Altersverteilung, Gesundheit oder Sicherheitsbedürfnis untersucht werden. Z.B. kann ein hohes Bevölkerungswachstum zu einer hohen Anzahl verfügbarer Arbeitskräfte führen, die das Unternehmen z.B. bei der Standortauswahl als Vorteil erachtet. Wettbewerber Unternehmen Lieferanten Kunden sozial technologisch ökonomisch politisch <?page no="70"?> 2.4 Umfeldanalyse 69 www.uvk-lucius.de/ it-management T: Die technologische Analyse ermittelt alle Faktoren, die mit der aktuellen Technologie und dem technologischen Fortschritt in Zusammenhang stehen. Dazu gehören z.B. Forschung und Entwicklung, Patente und Schnelllebigkeit. Basierend auf diesen Faktoren werden unter anderem Markteintrittsbarrieren geschaffen, Effizienzanforderungen für die Produktion festgelegt und Auslagerungsentscheidungen getroffen. Im Speziellen kann z.B. eine schnelllebige technologische Umwelt die Entscheidungen zum Produkt-Portfolio des Unternehmens beeinflussen. In diesem Fall werden nur schnell produzierbare Produkte mit einem schnellen Return on Investment ins Portfolio aufgenommen. Dadurch soll vermieden werden, dass Produkte bereits vor Erreichen der Gewinnzone im Markt veraltet sind. E: Die ökonomische Analyse beschäftigt sich mit allen Faktoren, die den wirtschaftlichen Erfolg des Unternehmens direkt beeinflussen. Beispiele sind Zins-, Währungs- und Inflationsraten, Steuern und Konjunktur. Das Unternehmen kann z.B. bei hohen Gewerbesteuern in der Region einen alternativen Standort oder die Änderung der Gesellschaftsform in Betracht ziehen. P: Die politische Analyse umfasst alles, was mit den Vorgaben der Regierung zu tun hat. Darunter fallen z.B. Gesetze, Handelsbeschränkungen, politische Stabilität und Subventionen. Beispielweise könnte ein Unternehmen von einer Expansion in bestimmte ausländische Märkte absehen, wenn hohe Importzölle fällig werden. Fallbeispiel STEP: Ein Internet-Provider führt eine STEP-Analyse durch und stellt fest, dass seine strategischen Entscheidungen von folgenden Umweltfaktoren abhängig gemacht werden sollten: S: Es gibt einen Trend zur immer größeren Nutzung von sozialen und multimedialen Online-Diensten. Dies beeinflusst die Nachfrage nach Breitband-Internetzugängen. S: Die demografische Entwicklung der Internetnutzer, konkret die steigende Anzahl sehr junger und alter Internetnutzer, beeinflusst den Umsatz. <?page no="71"?> 70 2 IT-Strategie www.uvk-lucius.de/ it-management T: Die Qualität der Internet-Konnektivität beeinflusst das übertragbare Datenvolumen und damit den Umsatz. T: Alternative Telekommunikationsverbindungen beeinflussen die Nachfrage nach Breitband-Internetzugängen. E: Die Kaufkraft der Kunden beeinflusst die Nachfrage nach hochpreisigen Tarifen. E: Der Markt für Breitband-Internetzugänge hat sich zu einem Verdrängungswettbewerb mit starken Wettbewerbern entwickelt. Das beeinflusst die erzielbare Gewinnpanne. P: Die Vorgaben zur Vorratsdatenspeicherung beeinflussen die Investitionen für höhere Speicherkapazitäten. P: Die Regeln zur Providerhaftung beeinflussen die Höhe der Rücklagen für eventuelle Rechtsstreitigkeiten. 22..55 SSiittuua attiio onnssaannaally yssee 22..55..11 BBCCGG--MMaattrriixx Die BCG-Matrix (Henderson 1970) dient der Bewertung von Produkten in Bezug auf ihre aktuelle und zukünftige Bedeutung für die Profitabilität eines Unternehmens in Abhängigkeit zur Marktsituation. Die BCG-Matrix wurde von der Boston Consulting Group (BCG) entwickelt und ermöglicht die Einordnung von Produkten basierend auf ihrem aktuellen Marktanteil und dem erwarteten Marktwachstum. Aufgrund dieser zwei Dimensionen entsteht eine Matrix mit den vier Quadranten Fragezeichen (engl. Question Marks), Sterne (engl. Stars), Goldesel (engl. Cash Cows) und arme Hunde (engl. Poor Dogs). <?page no="72"?> 2.5 Situationsanalyse 71 www.uvk-lucius.de/ it-management Abb. 24: BCG-Matrix Als Fragezeichen werden Produkte bezeichnet, die in einem schnell wachsenden Markt verkauft werden, jedoch einen geringen Markanteil haben. Sie stehen meist am Anfang des Geschäfts und können sich nach einiger Zeit zu jeder der anderen Produktarten entwickeln. Wenn das Unternehmen mit dem Produkt einen hohen Marktanteil erreicht und das Marktwachstum weiterhin hoch ist, entwickeln sich Fragezeichen zu Sternen. Wenn der Markt an Wachstumsgeschwindigkeit verliert, werden sie zu armen Hunden. Sterne sind Produkte mit einem hohen Marktanteil in einem Markt mit hohem Wachstum. Sie entstehen in der Regel aus Fragezeichen, die ihren Marktanteil erhöhen konnten. Sie haben im Markt oft eine hohe Bedeutung, z.B. aufgrund eines Alleinstellungsmerkmals. Das Unternehmen strebt den Wechsel vom Stern zum Goldesel an, um die Gewinne zu stabilisieren. Ein Goldesel liegt vor, wenn das Unternehmen mit einem Produkt einen hohen Marktanteil in einem sich langsam entwickelnden Markt besitzt. Meistens wird mit diesem Produkt genug Gewinn erwirtschaftet, um das Unternehmen finanziell abzusichern. Die Investitionen zur Weiterentwicklung des Produkts werden so gering wie möglich gehalten. Arme Hunde sind Produkte, die einen geringen Marktanteil in einem sich langsam entwickelnden Markt haben. Mit diesen Produkten hat das Unternehmen in der Regel zwar die Gewinn- Fragezeichen armer Hund Goldesel Stern hoch niedrig niedrig hoch Marktanteil Marktwachstum <?page no="73"?> 72 2 IT-Strategie www.uvk-lucius.de/ it-management schwelle erreicht, allerdings sind die Gewinne so gering, dass der betroffene Geschäftsbereich oft langfristig vom Unternehmen abgestoßen wird. Obwohl wohlmöglich Synergien mit anderen Produkten und auch gesellschaftliche Vorteile, wie eine hohe Stellenanzahl, vorhanden sind, ist die Profitabilität für das Unternehmen nicht ausreichend. Der Lebenszyklus eines Produkts beginnt in der Regel mit dem Fragezeichen. Der Markanteil ist aufgrund der Neueinführung noch gering und es wird ein Markt mit hohem Wachstum gewählt, um die Gewinnaussichten zu erhöhen. Wenn sich das Produkt am Markt etabliert, wird es zum Stern. Der Marktanteil ist hoch, aber auch das Marktwachstum ist noch hoch, und daher beinhaltet der Markt hohe Risiken. Wenn sich der Markt stabilisiert und langsam entwickelt, ist aus dem Produkt ein Goldesel geworden, sofern der hohe Marktanteil erhalten geblieben ist. Am Ende des Lebenszyklus wird das Produkt zum armen Hund. Der Marktanteil ist gesunken und die Profitabilität des Unternehmens kann alleine mit diesem Produkt nicht mehr aufrechterhalten werden. Für den Gesamterfolg des Unternehmens ist ein Portfolio aus mehreren Produktarten am vorteilhaftesten. Mit Goldeseln wird die gegenwärtige Profitabilität sichergestellt, Sterne sind die gewinnträchtigen Produkte für die nahe Zukunft und Fragezeichen dienen der langfristigen Gewinnorientierung. Fallbeispiel BCG-Matrix: Ein Beratungsunternehmen bietet diverse Dienstleistungen rund um die IT-Sicherheit für regionale Unternehmen an. Mit dem Produkt Schwachstellenscan konnte sich das Unternehmen einen hohen Marktanteil sichern. Beim Schwachstellenscan werden IT- Systeme nach bekannten Sicherheitslücken durchsucht, die von Angreifern ausgenutzt werden könnten. Der Markt entwickelt sich in dieser Beziehung langsam, so dass die Gewinne stabil bleiben (Goldesel). Auch mit dem Produkt Code-Prüfungen konnte das Unternehmen einen hohen Marktanteil erzielen, jedoch ist der Markt einem starken Wachstum unterlegen (Stern). Das Produkt Betriebsunterstützung von Antiviren-Software hat stark an Marktanteilen verloren, da die Kunden diese Tätigkeiten im- <?page no="74"?> 2.5 Situationsanalyse 73 www.uvk-lucius.de/ it-management mer öfter selbst wahrnehmen (armer Hund). Ein neues Produkt ist die Sicherheitsanalyse von Cloud Services. Obwohl der Marktanteil hier noch gering ist, verspricht sich das Unternehmen aufgrund des hohen Marktwachstums langfristige Gewinnchancen (Fragezeichen). Abb. 25: BCG-Matrix 22..55..22 SSW WOOTT--MMaattrriixx Die SWOT-Matrix dient der Analyse und Kategorisierung von unternehmensrelevanten Faktoren, die für die strategische Planung von Bedeutung sind. Die SWOT-Matrix wurde im Jahr 1966 von Albert Humphrey (2005) erstellt und ist ein Werkzeug, um unternehmensrelevante Faktoren, z.B. in Bezug auf ein Produkt, einen Mitarbeiter oder das gesamte Unternehmen, zu analysieren. Die Ergebnisse sollen die strategische Planung des Unternehmens unterstützen. Die Anordnung der Faktoren in der Matrix basiert auf den zwei Dimensionen Ursprung und Auswirkung. Der Ursprung eines Faktors kann aus Sicht des Unternehmens intern oder extern sein. Die Auswirkung kann hilfreich oder schadhaft für das Unternehmen sein. Fragezeichen: Sicherheitsanalyse von Cloud Services armer Hund: Betrieb von Antiviren-Software Goldesel: Schwachstellenscan Stern: Code- Prüfungen hoch niedrig niedrig hoch Marktanteil Marktwachstum <?page no="75"?> 74 2 IT-Strategie www.uvk-lucius.de/ it-management Daraus ergeben sich die vier Quadranten Stärken (S), Schwächen (W), Möglichkeiten (O) und Bedrohungen (T). Abb. 26: SWOT-Matrix S: Stärken (engl. Strengths) sind Faktoren, die dem Unternehmen einen Vorteil gegenüber Wettbewerbern verschaffen. Sie wirken sich positiv auf die Zielerreichung aus und wirken innerhalb des Unternehmens. Es kann sich z.B. um Fähigkeiten des Personals, Qualität der Produktionssysteme oder finanzielle Reserven handeln. W: Schwächen (engl. Weaknesses) wirken sich nachteilig auf das Unternehmen aus und schwächen die Wettbewerbsposition. Wie die Stärken haben sie eine interne Auswirkung. Es kann sich z.B. um Know-how-Mangel beim Personal, fehlerhafte Systeme oder Probleme bei der finanziellen Liquidität handeln. O: Möglichkeiten (engl. Opportunities) haben aus Sicht des Unternehmens einen externen Ursprung und können, sofern sie ausgenutzt werden, einen Vorteil generieren. Dazu gehören z.B. technologische Fortschritte, vorteilhafte Gesetzgebung oder eine positive Änderung des Kaufverhaltens von Kunden. T: Bedrohungen (engl. Threats) sind ebenfalls externen Ursprungs und können sich potenziell schadhaft auf das Unternehmen auswirken. Wie bei den Möglichkeiten sind das Eintreten und das Ausmaß dieser Faktoren noch ungewiss. Dazu gehören z.B. technologische Probleme, nachteilige Gesetzgebung oder eine negative Änderung des Kaufverhaltens von Kunden. S Stärken O Möglichkeiten T Bedrohungen W Schwächen intern hilfreich extern schadhaft Auswirkung Ursprung <?page no="76"?> 2.5 Situationsanalyse 75 www.uvk-lucius.de/ it-management Die SWOT-Matrix wird in der Regel vor der Definition von Zielen genutzt, um sie stärker an den vorhandenen Faktoren ausrichten zu können und deren Erreichbarkeit zu erhöhen. Dabei können z.B. eventuelle Stärken mit den Möglichkeiten kombiniert werden, um einen Wettbewerbsvorteil zu erzielen. Außerdem kann die Erkenntnis über Schwächen und Bedrohungen eine strategische Neuausrichtung erforderlich machen. Fallbeispiel SWOT: Ein Unternehmen, das die Abrechnung von Maut-Zahlungen als Dienstleistung anbietet, wird mithilfe der SWOT-Matrix analysiert. Die Stärke des Unternehmens liegt in der hohen finanziellen Liquidität (S). Allerdings leidet das Unternehmen an fehlenden Fachkräften für die Entwicklung von transaktionsverarbeitenden Systemen (W). Eine Gesetzesentscheidung zur PKW- Maut würde dem Unternehmen einen Zuwachs an Aufträgen bringen, da der Markt ohne Anstrengung des Unternehmens wachsen würde (O). Bedrohungen für die Auftragslage des Unternehmens entstehen durch die Verlagerung der Verkehrswege von Transportunternehmen. Anstatt Autobahnen könnten Schienen- oder Schiffstransportwege genutzt werden (T). Abb. 27: Fallbeispiel SWOT-Matrix S Liquidität O PKW-Maut T alternative Verkehrswege W Fachkräftemangel intern hilfreich extern schadhaft Auswirkung Ursprung <?page no="77"?> 76 2 IT-Strategie www.uvk-lucius.de/ it-management 22..5 5..3 3 MMc cFFaarrl laannss BBeeddeeuuttuunnggssmmaattrri ixx Die Bedeutungsmatrix (McFarlan 1981) ist ein Werkzeug, mit dem die Abhängigkeiten von Informationssystemen gegenüber dem aktuellen und zukünftigen Betrieb beurteilt werden können. Der aktuelle Betrieb dient der Durchführung der aktuellen Geschäftstätigkeiten. Der zukünftige Betrieb ist aus Sicht potenzieller strategischer Auswirkungen zu beurteilen. Die Kombination dieser zwei Dimensionen mit den Ausprägungen niedrig und hoch ergibt die vier möglichen Kategorien in der Matrix: Unterstützung, Durchbruch, Fabrik und Strategisches: Abb. 28: Bedeutungsmatrix Informationssysteme in der Kategorie Unterstützung haben sowohl für den aktuellen als auch für zukünftigen Betrieb eine niedrige Bedeutung. Sie dienen lediglich der Unterstützung von Prozessen. Systeme in dieser Kategorie werden von der Geschäftsleitung mit dem geringsten Interesse und Engagement versehen. Fabrik Unterstützung Durchbruch Strategisches hoch niedrig niedrig hoch zukünftige Bedeutung aktuelle Bedeutung <?page no="78"?> 2.5 Situationsanalyse 77 www.uvk-lucius.de/ it-management Die Kategorie Durchbruch enthält Systeme, die aktuell eine niedrige Bedeutung haben, jedoch für die Zukunft wichtig sind. Die Geschäftsleitung sollte an der Planung dieser Systeme teilhaben. Fabrik ist die Kategorie mit einer hohen Bedeutung für den aktuellen Betrieb und einer niedrigen für die Zukunft. Für den Tagesbetrieb sind die Systeme aus dieser Kategorie sehr wichtig oder sogar absolut notwendig. Allerdings sind keine größeren Entwicklungspotenziale vorhanden, die das Geschäft beeinflussen würden. Die Einbeziehung der Geschäftsleitung an der Planung dieser Systeme ist abnehmend. Die Kategorie Strategisches beinhaltet Systeme, die sowohl aktuell als auch zukünftig eine hohe Bedeutung für den Betrieb haben. Die Systeme sind mit wichtigen strategischen Entscheidungen verbunden, an denen die Geschäftsleitung stark beteiligt ist. Die Systeme können sich fundamental auf den Unternehmenserfolg auswirken. Beim Einsatz der Bedeutungsmatrix können verschiedene Abstraktionsgrade genutzt werden. So können z.B. die Gesamtheit aller Informationssysteme im Unternehmen, die Informationssysteme einer Abteilung oder einzelne Systeme und Anwendungen beurteilt werden. Grundsätzlich sollte jedes Unternehmen eine Strategie verfolgen, welche die Informationssysteme einbezieht. Selbst wenn diese eine geringe strategische Bedeutung im Unternehmen haben, sollten Kosten und Nutzen der Informationssysteme langfristig gesteuert werden. Fallbeispiel Bedeutungsmatrix: Ein Krankenhaus möchte die vorhandenen Informationssysteme aus funktionaler Sicht mithilfe einer Bedeutungsmatrix beurteilen. In die Kategorie Unterstützung fallen alle Informationssysteme, die eine niedrige aktuelle und zukünftige Bedeutung für das Krankenhaus haben. Die wichtigsten Prozesse im Krankenhaus dürfen durch einen Ausfall dieser Systeme nicht behindert werden. Der Kategorie Durchbruch sind alle Systeme des Krankenhauses mit aktuell niedriger und zukünftig hoher Bedeutung zuzuordnen. Dies sind z.B. Systeme für vielversprechende medi- <?page no="79"?> 78 2 IT-Strategie www.uvk-lucius.de/ it-management zinische Verfahren, die noch nicht sehr anerkannt sind und bisher wenig nachgefragt werden. Die Kategorie Fabrik enthält die Systeme mit aktuell hoher und zukünftig niedriger Bedeutung. Es sind Systeme, die absolut notwendig für kritische Prozesse im Krankenhaus sind, z.B. für Operationen. Die Systeme mit aktuell als auch zukünftig hoher Bedeutung fallen in die Kategorie Strategisches. Sie sind nicht nur wichtiger Bestandteil kritischer Prozesse im Krankenhaus, sondern haben auch ein hohes Entwicklungspotenzial. Die Informationssysteme des Krankenhauses werden wie folgt kategorisiert: Abb. 29: Bedeutungsmatrix Fabrik: - Die Einsatzplanung hat eine aktuell hohe und zukünftig niedrige Bedeutung. Sie ist absolut notwendig, um eine kontinuierliche Besetzung durch medizinisches Personal im Krankenhaus sicherzustellen. Eine zukünftige Entwicklung des Systems ist nicht geplant. - Die Leistungsabrechnung hat ebenfalls eine aktuell hohe und zukünftig niedrige Bedeutung. Sie ist absolut notwendig, um die geleisteten Dienste gegenüber den Patienten finanziell abzurechnen und damit den wirtschaftlichen Fortbestand des Krankenhauses zu ermöglichen. Eine zukünftige Entwicklung des Systems ist nicht geplant. Einsatzplanung Leistungsabrechnung Lohnabrechnung Versicherungsabgleich Patientendatenbank Entscheidungsunterstützung Online-Auftritt mobile Informationsversorgung hoch niedrig niedrig hoch zukünftige Bedeutung aktuelle Bedeutung <?page no="80"?> 2.5 Situationsanalyse 79 www.uvk-lucius.de/ it-management Strategisches: - Der Online-Auftritt hat eine aktuell und zukünftig hohe Bedeutung. Aktuell veröffentlicht das Krankenhaus über das Internet wichtige Kontaktdaten und medizinische Informationen. Zukünftig sollen z.B. personalisierte Patientenzugänge mit persönlichen Informationen und eine größere Interaktion, z.B. durch einen Forenbereich, angeboten werden. Dadurch erhofft sich das Krankenhaus einen größeren Kundennutzen, der zu einem Anstieg der Patientenzahlen führt. - Die mobile Informationsversorgung hat ebenfalls eine aktuell und zukünftig hohe Bedeutung. Aktuell muss das medizinische Personal überall im Krankenhaus auf wichtige Informationen und Patientendaten zugreifen. Bisher war die Informationsversorgung an Arbeitsplatzrechner gebunden, die im Krankenhaus verteilt aufgestellt sind. Die Einbindung von Tablet-PCs soll den Abruf von Informationen erleichtern und an jeder Position im Krankenhaus ermöglichen. Unterstützung: - Das System für die Lohnabrechnung hat eine aktuell und zukünftig niedrige Bedeutung. Bei Verzicht auf das System werden keine wichtigen Geschäftsprozesse behindert. Das System unterstützt bei der Berechnung und Zahlungsanweisung von Löhnen und Gehältern, kann jedoch durch manuelle Tätigkeiten ersetzt werden. - Der Versicherungsabgleich hat ebenfalls eine aktuell und zukünftig niedrige Bedeutung. Damit wird die Registrierung neuer Patienten erleichtert. Das System bietet eine Schnittstelle zu Versicherungssystemen und ermöglicht die automatische Bereitstellung von Patienten-Stammdaten. Ohne das System müssen die Patienten umfassender befragt und es müssen mehr Daten manuell eingegeben werden. Durchbruch: - Die Patientendatenbank hat eine aktuell niedrige und zukünftig hohe Bedeutung. Sie beinhaltet alle Daten über behandelte Patienten. Sollte sie nicht zur Verfügung stehen, <?page no="81"?> 80 2 IT-Strategie www.uvk-lucius.de/ it-management müssen Akten in Papierform genutzt werden. Potenzielle strategische Auswirkungen ergeben sich aufgrund des Wechsels der Datenbankstruktur, die eine viel effizientere Nutzung ermöglichen soll. - Die Entscheidungsunterstützung hat ebenfalls eine aktuell niedrige und zukünftig hohe Bedeutung. Sie basiert auf Erfahrungen zur Patientenbehandlung und wurde erst vor kurzem als Erweiterung der Patientendatenbank implementiert. Sie ist nicht für das Tagesgeschäft notwendig, jedoch verspricht sich das Krankenhaus daraus große Vorteile für zukünftige Diagnosen und Behandlungen. 22..55..44 44CC--NNeett--BBuussiinneessss--MMooddeellll Das 4C-Net-Business-Modell (Wirtz 2001, S. 218 ff.) dient der Kategorisierung des Leistungsangebots von Geschäftsmodellen im Internet. Das 4C-Net-Business-Modell ist auf die Zielgruppe Privatkunden ausgerichtet, und somit für den Business-to-Consumer Markt geeignet. Die vier Geschäftsmodelle Inhalt (engl. Content), Handel (engl. Commerce), Verbindung (engl. Connection) und Kontext (engl. Context) beschreiben die idealtypischen Schwerpunkte, die Leistungsangebote im Internet grundsätzlich besitzen können. In der Praxis findet man häufig auch Kombinationen verschiedener Leistungsangebote oder sie sind nicht sauber eingrenzbar. Während die Umsätze im Handel in der Regel durch direkte Geschäftstransaktionen mit den Kunden generiert werden, besteht im Inhalt, Verbindung und Kontext ein großer Teil des Umsatzes oft aus indirekten Einnahmen, z.B. Werbung. <?page no="82"?> 2.5 Situationsanalyse 81 www.uvk-lucius.de/ it-management Inhalt Handel Sammlung, Selektion, Systematisierung, Kompilierung Bereitstellung von Inhalten auf einer eigenen Plattform Anbahnung Aushandlung und/ oder Abwicklung von Geschäftstransaktionen Verbindung Kontext Klassifikation und Systematisierung von im Internet verfügbaren Informationen Herstellung der Möglichkeit eines Informationsaustausches in Netzwerken Tab. 5: 4C-Net-Business-Modell Beim Geschäftsmodell Inhalt sollen Inhalte gegenüber Kunden so aufbereitet werden, dass für sie ein Nutzen generiert wird. Die Inhalte werden gesammelt, selektiert, systematisiert und kompiliert. Anschließend werden sie über eine eigene Plattform im Internet für die Kunden zum Abruf bereitgestellt. Der Inhalt kann dabei in erster Linie in die Bereiche Information, Unterhaltung und Bildung eingeordnet werden. Die Inhalte können auch aus verschiedenen Bereichen kombiniert werden, z.B. Information und Unterhaltung, auch bekannt als Infotainment (Kunstwort aus den engl. Begriffen Information und Entertainment). Beim Geschäftsmodell Handel werden traditionelle Transaktionen, z.B. das Präsenzgeschäft im Einzelhandel, mithilfe des Internets erweitert oder ersetzt. Umsätze, und damit auch Gewinne, sind in der Regel direkt an Transaktionen gebunden, können aber auch indirekt, z.B. durch Werbung, generiert werden. Leistungsangebote in diesem Geschäftsmodell können weiter untergliedert werden in: E-Attraction: Anbahnung von Transaktionen, z.B. Werbeflächen und Verkaufsplattformen E-Bargaining/ E-Negotiation: Aushandlung von Geschäftsbedingungen, z.B. Auktionsportale und Preisvergleiche E-Transaction: Abwicklung von Transaktionen, z.B. elektronische Zahlung und Auslieferung <?page no="83"?> 82 2 IT-Strategie www.uvk-lucius.de/ it-management Bei der Verbindung wird den Kunden die Möglichkeit gegeben, Informationen über Netzwerke auszutauschen bzw. auf diese zuzugreifen. Die Art der Verbindung kann technologisch, z.B. ein Breitbandzugang, kommerziell, z.B. ein elektronischer Marktplatz, oder kommunikativ sein, z.B. Internet-Chats. Die Effizienz des Informationsaustauschs ist auf der virtuellen Ebene meist um ein Vielfaches höher als sie auf der physischen Ebene realisierbar wäre. Die Anbieter des Geschäftsmodells Kontext bieten in der Regel keine eigenen Informationen an, sondern helfen lediglich bei der Navigation im Internet und der Suche nach spezifischen Informationen. Sie bieten einen Überblick oder eine Zusammenfassung an, damit sich der Kunde im Internet besser zurechtfinden kann. Der Nutzen für den Kunden besteht aus einer Orientierungshilfe und der Erhöhung der Transparenz. Gerade im Hinblick auf die steigende Quantität und Komplexität des Informationsangebots im Internet besitzt dieses Geschäftsmodell eine große Bedeutung. Praktische Beispiele für Geschäftsmodelle: - Inhalt: focus.de, finanzen.net, imdb.de - Handel: amazon.de, ebay.de, saturn.de - Verbindung: gmx.de, facebook.de, twitter.de - Kontext: google.de, yahoo.com, bing.com 22..66 ZZiie el lf fiin ndduunngg 22..66..11 SSM MAARRTT Der Begriff SMART (Doran 1981) ist ein Akronym für eine Kriteriensammlung, die bei der Festlegung von Zielen genutzt werden kann. Ein Ziel sollte demnach spezifisch (S), messbar (M), akzeptiert (A), realistisch (R) und terminiert (T) sein. <?page no="84"?> 2.6 Zielfindung 83 www.uvk-lucius.de/ it-management Abb. 30: SMART S: spezifisch Ein Ziel ist spezifisch, wenn ein konkreter Bereich für das Ziel festgelegt wurde. Alle Personen, die sich mit dem Ziel befassen, sollen das gleiche Verständnis darüber besitzen. Z.B. wäre die Erhöhung der Effizienz des Unternehmens als Ziel sehr unspezifisch und es gäbe unterschiedliche Ansichten darüber, worauf sich Effizienz beziehen könnte. Besser wäre das Ziel, die Stückkosten eines Produkts während dessen Herstellung um zehn Prozent zu verringern. M: messbar Die Messbarkeit soll sicherstellen, dass die Erreichung des Ziels anhand von quantitativen Vorgaben bestimmt werden kann. Zielerreichungen können teilweise direkt gemessen werden, z.B. wenn es um die Reduzierung von Kosten oder die Erhöhung von Gewinnen geht. Teilweise gibt es jedoch keine direkten Metriken für die Messung, z.B. bei der Erhöhung von Kundenzufriedenheit. Dann müssen Ersatzgrößen als Messwerte genutzt werden. Im Fall der Kundenzufriedenheit kann z.B. die Anzahl der Kundenbeschwerden gemessen werden. A: akzeptiert Ein Ziel ist akzeptiert, wenn es durch den Ausführenden potenziell erreicht werden kann und die Erreichung von ihm auch angestrebt wird. Der Ausführende muss zur Zielerreichung motiviert werden. Dies kann z.B. durch materielle Belohnungen, wie Zielprämien, oder durch immaterielle Belohnungen, wie Anerkennung, unterstützt werden. Nur wenn der Ausführende den Eindruck hat, dass das Ziel auch erreicht werden kann und der Aufwand lohnenswert für ihn ist, wird er die Zielerreichung anstreben. S S spezifisch spezifisch M M messbar messbar A A akzeptiert akzeptiert R R realistisch realistisch T T terminiert terminiert <?page no="85"?> 84 2 IT-Strategie www.uvk-lucius.de/ it-management R: realistisch Ein realistisches Ziel ist basierend auf den verfügbaren Ressourcen und Umweltbedingungen aus objektiver Sicht tatsächlich erreichbar. Ressourcen wie Arbeitskräfte, Material und Rohstoffe, welche für die Zielerreichung notwendig sind, müssen verfügbar sein. Es muss eine ausreichende Zeit vorhanden sein. Und vorhandene Umweltbedingungen, wie z.B. Gesetzesvorgaben, dürfen der Zielerreichung nicht entgegenstehen. Andernfalls ist der Versuch, das Ziel zu erreichen, von vorneherein zum Scheitern verurteilt und verursacht Frustrationen bei den Beteiligten. T: terminiert Ein terminiertes Ziel verfügt über Zeitangaben darüber, wann die Ergebnisse zu erwarten sind und die Zielerreichung gemessen werden kann. In der Praxis werden Ziele meist mit Endterminen versehen. Beim Erreichen dieser Termine werden die Tätigkeiten eingestellt und es wird festgestellt, ob bzw. inwieweit das Ziel erreicht wurde. Endtermine sind von internen und externen Faktoren abhängig. Intern spielen vor allem die verfügbaren Ressourcen eine Rolle, während extern z.B. der Ruf des Unternehmens oder Gesetzesvorgaben von Bedeutung sind. Fallbeispiel SMART: Ein Cloud-Service-Unternehmen betreibt 50 Server, die über das Internet Speicherkapazitäten für Kunden bereitstellen. Alle Server werden mit dem Betriebssystem Windows Server 2012 betrieben. Das Unternehmen hat lediglich 40 Lizenzen für Windows Server 2012 erworben. Der Betrieb von nicht lizenzierter Software kann zu Schadensersatzforderungen und Lizenznachzahlungen führen, was sich negativ auf den Unternehmensgewinn, und damit auch auf die jährliche Bonuszahlung für die Mitarbeiter auswirken würde. Zwei ausgewählte Systemadministratoren sollen die 10 nicht lizenzierten Server mit dem Betriebssystem Ubuntu Server versorgen. Pro Server wird dazu eine Stunde Arbeitszeit benötigt. Jeder der beiden Systemadministratoren kann pro Tag nur eine Stunde für diese Aufgabe erübrigen. Die Zielformulierung in diesem Szenario lautet: <?page no="86"?> 2.6 Zielfindung 85 www.uvk-lucius.de/ it-management „Die 10 nicht lizenzierten Server sollen innerhalb von fünf Arbeitstagen mit dem Betriebssystem Ubuntu Server installiert werden.“ Das Ziel ist spezifisch, da konkret die Installation des Betriebssystems Ubuntu Server auf den 10 nicht lizenzierten Servern gefordert wird. Das Ziel ist messbar, denn anhand der Anzahl der neuinstallierten Server kann der Zielerreichungsgrad festgestellt werden. Das Ziel ist akzeptabel, denn die Systemadministratoren können das Ziel erreichen und sie verhindern durch die Zielerreichung eine potenzielle Verringerung ihrer Bonuszahlungen. Das Ziel ist realistisch, denn die Systemadministratoren haben pro Tag eine Stunde Zeit für die Neuinstallation. Da sie zu zweit sind, haben sie in fünf Arbeitstagen insgesamt 10 Stunden zur Verfügung. Damit können genau 10 Server mit je einer Stunde Aufwand installiert werden. Das Ziel ist terminiert, denn der Zeitrahmen für die Zielerreichung lautet fünf Arbeitstage. Der Endtermin ist also Geschäftsschluss des fünften Arbeitstags. 22..66..22 TTeecchhn noollooggyy R Rooaaddmmaapp Technology Roadmaps werden eingesetzt, um den Zusammenhang zwischen langfristigen Zielen und Technologie zu verdeutlichen. Mit einer Technology Roadmap wird im Unternehmen ein gemeinsames Verständnis der Fach- und IT-Abteilungen über technologische B edürfnisse geschaffen. Im Hinblick auf langfristige Ziele können diese Bedürfnisse mit den Möglichkeiten der IT abgedeckt werden. Außerdem können Vorhersagen zu technologischen Fortschritten in die strategische Planung des Unternehmens integriert werden. Investitionsentscheidungen in Bezug auf neue Technologien können erleichtert werden. Die Technology Roadmap kann auf Unternehmensebene oder auf Branchenebene erstellt werden. Die Technology Roadmap wird nach (Garcia u. Bray 1997) von einem Prozess mit den drei Hauptphasen Vorbereitung, Entwick- <?page no="87"?> 86 2 IT-Strategie www.uvk-lucius.de/ it-management lung der Roadmap und Folgeaktivitäten sowie untergeordneten Teilphasen begleitet: 1. Vorbereitung: a) Voraussetzungen schaffen: In diesem Schritt wird festgestellt, ob die grundlegenden Voraussetzungen zur Entwicklung der Roadmap vorhanden sind oder, wer dafür sorgen kann. Der Bedarf für eine Roadmap muss vorhanden sein. Außerdem müssen verschiedene Personen oder Organisationseinheiten für die Mitarbeit an der Roadmap zur Verfügung stehen. b) Befürwortung der Geschäftsleitung: Die Geschäftsleitung muss die Erstellung der Roadmap befürworten, da eine erhebl iche Ar be itsle itung aus dem Unternehmen einfließen kann. Die Geschäftsleitung muss nicht nur die Umverteilung der Aufgaben genehmigen, sondern auch die Vorteile der Roadmap für das Unternehmen kennen. c) Umfang der Roadmap festlegen: Da die Roadmap auf Bedürfnissen basiert, muss zunächst festgelegt werden, für welche Bedürfnisse eine Lösung geschaffen werden soll. Anschließend muss festgelegt werden, wer an der Lösung beteiligt ist. Es muss sich dabei nicht um ein einziges Unternehmen handeln, auch Kooperationen sind möglich. 2. Entwicklung der Roadmap: a) Produktidentifikation: Die Bedürfnisbefriedigung erfolgt durch ein Produkt. Dieses Produkt einzugrenzen, ist eine schwierige Aufgabe, in die alle Beteiligten der Roadmap einbezogen werden sollten. Um die Produktidentifikation zu erleichtern, können Szenarien genutzt werden. Die Eintrittswahrscheinlichkeit dieser Szenarien kann sich mit der Zeit ändern. Daher ist der Schritt Produktidentifikation ein guter Ansatz für periodische Aktualisierungen der Roadmap. b) Identifikation kritischer Anforderungen und Ziele: Die kritischen Anforderungen an das identifizierte Produkt und damit verbundenen Ziele erzeugen einen Rahmen für alle weiteren Schritte. <?page no="88"?> 2.6 Zielfindung 87 www.uvk-lucius.de/ it-management c) Festlegung von Technologiebereichen: Die Technologiebereiche sind in Abhängigkeit der kritischen Anforderungen und Ziele auszuwählen. Sie grenzen die Technologien ein, die für deren Erfüllung relevant sind. d) Festlegung von Technologietreibern und -zielen: Die kritischen Anforderungen und Ziele werden in diesem Schritt in Treiber überführt, bei denen es sich um spezifische angestrebte Technologiemerkmale handelt. Sie dienen als Kriterien für die spätere Auswahl einer Lösung. e) Festlegung von technologischen Alternativen und Zeitrahmen: Um die Treiber und Ziele zu erfüllen, muss eine Auswahl zwischen den technologischen Alternativen getroffen werden. Hierzu müssen diese zunächst identifiziert und auch mit Zeitrahmen versehen werden. Es können auch zunächst mehrere Alternativen ausgewählt werden, die im Zeitverlauf weiter eingegrenzt werden können. f) Empfehlung technologischer Alternativen: Um eine Empfehlung zu erstellen, wird eine Auswahl passender technologischer Alternativen getroffen. Hierbei ist in der Regel ein Kompromiss zwischen Kosten, Zeit und Qualität zu treffen. Außerdem kann eine Kombination mehrerer Alternativen notwendig sein, um alle relevanten Bedürfnisse ansprechen zu können. g) Erstellung des Reports: Die Roadmap ist nun fertig erstellt und fließt als Bestandteil in den abschließenden Report ein. Der Report enthält außerdem Informationen über die Abgrenzung des Technologiebereichs, kritische Faktoren in der Roadmap sowie Empfehlungen zur Technik und Umsetzung. Die Roadmap kann wie folgt visualisiert werden: In der ersten Zeile wird das identifizierte Produkt eingetragen. Darunter werden die kritischen Anforderungen positioniert. Die davon betroffenen Technologiebereiche werden eine Zeile tiefer eingetragen. Darunter die Technologietreiber, gefolgt von einer oder mehreren technologischen Empfehlungen inklusive einer Zeitachse. Mithilfe von gerichteten Kan- <?page no="89"?> 88 2 IT-Strategie www.uvk-lucius.de/ it-management ten können die Zusammenhänge in der Roadmap kenntlich gemacht werden. Abb. 31: Technology Roadmap 3. Folgeaktivitäten: a) Kritik und Validierung: Da die Roadmap in der Regel von einem kleinen Team erstellt wird, ist die Einbeziehung von einer größeren Gruppe für die kritische Beurteilung sehr wichtig. Dabei soll sichergestellt werden, dass die Roadmap plausibel und auch für Außenstehende verständlich ist. Von großer Bedeutung ist auch die Akzeptanz durch die Beteiligten bei der Implementierung. Um die Beteiligten einzubeziehen, bieten sich z.B. Workshops an. b) Implementierungsplan: Der Implementierungsplan kann erstellt werden, sobald die Roadmap validiert und akzeptiert wurde. Darin wird festgelegt, welche Tätigkeiten zur Implementierung der technologischen Alternativen, die in der Roadmap selektiert wurden, ausgeführt werden sollen. Der Implementierungsplan kann einen oder mehrere Projektpläne enthalten. Insbesondere bei mehreren Projektplänen ist eine übergeordnete Koordination wichtig. Produkte Produkt 1 Produkt 2 Anforderungen Anforderung 1 Anforderung 2 Anforderung 3 Bereiche Bereich 1 Bereich 2 Treiber Treiber 1 Treiber 2 Treiber 3 Empfehlungen Technologie 1 Technologie 2 Zeitachse: <?page no="90"?> 2.6 Zielfindung 89 www.uvk-lucius.de/ it-management c) Prüfung und Aktualisierung: Je weiter die Planung in die Zukunft reicht, desto unsicherer sind die Stabilität der Umgebungsfaktoren und der Erfolg der Planungsschritte. Daher sollten eine regelmäßige Prüfung der Roadmap und des Implementierungsplans sowie im Bedarfsfall eine Anpassung an neue Faktoren erfolgen. Insbesondere Szenarien, die bei der Erstellung der Roadmap verwendet wurden, sollten regelmäßig hinterfragt werden. Fallbeispiel Technology Roadmap: Ein Produzent für Batterien plant die Herstellung eines neuen Produkts, welches das Bedürfnis nach einer langlaufenden leichten Batterie befriedigen soll (Produkt). Die kritischen Anforderungen an die Batterie sind Gewicht, Umweltbelastung und Laufzeit, zu denen spezifische Ziele aufgestellt werden (Anforderungen). Um die Anforderungen zu erfüllen, müssen Technologien aus den Bereichen Energiespeicher und Energiewandler betrachtet werden (Bereiche). Aus den Anforderungen für diese Bereiche ergeben sich die Technologietreiber Kapazität, Leistung, Energieinhalt, Selbstentladung und Baugröße, zu denen ebenfalls spezifische Ziele aufgestellt werden (Treiber). Basierend auf den Treibern werden technologische Alternativen und deren Zeitrahmen festgelegt. Eine Auswahl aus den technologischen Alternativen führt zu der Empfehlung, eine Atombatterie herzustellen, für welche die passende Technologie im Jahr 2021 verfügbar sein wird (Empfehlung). Die Technology Roadmap wird wie folgt visualisiert: <?page no="91"?> 90 2 IT-Strategie www.uvk-lucius.de/ it-management Abb. 32: Fallbeispiel Technology Roadmap 22..77 EEnnttsscchheei id duun nggsstthheeo orriie e 22..77..11 GGrruunnddllaaggeenn Im Rahmen des IT-Managements wird ein Endscheidungsträger oft vor das Problem gestellt, eine von mehreren Alternativen auszuwählen. Dabei kann es sich z.B. um die Auswahl einer Software, eines Dienstleisters oder einer Strategie handeln. Grundsätzlich basiert die Auswahl von Alternativen auf der Bewertung von Kriterien. Diese können qualitativ oder quantitativ sein. Qualitative Kriterien, z.B. ob eine Applikation ein bestimmtes Betriebssystem unterstützt, werden mit nominalen oder ordinalen Skalen gemessen. Die Messung auf einer nominalen Skala erlaubt die Prüfung auf Gleichheit oder Ungleichheit in Bezug auf vorgegebene Skalenwerte, z.B. Farben. Bei einer nominalen Skala sind weder Abstand noch Rangordnung definiert. Auf einer ordinalen Skala erfolgt die Prüfung in Bezug auf Wertigkeiten, z.B. geringe, mittlere oder hohe Qualität. Produkte Batterie Anforderungen Gewicht Umweltbelastung Laufzeit Bereiche Energiespeicher Energiewandler Treiber Kapazität Leistung Baugröße Empfehlungen Selbstentladung 2015 2020 Atom Energieinhalt <?page no="92"?> 2.7 Entscheidungstheorie 91 www.uvk-lucius.de/ it-management Bei einer ordinalen Skala ist nur eine Rangordnung erkennbar. Quantitative Kriterien, z.B. die CPU-Nutzung durch eine Applikation, werden mit kardinalen Skalen gemessen. Eine kardinale Skala beinhaltet Werte, die den Rechenregeln der Zahlenarithmetik unterliegen, z.B. Temperatur oder Preis. Bei einer kardinalen Skala sind Rangordnung und Abstand zwischen den Skalenwerten klar definiert. Zur kriterienbasierten Auswahl von Alternativen kommen vor allem die Nutzwertanalyse und der Analytic Hierarchy Process (AHP) in Frage. Da verschiedene Bewertungsverfahren und Berechnungen genutzt werden, können dieselben Alternativen bei der Nutzwertanalyse zu anderen Bewertungsergebnissen führen als beim AHP. Insbesondere bei Alternativen, die in Bezug auf ihre Bewertungsergebnisse nahe beieinanderliegen, kann sich die Reihenfolge der Alternativen ändern. 22..77..22 NNuuttzzwwe errttaannaallyyssee Die Nutzwertanalyse (Zangemeister 1976; Adam 1996) wird auch als Punktbewertungsmodell oder Scoringmodell bezeichnet und ist ein sehr verbreitetes und unkompliziertes Verfahren für kriterienbasierte Entscheidungsfindungen. Die Nutzwertanalyse ermöglicht die Bewertung von mehreren Alternativen unter Berücksichtigung mehrerer Kriterien Diese Kombina tion wird als mehrdimensionales Zielsystems bezeichnet. Die Ausprägungen der Kriterien, die Punktwerte, beeinflussen die Entscheidung und führen zum Erkennen einer Vorziehenswürdigkeit. Zu jeder Alternative wird ein Nutzwert durch die Addition der gewichteten Punktwerte berechnet. Die Alternative mit dem höchsten Nutzwert wird schließlich ausgewählt. Die Nutzwertanalyse ist aufgrund der Beschränkung auf Grundrechenarten ohne ein spezielles Tool praktisch anwendbar. Für die Berechnung des Nutzwerts gilt: <?page no="93"?> 92 2 IT-Strategie www.uvk-lucius.de/ it-management n z yz z y P G N 1 y N ist der Nutzwert einer Alternative y. z G entspricht dem Gewicht, das dem Kriterium z beigemessen wird und yz P steht für den Punktwert, den eine Alternative y beim Beurteilungskriterium z aufgrund einer Beurteilung erreicht. Der Ablauf der Nutzwertanalyse besteht aus folgenden Schritten: Abb. 33: Ablauf der Nutzwertanalyse [1] Kriterienselektion: Die Kriterien, die bei der Auswahl berücksichtigt werden, müssen zu Beginn festgelegt werden. [2] Eingrenzung der Kriteriumsausprägungen: Hier werden die Wertebereiche festgelegt, aus dem die Ausprägungen der Kriterien (Punktwerte) stammen können. [3] Definition von Gewichten: Die Gewichte bilden die Bedeutung der einzelnen Kriterien im Hinblick auf die Bewertung der Alternativen ab. Hoch gewichtete Kriterien werden stärker berücksichtigt, [1] Kriterienselektion [3] Definition von Gewichten [4] Berechnung der Nutzwerte [5] Reihung der Entscheidungsalternativen [6] Auswahl einer Entscheidungsalternative [2] Eingrenzung der Kriteriumsausprägungen <?page no="94"?> 2.7 Entscheidungstheorie 93 www.uvk-lucius.de/ it-management da deren Gewicht einen größeren Hebel hat, und damit den Nutzwert der Alternative stärker beeinflusst. [4] Berechnung der Nutzwerte: Die Nutzwerte werden gebildet, indem alle Punktwerte je Alternative gewichtet und summiert werden. Als Ergebnis liegt für jede Alternative ein Nutzwert vor. [5] Reihung der Entscheidungsalternativen: Anhand der Nutzwerte können die Alternativen in eine Reihenfolge gebracht werden. An erster Stelle steht die Alternative mit dem höchsten Nutzwert. Die restlichen Alternativen folgen mit absteigenden Nutzwerten. [6] Auswahl einer Entscheidungsalternative: Da nun die Reihenfolge der Alternativen in Bezug auf ihre Nutzwerte, und damit ihre Vorziehenswürdigkeit bekannt ist, kann die Alternative an erster Stelle ausgewählt werden. Zusätzlich zu diesem Ablauf kann eine Unterscheidung der Kriterien in Ausschluss- und Vergleichskriterien erfolgen, um die Grundlage für ein zweistufiges Bewertungsverfahren zu schaffen, und damit das Problem der Substituierbarkeit zu reduzieren. Dieses Problem liegt vor, wenn eine überaus schlechte Beurteilung für ein Kriterium, also ein sehr niedriger Punktwert, durch gute Beurteilungen für andere Kriterien, also hohe Punktwerte, ausgeglichen werden kann. Aufgrund einiger Probleme ist die Nutzwertanalyse jedoch kritisch zu betrachten: Die Addition der Punktwerte setzt die Unabhängigkeit der Kriterien voraus. Abhängigkeiten, wie Konkurrenz- oder Komplementärbeziehungen zwischen Kriterien, lassen sich häufig jedoch nicht ganz vermeiden. Das ist durch die generell gegebene Abhängigkeit wirtschaftlicher Größen begründet. Unter anderem können der Absatz eines Produkts vom Absatz eines anderen komplementären Produkts und der Beschaffungsbedarf vom Produktionsbedarf abhängig sein. Bei stark abhängigen Kriterien besteht die Gefahr, dass Alternativen positiv oder negativ überbewertet werden. <?page no="95"?> 94 2 IT-Strategie www.uvk-lucius.de/ it-management Die Nutzwertanalyse bietet darüber hinaus eine große Menge an Manipulationsmöglichkeiten. Durch genaue Zahlen und Rechenverfahren kann eine Objektivität vorgetäuscht werden, die gar nicht vorhanden ist. Durch die Subjektivität bei der Gewichtung und Bewertung von Beurteilungskriterien kann das Ergebnis entscheidend beeinflusst werden. Man kann zwar mithilfe von zeit- und kostenaufwändigen Befragungen von anderen Personen die Subjektivität verringern, beseitigen kann man diese jedoch nicht. Außerdem obliegt die endgültige Auswahl der Kriterien allein den Entscheidungsträgern. Eine Substituierbarkeit der Kriterien wird durch die Addition der Punktwerte und die Linearität der Bewertung ermöglicht. Auch durch die Unterscheidung von Ausschlusskriterien und Vergleichskriterien kann das Problem nur teilweise beseitigt werden. Die Vergleichskriterien sind weiterhin von der möglichen Substituierbarkeit betroffen. Das Gesamtergebnis der Nutzwertanalyse unterliegt zudem einer Nivellierung. Es ist wahrscheinlich, dass die Schwächen der besten Alternative nicht mehr zu erkennen sind. Je mehr Kriterien in Betracht gezogen werden, desto eher stehen die Endergebnisse im mittleren Wertebereich. Durch die Beurteilung von Alternativen in Bezug auf einzelne Kriterien erfolgt eine Zerlegung des Gesamtproblems in Einzelprobleme. Diese Zerlegung ist fragwürdig, denn zum einen ist das Gesamtproblem nicht mehr überschaubar und zum anderen besteht die Gefahr, dass Teilbetrachtungen zu unerwünschten Gesamtbeurteilungen führen. Unter anderem kann bei konkurrierenden Kriterien die Verbesserung eines Kriteriums dazu führen, dass ein konkurrierendes Kriterium schlechter beurteilt werden muss. So kann z.B. bei einer Software die Minimierung der Festplattenzugriffe dazu führen, dass der Bedarf an Arbeitsspeicher zunimmt. Fallbeispiel Nutzwertanalyse: Ein Unternehmen plant die Neuanschaffung von Monitoren für 50 Mitarbeiter im Innendienst. Von den drei Monitor-Modellen A, B und C soll das beste ausgewählt werden. <?page no="96"?> 2.7 Entscheidungstheorie 95 www.uvk-lucius.de/ it-management [1] Kriterienselektion: Die Kriterien für die Bewertung lauten Bildqualität, Energieverbrauch und Schnittstellen. [2] Eingrenzung der Kriteriumsausprägungen: Im Fallbeispiel sollen die Kriteriumsausprägungen ganze Zahlen von Eins bis Fünf annehmen können. Eins repräsentiert die schlechteste und Fünf die beste Ausprägung. [3] Definition von Gewichten: Da die Bildqualität am wichtigsten ist, erhält sie das Gewicht 40. Energieverbrauch erhält das Gewicht 20 und Schnittstellen das Gewicht 10. [4] Berechnung der Nutzwerte: Informationen zu den Kriterienausprägungen: - Modell A hat die Ausprägungen: Bildqualität 5, Energieverbrauch 2, Schnittstellen 2. - Modell B hat die Ausprägungen: Bildqualität 1, Energieverbrauch 4, Schnittstellen 2. - Modell C hat die Ausprägungen: Bildqualität 5, Energieverbrauch 5, Schnittstellen 4. [5] Reihung der Entscheidungsalternativen: Modell C besitzt mit 340 den höchsten Nutzwert, Modell A mit 260 den zweithöchsten und Modell B mit 140 den niedrigsten. Die Reihenfolge lautet demnach Modell C, Modell A, Modell B. [6] Auswahl einer Entscheidungsalternative: Im Fallbeispiel steht die Alternative Modell C an erster Stelle, da sie den höchsten Nutzwert, und damit die größte Vorziehenswürdigkeit besitzt. Diese Alternative wird ausgewählt. <?page no="97"?> 96 2 IT-Strategie www.uvk-lucius.de/ it-management Alternative Kriterium Bew. Hebel Gewichtet Nutzwert Modell A Bildqualität 5 40 200 260 Energieverbr. 2 20 40 Schnittstellen 2 10 20 Modell B Bildqualität 1 40 40 140 Energieverbr. 4 20 80 Schnittstellen 2 10 20 Modell C Bildqualität 5 40 200 340 Energieverbr. 5 20 100 Schnittstellen 4 10 40 Tab. 6: Fallbeispiel Nutzwertanalyse 22..77..33 AAnnaallyyttiicc H Hiieerraarrcchhyy P Pr ro occeessss Der Analytic Hierarchy Process (AHP) ist ein Verfahren für komplexe Entscheidungsfindungen, bei denen Paarvergleiche für überlegte und konsistente Beurteilungen von Kriterien und Alternativen genutzt werden. Der AHP wurde durch den Mathematiker Saaty (1994, 2000) entwickelt und ermöglicht eine Bewertung von Alternativen in Bezug auf festgelegte Auswahlkriterien, berücksichtigt unterschiedlich hohe Bedeutungen der Kriterien und aggregiert Einzelbewertungen zu einer Gesamtbewertung. Der Gesamtbewertung liegt eine Hierarchie zugrunde, die aus einer Ziel-, einer Kriterien-, einer oder mehrerer Subkriterien- und einer Alternativenebene besteht. Im Gegensatz zur Nutzwertanalyse werden erweiterte Rechenverfahren angewendet, die eine computergestützte Durchführung empfehlenswert machen. Der AHP besitzt zum Teil ähnliche Nachteile wie die Nutzwertanalyse: <?page no="98"?> 2.7 Entscheidungstheorie 97 www.uvk-lucius.de/ it-management Auch beim AHP besteht bei starker Abhängigkeit von Kriterien die Gefahr, dass Alternativen positiv oder negativ überbewertet werden. Der AHP bietet Manipulationsmöglichkeiten, da die Bewertung und Strukturierung relevanter Ziele, Kriterien und Entscheidungsalternativen dem Entscheidungsträger überlassen bleiben. Dies stellt aber keine Schwäche des AHP-Verfahrens dar, weil es keine Technik gibt, die dem Entscheidungsträger diese Arbeit abnehmen kann. Das Problem der möglichen Substituierbarkeit der Kriterien untereinander besteht ebenfalls wie bei der Nutzwertanalyse. Zu den Vorteilen von AHP zählen: Ungereimtheiten und Widersprüche im Entscheidungsverhalten können aufgedeckt werden. Hierzu wird eine Konsistenzprüfung der Beurteilungen angeboten. Aufgrund der größeren Bandbreite von Beurteilungsmöglichkeiten sind differenziertere Bewertungen als bei der Nutzwertanalyse möglich. Aufgrund der Paarvergleiche muss der Entscheider gründlich nachdenken, bevor er die Kriterien bewerten kann, was zu überlegteren Entscheidungen führt. Der Ablauf des AHP besteht aus den folgenden fünf Phasen: Abb. 34: Ablauf AHP [1] Konstruktion des Entscheidungsproblems [3] Auswahl von Alternativen [4] Bewertung der Alternativen [5] Auswahl der günstigsten Alternative [2] Festlegung der Kriterien <?page no="99"?> 98 2 IT-Strategie www.uvk-lucius.de/ it-management [1] Konstruktion des Entscheidungsproblems: Für die Konstruktion des Entscheidungsproblems wird ein Gesamtproblem wie bei der Nutzwertanalyse in Teilprobleme unterteilt. Die Lösungen der Teilprobleme werden aggregiert, um das Gesamtproblem zu lösen. Eine Hierarchie aus einer Ziel-, Kriterien- und Alternativenebene bildet die Basis für die weiteren Phasen. [2] Festlegung der Kriterien: Bei der Festlegung der Kriterien ist der Endscheidungsträger grundsätzlich vollkommen ungebunden. Als Grundlage für die Ableitung von Kriterien können z.B. Standards und Best Practices genutzt werden. Anschließend müssen die Bedeutungen der Kriterien mithilfe von paarweisen Vergleichen beurteilt werden, um die Grundlage für eine spätere Gewichtung zu schaffen. Die Kriterien übernehmen hier die Rolle von Beurteilungsobjekten. Für die Bewertung der relativen Bedeutung werden die Beurteilungsobjekte paarweise miteinander verglichen. Alternativ kann eine absolute Bewertung, welche auch als Rating bezeichnet wird, durchgeführt werden. Hierbei vergleicht der Entscheider die Beurteilungsobjekte mit einem Standard, den er aufgrund seiner Erfahrung gebildet hat. Der absoluten Bewertung muss also ein Benchmark zugrunde gelegt werden. Bei paarweisen Vergleichen für die Bewertung der relativen Bedeutung wird ein Ergebnis aus der untenstehen Tabelle ausgewählt und in eine Evaluationsmatrix eingetragen. <?page no="100"?> 2.7 Entscheidungstheorie 99 www.uvk-lucius.de/ it-management mögliche Werte Bedeutung 1 gleiche Bedeutung der beiden Beurteilungsobjekte 3 etwas höhere Bedeutung eines Beurteilungsobjekts 5 deutlich höhere Bedeutung eines Beurteilungsobjekts 7 viel höhere Bedeutung eines Beurteilungsobjekts 9 sehr viel höhere Bedeutung eines Beurteilungsobjekts 2, 4, 6, 8 Zwischenwerte 1 2 , 1 3 , 1 4 , 1 5 , 1 6 , 1 7 , 1 8 , 1 9 Reziprokwerte Tab. 7: Bedeutung von Beurteilungsobjekten Die Evaluationsmatrix hat die Form: A a 11 ... a 1 j ... a 1n ... ... ... ... ... a i1 ... a ij ... a in ... ... ... ... ... a n1 ... a nj ... a nn mit i 1,..., n j 1,..., n : a ij 0 i j : a ij 1 i 1,..., n j 1,..., n : a ij a ji 1 Um die Evaluationsmatrix vollständig mit Ergebnissen auszufüllen, sind insgesamt n (n 1) 2 paarweise Vergleiche nötig. Auf der Hauptdiagonalen der Evaluationsmatrix sind alle Werte gleich Eins, da angenommen wird, dass die Paarvergleiche reflexiv zueinander sind. Unterhalb der Hauptdiagonalen ist der Kehrwert des an der Hauptdiagonalen gespiegelten Werts einzutragen, da angenommen wird, dass die Paarvergleiche symmetrisch zueinander sind. Anschließend müssen die Ergebnisse aggregiert werden. Hierzu wird die Summe jeder Spalte in der Evaluationsmatrix mit folgender Formel berechnet: <?page no="101"?> 100 2 IT-Strategie www.uvk-lucius.de/ it-management a ij i 1 n j 1,..., n Als nächstes wird die Evaluationsmatrix normiert, indem jedes Ergebnis durch seine jeweilige Spaltensumme dividiert wird: N a 11 a i1 i 1 n ... a 1 j a ij i 1 n ... a 1n a in i 1 n ... ... ... ... ... a i1 a i1 i 1 n ... a ij a ij i 1 n ... a in a in i 1 n ... ... ... ... ... a n1 a i1 i 1 n ... a nj a ij i 1 n ... a nn a in i 1 n Für jedes Kriterium wird ein Bedeutungsurteil i berechnet, das bei der späteren Berechnung der Gesamtprioritäten als Hebel genutzt wird. Hierzu werden die Zeilensummen der normierten Evaluationsmatrix N gebildet und durch die Anzahl der Beurteilungsobjekte (n) dividiert: v i a ij norm j 1 n n mit a ij norm a ij a ij i 1 n und i 1,...,n Bei dieser Berechnung handelt es sich um eine Näherung. Genauere Werte können durch spezielle Software, z.B. Expert Choice, mithilfe von Iterationsverfahren berechnet werden. Ungenauigkeiten durch die näherungsweise Berechnung machen sich meist in der zweiten bis dritten Nachkommastelle bemerkbar. <?page no="102"?> 2.7 Entscheidungstheorie 101 www.uvk-lucius.de/ it-management [3] Auswahl von Alternativen: Um die Bedeutungsurteile der Kriterien auf eine Auswahlentscheidung anwenden zu können, müssen die Alternativen und ihre Kriterienausprägungen bekannt sein. Nur wenn eine ausreichende Informationsbasis über die Alternativen vorhanden ist, kann im nächsten Schritt die eigentliche Bewertung erfolgen. [4] Bewertung der Alternativen: Das Ziel der Bewertung ist, eine nachvollziehbare Auswahl der günstigsten Alternative zu ermöglichen. Bei der Bewertung übernehmen die Kriterienausprägungen die Rolle der Beurteilungsobjekte. Um die Alternativen zu bewerten, werden bei der relativen Bewertung wieder paarweise Vergleiche durchgeführt. Hierzu wird wie bei der Kriterienbeurteilung eine Evaluationsmatrix mit den Ergebnissen der Paarvergleichsurteile erstellt und anschließend gewichtet. Danach werden sie zu Bedeutungsurteilen aggregiert, die auch als Prioritäten bezeichnet werden. Die Aggregation erfolgt, indem die Evaluationsmatrizen normiert werden. Dazu wird jedes Paarvergleichsurteil durch seine jeweilige Spaltensumme dividiert. Für jede Alternative wird ein Bedeutungsurteil durch die Bildung der Zeilensummen der normierten Evaluationsmatrix und die Division jeder Zeilensumme durch n (der Anzahl an Alternativen) berechnet. Um sicherzustellen, dass die Bewertungen untereinander konsistent sind, kann im AHP- Verfahren eine Konsistenzprüfung durchgeführt werden. Hierbei werden in erster Linie Ungereimtheiten bei den Bewertungen aufgedeckt. Wenn z.B. die Alternative A sehr viel besser als Alternative B und viel besser als Alternative C beurteilt wird, dann sollten die Alternativen B und C im Paarvergleich nahe beieinanderliegen. Ansonsten sind die Beurteilungen nicht konsistent. [5] Auswahl der günstigsten Alternative: Die Alternative mit der höchsten Priorität ist die günstigste Alternative und wird ausgewählt. Sollten die Kriterien <?page no="103"?> 102 2 IT-Strategie www.uvk-lucius.de/ it-management zuvor in Subkriterien unterteilt worden sein, müssen die Prioritäten der Subkriterien aggregiert werden. Um die Gesamtpriorität P j für jede Alternative j zu berechnen, werden die Prioritäten p ij mit dem aggregierten Bedeutungsurteil w ij für das jeweilige (Sub-)Kriterium i multipliziert (gewogenes arithmetisches Mittel) und über alle Kriterien auf der jeweils untersten Stufe der Kriterienhierarchie addiert: P j w ij p ij i 1 n Fallbeispiel AHP: Ein Unternehmen plant die Neuanschaffung von Monitoren für 50 Mitarbeiter im Innendienst. Von den drei Monitor-Modellen A, B und C soll das beste ausgewählt werden. [1] Konstruktion des Entscheidungsproblems: Das Entscheidungsproblem ist die Auswahl eines Monitor- Modells. [2] Festlegung der Kriterien: Die Kriterien für die Bewertung lauten Bildqualität, Energieverbrauch und Schnittstellen: - Das Kriterium Bildqualität hat eine deutlich höhere Bedeutung als das Kriterium Energieverbrauch und eine sehr viel höhere Bedeutung als das Kriterium Schnittstellen. - Das Kriterium Energieverbrauch hat eine etwas höhere Bedeutung als das Kriterium Schnittstellen. - Die Bildqualität soll möglichst hoch, der Energieverbrauch möglichst niedrig und die Schnittstellen möglichst zahlreich sein. Daraus ergibt sich folgende Evaluationsmatrix zu den Kriterien. Die Ergebnisse der Paarvergleiche werden oberhalb der Diagonalen eingetragen. Die Werte auf der Diagonalen sind immer Eins. Und unterhalb der Diagonalen werden die Kehrwerte der an der Hauptdiagonalen gespiegelten Werte eingetragen. <?page no="104"?> 2.7 Entscheidungstheorie 103 www.uvk-lucius.de/ it-management Beurteilungsobjekt Bildqualität Energieverbrauch Schnittstellen Bildqualität 1 5 9 Energieverbrauch 1/ 5 1 3 Schnittstellen 1/ 9 1/ 3 1 Tab. 8: Paarvergleiche der Kriterien Die Ergebnisse aus der obenstehenden Tabelle werden durch die Spaltensumme dividiert. Daraus ergeben sich normierte Werte, die in die untenstehende Tabelle eingetragen werden. Sie werden anschließend zeilenweise summiert. Mittels der Division der Zeilensummen durch die Anzahl der Kriterien werden die Bedeutungsurteile, und somit die Hebel für die Gesamtprioritäten, ermittelt. Spaltensummen von oben 1,311 6,333 13,000 Beurteilungsobjekt Bildqualität Energieverbrauch Schnittstellen Zeilensummen von hier Bedeutungsurteile Bildqualität 0,763 0,789 0,692 2,244 0,748 Energieverbr. 0,153 0,158 0,231 0,541 0,180 Schnittstellen 0,085 0,053 0,077 0,214 0,071 Tab. 9: Bedeutungsurteile für die Kriterien [3] Auswahl von Alternativen: Die Alternativen sind die Modelle A, B und C. Die Ausprägungen der Kriterien lauten: - Modell A hat eine sehr viel höhere Bildqualität als Modell B und die gleiche Bildqualität wie Modell C. - Modell B hat eine sehr viel niedrigere Bildqualität als Modell C. <?page no="105"?> 104 2 IT-Strategie www.uvk-lucius.de/ it-management - Modell A hat einen etwas höheren Energieverbrauch als Modell B und einen deutlich höheren Energieverbrauch als Modell C. - Modell B hat einen etwas höheren Energieverbrauch als Modell C. - Modell A hat gleich viele Schnittstellen wie Modell B und deutlich weniger Schnittstellen als Modell C. - Modell B hat deutlich weniger Schnittstellen als Modell C. [4] Bewertung der Alternativen: Jede Alternative wird mit dem relativen Verfahren bewertet. Bei der resultierenden Evaluationsmatrix werden die Ergebnisse aus den Paarvergleichen der Kriterienausprägungen oberhalb der Diagonalen eingetragen. Die Werte auf der Diagonalen sind immer Eins. Und unterhalb der Diagonalen werden die Kehrwerte der an der Hauptdiagonalen gespiegelten Werte eingetragen. Beurteilungsobjekt Modell A Modell B Modell C Modell A 1 9 1 Modell B 1/ 9 1 1/ 9 Modell C 1 9 1 Tab. 10: Paarvergleiche zur Bildqualität Die Ergebnisse aus der obenstehenden Tabelle werden durch die jeweilige Spaltensumme dividiert. Daraus ergeben sich normierte Werte, die in die untenstehende Tabelle eingetragen werden. Die normierten Werte werden anschließend zeilenweise summiert. Indem die Zeilensummen durch die Anzahl der Alternativen dividiert werden, werden die Bedeutungsurteile ermittelt. <?page no="106"?> 2.7 Entscheidungstheorie 105 www.uvk-lucius.de/ it-management Spaltensummen von oben 2,111 19,000 2,111 Beurteilungsobjekt Modell A Modell B Modell C Zeilensummen von hier Bedeutungsurteile Modell A 0,474 0,474 0,474 1,421 0,474 Modell B 0,053 0,053 0,053 0,158 0,053 Modell C 0,474 0,474 0,474 1,421 0,474 Tab. 11: Einzelprioritäten Bildqualität Analog zur Bildqualität werden die Ergebnisse der Paarvergleiche und die Einzelprioritäten zu Energieverbrauch und Schnittstellen in den folgenden Tabellen festgehalten. Beurteilungsobjekt Modell A Modell B Modell C Modell A 1 1/ 3 1/ 5 Modell B 3 1 1/ 3 Modell C 5 3 1 Tab. 12: Paarvergleiche zu Energieverbrauch Spaltensummen von oben 9,000 4,333 1,533 Beurteilungsobjekt Modell A Modell B Modell C Zeilensummen von hier Bedeutungsurteile Modell A 0,111 0,077 0,130 0,318 0,106 Modell B 0,333 0,231 0,217 0,781 0,260 Modell C 0,556 0,692 0,652 1,900 0,633 Tab. 13: Einzelprioritäten Energieverbrauch <?page no="107"?> 106 2 IT-Strategie www.uvk-lucius.de/ it-management Beurteilungsobjekt Modell A Modell B Modell C Modell A 1 1 1/ 5 Modell B 1 1 1/ 5 Modell C 5 5 1 Tab. 14: Paarvergleiche zu Schnittstellen Spaltensummen von oben 7,000 7,000 1,400 Beurteilungsobjekt Modell A Modell B Modell C Zeilensummen von hier Bedeutungsurteile Modell A 0,143 0,143 0,143 0,429 0,143 Modell B 0,143 0,143 0,143 0,429 0,143 Modell C 0,714 0,714 0,714 2,143 0,714 Tab. 15: Einzelprioritäten Schnittstellen [5] Auswahl der günstigsten Alternative: Nun liegen zwar alle Einzelprioritäten vor, jedoch müssen diese unter Berücksichtigung der Hebel noch zu Gesamtprioritäten aggregiert werden. Dazu wird pro Alternative die Summe der gewichteten Einzelprioritäten gebildet. Alternative Kriterium Einzelpriorität Hebel gewichtete Priorität Gesamtpriorität Modell A Bildqualität 0,470 0,750 0,353 0,382 Energieverbrauch 0,110 0,180 0,020 Schnittstellen 0,140 0,070 0,010 Modell B Bildqualität 0,050 0,750 0,038 0,094 <?page no="108"?> 2.8 Literatur zu Kapitel 2 107 www.uvk-lucius.de/ it-management Energieverbrauch 0,260 0,180 0,047 Schnittstellen 0,140 0,070 0,010 Modell C Bildqualität 0,470 0,750 0,353 0,516 Energieverbrauch 0,630 0,180 0,113 Schnittstellen 0,710 0,070 0,050 Tab. 16: Gesamtprioritäten Da nun alle Gesamtprioritäten vorliegen, kann die Alternative mit der höchsten Gesamtpriorität ausgewählt werden. Im Fallbeispiel handelt es sich um die Alternative Modell C. 22..88 LLiit teerraattuur r zzuu K Kaappiitteel l 2 2 Adam, D. (1996) Planung und Entscheidung: Modelle - Ziele - Methoden. Mit Fallstudien und Lösungen, 4. Auflage, Wiesbaden 1996 Ansoff, H. I. (1957) Strategies for Diversification. In: Harvard Business Review, Vol. 35 Issue 5, Sep/ Oct 1957, S. 113-124 Benson, R. J.; Parker, M. M. (1985) Enterprise-wide Information Management: An Introduction to the Concepts. In: IBM Los Angeles Scientific Center Report, No. G320-2768, 1985 Doran, G. T. (1981) There's a S.M.A.R.T. way to write management's goals and objectives. In: Management Review, Volume 70, Issue 11, 1981, S. 35-36 Fahey, L.; Narayanan, V. K. (1986) Macroenvironmental Analysis for Strategic Management, St. Paul, Minnesota 1986 Garcia, M. L.; Bray, O. H. (1997) Fundamentals of Technology Roadmapping, Strategic Business Development Department, Sandia National Laboratories, 1997, http: / / www.sandia.gov/ PHMCOE/ pdf/ Sandia%27sFundamentalsofTech.pdf <?page no="109"?> 108 2 IT-Strategie Henderson, B. (1970) The Product Portfolio, BCG Perspectives series, 1970, Reprinted 11/ 08, http: / / www.bcg.de/ documents/ file52312.pdf Humphrey, A. S. (2005) SWOT Analysis for Management Consulting. In: SRI Alumni Association Newsletter, December 2005, http: / / www.sri.com/ sites/ default/ files/ brochures/ dec-05.pdf ISACA (2008) Enterprise Value: Governace of IT Investments - The Val IT Framework 2.0, 2008, http: / / www.isaca.org/ Knowledge-Center/ Val-IT-IT-Value-Delivery-/ Pages/ Val-IT1. aspx Kaplan, R. S.; Norton, D. P. (1992) The Balanced Scorecard - Measures that Drive Performance. In: Harvard Business Review, Vol. 70 Issue 1, Jan/ Feb 1992, S. 71-79 Krcmar, H.; Buresch, A. (1994) IV-Controlling: Ein Rahmenkonzept für die Praxis. In: Controlling, 6. Jg., Nr. 5, 1994, S. 294- 304 McFarlan, F. W. (1981) Portfolio Approach to Information Systems. In: Harvard Business Review, September 1981, S. 142-150 Object Management Group (2010) Documents Associated With Business Motivation Model (BMM), Version 1.1, May 2010, http: / / www.omg.org/ spec/ BMM/ 1.1 Porter, M. E. (2004) Competitive Strategy: Techniques for Analyzing Industries and Competitors, Auflage Export, New York 2004 Saaty, T.L. (1994) how to Make a Decision: The Analytic Hierarchy Process. In: Interfaces, Vol. 24 (1994), No. 6, S. 19-43 Saaty, T.L. (2000) Fundamentals of Decision Making and Priority Theory with the Analytic Hierarchy Process, 2. Auflage, Pittsburgh 2000 Wirtz, B. W. (2001) Electronic Business, 2. Auflage, Wiesbaden 2001 Zangemeister, C. (1976) Nutzwertanalyse in der Systemtechnik: Eine Methodik zur multidimensionalen Bewertung und Auswahl von Projektalternativen, 4. Auflage, München 1976 <?page no="110"?> www.uvk-lucius.de/ it-management 33 BBuuddggeett && RReessssoouurrcceenn Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie die Grundbegriffe der IT-Kostenrechnung kennen und gebrauchen können, IT-Kostenrechungsmethoden und -systeme unterscheiden können, IT-Chargeback und IT-Showback verstehen, den Zweck von IT-Budgets und IT-Demands erläutern können, mit IT-Kennzahlen umgehen können, die Ausgestaltungen von IT-Sourcing sowie deren Vor- und Nachteile erläutern können, den Lebenszyklus und die Strukturierung von IT-Assets skizzieren können, die Eigenschaften eines IT-Projekts erläutern können, die Integrationsmöglichkeiten von Projekten in die Organisation eines Unternehmens skizzieren können, Techniken zur zeitlichen Planung von IT-Projekten anwenden können, IT-Projekte im Rahmen eines Projektportfolio- Managements kategorisieren können, die Einsatzmöglichkeit von Case-Based Reasoning im Projektmanagement beschreiben können. <?page no="111"?> 110 3 Budget & Ressourcen www.uvk-lucius.de/ it-management 33..1 1 KKoosstteennrreecchhnnuunngg 33..1 1..1 1 GGrru unnddbbeeggrri iffffee Die Kostenrechnung stellt Informationen rund um Kosten zur Verfügung, die für die Erstellung realitätsbezogener Budgets und den effizienten Einsatz von Ressourcen genutzt werden können. Die Grundbegriffe der Kostenrechnung beziehen sich auf unterschiedliche bilanzielle Auswirkungen. Von diesen Auswirkungen können Zahlungsmittel, Geldvermögen, Gesamtvermögen und Betriebsvermögen betroffen sein. Die Zahlungsmittel eines Unternehmens umfassen die liquiden Mittel, welche sich aus Bargeld und Sichtguthaben zusammensetzen. Der Bestand an Zahlungsmitteln wird durch Aus- und Einzahlungen verändert. Das Geldvermögen beinhaltet neben den Zahlungsmitteln zusätzlich die Forderungen und Verbindlichkeiten des Unternehmens. Das Geldvermögen wird durch Ausgaben und Einnahmen verändert. Das Gesamtvermögen ist die Gesamtheit aller Aktiva der Bilanz, welche sich aus Umlauf- und Anlagevermögen zusammensetzen. Neben dem Geldvermögen ist also auch das Sachvermögen enthalten. Das Gesamtvermögen wird durch Aufwände und Erträge verändert. Das Betriebsvermögen umfasst nur das Vermögen, das mit der betrieblichen Leistungserstellung in Zusammenhang steht. Andere Vermögensobjekte, z.B. Wohngebäude oder langfristige Geldanlagen, werden ausgeblendet. Das Betriebsvermögen wird durch Kosten und Leistungen verändert. <?page no="112"?> 3.1 Kostenrechnung 111 www.uvk-lucius.de/ it-management Abb. 35: Grundbegriffe der Kostenrechnung Eine Auszahlung ist eine Übertragung von Bar- oder Buchgeld von einem Unternehmen an externe Personen oder Organisationen. Es wird also der Bestand an Zahlungsmitteln vermindert. Bei einer Auszahlung handelt es sich gleichzeitig um eine Ausgabe, wenn auch das Geldvermögen des Unternehmens vermindert wird, z.B. bei einer Barzahlung für Arbeitsmittel. Das ist jedoch nicht immer der Fall. Z.B. kann eine Verbindlichkeit gegenüber einem Lieferanten mit einer Auszahlung von Bargeld beglichen werden. Da bei diesem Vorgang lediglich aktive Positionen der Bilanz umverteilt werden, ist diese Auszahlung nicht gleichzeitig eine Ausgabe. Eine Einzahlung ist das Gegenteil einer Auszahlung. Anstelle der Übertragung von Bar- oder Buchgeld an einen Externen nimmt das Unternehmen Bar- oder Buchgeld von einem Externen entgegen. Es wird also der Bestand an Zahlungsmitteln erhöht. Bei einer Einzahlung handelt es sich gleichzeitig um eine Einnahme, wenn auch das Geldvermögen des Unternehmens erhöht wird, z.B. beim Empfang von Bargeld für verkaufte Güter. Das ist jedoch nicht immer der Fall. Z.B. kann ein Kunde eine ausstehende Rechnung durch eine Überweisung von Buchgeld begleichen. Da bei diesem Vorgang lediglich aktive Positionen der Bilanz umverteilt werden, ist diese Einzahlung nicht gleichzeitig eine Einnahme. Gesamtvermögen: Betriebsvermögen: Geldvermögen: Zahlungsmittel Zahlungsmittel Forderungen & Verbindlichkeiten Forderungen & Verbindlichkeiten Auszahlung, Einzahlung Sachvermögen Sachvermögen Wohngebäude, langfristige Geldanlagen usw. Wohngebäude, langfristige Geldanlagen usw. Ausgabe, Einnahme Kosten, Leistung Aufwand, Ertrag <?page no="113"?> 112 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Eine Ausgabe vermindert das Geldvermögen des Unternehmens. Es werden also entweder Bar- oder Buchgeld an Externe übertragen oder es werden kurzfristige Verbindlichkeiten gegenüber Externen eingegangen. Eine Ausgabe kann gleichzeitig ein Aufwand sein, z.B. beim Kauf von Rohstoffen, die in derselben Periode eingesetzt werden. Sollten die Rohstoffe hingegen gelagert werden, ist diese Ausgabe kein Aufwand. Eine Einnahme erhöht das Geldvermögen des Unternehmens. Es werden also entweder Bar- oder Buchgeld von Externen empfangen oder es werden kurzfristige Forderungen gegenüber Externen gebildet. Eine Einnahme kann gleichzeitig ein Ertrag sein, z.B. beim Erhalt von Forderungen aufgrund des Verkaufs von hergestellten Gütern. Sollte durch den Verkauf der hergestellten Güter kein Gewinn erzielt werden können, dann ist diese Einnahme kein Ertrag. Kosten sind Aufwände, die durch die betriebliche Leistungserstellung bedingt sind, durch einen Verbrauch an Gütern oder Diensten entstanden sind und geldmäßig bewertet werden können. Ein Aufwand zählt nicht zu den Kosten, wenn er nicht mit der betrieblichen Leistungserstellung in Zusammenhang steht, z.B. bei Spenden. Leistungen sind Erträge, die durch die betriebliche Leistungserstellung bedingt sind, durch einen Zufluss an Gütern oder Diensten entstanden sind und geldmäßig bewertet werden können. Ein Ertrag ist keine Leistung, wenn er nicht mit der betrieblichen Leistungserstellung in Zusammenhang steht, z.B. bei Zinserträgen. Beim Aufwand handelt es sich um einen Werteverbrauch, durch den das Gesamtvermögen des Unternehmens gemindert wird. Ein Aufwand ist erfolgswirksam und geht somit in die Gewinn- und Verlustrechnung ein. Durch den Aufwand ist die Erfolgsrechnung betroffen. Ein Aufwand kann gleichzeitig zu den Kosten gehören, z.B. bei Gehaltszahlungen an das Personal. Beim Ertrag handelt es sich um einen Wertezuwachs, durch den das Gesamtvermögen des Unternehmens erhöht wird. Ein Ertrag ist ebenfalls erfolgswirksam und geht somit in die Gewinn- <?page no="114"?> 3.1 Kostenrechnung 113 www.uvk-lucius.de/ it-management und Verlustrechnung ein. Durch den Ertrag ist die Erfolgsrechnung betroffen. Ein Ertrag kann gleichzeitig eine Leistung sein, z.B. bei Realisierung eines Gewinns durch hergestellte Güter. 33..11..22 KKoosstteennaarrt teenn Im englischen Sprachraum wurden die Begriffe OPEX, CAPEX, TOTEX und STRATEX geprägt: OPEX steht für Operating Expenditure. Es handelt sich um Kosten, die zur Erfüllung der operativen Geschäftstätigkeiten aufgewendet werden. Wie oben angegeben sind Kosten durch die betriebliche Leistungserstellung bedingt, durch einen Verbrauch an Gütern oder Diensten entstanden und können geldmäßig bewertet werden. Dabei handelt es sich häufig um Ausgaben für Roh-, Hilfs- und Betriebsstoffe sowie Abschreibungen. Die Kosten sind erfolgswirksam und beeinflussen die bilanzierte Gewinn- und Verlustrechnung eines Unternehmens. CAPEX steht für Capital Expenditure. Es beinhaltet Ausgaben für Investitionen in längerfristige Anlagegüter. Diese Ausgaben sind weder Aufwand noch Kosten, da sie lediglich eine Umverteilung auf der Aktivseite der Bilanz bewirken. Hierbei wird ein Teil des Geldvermögens in Sachanlagen umgewandelt. TOTEX steht für Total Expenditure. Es ist die Summe von OPEX und CAPEX. Es gilt: TOTEX = OPEX + CAPEX STRATEX steht für Strategic Expenditure. Dieser Wert repräsentiert die Ausgaben, die der strategischen Weiterentwicklung des Unternehmens dienen. Durch die Abgrenzung dieser Ausgaben kann sichergestellt werden, dass Ineffizienzen bei den operationalen Ausgaben nicht zur Anpassung der strategischen Ausgaben führen. Kosten können je nach ihrer Zuordnungsmöglichkeit in Einzel- und Gemeinkosten unterteilt werden: Bei Einzelkosten kann eine direkte Zuordnung zu einem Kostenträger vorgenommen werden. Beispiele sind Material- und Lohneinzelkosten. <?page no="115"?> 114 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Bei Gemeinkosten kann lediglich eine indirekte Zuordnung zu einem Kostenträger vorgenommen werden, indem Kalkulationssätze genutzt werden. Beispiele sind Lager-, Vertriebs- und Verwaltungskosten. Die Erfassung von Gemeinkosten basiert zunächst auf Kostenstellen. Erst im zweiten Schritt kann mithilfe der Kalkulationssätze die Zuordnung zum Kostenträger durchgeführt werden. Kosten können außerdem in fixe und variable Kosten unterteilt werden, um die Auswirkungen von Beschäftigungsänderungen zu verdeutlichen: Es handelt sich um fixe Kosten, wenn eine Erhöhung oder Verminderung der Beschäftigung keine Auswirkung auf die Höhe der Kosten hat. Sie fallen also immer an, selbst wenn keine Leistungserbringung stattfindet. Beispiele hierzu sind Mieten, Versicherungen, Abschreibungen für Maschinen und Gehälter. Es handelt sich hingegen um variable Kosten, wenn Beschäftigungsänderungen zu einer direkten Änderung der Kostenhöhe führen. Sie sind von der Leistungserbringung abhängig. Ein Stillstand führt dazu, dass keine variablen Kosten anfallen. Beispiele sind Material, Frachtkosten und Provisionen. Eine Kostenremanenz ist das Zurückbleiben (lt. Remanenz) von Kosten bei rückläufiger Änderung der Beschäftigung. Bei sinkender Beschäftigung sinken die Kosten langsamer, als sie bei äquivalent steigender Beschäftigung angestiegen sind. Der Kostenabbau bleibt gegenüber dem Beschäftigungsabbau zurück. <?page no="116"?> 3.1 Kostenrechnung 115 www.uvk-lucius.de/ it-management Abb. 36: Kostenremanenz Insbesondere fixe Kosten, die nicht direkt von der Höhe der Beschäftigung abhängen, sind von der Kostenremanenz betroffen, variable Kosten hingegen seltener. Letztere sind z.B. betroffen, wenn die Effizienz der Arbeitsleistung aufgrund der Angst vor Kurzarbeit abnimmt. Die Kostenremanenz führt dazu, dass die Stückkosten bei sinkender Beschäftigung ansteigen. Für das Unternehmen wird es dadurch schwer, im Falle von rückgängigem Absatz mit Preissenkungen entgegenzuwirken. Die Ursachen der Kostenremanenz sind unter anderem: Abschreibungen, die auch nach Stilllegung einer Produktionsmaschine noch weiter fortgeführt werden, Fortsetzung von Gehältern und Löhnen aufgrund von Kündigungsfristen, Abfindungen, Sozialpläne, langfristige Vertragsbindungen, z.B. Miete, Bereitschaft für eine wiederkehrende höhere Beschäftigung. Die RGT-Metrik (Hunter et al. 2008) dient der Strukturierung der Kosten im IT-Bereich nach dem Grund ihrer Entstehung aus geschäftlicher Sicht. Kosten Stückzahl K o s t e n r e m a n e n z <?page no="117"?> 116 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Die Kosten werden durch die RGT-Metrik in die folgenden drei Kategorien aufgeteilt: Abb. 37: RGT-Metrik R: Run the business: Hierbei handelt es sich um Ausgaben, welche für die Unterstützung der betrieblichen Leistungserstellung durch die IT im Rahmen der regulären operativen Geschäftstätigkeit aufgebracht werden. Das Unternehmen versucht in der Regel, die Kosten zu reduzieren. Das Verhältnis zwischen Kosten und Leistung soll verbessert werden. Insgesamt befinden sich Kosten in einer Abhängigkeit zu Risiken und Qualität. Einige Kosten dienen allein der Reduzierung des Risikos, dass die Leistungserstellung dauerhaft unterbrochen wird. Beispiele hierzu sind redundante Systeme, Backups und eine hochverfügbare Infrastruktur. Auch bei Reduzierungen anderer Kosten muss das resultierende Risiko berücksichtigt werden. Z.B. kann der Wechsel zu einem günstigeren Rechenzentrum zu einem hohen Risiko führen, wenn die Verfügbarkeiten nicht eingehalten werden und das Unternehmen deswegen die Leistungserstellung unterbrechen muss. G: Grow the business: Diese Kosten entstehen durch die Ausweitung der operativen Geschäftstätigkeit des Unternehmens, ohne das Geschäftsmodell grundlegend zu ändern. Dazu wird meist eine Verbesse- Kosten Grow the business: Run the business: Erhöhung der Gewinnerwartung Transform the business: evolutionäre Veränderung Unterstützung der Betriebstätigkeit <?page no="118"?> 3.1 Kostenrechnung 117 www.uvk-lucius.de/ it-management rung, Erweiterung oder Differenzierung von Produkten oder Märkten vorgenommen. Diese Maßnahmen machen sich häufig gegenüber Unternehmenseigentümern in Form von Gewinnerhöhungen und gegenüber Kunden in Form von Qualitätserhöhungen bemerkbar. Es kann sich z.B. um die Erweiterung des IT-Helpdesks für externe IT-Dienstleistungen aufgrund einer antizipierten Erhöhung der Kundenanzahl und einer geplanten Qualitätserhöhung handeln. T: Transform the business: Die Entstehung dieser Kosten steht mit evolutionären Veränderungen durch neue Märkte, neue Produkte oder neue Geschäftsmodelle in Zusammenhang. Mit grundlegenden Veränderungen strebt das Unternehmen langfristig eine Erhöhung des gesamten Unternehmensergebnisses an, das aus der Differenz von Aufwänden und Erträgen im Rahmen der Gewinn- und Verlustrechnung ermittelt wird. Die IT soll diese Veränderungen unterstützen oder sogar ermöglichen. Eine effektive und effiziente IT ist dabei wichtig, um die Preise der Endprodukte konkurrenzfähig gestalten zu können. Das Unternehmen muss sich gegen neue Wettbewerber behaupten und unter Umständen Markteintrittsbarrieren überwinden. Durch die Aufteilung der Kosten können Einsparungen oder der Einsatz neuer Finanzmittel zielgerichteter erfolgen. Um die strategische Weiterentwicklung des Unternehmens zu ermöglichen, darf vor allem bei den Transform-Kosten nicht zu stark gespart werden. Wenn die Effizienz des Unternehmens erhöht werden soll, kann eine überlegte Reduzierung der Run-Kosten erfolgen. Auch die Wechselwirkungen sind dabei zu berücksichtigen. Z.B. kann die Erhöhung der Grow-Kosten zur Ausweitung der operativen Geschäftstätigkeit dazu führen, dass sich das Verhältnis zwischen Kosten und Leistung verschlechtert. <?page no="119"?> 118 3 Budget & Ressourcen www.uvk-lucius.de/ it-management 33..1 1..3 3 BBaassiiss ddeerr KKoosstteennrre ecchhnnuunngg Die Kostenrechnung kann auf Kostenarten, -trägern oder -stellen basieren: Die Kostenartenrechnung beinhaltet eine Gliederung der Kosten nach Kostenarten. Welche Kostenarten dafür konkret zur Verfügung stehen, regelt der Kostenartenplan. Hierbei handelt es sich um eine Gliederungsstruktur, welche den Rahmen für die Kostengliederung vorgibt. Mögliche Gliederungen sind unter anderem: Verbrauchsart, z.B. Material und Personal, Funktionen, z.B. Vertrieb und Verwaltung, Herkunft, z.B. primär und sekundär, Zurechenbarkeit, z.B. einzeln und gemein, Stabilität, z.B. variabel und fix. Bei der Kostenträgerrechnung werden alle Kosten festgelegten Kostenträgern zugerechnet. Bei den Kostenträgern kann es sich um Waren oder Dienstleistungen handeln. Durch dieses Verfahren lässt sich feststellen, ob die Herstellung bestimmter Waren oder das Angebot bestimmter Dienstleistungen für das Unternehmen profitabel sind. Nicht alle Kosten können direkt einem Kostenträger zugerechnet werden. Hierbei handelt es sich um Gemeinkosten, wie z.B. Verwaltungsgemeinkosten, welche mithilfe von Kalkulationssätzen auf die Kostenträger verteilt werden müssen. Die Kostenträgerrechnung kann weiter präzisiert werden, indem sie bei der Kostenträgerstückrechnung einzelne Stückeinheiten oder bei der Kostenträgerzeitrechnung einzelne Abrechnungsperioden berücksichtigt. Die Kostenstellenrechnung teilt alle Kosten auf Organisationseinheiten im Unternehmen auf, welche für die Kostenentstehung verantwortlich sind. Diese Verteilung basiert auf dem Verursacherprinzip. Da Einzelkosten direkt einem bestimmten Kostenträger zugeordnet werden können, sind sie von der Kostenstellenrechnung ausgenommen und fließen direkt in die Kostenträgerrechnung ein. Bei der Kostenstellenrechnung verbleiben also nur die Gemeinkosten. Der Übergang von der Kostenstellenzur Kostenträgerrechnung erfolgt durch die Zuordnung <?page no="120"?> 3.1 Kostenrechnung 119 www.uvk-lucius.de/ it-management von Gemeinkosten zu Kostenträgern, indem sie mithilfe von Kalkulationssätzen aufgeteilt werden. Gemeinkosten können im Außen- oder Innenverhältnis entstehen. Im Außenverhältnis tritt das Unternehmen mit Geschäftspartnern in Verbindung, um Waren oder Dienstleitungen zu erwerben. Dadurch entstehen primäre Gemeinkosten. Im Innenverhältnis stehen die Kostenstellen untereinander in Verbindung, um gegenseitig Waren oder Dienstleitungen bereitzustellen. Diese innerbetrieblichen Leitungen fließen als sekundäre Gemeinkosten ebenfalls in die Kostenstellenrechnung ein. 33..11..44 KKoosstteennrreecchhn nuunnggssmmeetthho oddeenn m miitt Z Zeeiittbbeezzuugg In Bezug auf die Zeit des zugrunde gelegten Betrachtungsausschnitts der Kostenrechnung kann man zwischen Istkostenrechnung, Normalkostenrechnung und Plankostenrechnung unterscheiden. Die Istkostenrechnung erfasst Kosten, welche tatsächlich in der Vergangenheit angefallen sind. Eine Kostenkontrolle mit der Istkostenrechnung ist nur begrenzt möglich. Die Erfassung sämtlicher Kosten und die Verrechnung von Gemeinkosten erfordern oftmals so viel Zeitaufwand, dass eine zeitnahe Angebotskalkulation nicht möglich ist. Ein Vergleich von Kosten aus verschiedenen Perioden kann dazu führen, dass genau zwei schlechte Perioden verglichen werden. Die Ursache von Kostenschwankungen ist nicht allein in der Effizienz des Unternehmens zu finden, sondern kann auch von äußeren Einflussfaktoren, wie z.B. Preis- oder Mengenänderungen, abhängen. Ein Betriebsvergleich, bei dem die Kosten verschiedener Unternehmen oder Unternehmensbereiche miteinander verglichen werden, liefert nur dann brauchbare Ergebnisse, wenn die Vergleichsobjekte eine ähnliche Struktur, Größe, Kostenerfassung usw. aufweisen. Bei der Normalkostenrechnung werden die Ergebnisse der Istkostenrechnung als Grundlage genommen, um zukünftige Kosten abschätzen zu können. Dazu werden der arithmetische <?page no="121"?> 120 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Mittelwert A aus den Istkosten a i gebildet und als zukünftige Kosten betrachtet. Es gilt: A 1 n a i i 1 n mit A, a i IR Bei einer starren Normalkostenrechnung gehen die Gemeinkosten in ihrer erfassten Höhe direkt in die Berechnung der Verrechnungssätze mit ein. Wenn diese Verrechnungssätze für spätere Kostenkontrollen eingesetzt werden, können sie lediglich zur Bildung von ungefähren Schätzwerten genutzt werden. Kostenüberdeckungen oder -unterdeckungen sind die Folgen dieser ungenauen Berechnung. Wenn die berechneten Normal-Gemeinkosten über den tatsächlichen Ist-Gemeinkosten liegen, handelt es sich um eine Kostenüberdeckung. Pro Stück sind also weniger Gemeinkosten angefallen als geplant. Es wurde eine Ergebnisverbesserung erreicht. Wenn die berechneten Normal-Gemeinkosten unter den tatsächlichen Ist-Gemeinkosten liegen, handelt es sich um eine Kostenunterdeckung. Pro Stück sind also mehr Gemeinkosten angefallen als geplant. Es ist eine Ergebnisverschlechterung entstanden. Wenn die berechneten Normal-Gemeinkosten den tatsächlichen Ist-Gemeinkosten genau entsprechen, liegt eine Kostendeckung vor. Im folgenden Beispiel werden zunächst alle Beratergehälter und die geleisteten Beratungsstunden summiert. Der Verrechnungssatz für eine Beratungsstunde wird berechnet, indem die Summe der Beratergehälter a i i 1 n durch die Summe der Beratungsstunden n dividiert wird. <?page no="122"?> 3.1 Kostenrechnung 121 www.uvk-lucius.de/ it-management Periode Beratergehälter in Euro Beratungsstunden Quartal 1 95.000 1.200 Quartal 2 92.000 1.100 Quartal 3 90.000 900 Quartal 4 85.000 1.000 Summen 362.000 4.200 Tab. 17: Beispiel zur starren Normalkostenrechnung Der Verrechnungssatz für eine Beratungsstunde beträgt somit 362.000 Euro : 4.200 Stunden = 86,19 Euro. Angenommen, die tatsächlichen Ist-Gemeinkosten pro Beratungsstunde liegen bei 82 Euro. In diesem Fall handelt es sich um eine Kostenüberdeckung. Somit wurde eine Ergebnisverbesserung erreicht. Die flexible Normalkostenrechnung hingegen unterteilt die Gemeinkosten in fixe und variable Bestandteile. Dadurch können erwartete Änderungen von ausschließlich fixen oder variablen Bestandteilen besser berücksichtigt werden. Die variablen Gemeinkosten werden durch die Beschäftigung dividiert, um den proportionalen Normalgemeinkostensatz zu berechnen. Dieser gilt bei jeder Beschäftigung. Wenn die fixen Gemeinkosten durch die Normalbeschäftigung dividiert werden, erhält man den fixen Normalgemeinkostensatz. Dieser gilt nur bei Normalbeschäftigung. Der Normalgemeinkostensatz ist die Summe aus proportionalem und fixem Normalgemeinkostensatz. Wenn dieser zur Berechnung genutzt wird und eine Abweichung zu den Istkosten vorliegt, spricht man hier ebenso von einer Kostenüberdeckung oder -unterdeckung. Beispielsweise können neben den variablen Gemeinkosten in Form von Beratergehältern auch fixe Gemeinkosten in Form <?page no="123"?> 122 3 Budget & Ressourcen www.uvk-lucius.de/ it-management von Büromieten anfallen. Eine Erhöhung der Beschäftigung um 10 % soll berücksichtigt werden. Periode Beratergehälter in Euro (variabel) Büromiete in Euro (fix) Beratungsstunden Quartal 1 95.000 7.500 1.200 Quartal 2 92.000 7.500 1.100 Quartal 3 90.000 7.500 900 Quartal 4 85.000 7.500 1.000 Summen 362.000 30.000 4.200 Tab. 18: Beispiel zur flexiblen Normalkostenrechnung Der Verrechnungssatz für eine Beratungsstunde beträgt zunächst (362.000 Euro + 30.000 Euro) : 4.200 Stunden = 93,33 Euro. Eine Erhöhung der Beschäftigung um 10 % wirkt sich auf die variablen Kosten (Beratergehälter) und nicht auf die fixen Kosten (Büromiete) aus. Daraus ergibt sich als neuer Verrechnungssatz für eine Beratungsstunde (362.000 Euro 110 % + 30.000 Euro) : 4.200 Stunden = 101,95 Euro. Die Plankostenrechnung ist auf die Kalkulation von zukünftig anfallenden Kosten ausgerichtet. Sie ermöglicht eine verbesserte Kontrolle der Kosten ohne Ineffizienzen aus der Vergangenheit einzubeziehen. Da die Plankosten im Voraus ermittelt werden, können sie bei operativen Entscheidungen berücksichtigt werden. Im Nachhinein ist außerdem ein Soll-Ist-Vergleich möglich. Auch bei der Plankostenrechnung unterscheidet man zwischen einem starren und flexiblen Verfahren. Die starre Plankostenrechnung unterteilt die Gemeinkosten nicht. Sie ist daher nur sinnvoll, wenn es keine oder nur geringe Beschäftigungsänderungen gibt. <?page no="124"?> 3.1 Kostenrechnung 123 www.uvk-lucius.de/ it-management Die flexible Plankostenrechnung unterteilt die Gemeinkosten in fixe und variable Gemeinkosten. Dadurch kann sie besser an Schwankungen in der Beschäftigung angepasst werden. Bei der Kostenkalkulation mit der Plankostenrechnung sind die folgenden Variablen üblich. Die Plankosten sind die geplanten Kosten bei geplanter Beschäftigung, die Sollkosten die geplanten Kosten bei Istbeschäftigung (Berücksichtigung der Beschäftigungsabweichung) und die Istkosten die tatsächlich angefallenen Kosten bei Istbeschäftigung (Berücksichtigung der Verbrauchsabweichung). Der Unterschied zwischen den Sollkosten und den verrechneten Plankosten liegt darin, dass bei den Sollkosten die fixen Kosten als separater Wert stets präzise berücksichtigt werden, während bei den verrechneten Plankosten die fixen Kosten im Plankostenverrechnungssatz inbegriffen sind, und daher nur bei Planbeschäftigung zutreffen. Plankostenverrechnungssatz = Plankosten : Planbeschäftigung verrechnete Plankosten = Plankostenverrechnungssatz Istbeschäftigung Verbrauchsabweichung = Sollkosten Istkosten Beschäftigungsabweichung = verrechnete Plankosten - Sollkosten Gesamtabweichung = verrechnete Plankosten Istkosten (Summe aus Verbrauchs- und Beschäftigungsabweichung) <?page no="125"?> 124 3 Budget & Ressourcen www.uvk-lucius.de/ it-management 33..1 1..5 5 KKoosstteennrre ecchhnnuunnggssmmeetthhooddeenn mmiitt UUmmffaannggssbbeezzuugg In Bezug auf den Umfang des zugrunde gelegten Betrachtungsausschnitts der Kostenrechnung kann man zwischen Teilkostenrechnung und Vollkostenrechnung unterscheiden. Bei der Teilkostenrechnung werden anstelle der gesamten Kosten lediglich die variablen Kosten den Kostenträgern zugerechnet. Die fixen Kosten werden als gegeben angesehen. Um den Beitrag eines Kostenträgers zur Deckung der fixen Kosten, und damit zum Betriebsergebnis, zu berechnen, werden die Umsatzerlöse um die Höhe der variablen Kosten reduziert. Dieses Verfahren wird einstufige Deckungsbeitragsrechnung genannt. Es gilt: Deckungsbeitrag = Umsatzerlöse - variable Kosten Neben dem Deckungsbeitrag für die Gesamtmenge kann auch der Deckungsbeitrag je Stück ermittelt werden: Deckungsbeitrag je Stück = Umsatzerlöse je Stück - variable Kosten je Stück Bei der mehrstufigen Deckungsbeitragsrechnung (Fixkostendeckungsrechnung) werden fixe Kosten nach ihrer Art unterteilt, z.B. in Erzeugnis-, Bereichs- und Unternehmensfixkosten. Anschließend werden sie in mehreren Stufen vom Deckungsbeitrag abgezogen. Nach dem Durchlauf aller Stufen erhält man den Betrag, der dem Betriebsergebnis zufließt. Bei der Vollkostenrechnung werden alle Einzelkosten und Gemeinkosten den Kostenträgern zugeordnet. Für die Gemeinkosten ist die Verteilung mithilfe von Kalkulationssätzen erforderlich. Die Vollkostenrechnung berücksichtigt keine Beschäftigungsänderungen und ist daher nicht geeignet, wenn Entscheidungen zur Erhöhung der Beschäftigung oder des Betriebserfolgs getroffen werden sollen. <?page no="126"?> 3.1 Kostenrechnung 125 www.uvk-lucius.de/ it-management Fallbeispiel Vollkostenrechnung: Ein Unternehmen, das auf die Durchführung von IT-Schulungen spezialisiert ist, bietet eine zweitägige Schulung zu einer neuen Textverarbeitungssoftware an. Durch die Teilnehmergebühren sollen fixe Kosten für Trainer und Raummiete in Höhe von 3.000 Euro und variable Kosten für Material und Catering in Höhe von 30 Euro gedeckt werden. Es wird mit 20 Teilnehmern gerechnet. Daraus ergibt sich eine Gebühr in Höhe von 180 Euro pro Person. Es nehmen jedoch nur 15 Personen teil. Für den nächsten Schulungstermin wird die Gebühr entsprechend neu kalkuliert auf 230 Euro. Daraufhin nehmen nur noch 5 Personen teil. Die Gebühr für den nächsten Termin wird entsprechend auf 630 Euro erhöht. An diesem Termin nimmt gar keiner mehr teil. Das Unternehmen hat sich „aus dem Markt kalkuliert“. Eine Planung mit 40 Teilnehmern und einer entsprechenden Gebühr in Höhe von 105 Euro hätte wohlmöglich zu einem ausgebuchten Schulungstermin geführt. Bei der Break-Even-Analyse wird der Break-Even-Point ermittelt, und somit die Stückzahl der zu verkaufenden Produkte, deren Umsatzerlöse zur Deckung der fixen und variablen Kosten ausreichen. Das bedeutet, dass der Deckungsbeitrag, also die Differenz zwischen Verkaufspreis und variablen Stückkosten eines Produkts, genau zur Deckung aller fixen Kosten ausreicht. Verlust und Gewinn sind hier gleich null. Bei Erhöhung der produzierten Stückzahl wird die Gewinnzone erreicht. Break-Even-Point = fixe Kosten : (Verkaufspreis - variable Stückkosten) <?page no="127"?> 126 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Abb. 38: Break-Even-Point Fallbeispiel Break-Even-Analyse: Ein Produzent von Computermonitoren muss fixe Kosten in Höhe von 300.000 Euro decken. Jeder Monitor verursacht variable Stückkosten in Höhe von 45 Euro. Der Verkaufspreis eines Monitors beträgt 120 Euro. Es gilt: Break-Even-Point = fixe Kosten : (Verkaufspreis - variable Stückkosten) = 300.000 Euro : (120 Euro - 45 Euro) = 4000 Wenn 4000 Monitore verkauft werden, decken die Umsatzerlöse die fixen und variablen Kosten. Wenn 4001 oder mehr Monitore verkauft werden, erwirtschaftet das Unternehmen einen Gewinn. 33..11..66 KKoosstteennrreecchhn nuunnggssssyysstteemmee Ein Kostenrechnungssystem ist eine Kombination von jeweils einer zeitbezogenen und umfangsbezogenen Kostenrechungsmethode. Die Vollkostenrechnung auf Istkostenbasis ist in der Praxis am weitesten verbreitet. Neben der Wahl des Kostenrechnungssystems beeinflusst auch die Entscheidung, ob Kostenarten, -träger oder -stellen verwendet werden, die Ergebnisse des Kostenrechnungssystems. Betrag Verlustzone fixe und variable Kosten Umsatzerlöse Gewinnzone fixe Kosten Stückzahl Break-Even-Point <?page no="128"?> 3.1 Kostenrechnung 127 www.uvk-lucius.de/ it-management Abb. 39: Kostenrechnungssysteme 33..11..77 IITT--CChhaarrggeebbaacckk Beim IT-Chargeback werden die Kosten von durchgeführten IT-Tätigkeiten kalkuliert und gegenüber internen oder externen Kunden berechnet. Dadurch, dass die Kunden eine Rechnung über die verursachten Kosten erhalten, werden sie zu rationalen Entscheidungen und einer wirtschaftlich überlegten Inanspruchnahme von IT-Services angeregt. Zum Beispiel werden sie Dokumente eher am Bildschirm ansehen, anstatt dass sie kostenverursachende Ausdrucke erzeugen. Die Kunden können durch die unterschiedliche Bepreisung von IT-Services in eine favorisierte strategische Richtung gelenkt werden. Strategisch erwünschte IT-Services werden günstiger angeboten als strategisch unerwünschte. Die IT-Abteilung bietet zwar alle IT-Services gegen eine entsprechende Rechnung an, allerdings sind unerwünschte IT-Services so teuer, dass sie unattraktiv werden. Istkosten Istkosten Zeit Plankosten Plankosten Normalkosten Normalkosten Umfang Kostenrechnungssystem Teilkosten Teilkosten Vollkosten Vollkosten Istkostenrechnung auf Vollkostenbasis Istkostenrechnung auf Vollkostenbasis Normalkostenrechnung auf Vollkostenbasis Normalkostenrechnung auf Vollkostenbasis Istkostenrechnung auf Teilkostenbasis Istkostenrechnung auf Teilkostenbasis Normalkostenrechnung auf Teilkostenbasis Normalkostenrechnung auf Teilkostenbasis Plankostenrechnung auf Teilkostenbasis Plankostenrechnung auf Teilkostenbasis Plankostenrechnung auf Vollkostenbasis Plankostenrechnung auf Vollkostenbasis <?page no="129"?> 128 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Zum Beispiel können IT-Services, die mit veralteten Systemen in Verbindung stehen, drastisch im Preis erhöht werden. Bei stark schwankenden Rechnungen an Kunden können jedoch Konflikte entstehen. Kunden, die erhöhte Kosten verursacht haben, müssen sich unter Umständen gegenüber ihrem Vorgesetzten rechtfertigen. Eine abgeschwächte Variante des IT-Chargebacks ist das IT- Showback, welches diese Konflikte zu umgehen versucht. Die Kosten werden zwar transparent gemacht, jedoch den Kunden nicht separat in Rechnung gestellt. Interne Kunden erhalten die Daten aus dem IT-Showback ausschließlich zur Information, ohne dass eine interne Belastung stattfindet. Externe Kunden werden dann basierend auf anderen Preismodellen belastet, z.B. feste monatliche Pauschalen. 33..22 IITT--BBuud dggeet tiie er ruunngg Die IT-Budgetierung dient der Erstellung von Budgets als Ergebnis der Identifikation aller zukünftigen IT-Ausgaben, die im Hinblick auf den generierten Wertbeitrag als lohnenswert angesehen werden. Die IT-Budgetierung ist ein Planungsprozess, der alle lohnenswerten, zukünftigen IT-Ausgaben identifiziert, die mit der Herstellung einer Ware, der Erbringung einer Dienstleistung oder der Implementierung eines Prozesses zusammenhängen. Maßgabe dafür, ob eine IT-Ausgabe lohnenswert ist, liefert die Einschätzung des erwarteten Wertbeitrags. Nur wenn dieser über einen definierten Betrachtungszeitraum positiv ist, wird eine potenzielle IT-Ausgabe in die IT-Budgetierung übernommen. Die Ermittlung des Wertbeitrags wird durch eine Investitionsrechnung gestützt. Im Rahmen der Investitionsrechnung gibt der Return on Investment Aufschluss darüber, wann das eingesetzte Kapital wieder vollständig erwirtschaftet werden kann. Die identifizierten IT-Ausgaben fließen anschließend in ein oder mehrere Budgets ein, die aus der Summe der geldmäßig bewerteten IT-Ausgaben bestehen. Dabei werden <?page no="130"?> 3.3 IT-Demand Management 129 www.uvk-lucius.de/ it-management sowohl wiederkehrende IT-Ausgaben, z.B. für Wartungsverträge und Lizenzen, als auch einmalig geplante IT-Ausgaben, z.B. für neue Hardwareinvestitionen oder neue Services, berücksichtigt. Wenn die IT-Ausgaben einmalige, zeitlich befristete Vorhaben betreffen, wird das Budget in der Regel einem Projekt zugeordnet. Wenn die IT-Ausgaben die Aufrechterhaltung von Betriebsaufgaben betreffen, wird das Budget meist einer funktionalen Organisationseinheit zugeordnet. Abb. 40: Budgetierung Die Budgetkommunikation ist ein Werkzeug, das vom Senior Management genutzt werden kann, um die befürworteten und finanziell unterstützten Vorhaben und Entwicklungen im Unternehmen gegenüber dem Personal transparent zu machen. Dazu muss das Budget an das gesamte Personal kommuniziert werden und darf sich nicht nur in der Kenntnis des Senior Managements befinden. Gleichzeitig können nicht budgetierte IT-Ausgaben durch einen separaten Genehmigungsprozess kontrolliert werden. 33..33 IITT--DDe emmaanndd M Maannaaggeem meen ntt Das IT-Demand Management bezweckt, die Nachfrage nach IT- Dienstleistungen im Unternehmen aufgrund geschäftlicher Anforderungen vorherzusagen. Das IT-Demand Management ist ein Verfahren zur Identifikation, Priorisierung und Budgetierung von geschäftlich bedingten Anforderungen an die IT mit dem Ziel, den Wertbeitrag durch die IT zu erhöhen. geplante IT-Ausgaben funktionale Organisationseinheit Projekt Budget <?page no="131"?> 130 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Die geschäftlichen Anforderungen müssen zur Strategie des Unternehmens passen. Durch die Erfüllung dieser Anforderungen mithilfe von IT-Dienstleistungen soll die IT an der Strategie ausgerichtet werden (IT-Alignment) und durch möglichst hohe Effizienz und Effektivität eine Erhöhung des Wertbeitrags erzeugen. Nachdem die Anforderungen identifiziert wurden, können passende Umsetzungsaufgaben abgeleitet werden. In der Praxis geschieht dies meist mithilfe von Fachkonzepten, welche zusammen mit Investitionsrechnungen zunächst vom Senior Management genehmigt und anschließend von der IT mithilfe von technischen Spezifikationen (DV-Konzepten) ergänzt werden. Anschließend müssen Entscheidungen darüber getroffen werden, in welcher Weise die Umsetzungsaufgaben realisiert werden sollen. Dazu gehört die Priorisierung, bei der es um die zeitliche Einordnung der Aufgaben geht. Eine hohe Priorisierung führt zu einer zeitnahen Erledigung der Aufgaben zu Ungunsten konkurrierender Aufgaben, welche dieselben Ressourcen beanspruchen. Eine niedrige Priorisierung gibt den konkurrierenden Aufgaben den Vorrang. Die Budgetierung von Umsetzungsaufgaben dient der Kostenkalkulation im Unternehmen. Durch die Ermittlung von erwartenden Aufwänden kann der Umfang der Aufgaben geprüft und wenn nötig eingegrenzt werden. Außerdem dient die Budgetierung dazu, dass die Aufwände nicht über dem voraussichtlichen Zuwachs des Wertbeitrags durch die IT liegen. Umsetzungsaufgaben, welche einen einmaligen und zeitlich befristeten Charakter haben, werden organisatorisch in der Regel mit IT-Projekten gesteuert. Abb. 41: IT-Demand Management geschäftliche Anforderung geschäftliche Anforderung Genehmigung Genehmigung Fachbereich Investitionsrechnung Investitionsrechnung Fachkonzept Fachkonzept technische Spezifikation technische Spezifikation Priorisierung Priorisierung Budgetierung Budgetierung IT Senior Management <?page no="132"?> 3.4 IT-Kennzahlen 131 www.uvk-lucius.de/ it-management Als Werkzeuge des IT-Demand Managements können Projektportfolio-Management, Servicekataloge und IT-Chargeback genutzt werden. Das Projektportfolio-Management ermöglicht die Auswahl anforderungsgerechter Projekte. Die Umsetzung geschäftlicher Anforderungen wird durch Projekte mit den notwendigen Investitionen und Kosten in Zusammenhang gebracht. Ein Servicekatalog macht die IT-Services und deren Kosten gegenüber internen und externen Kunden im Voraus transparent. Das IT-Chargeback beinhaltet eine nachträgliche Zuordnung der angefallenen Kosten zu den Kostenverursachern. 33..44 IITT--KKeennnnzzaahhlle en n IT-Kennzahlen erfassen Sachverhalte zur IT des Unternehmens in konzentrierter quantitativer Form. Sie erfassen die Realität nur begrenzt und geben lediglich ein vereinfachtes Abbild der Realität wieder. Durch einen Vergleich der gemessenen Istwerte mit den erwünschten Sollwerten können notwendige Steuerungsmaßnahmen für IT-Prozesse abgeleitet werden. Durch IT-Kennzahlen können kausale Zusammenhänge (Ursache und Wirkung) gemessen und transparent gemacht werden. Die Auswahl von IT-Kennzahlen muss gut überlegt werden, da ansonsten wichtige Bereiche außerhalb des erfassten Realitätsausschnitts liegen können, und sich somit der Steuerung entziehen. Kennzahlen sind von Indikatoren dadurch abzugrenzen, dass Kennzahlen erfasste Sachverhalte mithilfe von Zahlenwerten direkt wiedergeben, während Indikatoren Bestandteil eines zuvor festgelegten übergeordneten Konzepts sind. Dieses Konzept kann durch die Indikatoren nicht vollständig erfasst und daher nur annäherungsweise wiedergegeben werden. Die Indikatoren bieten lediglich Indizien zur Interpretation des Konzepts. Ein Beispiel ist die Effizienz. Wenn der Indikator IT-Kosten im Rahmen der Effi- <?page no="133"?> 132 3 Budget & Ressourcen www.uvk-lucius.de/ it-management zienzmessung genutzt wird, kann eine Verringerung dieses Indikators zwar auf eine Steigerung der Effizienz hindeuten, allerdings können auch andere Gründe, z.B. geringere Lieferantenpreise, zu sinkenden IT-Kosten geführt haben. Indikatoren, die speziell zur Messung der Performance eingesetzt werden, werden auch als Key Performance Indicator (KPI) bezeichnet. Nützliche Kennzahlen können dazu genutzt werden, Kosten oder Performance zu beeinflussen und zu steuern, oder bei Vertragsverhandlungen eingesetzt werden. Vermischte Kosten können nur als aussagefähige Kennzahlen genutzt werden, wenn sie sich auf dieselbe Bezugsgröße beziehen. Z.B. dürfen Wartungskosten für eine Buchhaltungssoftware mit 20 Anwendern und für eine Zeiterfassungssoftware mit 150 Anwendern nicht unter derselben Kostenart verbucht werden, da dies die Berechnung der Wartungskosten pro Arbeitsplatz verhindert. Grundsätzlich kann zwischen IT-Kennzahlen unterschieden werden, die sich auf Anwendungen, Arbeitsplätze, Infrastruktur, Dienstleister oder Projekte beziehen. Beispiele dazu sind: Anwendungen: Entwicklungskosten und -zeit, Wartungskosten, Supportkosten, Lizenzkosten, Infrastrukturkosten Arbeitsplätze: Hardwarekosten, Softwarekosten, Supportkosten, Ausfallzeit Infrastruktur: Stromkosten, Netzwerkkosten, Miete für das Rechenzentrum, Hardwarekosten, Softwarekosten Dienstleister: Beratungskosten, Trainingskosten, Supportkosten, Betriebskosten Projekte: interne und externe Personalkosten, Hardwarekosten, Softwarekosten, Return on Investment Kennzahlen unterscheiden sich in ihrer Art zwischen Absolut- und Verhältniskennzahlen: Absolutkennzahlen sind z.B. Einzelwerte, Summenwerte oder Mittelwerte. Ihr Informationsgehalt basiert auf dem eigenständigen Wert. Beispiele sind Anzahl der IT-Mitarbeiter, Anzahl der Benutzer, Summe der IT-Kosten. <?page no="134"?> 3.4 IT-Kennzahlen 133 www.uvk-lucius.de/ it-management Verhältniskennzahlen entstehen durch zwei Werte, die zueinander in Beziehung stehen. Wenn beide Werte von derselben Art sind, sich jedoch auf unterschiedliche Zeitpunkte beziehen, handelt es sich um Indexkennzahlen, z.B. Entwicklung der Benutzeranzahl. Werte unterschiedlicher Art werden durch Beziehungskennzahlen zusammengebracht, z.B. Kosten/ Umsatz. Und Kennzahlen, welche auf der Gliederung anderer Werte basieren, werden Gliederungskennzahlen genannt, z.B. IT-Kosten/ Gesamtkosten. Die Definition von IT-Kennzahlen kann mittels eines Kennzahlensteckbriefs vorgenommen werden. Dabei handelt es sich um eine Vorlage, welche die Erfassung aller Merkmalsausprägungen rund um eine IT-Kennzahl erleichtert. Betrachtet werden Merkmale zur IT-Kennzahl selbst (z.B. Bezeichnung, Beschreibung, Zielwert, Gültigkeit), Datenerfassung (Datenquelle, Erfassungsrhythmus), Datenauswertung (Korrelation, Kontext, Toleranzschwellen) und Reporting (Verantwortliche, Rhythmus, Detailgrad, Eskalation). Ein IT-Kennzahlensystem ist eine Sammlung von IT- Kennzahlen, die untereinander in Beziehung stehen und über einen Sachverhalt oder eine Gruppe von Sachverhalten umfassend informieren. Für die Festlegung von Steuerungsmaßnahmen wird in der Regel ein IT-Kennzahlensystem verwendet, da einzelne IT-Kennzahlen nicht genügend Informationen liefern können. Ein IT-Kennzahlensystem kann auch die Basis für IT-Benchmarking sein, bei dem IT-Aktivitäten verschiedener Unternehmen in Bezug auf Effektivität und Effizienz miteinander verglichen werden. Um eine hohe Vergleichbarkeit zu gewährleisten, sollten die beteiligten Unternehmen dasselbe IT-Kennzahlensystem nutzen. Ein Frühwarnsystem dient dazu, dem Management möglichst früh aktuelle Bedrohungen transparent zu machen und passende Gegenmaßnahmen entwickeln und umsetzen zu können. <?page no="135"?> 134 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Bei einem Frühwarnsystem werden kausale Zusammenhänge zwischen IT-Kennzahlen und Bedrohungen genutzt. Durch die Analyse bestimmter IT-Kennzahlen können Bedrohungen erkannt und deren Risiko gemindert werden. Der Prozess eines Frühwarnsystems besteht aus folgenden Schritten: [1] Wissensbasis aufbauen: Um Kennzahlen zu bilden, wird zunächst eine Datenerfassung vorgenommen. Die daraus abgeleiteten IT- Kennzahlen müssen über längere Zeit beobachtet werden, um eine normale gegenüber einer anormalen Entwicklung abgrenzen zu können. [2] Erkennen und vorhersagen: Die kontinuierlich erfassten Daten und die daraus abgeleiteten IT-Kennzahlen werden überwacht. Anormale Entwicklungen der IT-Kennzahlen werden analysiert, um eine Bedrohung zu erkennen oder vorherzusagen. [3] Warnen: Das Frühwarnsystem schickt im Fall einer Bedrohung Warnmeldungen an die Verantwortlichen. Anschließend werden die Bedrohungen bewertet und bei Bedarf passende Gegenmaßnahmen abgeleitet. Informationen über Warnmeldungen und die dazu erarbeiteten Gegenmaßnahmen können in einer Datenbank gespeichert und als Wissensbasis für den Umgang mit späteren Warnmeldungen dienen. [4] Reagieren: Die erarbeiteten Gegenmaßnahmen werden umgesetzt. Die Entscheidung, wie schnell und mit welchen verfügbaren Ressourcen die Gegenmaßnahmen umgesetzt werden, erfolgt risikobasiert. Hierbei werden die potenzielle Schadenshöhe und Eintrittswahrscheinlichkeit den Kosten der Gegenmaßnahmen gegenübergestellt. Ein Frühwarnsystem kann z.B. auf das Internet ausgerichtet sein. Hierbei werden interne Daten über Infrastruktur und Verfügbarkeit und externe Daten über Angriffsversuche, Trends <?page no="136"?> 3.4 IT-Kennzahlen 135 www.uvk-lucius.de/ it-management und Schwachstellen erfasst. Dazu können Sonden eingesetzt werden, die an wichtigen Stellen positioniert werden, um Daten direkt zu erfassen. Z.B. kann eine Sonde außerhalb des Unternehmensnetzwerks ganz andere Daten als innerhalb erfassen, da die Firewall an der Netzwerkgrenze viele Daten herausfiltert. Die Sonden übermitteln die erfassten Daten zur Analyse an ein zentrales Frühwarnsystem. Die Datenerfassung wird über einen längeren Zeitraum vorgenommen. Daraus wird ein Sollzustand abgeleitet, bei dessen Abweichung gewarnt werden soll. Anschließend wird kontinuierlich der aktuelle Istzustand erfasst. Sollten Abweichungen zwischen Soll- und Istzustand auftreten, z.B. aufgrund einer erhöhten Anzahl an Angriffen, werden Warnmeldungen verschickt. Die Verantwortlichen, hier die Netzwerkadministratoren, bewerten die neue Bedrohung und leiten Gegenmaßnahmen ab, z.B. die Schließung eines Netzwerkports an der Firewall. Die Gegenmaßnahmen werden im letzten Schritt mit einer festgelegten Priorität umgesetzt. Im Beispiel könnte der Netzwerkport sofort durch die Netzwerkadministratoren geschlossen und andere Aktivitäten zeitlich zurückgestellt werden. Beim IT-Benchmarking werden die IT-Kennzahlen eines Unternehmens mit denen anderer Unternehmen zur Beurteilung von IT-Aktivitäten in Bezug auf Effektivität und Effizienz verglichen. Dabei können Unternehmen aus derselben Branche oder sogar aus der kompletten Industrie einbezogen werden. Das vergleichende Unternehmen verspricht sich davon, Potenziale zur Verbesserung der eigenen IT-Aktivitäten zu finden. Durch die Orientierung an den besten Unternehmen können die meisten Wettbewerber übertroffen werden. Der Ablauf des IT-Benchmarkings besteht aus folgenden Schritten: [1] Auswahl von Vergleichskriterien zur Beurteilung von Effektivität und Effizienz <?page no="137"?> 136 3 Budget & Ressourcen www.uvk-lucius.de/ it-management [2] Zusammenstellung einer Vergleichsgruppe aus teilnehmenden Unternehmen [3] Erhebung von Daten über die Kriterienausprägungen bei allen Unternehmen der Vergleichsgruppe [4] Identifikation der Unternehmen mit den besten Kriterienausprägungen [5] Ableitung und Implementierung von Verbesserungen der eigenen IT-Aktivitäten Um eine kontinuierliche Verbesserung zu erreichen, sollte das IT- Benchmarking regelmäßig wiederholt werden. Auf diese Weise können neue Entwicklungen und Verbesserungen in der Industrie berücksichtigt werden und Verbesserungspotenziale für das eigene Unternehmen verdeutlichen. Das IT-Benchmarking kann eine interne oder externe Ausrichtung besitzen: Die interne Ausrichtung berücksichtigt ausschließlich die Organisationseinheiten des eigenen Unternehmens. Die Datenerhebung ist dabei eher unkompliziert und die Vergleichbarkeit ist aufgrund der identischen Umweltbedingungen gewährleistet. Die externe Ausrichtung umfasst verschiedene Unternehmen, die teilweise untereinander im Wettbewerb stehen können. Die Datenerhebung kann aufgrund von unterschiedlichen Schnittstellen oder Verfahren zu Problemen führen. Außerdem sind die Unternehmen zum Teil stark abweichenden Umweltbedingungen ausgesetzt. Dies kann die Vergleichbarkeit erschweren. Um IT-Aktivitäten finanziell zu vergleichen, können entweder Kosten oder Preise als Vergleichskriterium genutzt werden: Beim Kosten-Benchmarking werden die Kosten verglichen, die durch die IT-Aktivitäten verursacht werden. Variable Kosten können diesen direkt zugeordnet werden. Fixe Kosten werden mit Kalkulationssätzen verrechnet. Beim IT-Benchmarking zwischen verschiedenen Unternehmen muss geprüft werden, ob die Kalkulationssätze ähnlich genug sind, um eine Vergleichbarkeit zu ermöglichen. <?page no="138"?> 3.5 IT-Sourcing 137 www.uvk-lucius.de/ it-management Beim Preis-Benchmarking werden die Preise verglichen, die das Unternehmen gegenüber internen oder externen Kunden für IT-Aktivitäten berechnet. Um die Vergleichbarkeit hierbei zu gewährleisten, muss geprüft werden, ob verschiedene Unternehmen ähnliche Gewinnspannen anstreben. Aus strategischen Gründen könnte ein Unternehmen die IT-Aktivitäten sogar zu einem Preis anbieten, welcher noch nicht einmal zur Kostendeckung ausreicht. 33..55 IITT--SSoouur rcciinngg Das IT-Sourcing befasst sich mit der Fragestellung, welche IT-Tätigkeiten zur Herstellung von Gütern oder Erbringung von Dienstleistungen aus wirtschaftlicher Betrachtung intern oder extern sowie im Inland oder Ausland ausgeführt werden sollen. Intern bedeutet die Ausführung von IT-Tätigkeiten durch das eigene Unternehmen und extern durch ein fremdes Unternehmen. In- und Ausland beziehen sich auf den Standort der Leistungserbringung. Das Inland ist das Land des Unternehmensstandorts. Durch die zwei Dimensionen intern oder extern sowie Inland oder Ausland ergeben sich vier mögliche Gestaltungsvarianten. Die Gestaltungsvarianten einer Dimension können mit denen der anderen beliebig kombiniert werden. In der Praxis ist jedoch häufig eine Kombination von IT-Outsourcing mit IT-Offshoring und von IT-Insourcing mit IT-Inshoring zu beobachten. Eine Voraussetzung für die Auswahl einer Gestaltungsvariante ist die Erfassung der eigenen variablen und fixen Kosten sowie deren Zuordnung zu Kostenträgern, im Speziellen also Güter und Dienstleistungen. <?page no="139"?> 138 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Abb. 42: IT-Sourcing Das IT-Outsourcing befasst sich mit dem Vorgang, ein externes Unternehmen für die Ausführung von geschäftlich notwendigen IT-Aktivitäten auszuwählen. Mit diesem Unternehmen wird ein Vertrag geschlossen, um die Herstellung von Gütern oder die Erbringung von Dienstleistungen unter Einhaltung festgelegter Anforderungen sicherzustellen. Aus wirtschaftlicher Betrachtung ist IT-Outsourcing z.B. aus folgenden Gründen sinnvoll: Reduzierung der Kosten für Produkte oder Dienstleistungen, Ressourcen können beim Anbieter in größeren Mengen günstiger beschafft werden, Übertragung von Risiken bei der Leistungserbringung, Erhöhung der Liquidität, Verbesserung der Qualität durch spezialisierte Anbieter, Konzentration auf die eigenen Kernkompetenzen. Im Normalfall wird ein Unternehmen in erster Linie die Prozesse selbst ausführen, welche den größten Wert generieren und am stärksten in den Kompetenzbereich des Unternehmens fallen. Andere Prozesse, welche z.B. lediglich Unterstützungsaufgaben beinhalten oder nicht kompetent im Unternehmen ausgeführt werden können, werden eher ausgelagert. Bei Entscheidungen zum IT-Outsourcing ist auch die Kostenremanenz zu berück- IT-Outsourcing: Verlagerung an externe Unternehmen IT-Offshoring: Verlagerung ins Ausland In-/ Ausland? Intern/ extern? IT-Insourcing: Verlagerung ins interne Unternehmen IT-Inshoring: Verlagerung ins Inland <?page no="140"?> 3.5 IT-Sourcing 139 www.uvk-lucius.de/ it-management sichtigen. Es kann vorkommen, dass die intern anfallenden Kosten nach dem IT-Outsourcing nicht im selben Verhältnis sinken, wie sie bei Aufnahme der jetzt ausgelagerten IT-Tätigkeiten gestiegen sind. Die Einsparungen durch das IT-Outsourcing sind in diesem Fall geringer als erwartet. Beim IT-Outsourcing werden grundsätzlich folgende Phasen durchlaufen: [1] Strategie: Hier wird die grundsätzliche Entscheidung getroffen, ob eine Dienstleistung oder ein Produkt in Fremd- oder Eigenleistung erstellt werden soll. [2] Anforderungen: Die Anforderungen legen fest, welche Kriterien des Produkts oder der Dienstleistung in welcher Ausprägung erfüllt werden sollen. Sie bilden die Basis für die Erstellung von Angebotsanfragen. [3] Eingrenzung potenzieller Anbieter: Eine Marktanalyse liefert potenzielle Anbieter, die für die Herstellung des Produkts oder die Erbringung der Dienstleistung in Frage kommen. Anschließend kann eine Vorselektion vorgenommen werden, die auf beliebigen Kriterien, wie z.B. Standort, Ruf oder Erfahrungen, basieren kann. Den vorselektierten Anbietern werden Angebotsanfragen übermittelt. Alternativ kann die Angebotsanfrage zuerst veröffentlicht werden und die Eingrenzung der Anbieter findet anschließend statt. [4] Auswahl und Annahme eines Angebots: Die erhaltenen Angebote der ausgewählten Anbieter werden in Bezug auf die Erfüllung der gestellten Anforderungen miteinander verglichen. Einzelne Anforderungen können dabei stärker oder weniger stark als andere Anforderungen gewichtet werden. Mit den Anbietern der besten Angebote kann unter Umständen noch eine Verhandlung stattfinden. Zuletzt wird das beste Angebot angenommen. <?page no="141"?> 140 3 Budget & Ressourcen www.uvk-lucius.de/ it-management [5] Überwachung der Leistungserbringung: Nach Vertragsannahme wird die anforderungsgerechte Herstellung des Produkts bzw. die Erbringung der Dienstleistung durch den Anbieter überwacht. Unter anderem wird die Einhaltung von Terminen und Qualitätsanforderungen verfolgt. Abweichungen können zu Schadensersatzforderungen oder vertraglich vereinbarten Strafen führen. In der Praxis, insbesondere bei einem großen Auftragsvolumen, werden meist Stichprobenkontrollen durchgeführt. Anstelle der Gesamtmenge wird lediglich eine Teilmenge der Produkte oder Dienstleistungen überprüft. Bei der Eingrenzung der Teilmenge wird auf eine möglichst hohe Repräsentativität geachtet. Bei mehreren Chargen werden z.B. aus jeder Charge Stichproben genommen. Anhand des Grads der Auslagerung lassen sich IT-Outtasking, IT-Outsourcing und Shared Services voneinander abgrenzen: Beim IT-Outtasking werden spezifische IT-Tätigkeiten ausgelagert, die mithilfe von Service Level Agreements definiert werden. Diese Auslagerung verursacht die höchsten Kosten, da alle Ressourcen und Voraussetzungen vom Anbieter gestellt werden. Hierbei entsteht die größte Flexibilität für das auslagernde Unternehmen und die Spezialisierung des Anbieters kann voll ausgenutzt werden. Allerdings muss das auslagernde Unternehmen oft nicht mehr benötigtes Personal entlassen und die damit verbundenen Kosten tragen. Beim IT-Outsourcing kann das auslagernde Unternehmen dem Anbieter zusätzlich Vermögenswerte, Personal, Gebäude und bestehende Vertragsbeziehungen zur Erfüllung der IT-Tätigkeiten überlassen. Die Flexibilität ist relativ groß, es muss kein Personal entlassen werden und das Know-how bleibt im Unternehmen. Bei Shared Services beteiligt sich das auslagernde Unternehmen zusätzlich am Eigentum des Anbieters. Es können sich auch mehrere auslagernde Unternehmen zusam- <?page no="142"?> 3.5 IT-Sourcing 141 www.uvk-lucius.de/ it-management men am Eigentum beteiligen oder eine neue Gesellschaft gründen. Die Flexibilität ist aufgrund der Beteiligung weiterer Unternehmen eher gering. Aber es muss kein Personal entlassen werden und das Know-how bleibt im Unternehmen. Außerdem hat das auslagernde Unternehmen durch die Eigentumsbeteiligung umfassendere Kontrollmöglichkeiten. Das IT-Insourcing befasst sich mit der Frage, ob durch externe Unternehmen ausgeführte IT-Tätigkeiten, die zuvor ausgelagert wurden, wieder durch das Unternehmen selbst ausgeführt werden sollen. Gründe für IT-Insourcing sind unter anderem: Vermeidung von Transportkosten, Reduzierung von Produktionskosten, Verringerung von Abhängigkeiten gegenüber Lieferanten, Nutzung von Synergien mit anderen Geschäftsprozessen, Flexibilität bei der Leistungserbringung, Qualität der Leistungen, Erhalt von wettbewerbsrelevantem Know-how. Beim IT-Offshoring werden IT-Aktivitäten in ein anderes Land verlagert. Sollten die IT-Aktivitäten dort von einem externen Unternehmen eines anderen Eigentümers ausgeführt werden, handelt es sich gleichzeitig um IT-Outsourcing. Die Entscheidung zum IT-Offshoring basiert meist auf finanziellen Gründen. Zudem ermöglichen die unterschiedlichen Zeitzonen eine kostengünstige Verfügbarkeit rund um die Uhr. Allerdings sollten auch folgende Rahmenbedingungen beachtet werden: Sicherheit für Personen und Vermögenswerte, politische Risiken, wie die politische Stabilität, eine andere Rechtslage, z.B. zum Schutz geistigen Eigentums und zum Datenschutz, kulturelle Unterschiede, die z.B. zu Kommunikationsproblemen führen, soziale Unterschiede, z.B. andere Sprachen. <?page no="143"?> 142 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Eine Unterart des IT-Offshoring ist das IT-Nearshoring, bei dem IT-Aktivitäten in ein anderes Land verlagert werden, das sich in der Nähe des Ursprungslandes des Unternehmensstandorts befindet. Ein Beispiel aus europäischer Sicht ist die Verlagerung in osteuropäische Länder, welche durch niedrigere Personalkosten gekennzeichnet sind. Das IT-Inshoring ist das Gegenteil von IT-Offshoring und bedeutet, dass eine Verlagerung vom Standort im Ausland zurück in das Ursprungsland des Unternehmensstandorts erfolgt. Sollten die IT-Aktivitäten dort zuvor von einem externen Unternehmen eines anderen Eigentümers ausgeführt worden sein, handelt es sich beim Zurückholen der IT-Aktivitäten gleichzeitig um IT-Insourcing. 33..66 IITT--AAsssseet t MMaannaaggeem meen ntt Das IT-Asset Management umfasst alle Tätigkeiten zum Management von Vermögensobjekten in der IT, speziell Software und Hardware, in ihrem gesamten Lebenszyklus. Zum IT-Asset Management gehören Prozesse und Infrastruktur zur Steuerung, Verwaltung und zum Schutz der Assets. Ein Inventar bietet eine Übersicht über die bereits lizensierte bzw. erworbene Soft- und Hardware sowie deren Aktualität. Es wird mithilfe einer Inventur gebildet, bei der die vorhandenen Bestände erfasst werden. Sie kann an Stichtagen oder permanent, also über das Jahr verteilt, durchgeführt werden. Ein Abgleich des Inventars mit dem Bedarf im Unternehmen ist die Voraussetzung für zukünftige Investitionsentscheidungen. Vorhandene Assets sollen optimal genutzt und unnötige Zukäufe vermieden werden. Der Lebenszyklus von Assets besteht aus den folgenden Phasen: <?page no="144"?> 3.6 IT-Asset Management 143 www.uvk-lucius.de/ it-management Abb. 43: Asset-Lebenszyklus [1] Planen: In dieser Phase wird zunächst der geschäftliche Bedarf ermittelt, der d urch S oft- oder Har dware gedeckt werden kann. Grundlage dafür kann ein Fachkonzept sein. Anschließend erfolgt die genaue Spezifikation der benötigten Soft- oder H ardw are . Die s ka nn Be st and teil ein er techn ischen Spezifikation sein. Nachdem das Investitionsvorhaben genehmigt wurde, wird über die Art und Beschaffung des einzusetzenden Kapitals entschieden, z.B. Eigen- oder Fremdfinanzierung. [2] Erwerben: Die ausgewählte Soft- oder Hardware wird erworben, indem sie durch das Unternehmen selbst erstellt oder bei einem Dritten beschafft wird. Bei Letzterem kommen Kauf, Miete oder Leasing in Betracht. Als Käufer erhält das Unternehmen das rechtliche und wirtschaftliche Eigentum des Assets, als Leasingnehmer lediglich das wirtschaftliche und als Mieter kein Eigentum, sondern nur das Nutzungsrecht. [3] Einrichten: Die erworbene Software wird auf einem oder mehreren Rechnern installiert und konfiguriert. Software kann für eine Installation auf einem Server, auf einem lokalen Rechner oder zur direkten Ausführung ohne Installation [1] Planen [2] Erwerben [3] Einrichten [4] Warten & Reparieren [5] Beenden <?page no="145"?> 144 3 Budget & Ressourcen www.uvk-lucius.de/ it-management vorgesehen sein. Die Konfiguration sollte so vorgenommen werden, dass sie den funktionalen Anforderungen der Benutzer und gleichzeitig den Sicherheitsanforderungen genügt. Beispielsweise sollten Standardkennwörter geändert werden. Hardware wird an die vorhandene Infrastruktur, speziell Netzwerk und Stromversorgung, angeschlossen und mit Systemsoftware versorgt. Zur Erhöhung der Sicherheit können physische und logische Maßnahmen umgesetzt werden. Eine physische Maßnahme ist z.B. die Diebstahlsicherung mit Kensington-Schlössern. Eine logische Maßnahme ist z.B. die Verschlüsselung von Festplatten. [4] Warten & Reparieren: Software sollte regelmäßig mithilfe von Updates und Patches auf dem neusten Stand gehalten werden. Dadurch werden funktionale Erweiterungen und Fehlerbehebungen integriert sowie Sicherheitslücken geschlossen. Hardware sollte regelmäßig gewartet werden und im Fall von Defekten repariert werden. Zur Reparatur können zu Anfang Garantien des Herstellers genutzt werden. Für schnellere Reaktionszeiten und eine dauerhafte regelmäßige Wartung bieten sich Wartungsverträge an. Sowohl für Softals auch Hardware kann ein internes Helpdesk für die Benutzer eingerichtet werden. So können viele Probleme direkt gelöst sowie Wartungen und Reparaturen zentral abgewickelt werden. [5] Beenden: Am Ende des Lebenszyklus wird die Soft- und Hardware außer Betrieb genommen. Bestehende Verträge zur Nutzung, Wartung oder Reparatur werden beendet oder laufen aus. Nachdem die Zahlung von Nutzungsentgelten eingestellt wurde, verfällt das Nutzungsrecht und die Hardware geht wieder zurück an den rechtlichen Eigentümer. Sollte die Soft- oder Hardware gekauft worden sein, so kann sie nach Ende der Nutzungsdauer verkauft oder entsorgt werden. <?page no="146"?> 3.6 IT-Asset Management 145 www.uvk-lucius.de/ it-management Als Alternative zum Kauf von Assets wird aufgrund des geringeren Kapitaleinsatzes oft das Leasing gewählt. Bei einem Leasing stellt der Leasinggeber dem Leasingnehmer ein Leasingobjekt zur Nutzung zur Verfügung und erhält als Gegenleistung ein vereinbartes Entgelt. Nach Ende der Laufzeit kann der Leasingnehmer meist von einer Kaufoption Gebrauch machen. Da der Leasinggeber das Leasingobjekt finanziert, muss der Leasingnehmer lediglich das Kapital für das Entgelt aufbringen. Im Gegensatz zur Miete muss beim Leasing nicht der rechtliche Eigentümer des Leasingobjekts dessen Gebrauchsfähigkeit sicherstellen, sondern der Leasingnehmer. Er muss somit selbst für die Wartung und Reparatur sorgen. Leasing kann entweder direkt vom Hersteller des Leasingobjekts angeboten werden oder indirekt durch einen Leasinggeber, der das Leasingobjekt zuvor vom Hersteller kauft. Sollte der Leasinggeber zum Kauf des Leasingobjekts eine Fremdfinanzierung in Anspruch genommen haben, so handelt es sich um ein indirektes Leasing mit Fremdfinanzierung. Das Software Asset Management befasst sich mit dem Management von Software, welche entweder selbst oder fremd entwickelt werden kann: Selbst entwickelte Software wird entweder durch das Unternehmen direkt oder mithilfe extern beauftragter Entwickler hergestellt. Das Unternehmen ist alleiniger Rechteinhaber und kann neben der Eigennutzung auch eine Fremdnutzung ermöglichen, welche in der Regel durch ein Lizenzmodell geregelt wird. Fremd entwickelte Software wird durch externe Unternehmen eigenständig entwickelt und vertrieben. Aufgrund der oftmals großen Verbreitung im Markt redet man hierbei von Standardsoftware. Diese Software ist quasi von der Stange erhältlich. In Bezug auf den Verwendungszweck der Software unterscheidet man zwischen Systemsoftware und Anwendungssoftware: Systemsoftware wird auch als Betriebssystem bezeichnet und verwaltet alle Ein- und Ausgabegeräte eines Rechners. Systemsoftware ermöglicht eine Kommunikation zwischen der Hardware des Rechners und der Anwendungssoftware. Eine Systemsoftware verwaltet die Hardwareressourcen so, dass sie effizient <?page no="147"?> 146 3 Budget & Ressourcen www.uvk-lucius.de/ it-management genutzt werden können. Dazu gehören z.B. Prozessorzeit, Speicherverwaltung und Festplattenzugriffe. Anwendungssoftware besteht aus einer Sequenz von Programmbefehlen, die zur Erfüllung einer Aufgabe mithilfe eines Rechners ausgeführt werden. Diese Programmbefehle werden in einer menschenlesbaren Programmiersprache geschrieben und anschließend in eine computerlesbare Maschinensprache umgewandelt. Eine Anwendungssoftware ist meist auf eine bestimmte Funktion ausgerichtet, z.B. Textverarbeitung, Tabellenkalkulation, Bildbearbeitung oder Kommunikation. Bei einer Suite werden mehrere Arten von Anwendungssoftware gebündelt, z.B. bei einer Office-Suite. Die gebündelte Software kann sich gemeinsam genutzte Programmkomponenten teilen. Eine Suite wird meist günstiger angeboten als die Summe ihrer separat erhältlichen Bestandteile. Ein wichtiger Bestandteil des Software Asset Managements ist das Lizenzmanagement, bei dem das Unternehmen für eine ausreichende Lizenzierung der eingesetzten Software, für eine günstige Beschaffung und für einen effizienten Einsatz der Lizenzen sorgt. Bei den Lizenzformen von Software unterscheidet man in Bezug auf die Offenheit des Quellcodes zwischen Open Source und Closed Source: Bei Open Source Software ist der Quellcode offen zugänglich. Die Software kann frei weiterverbreitet werden. Der Quellcode darf modifiziert, weiterentwickelt und in eigene Software integriert werden. Zu beachten ist dabei das teilweise genutzte Lizenzmodell namens Copyleft. Hierbei muss die Offenheit des Quellcodes auch bei Modifikation, Weiterentwicklung oder Integration weiterhin beibehalten werden. Bei Closed Source Software ist der Quellcode nicht zugänglich. Die Software darf nur unter Einhaltung der Lizenzbedingungen genutzt werden. Modifikation, Weiterentwicklung und Integration sind in der Regel nicht gestattet oder nur nach Vereinbarung mit dem Rechteinhaber erlaubt. Obwohl Closed Source Software meist kommerziell vertrieben wird, existiert auch kostenlose Closed Source Software, welche als Freeware bezeichnet wird. Software, die kostenlos und meist eingeschränkt getestet werden <?page no="148"?> 3.6 IT-Asset Management 147 www.uvk-lucius.de/ it-management kann, wird als Shareware bezeichnet. Die Weiterverbreitung von Freeware und Shareware ist vom Rechteinhaber generell gestattet. Das Hardware Asset Management beinhaltet das Management jeglicher im Unternehmen eingesetzter Hardware. Zu dieser gehören unter anderem: Großrechner sind sehr leistungsstarke Rechner, welche hohe Ein- und Ausgabevolumen ermöglichen und redundante Komponenten besitzen. Wichtige Komponenten können während des Betriebs getauscht werden (engl. Hot Swap). So können z.B. defekte Festplatten oder Netzteile getauscht werden, ohne dass die Verfügbarkeit des Großrechners beeinträchtigt wird. Sie zeichnen sich außerdem durch eine hohe Robustheit und Zuverlässigkeit aus. Aufgrund der hohen Leistungskapazitäten werden sie häufig für die Virtualisierung von Systemen eingesetzt. Hierbei verhalten sich die virtuellen Systeme wie eigenständige Rechner. Allerdings wird die Hardwarearchitektur durch ein Virtualisierungssystem emuliert, das die realen Hardwareressourcen verwaltet und zuteilt. Auf diese Weise können mehrere virtuelle Systeme auf demselben Rechner existieren. Server sind Rechner, auf denen eine oder mehrere Serverprogramme betrieben werden. Sie bieten anderen Rechnern oder Benutzern über das Netzwerk Ressourcen oder Funktionen an. Auch Server besitzen häufig eine hohe Robustheit und Zuverlässigkeit. Desktops sind Rechner, die dem Benutzer zur lokalen Verwendung zur Verfügung stehen. Es handelt sich um eigenständige Rechner, die autonom lauffähig sind und Anwendungssoftware ausführen können. Im Unternehmen werden sie in der Regel ins Netzwerk eingebunden, um zusätzliche Serverfunktionen nutzen zu können. Um die Ein- und Ausgabe für einen Benutzer zu ermöglichen, werden sie mit Peripheriegeräten ausgestattet. Workstations sind Rechner, die den Desktops ähnlich sind. Der Unterschied besteht darin, dass sie sehr leistungsfähige Hardware besitzen und leistungsintensive Rechenaufgaben ausführen können, z.B. Videobearbeitung oder Bildsynthesen. <?page no="149"?> 148 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Notebooks sind mobile Rechner, welche keine Peripheriegeräte benötigen, da wichtige Ein- und Ausgabekomponenten, wie Monitor, Tastatur und Trackpad, bereits fest integriert sind. Sie beinhalten eine eingebaute Stromversorgung in Form eines Akkus und sind somit standortunabhängig einsetzbar. Grundsätzlich ist bei der Auswahl eines Notebook-Modells ein Kompromiss zwischen Mobilität, also Größe, Gewicht und Laufzeit, und Leistungsfähigkeit, also Prozessorgeschwindigkeit und Speicherkapazität, zu finden. Thin Clients sind Rechner, welche die Hardwareressourcen eines Serversystems mitbenutzen. Sie besitzen häufig keine eigene Festplatte und nur geringe Leistungskapazitäten. Ohne Anbindung an einen Server sind sie nicht lauffähig. Sie haben oft lediglich den Zweck, eine Benutzerschnittstelle zu einem Server anzubieten. So kann der Benutzer z.B. ein virtuelles System auf dem Server bedienen und verwendet den Thin Client nur zur Eingabe von Tastatur- und Mausbefehlen sowie zur Ausgabe des Bildschirminhalts. Peripheriegeräte sind Geräte, welche nicht zentraler Bestandteil des Rechners sind, sondern durch Einbau im Inneren des Rechnergehäuses (intern) oder durch kabelbehaftete oder kabellose Übertragungstechnik (extern) an den Rechner angebunden werden. Sie ermöglichen die Ein- und Ausgabe von Daten, und damit unter anderem die Kommunikation zwischen Rechner und Benutzer. Zu den internen Peripheriegeräten zählen z.B. Festplatten, Grafikkarten und Netzwerkkarten. Externe Peripheriegeräte sind z.B. Maus, Tastatur, Monitor und Drucker. Netzwerkkomponenten dienen der Kommunikation zwischen Systemen in einem lokalen Netzwerk (engl. Local Area Network), das an externe Netzwerke angebunden werden kann. Neben der Verkabelung dienen Switches, Router und Firewalls der Weiterleitung des Datenverkehrs. Ein Switch leitet Datenpakete innerhalb eines Netzwerks oder zwischen Netzwerksegmenten weiter. Ein Router leitet Datenpakete zwischen Netzwerken mit verschiedenen Adressbereichen oder Architekturen weiter. Eine Firewall kann zusätzlich den Datenverkehr filtern und somit Verbindungsversuche bei Bedarf blockieren. <?page no="150"?> 3.7 Human Resource Management 149 www.uvk-lucius.de/ it-management 33..7 7 HHuummaan n RReessoouurrcce e MMa an naag geemme enntt Die Mitarbeiter in einem Unternehmen sind ein wichtiger Bestandteil, aber auch ein bedeutender Kostenfaktor der IT. Sie sind einerseits sehr flexibel, da sie ihre Aufgabengebiete schnell wechseln können. Andererseits ist ihre Arbeitsleistung schwer zu generalisieren, da jeder Mitarbeiter ein individuelles Leistungsprofil besitzt und einzigartig in seinen Fähigkeiten und seiner Motivation ist. Die Managementaufgaben rund um die Steuerung der Mitarbeiter werden unter dem Begriff Human Resource Management zusammengefasst. Im Rahmen der Personalführung übt der IT-Manager sozialen Einfluss auf die Mitarbeiter aus, um Hilfe und Unterstützung bei der Ausführung von gemeinsamen Aufgaben zu erhalten. Im Rahmen der Personalführung spielen Führungsstile und Führungstechniken eine große Rolle. Führungsstile beschreiben das Verhalten, das ein Vorgesetzter gegenüber seinen Mitarbeitern zeigt. Zu den bekanntesten Führungsstilen zählen: autoritär: Der Vorgesetzte trifft Entscheidungen eigenständig, ohne die Mitarbeiter einzubeziehen. Dadurch findet jedoch ausschließlich die Meinung des Vorgesetzten Berücksichtigung. Fehleinschätzungen werden nicht kritisiert. Die Initiative von Mitarbeitern ist nicht erwünscht, was zu geringer Motivation und hoher Fluktuation führen kann. Vorteilhaft sind die hohe Geschwindigkeit, mit der Entscheidungen getroffen werden können, und die hohe Kontrolle. konsultativ: Auch hier trifft der Vorgesetzte Entscheidungen eigenständig, jedoch lässt er Feedback von den Mitarbeitern zu und handelt anschließend im besten Interesse für das Unternehmen. Wenn zwischen dem Vorgesetzten und den Mitarbeitern eine große Loyalität herrscht, kann dieser Führungsstil zu sehr guten Erfolgen führen. Wenn die Loyalität gering ist, kann die große Abhängigkeit der Mitarbeiter zum Vorgesetzten zu geringer Motivation und hoher Fluktuation führen. <?page no="151"?> 150 3 Budget & Ressourcen www.uvk-lucius.de/ it-management demokratisch: Die Mitarbeiter dürfen an der Entscheidungsfindung mitwirken. Jede Entscheidung muss durch die Mehrheit getragen werden. Insbesondere bei komplexen Entscheidungen und vielen Spezialisten ist das Vorgehen sinnvoll. Die Motivation und Arbeitsqualität sind hoch. Allerdings kann der Entscheidungsprozess viel Zeit beanspruchen und eine Mehrheitsentscheidung kann teilweise schwierig sein. Laisser-faire: Der Vorgesetzte räumt den Mitarbeitern große Freiheiten ein. Er stellt ihnen lediglich die benötigten Arbeitsmittel und Rohstoffe zur Verfügung. Sie können die Arbeitsinhalte und deren zeitliche Einteilung vollkommen eigenständig bestimmen, müssen jedoch auch Probleme eigenständig lösen. Der Vorgesetzte übt keine Steuerungsfunktionen gegenüber den Mitarbeitern aus. Obwohl die Kreativität und Individualität dadurch bei den Mitarbeitern gefördert wird, besteht das Risiko von mangelnder Koordination und Konflikten zwischen den Mitarbeitern. Führungstechniken legen fest, wie Führungsstile umgesetzt werden. Einige bekannte Führungstechniken sind: Management by Decision Rules: Die Mitarbeiter werden mithilfe von festen Regeln und Anweisungen geführt. Diese Regeln werden durch das Management aufgestellt, um alle Aktivitäten an der Strategie des Unternehmens auszurichten. Management by Delegation: Die Delegation ist eine Übertragung der Aufgaben an untergeordnete Hierarchieebenen. Im Speziellen delegiert der Vorgesetzte seine Aufgaben an die Mitarbeiter. Diese sind zwar für die Ausführung der delegierten Aufgaben verantwortlich, die Gesamtverantwortung behält jedoch der Vorgesetzte. Eine Delegation ist aufgrund der teilweise starken Spezialisierung der Mitarbeiter unverzichtbar. Außerdem kann der Vorgesetzte mithilfe von Arbeitsteilung ein hohes Arbeitsvolumen bewältigen. Management by Exception: Der Vorgesetzte wird gegenüber seinen Mitarbeitern nur im Ausnahmefall aktiv. Dieser tritt ein, wenn die Leistung der Mitarbeiter Abweichungen gegenüber den Erwartungen aufweisen. Solange die Leistungen keine Auffälligkeiten aufweisen, können die Mitarbeiter vollkommen <?page no="152"?> 3.8 IT-Projektmanagement 151 www.uvk-lucius.de/ it-management selbstständig arbeiten. Der Vorgesetzte wird dadurch stark entlastet, allerdings besitzt er aufgrund der geringen Kommunikation eher wenig Kontrolle. Management by Objectives: Die Führung basiert auf einer Zielvereinbarung, die zwischen dem Vorgesetzten und den Mitarbeitern geschlossen wird. Eine große Beteiligung der Mitarbeiter an der Zielformulierung soll den Erfolg des Führungsstils erhöhen. Eine formal korrekte Zielvereinbarung ist Grundlage für diese Führungstechnik und kann z.B. durch die SMART- Technik (siehe Kapitel 2.6.1) unterstützt werden. 33..88 IITT--PPrroojje ek kttmmaannaaggeem meen ntt 33..88..11 GGrruunnddllaaggeenn ddeess I ITT--PPr roojjeekkttmmaannaaggeemmeennttss Ein Projekt ist ein Vorhaben, bei dem innerhalb einer definierten Zeitspanne ein definiertes Ziel erreicht werden soll und das sich dadurch auszeichnet, dass es im Wesentlichen durch die Einmaligkeit der Bedingungen und der Vorgaben in ihrer Gesamtheit gekennzeichnet ist. Ein Projekt kann zum Beispiel zur Schaffung eines Sachguts oder einer Dienstleistung dienen. Der Erfolg von Projekten kann essenziell für das Fortbestehen eines Unternehmens sein. Ein IT-Projekt ist ein Projekt, dessen Projektaufgaben oder -ergebnisse im Bereich der IT angesiedelt sind. Das IT-Projektmanagement ist eine Methode, welche die Aktivitäten für Definition, Planung, Kontrolle und Abschluss eines IT-Projekts umfasst, mit dem Ziel, eine sachgerechte, termingerechte und kostengerechte Abwicklung von IT- Projekten zu erreichen. <?page no="153"?> 152 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Ein standardisiertes Verfahrensmodell für das Projektmanagement wird in dem am Project Management Institute (PMI) entwickelten PMBOK-Guide (A Guide to the Project Management Body of Knowledge) definiert, der als IEEE Standard (zuletzt 1490-2011) international anerkannt ist. Der PMBOK-Guide fokussiert sich auf die Prozessperspektive im Projektmanagement. 47 Projektmanagement-Prozesse werden in 5 Prozessgruppen und 10 Wissensgebiete klassifiziert (PMI 2013, S. 61). Abb. 44: PMBOK Prozessgruppen und Wissensgebiete Die Integration eines Projekts in die Organisation eines Unternehmens kann prinzipiell durch eine Matrix-Organisation oder durch eine reine Projekt-Organisation erfolgen: Bei der Matrix-Organisation bleiben die bisherigen Stellen und Weisungsstrukturen in der Organisation erhalten. Zusätzlich wird die Organisation durch das Projekt überlagert. Hierdurch entstehen neue Weisungsstrukturen. Mitarbeiter, die Mitglied des Pro- Project Integration Management Project Time Management Project Human Resource Management Project Procurement Management Project Scope Management Project Cost Management Project Communications Management Project Stakeholder Management Project Quality Management Project Risk Management Initiating Process Group Executing Process Group Closing Process Group Planning Process Group Monitoring and Controlling Process Group Wissensgebiete: Prozessgruppen: Projektmanagement- Prozesse <?page no="154"?> 3.8 IT-Projektmanagement 153 www.uvk-lucius.de/ it-management jektteams sind, führen neben ihrer Stelle in der Linien-Organisation gleichzeitig eine Rolle im Projektteam aus. Die Nachteile dabei sind potenzielle Konflikte und Unklarheiten, die dadurch entstehen, dass Mitarbeiter Weisungen von verschiedenen Vorgesetzten empfangen. Ein Vorteil ist die reibungslose Wiedereingliederung der Projektmitglieder nach Abschluss des Projekts. Bei der reinen Projekt-Organisation wird für die Dauer des Projekts eine neue Organisationseinheit in der Linien-Organisation geschaffen, die sich ausschließlich mit dem Projekt befasst und zu der die Projektmitglieder fest zugeordnet sind. Vorteile sind die Verbesserung der Koordination und Kommunikation zwischen den Projektmitgliedern und klare Weisungsstrukturen ohne Konfliktpotenziale. Nachteile sind, dass die Organisation hierzu stark verändert werden muss und eine Wiedereingliederung der Projektmitglieder erschwert wird. 33..88..22 NNeettzzppllaanntteecchhnniikk Die Netzplantechnik ermöglicht die grafische Darstellung von Projektaufgaben, auch als Vorgänge bezeichnet, und deren Abhängigkeiten. Die Netzplantechnik wird in erster Linie für die Terminplanung von Projekten genutzt und ermöglicht die Darstellung von logischen Vorgängern und Nachfolgern von Projektaufgaben sowie kritischer Pfade. Die grafische Darstellung kann mit einem Vorgangsknoten-, Ereignisknoten- oder Vorgangspfeil-Netzplan erfolgen. Bei Ereignisknoten- und Vorgangspfeil-Netzplan werden die Vorgänge mithilfe von Pfeilen dargestellt. Der Vorgangsknoten-Netzplan wird in der Praxis am häufigsten verwendet. Hier werden die Vorgänge mithilfe von Knoten dargestellt. Sie werden mit Pfeilen untereinander verbunden. Ein Knoten hat die Form eines Rechtecks, das mit den Werten folgender Variablen gefüllt wird: Name: Name des Vorgangs, FAZ: frühester Anfangszeitpunkt des Vorgangs, <?page no="155"?> 154 3 Budget & Ressourcen www.uvk-lucius.de/ it-management D: geplante Dauer des Vorgangs, FEZ: frühester Endzeitpunkt des Vorgangs, SAZ: spätester Anfangszeitpunkt des Vorgangs, P: Puffer des Vorgangs, SEZ: spätester Endzeitpunkt des Vorgangs. Abb. 45: Vorgangsknoten Die Erstellung eines Vorgangsknoten-Netzplans wird anhand folgender Beispielwerte veranschaulicht: Name Dauer in Tagen Vorgänger Vorgang 1 10 Vorgang 2 15 Vorgang 3 20 1, 2 Vorgang 4 5 3 Vorgang 5 10 3 Vorgang 6 10 5 Tab. 19: Beispielwerte Vorgangsknoten-Netzplan Zuerst werden alle Vorgänge ohne Abhängigkeit, also ohne Vorgänger, gezeichnet. Anschließend werden alle Vorgänge, die von den bereits gezeichneten Vorgängen abhängig sind, gezeichnet und basierend auf ihren Abhängigkeiten mit Pfeilen verbunden. Dies wird solange wiederholt, bis alle Vorgänge gezeichnet wurden. Name und Dauer der Vorgänge können direkt eingetragen werden. Name FAZ D FEZ SAZ P SEZ <?page no="156"?> 3.8 IT-Projektmanagement 155 www.uvk-lucius.de/ it-management Abb. 46: Vorgangsknoten-Netzplan Schritt 1 Die Vorwärtskalkulation dient der Berechnung von FAZ und FEZ. Für alle Knoten ohne Vorgänger gilt: FAZ = 0 FEZ = Dauer Für Knoten mit Vorgängern ist das FEZ des Vorgängers, der am spätestens beendet ist, ausschlaggebend für den Beginn des darauf folgenden Knotens. Es gilt: FAZ = FEZ des spätesten Vorgängers FEZ = FAZ + Dauer Abb. 47: Vorgangsknoten-Netzplan Schritt 2 Vorgang 1 0 10 10 Vorgang 2 0 15 15 Vorgang 3 15 20 35 Vorgang 5 35 10 45 Vorgang 4 35 5 40 Vorgang 6 45 10 55 Vorgang 1 10 Vorgang 2 15 Vorgang 3 20 Vorgang 5 10 Vorgang 4 5 Vorgang 6 10 <?page no="157"?> 156 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Die Rückwärtskalkulation dient der Berechnung von SAZ, SEZ und Puffer. Die Berechnung beginnt mit den letzten Knoten, also die ohne Nachfolger. Es gilt: SEZ = späteste FEZ aller Knoten ohne Nachfolger (ohne Nachfolger) SEZ = SAZ des frühesten Nachfolgers (mit Nachfolger) SAZ = SEZ - Dauer Puffer = SAZ - FAZ Abb. 48: Vorgangsknoten-Netzplan Schritt 3 Der kritische Pfad ist anhand der Vorgänge zu erkennen, die einen Puffer von null besitzen. Eine Verzögerung bei einem Vorgang auf dem kritischen Pfad führt zu einer Verzögerung des gesamten Projekts. Im Folgenden ist der kritische Pfad durch dickere Pfeile dargestellt. Abb. 49: Vorgangsknoten-Netzplan Schritt 4 Vorgang 1 0 10 10 5 5 15 Vorgang 2 0 15 15 0 0 15 Vorgang 3 15 20 35 15 0 35 Vorgang 5 35 10 45 35 0 45 Vorgang 4 35 5 40 50 15 55 Vorgang 6 45 10 55 45 0 55 Vorgang 1 0 10 10 5 5 15 Vorgang 2 0 15 15 0 0 15 Vorgang 3 15 20 35 15 0 35 Vorgang 5 35 10 45 35 0 45 Vorgang 4 35 5 40 50 15 55 Vorgang 6 45 10 55 45 0 55 <?page no="158"?> 3.8 IT-Projektmanagement 157 www.uvk-lucius.de/ it-management Fallbeispiel Vorgangsknoten-Netzplan: Ein Unternehmen plant die Durchführung eines Projekts für die Einführung einer neuen Software zur Unterstützung des Change Managements. Die folgenden Vorgänge werden in einem Vorgangsknoten-Netzplan visualisiert. Name Dauer in Tagen Vorgänger Planung 5 Softwareauswahl 10 Planung Anpassung 5 Softwareauswahl Test 5 Anpassung Installation 2 Test Dokumentation 4 Anpassung Anwenderschulung 2 Dokumentation Tab. 20: Fallbeispiel Vorgangsknoten-Netzplan Zuerst wird der Vorgang Planung gezeichnet, da er keine Abhängigkeit zu einem Vorgänger besitzt. Anschließend werden die restlichen Vorgänge gezeichnet und basierend auf ihren Abhängigkeiten mit Pfeilen verbunden. Name und Dauer der Vorgänge können direkt von der Tabelle übernommen werden. FAZ und FEZ werden mit der Vorwärtskalkulation und SAZ, SEZ und Puffer werden mit der Rückwärtskalkulation berechnet und eingetragen. Der kritische Pfad mit Vorgängen ohne Puffer wird durch dickere Pfeile dargestellt. Abb. 50: Fallbeispiel Vorgangsknoten-Netzplan Planung 0 5 5 0 0 5 Softwareauswahl 5 10 15 5 0 15 Test 20 5 25 20 0 25 Installation 25 2 27 25 0 27 Anpassung 15 5 20 15 0 20 Dokumentation 20 4 24 21 1 25 Anwenderschulung 24 2 26 25 1 27 <?page no="159"?> 158 3 Budget & Ressourcen www.uvk-lucius.de/ it-management 33..8 8..3 3 GGaanntttt--D Diiaaggrra ammmm Das Gantt-Diagramm ist ein Balkendiagramm, das zur zeitlichen Planung von Projektaufgaben genutzt werden kann. Es besteht aus einer horizontalen Zeitachse und einer vertikalen Achse für Projektaufgaben. Für einzelne Projektaufgaben und das gesamte Projekt werden Start- und Zieltermine visualisiert. Optional können Abhängigkeiten zwischen Projektaufgaben mithilfe von gerichteten Kanten dargestellt werden. Mithilfe von Schattierungen der Balken können die aktuellen Fertigstellungsgrade veranschaulicht werden. Eine gestrichelte vertikale Linie symbolisiert den aktuellen Tag. Abb. 51: Gantt-Diagramm Der Vorteil des Gantt-Diagramms liegt in der unkomplizierten grafischen Visualisierung der zeitlichen Dauer von Projektaufgaben. Allerdings können im Gantt-Diagramm weniger Abhängigkeiten dargestellt werden als z.B. im Netzplan. 33..88..44 PPr roojjeekkttppoorrttffoolliioo--MMaannaaggeemmeenntt Beim Projektportfolio-Management werden Entscheidungen über die Aufnahme neuer Projekte und die Priorisierung von laufenden und geplanten Projekten im Unternehmen vorbereitet. heute Aufgabe 1 Aufgabe 2 Aufgabe 3 Aufgabe 4 01/ 15 02/ 15 03/ 15 04/ 15 05/ 15 <?page no="160"?> 3.8 IT-Projektmanagement 159 www.uvk-lucius.de/ it-management Einerseits geht es um die Entscheidung, ob Projekte ins Projektportfolio aufgenommen werden sollen. Dies hängt z.B. davon ab, wie hoch der generierte Wertbeitrag ist, ob das Projekt zur Strategie passt und ob ausreichende Ressourcen für die Umsetzung vorhanden sind. Das Unternehmen kann auch abweichende oder ergänzende Kriterien für diese Entscheidung festlegen. Neue Projekte können z.B. anhand von Komplexität und Erfahrung kategorisiert werden (Witschi et al. 1998). Projekte, die eine geringe Komplexität besitzen und zu denen bereits Erfahrungen vorliegen, haben generell eine größere Attraktivität als andere Projekte. Mit dieser Kategorisierung kann jedes Projekt in eine der dargestellten Quadranten eingeordnet werden. Abb. 52: Projektkategorisierung Projekte in der Kategorie Wiederholung haben zwar eine hohe Komplexität, allerdings können sie aufgrund einer hohen Erfahrung im Unternehmen zum Projektthema gut beherrscht werden. Projekte in der Kategorie Standard haben eine niedrige Komplexität und wurden bereits mehrfach in ähnlicher Form im Unternehmen bearbeitet. Daher bestehen hohe Erfahrungen zum Projektthema. Ein Standardprojekt kann mit meist geringem Ressourcenaufwand gut beherrscht werden. Bei Pionier-Projekten handelt es sich um bisher kaum bekannte Themen, die eine hohe Komplexität aufweisen. Diese Projekte bringen eine hohe Unsicherheit mit, können allerdings bei erfolgreichem Abschluss zu wichtigen neuen Erfahrungen und einem großen Mehrwert für das Unternehmen führen. Pionier Potential Standard Wiederholung hoch niedrig niedrig hoch Erfahrung Komplexität <?page no="161"?> 160 3 Budget & Ressourcen www.uvk-lucius.de/ it-management Potenzial-Projekte zu Themen mit geringer Erfahrung und gleichzeitig geringer Komplexität können Wegbereiter für neue Themen sein und für das Unternehmen ein großes Potenzial bieten. Sie sind meist gut beherrschbar und benötigen wenige Ressourcen. Aufgrund ihrer Neuartigkeit können neue Erfahrungen gesammelt und ein großer Mehrwert realisiert werden. Wenn Projekte ins Projektportfolio aufgenommen wurden oder sich sogar bereits in der Umsetzung befinden, erfolgt die Zuweisung von Ressourcen zu Projekten basierend auf ihrer Priorität. Diese Zuweisung muss laufend überwacht und gesteuert werden. Eine Änderung der Ressourcensituation des Unternehmens oder der Prioritäten von Projekten erfordert eine Validierung und, wenn nötig, eine Überarbeitung der Zuweisung. Projekte können dadurch z.B. höher priorisiert, pausiert oder abgebrochen werden. Der Manager des Projektportfolios erhält regelmäßige Berichte durch die Projektleiter und beurteilt die Projektlage des Unternehmens hinsichtlich Zeit, Kosten und Nutzen der Projekte. Mit diesen Informationen erstellt er Entscheidungsvorlagen für das Senior Management zur Steuerung des Projektportfolios. 33..88..55 WWiieeddeerrv veerrwwe enndduunngg vvoonn P Pr roojjeekkttwwi isssseenn Um Projektwissen wiederzuverwenden, eignet sich z.B. Case-Based Reasoning. Es wird auch als fallbasiertes Schließen bezeichnet und ist eine Technik aus dem Bereich der Künstlichen Intelligenz. Beim Case-Based Reasoning (CBR) wird ein neuer Fall dadurch gelöst, dass ein ähnlicher Fall gefunden und dessen Lösung bei der Lösung des neuen Falls wieder verwendet wird (Aamodt u. Plaza 1994). Ein ähnlicher Fall wird durch die Berechnung der Ähnlichkeit eines neuen Falls zu einem oder mehreren zuvor gelösten Fällen identifiziert. Die zuvor gelösten Fälle wurden in einer Fallbasis gespeichert. Nachdem ein ähnlicher Fall identifiziert wurde, muss dessen Lösung unter Umständen an die Umweltbedingungen des neuen Falls angepasst werden. <?page no="162"?> 3.8 IT-Projektmanagement 161 www.uvk-lucius.de/ it-management CBR ist eine Technik, die schrittweises, anhaltendes Lernen begünstigt. Eine neue Erfahrung wird jedes Mal, wenn ein Problem gelöst wurde, aufbewahrt, um sie für zukünftige Probleme verfügbar zu machen. Ein CBR-System kann also neue Fälle lernen und sich dadurch mit der Zeit entwickeln. Der allgemeingültige Ablauf in einem CBR-System wird als CBR- Cycle bezeichnet (Aamodt u. Plaza 1994). Er besteht aus den sechs Phasen Anfrage, Identifikation, Selektion, Übernahme oder Anpassung, Prüfung und Aufbewahrung. Abb. 53: CBR-Cycle [1] Anfrage: Ein neuer Fall wird an das CBR-System übermittelt. [2] Identifikation: Hinreichend ähnliche Fälle werden aus der Fallbasis identifiziert. [3] Selektion: Genau ein ähnlichster Fall wird aus der Menge der hinreichend ähnlichen Fälle selektiert. [4] Übernahme oder Anpassung: Anhand der Übernahme oder Anpassung der Lösung des ähnlichsten Falls kann auf Lösungsmerkmale des neuen Falls geschlossen werden. gelernter Fall bereits durchgeführter Fall neuer Fall bereits durchgeführter Fall bereits durchgeführter Fall bereits durchgeführter Fall hinreichend ähnlicher Fall ähnlichster Fall gelöster Fall getesteter Fall Fallbasis Anfrage Identifikation Selektion Übernahme/ Anpassung Prüfung Aufbewahrung <?page no="163"?> 162 3 Budget & Ressourcen [5] Prüfung: Die Lösung wird auf Korrektheit geprüft und, wenn nötig, überarbeitet. [6] Aufbewahrung: Die neue Lösung wird als gelernter Fall in der Fallbasis gespeichert. CBR ist für das Projektmanagement prinzipiell gut geeignet, da Projektinformationen oft unvollständig, unsicher oder ungenau sind. Und gerade in solchen Domänen, die nicht vollständig zu verstehen sind, kann CBR sehr hilfreich sein. CBR erlaubt es, mit vergangenen Erfahrungen zu arbeiten, ohne die Hintergrundmechanismen komplett verstehen zu müssen. CBR entspricht dem allgemein verbreiteten Vorgehen, bei einem neuen Projekt auf bisherige Erfahrungen (engl. Lessons Learned) zurückzugreifen. Für die effektive Nutzung von CBR muss jedoch eine repräsentative Fallbasis vorliegen. Ansonsten könnte der gefundene ähnlichste Fall trotzdem noch stark vom neuen Fall abweichen. 33..99 LLiit teerraattuur r zzuu K Kaappiitteel l 3 3 Aamodt, A.; Plaza, E. (1994) Case-Based Reasoning: Foundational Issues, Methodological Variations, and System Approaches. In: AI Communications, IOS Press, Vol. 7 (1994), No. 1, S. 39-59, http: / / www.iiia.csic.es/ People/ enric/ AICom.html Hunter, R.; Apfel, A. L.; McGee, K.; Handler, R. A.; Dreyfuss, C.; Smith, M.; Maurer, W. (2008) A Simple Framework to Translate IT Benefits Into Business Value Impact, Gartner Research, 2008, https: / / www.gartner.com/ doc/ 672507/ simple-framewo rk-translate-it-benefits PMI (2013) A Guide to the Project Management Body of Knowledge (PMBOK Guide) - Fifth Edition, Newtown Square, Pennsylvania 2013 Witschi, U.; Schlager, G.; Scheutz, U. (1998) Projektmanagement in komplexer werdenden Situationen. Vom Nutzen des systematischen Ansatzes beim Projektmanagement. In: Organisationsentwicklung 17. Jg., Nr. 1, 1998, S. 76-87 <?page no="164"?> www.uvk-lucius.de/ it-management 44 IITT--SSeerrvviicceess && PPrroozzeessssee Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie erläutern können, was man unter IT-Services versteht, die Struktur von ITIL und den IT-Service Lebenszyklus beschreiben können, mit einer RACI-Matrix, Service Level Agreements und Servicekatalogen umgehen können, die Wertekette von Porter beschreiben können, die Merkmale von Geschäftsprozessen erläutern und unterscheiden können, Optimierungstechniken für Geschäftsprozesse erläutern können, Business Process Reengineering und Geschäftsprozessoptimierung voneinander abgrenzen können, Methoden zur Modellierung von Geschäftsprozessen kennen und in das ARIS-Modell einordnen können, einen Geschäftsprozess mit einer ereignisgesteuerten Prozesskette modellieren können, die Diagrammtypen der Unified Modeling Language aufzählen können, mit Aktivitäts-, Klassen- und Anwendungsfalldiagrammen umgehen können, die Modellierungsobjekte von Business Process Diagrammen und Flussdiagrammen einsetzen können. <?page no="165"?> 164 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management 44..1 1 GGrruunnddllaag geenn vvoonn IITT--S Seerrvviicce ess IT-Services sind Dienstleistungen, die mit dem Betrieb, der Erstellung oder der Weiterentwicklung von IT-Assets in Verbindung stehen. Dienstleistungen unterscheiden sich von Waren dadurch, dass die Leistungserstellung immateriell ist, sie nicht gelagert, und somit nicht auf Vorrat erstellt werden können. In der Regel erfordern Dienstleistungen einen direkten Kontakt zwischen dem Dienstleister bzw. Erbringer und dem Kunden bzw. Empfänger der Leistung. Der Kunde leistet im Gegenzug zum Empfang der Dienstleistung eine Vergütung an den Dienstleister. Abb. 54: Dienstleister-Kunde-Beziehung Das IT-Service Management beinhaltet alle Aktivitäten, die für die Bereitstellung und Erbringung von IT-Services für interne oder externe Kunden benötigt werden. Die IT-Services orientieren sich grundsätzlich an den Kundenbedürfnissen. Das Ziel besteht darin, durch die IT-Services aus Sichtweise der Kunden einen Wert zu generieren. Dieser Wert lässt sich insbesondere anhand folgender Kriterien beurteilen: Nützlichkeit: Sie wird danach beurteilt, ob der IT-Service zur Lösung eines Problems beim Kunden beitragen kann oder ob durch den IT-Service Verbesserungen beim Kunden erreicht werden können. Verbesserungen können sich z.B. durch die Dienstleistung Vergütung Kunde Dienstleister leistet leistet wird empfangen durch wird empfangen durch <?page no="166"?> 4.1 Grundlagen von IT-Services 165 www.uvk-lucius.de/ it-management Steigerung von Qualität sowie die Reduzierung von Kosten und Zeit auf Seiten des Kunden ergeben. Gebrauchstauglichkeit: Sie ist abhängig von Ausmaß, Verfügbarkeit, Sicherheit und Kontinuität des IT-Services: Das Ausmaß gibt an, wie umfassend die Einsatzmöglichkeiten des IT-Services sind. Ein IT-Service kann entweder für ein konkretes Objekt anwendbar sein, z.B. die Wartung einer ganz speziellen Hardware, oder er kann generell einsetzbar sein, z.B. ein Sicherheitsscan von beliebiger Software. Die Verfügbarkeit gibt an, wann ein Kunde den IT- Service nutzen kann. Ein IT-Service kann an bestimmte Geschäftszeiten gebunden sein, z.B. Werktags von 9 bis 17 Uhr, oder jederzeit genutzt werden, z.B. ein Helpdesk mit einer Verfügbarkeit rund um die Uhr. Andererseits können sich aufgrund von Ressourcenengpässen auch Wartezeiten bis zur Leistung des IT-Services ergeben, z.B. in Form einer Warteschleife bei einer Support-Hotline oder einer Wartezeit vor der Inanspruchnahme von Beratungsleistungen. Die Sicherheit eines IT-Services bezieht sich zum einen auf die Zuverlässigkeit des Dienstleisters in Bezug auf die erwarteten Kosten, Zeit und Qualität des IT-Services und zum anderen darauf, dass keine negativen Beeinträchtigungen der Vermögensobjekte des Kunden entstehen. Eine negative Beeinträchtigung wäre es, wenn die Installation einer neuen Software zu Problemen von Arbeitsplatzrechnern führen, die sich in Software- und Rechnerabstürzen bemerkbar machen. Die Kontinuität des IT-Services beschreibt, ob dieser dauerhaft angeboten wird oder ob es sich um ein einmaliges oder zeitlich befristetes Angebot handelt. Von Seiten des Kunden ist das dauerhafte Angebot grundsätzlich zu bevorzugen, da derselbe IT-Service wiederholt genutzt werden kann und dessen Kompatibilität, Kosten, Zeit und Qualität bekannt sind. Außerdem können Kunde und Dienstleister von Synergien profitieren, da die Rahmenbe- <?page no="167"?> 166 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management dingungen bei der erneuten Leistung des IT-Services bereits vorliegen und nicht jedes Mal erneut erarbeitet werden müssen. Wenn der Dienstleister die Wirtschaftlichkeit eines IT-Services verbessern möchte, kann er unter anderem die folgenden zwei Methoden der Kostenverringerung anwenden: Economics of Scope: Hierbei wird die Anzahl der erbrachten Leistungen erhöht, indem neue IT-Services angeboten werden, die mit den bestehenden IT-Services in Verbindung stehen, und somit Synergien ermöglichen. Wenn diese Synergien genutzt werden, ergibt sich eine Industrialisierung der Leistungserbringung. Die Prozesse für die IT-Services können standardisiert und automatisiert werden. Dadurch steigt die Effizienz und die zu den IT-Services proportionalen Kosten auf Seiten des Dienstleisters können reduziert werden. Insgesamt ergibt sich daraus eine größere Differenz zwischen Kosten und Umsatz und somit ein höherer Gewinn für den Dienstleister. Economics of Scale: Hierbei wird die Anzahl der erbrachten Leistungen erhöht, indem neue Kunden hinzugewonnen werden oder bei den bestehenden Kunden mehr IT-Services geleistet werden. Der Dienstleister erhöht zwar die Beschäftigung und die damit verbundenen variablen Kosten, allerdings steigen die fixen Kosten in der Regel nicht oder weniger stark an. Durch die relative Reduzierung der fixen Kosten pro IT-Service nähern sich die Stückkosten der IT-Services den variablen Kosten an. Daher redet man hier von einer Fixkostendegression. Außerdem können die variablen Kosten durch eine Steigerung der Effizienz reduziert werden. Folglich steigen die Umsätze stärker als die Summe der variablen und fixen Kosten, was zu höheren Gewinnen für den Dienstleister führt. <?page no="168"?> 4.2 Information Technology Infrastructure Library 167 www.uvk-lucius.de/ it-management 44..2 2 IInnffoorrmmaat tiioonn TTeecchhnnoollooggyy IInnffrraas sttrruucct tuurree LLiibbrraarryy Die Information Technology Infrastructure Library (ITIL) ist ein Standard, um IT-Services basierend auf Erfahrungen zu vereinheitlichen und sie auf die Geschäftstätigkeit von Unternehmen auszurichten. ITIL setzt sich aus fünf Bereichen zusammen, die den IT-Service Lebenszyklus bilden (Beims 2010, S. 16). Abb. 55: IT-Service Lebenszyklus Die Service Strategy steht im Zentrum des IT-Service Lebenszyklus. Durch sie wird der Rahmen für die Auswahl und Gestaltung von IT-Services geschaffen. Dabei sind Wertgenerierung, Förderung des Geschäftsmodells, Assets, Märkte und Service Provider wichtige Bestandteile der strategischen Ausrichtung. Die Prozesse im Bereich Service Strategy sind: Strategy Management: Bewertung der Fähigkeiten und Angebote des Service-Anbieters, der Wettbewerber und des Markts, um eine Strategie der Angebote gegenüber Kunden zu finden, und die Umsetzung der Strategie, C o n t i n u a l S e r v i c e I m p r o v e m e n t S e r v i c e D e s i g n S e r v i c e T r a n s i t i o n S e r v i c e O p e r a t i o n Service Strategy <?page no="169"?> 168 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Service Portfolio Management: Verwaltung des Service Portfolios und Sicherstellung, dass die richtige Kombination von Services angeboten wird, um erforderliche Geschäftsfunktionen kosteneffektiv abzudecken, Financial Management: Verwaltung des Budgets, der Buchhaltung und der Leistungsverrechnung des Service Anbieters, Demand Management: Maßnahmen, um Kundenanforderungen zu verstehen, vorherzusagen und zu beeinflussen, Informationsbeschaffung für das Capacity Management, Business Relationship Management: Pflege einer guten Kundenbeziehung, Berücksichtigung der Bedürfnisse von bestehenden und potenziellen Kunden. Im Service Design werden Anleitungen für das Design von IT- Services und IT-Prozessen gegeben. Dabei wird auch die Interaktion von IT-Services mit dem wirtschaftlichen und technischen Umfeld im Unternehmen berücksichtigt. Die Prozesse im Bereich Service Design sind: Service Level Management: Aushandlung von Vereinbarungen mit Kunden, Ausrichtung des Designs von Services an Service Levels, Sicherstellen, dass Vereinbarungen angemessen sind, Überwachen und Berichten von Service Levels, Service Catalogue Management: Servicekatalog erstellen und pflegen, akkurate Informationen über aktuelle und geplante Services für Kunden und andere ITIL Prozesse bereitstellen, Availability Management: Definieren, Analysieren, Planen, Messen und Verbessern der Verfügbarkeit von Services, Sicherstellen, dass unter anderem angemessene Infrastruktur und Prozesse dafür vorhanden sind, Information Security Management: Sicherstellen von Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Services im Unternehmen, in der Regel als Bestandteil eines unternehmensweiten Security Managements, <?page no="170"?> 4.2 Information Technology Infrastructure Library 169 www.uvk-lucius.de/ it-management Supplier Management: Sicherstellen, dass alle Vereinbarungen und Verträge mit Lieferanten den Geschäftsanforderungen gerecht werden und dass die Lieferanten ihre vertraglichen Verpflichtungen erfüllen, Capacity Management: Sicherstellen, dass mit den Services und der Infrastruktur die vereinbarten Service Levels kosteneffektiv und zeitnah erfüllt werden können, Planung aller benötigten Ressourcen, IT-Service Continuity Management: Umgang mit Risiken, die sich auf Services auswirken können, Reduzierung von Ausfallrisiken und Planung einer Wiederherstellung, Design Coordination: Koordination aller Aktivitäten, Prozesse und Ressourcen, die für das Design von Services eingesetzt werden, Sicherstellen von Konsistenz und Effektivität beim Design neuer oder geänderter Services sowie relevanter Systeme und Prozesse, Compliance Management: Sicherstellung der Einhaltung von Richtlinien und gesetzlichen Vorgaben durch Services, Prozesse und Systeme, IT Architecture Management: Planung der zukünftigen Entwicklung der Technologielandschaft unter Berücksichtigung der Service Strategy und neuer Technologien, Risk Management: Identifizieren, Bewerten und Steuern von Risiken, Festlegen des Werts von Vermögensobjekten, Bedrohungen und Schwachstellen analysieren. In der Service Transition werden die erstellten IT-Services in einen betriebsfähigen Zustand gesetzt. Diese Tätigkeiten haben in der Regel den Charakter eines Projekts. Die Prozesse im Bereich Service Transition sind: Change Management: Steuern aller Änderungen in ihrem gesamten Lebenszyklus, vorteilhafte Änderungen sollen ohne Störung von Services unterstützt werden, Release and Deployment Management: Planung und Steuerung von Freigaben zur Überführung von Änderungen in Test- und Produktionsumgebungen, Sicherstellen, <?page no="171"?> 170 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management dass die Integrität der Produktionsumgebung geschützt wird und dass die richtigen Objekte freigegeben werden, Application Development: Bereitstellen von Applikationen und Systemen, die für die Funktionalität von Services benötigt werden, Entwicklung und Pflege von selbst entwickelter und Anpassung von fremd entwickelter Software, Knowledge Management: Erfassen, Analysieren, Speichern und Verteilen von Wissen und Informationen im Unternehmen, Erhöhung der Effizienz durch die zentrale Verfügbarkeit von Informationen, Service Asset and Configuration Management: Pflege von Informationen über alle Configuration Items, die für die Erbringung von Services benötigt werden, und ihrer Beziehungen untereinander, Transition Planning and Support: Planung und Koordination aller Ressourcen zur Umsetzung von Projekten unter Berücksichtigung vorhandener Einschätzungen zu Zeit, Kosten und Qualität, Service Validation and Testing: Sicherstellen, dass die umgesetzten Änderungen und neuen Services die Kundenerwartungen erfüllen und dass der IT-Betrieb die neuen Services unterstützen kann, Change Evaluation: Bewertung von bedeutenden Änderungen, z.B. ein neuer Service oder eine grundlegende Anpassung, bevor diese in die nächste Phase ihres Lebenszyklus übergehen, Im Bereich Service Operation wird beschrieben, wie die Einhaltung von Service Levels gegenüber internen und externen Kunden gewährleistet werden kann. Innerhalb der Service Operation findet die eigentliche Wertgenerierung mithilfe der IT- Services statt. Auch die Überwachung der IT-Services in Bezug auf Effektivität und Effizienz sowie die Aufrechterhaltung einer angestrebten Balance zwischen Zuverlässigkeit und Kosten sind Inhalt der Service Operation. Die Prozesse im Bereich Service Operation sind: <?page no="172"?> 4.2 Information Technology Infrastructure Library 171 www.uvk-lucius.de/ it-management Incident Management: Verwaltung von Vorfällen über ihren gesamten Lebenszyklus, Anbieten von schnellen Lösung für Kunden, Problem Management: Verwaltung von Problemen über ihren gesamten Lebenszyklus, Verhindern von neuen Vorfällen oder zumindest Reduzierung ihrer Auswirkungen, proaktive Datenauswertung zum Erkennen von Trends und Problemen, Event Management: Sicherstellen, dass Configuration Items und Services ständig überwacht werden, Filtern und Kategorisieren von Meldungen, um angemessen reagieren zu können, Request Fulfillment: Erfüllen von Service-Anfragen mithilfe von meist geringfügigen Änderungen oder Decken von Informationsbedarf, Access Management: Zuweisung an Nutzungsrechten für Services an berechtigte Benutzer und Blockieren von nicht Berechtigten, Umsetzung von Sicherheitsrichtlinien, IT Operations Control: Überwachen und Steuern von Services und der benötigten Infrastruktur, Routineaufgaben zur Wartung, Backup und Wiederherstellung, Druck- und Ausgabe-Verwaltung, Facilities Management: Verwalten der physischen Umgebung, welche die IT-Infrastruktur umfasst, z.B. Stromversorgung, Kühlung, Zugangsschutz und Überwachung, Application Management: Verwaltung der Applikationen, die für Services benötigt werden, über ihren gesamten Lebenszyklus, Technical Management: Bereitstellen von technischer Expertise und Unterstützung für die Verwaltung der IT- Infrastruktur. Mit dem Bereich Continual Service Improvement (CSI) sollen veränderte Geschäftsbedingungen berücksichtigt werden, und dadurch die Ausrichtung der IT an den Geschäftszielen aufrechterhalten werden. Während des gesamten Lebenszyklus von IT-Services sollen laufend Verbesserungen in Bezug auf <?page no="173"?> 172 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Effektivität und Effizienz gesucht und umgesetzt werden. Das CSI muss zu diesem Zweck konkrete zu überwachende Metriken vorgeben, welche die Basis für eine Datenerhebung und -auswertung bilden. Das Ziel ist, Verbesserungsansätze zu finden und umzusetzen sowie deren Wirksamkeit nachvollziehen zu können. Die Prozesse im Bereich CSI sind: Service Review: Regelmäßige Beurteilung der Services für Geschäftsfunktionen und Infrastruktur, Verbesserungen der Qualität und Effizienz von Services suchen, Process Evaluation: Regelmäßige Auswertung von Prozessen, Identifikation von nicht erreichten Zielkennzahlen, Durchführung regelmäßiger Benchmarks, Audits und Reifegrad-Bewertungen, Definition of CSI Initiatives: Festlegung von Initiativen für die Verbesserung von Services und Prozessen basierend auf den Ergebnissen von Service Review und Process Evaluation, Initiativen können intern oder in Kooperation mit Kunden umgesetzt werden, Monitoring of CSI Initiatives: Überprüfung, ob die Initiativen nach Plan verlaufen und wenn notwendig Umsetzung von Korrekturmaßnahmen. 44..33 RRAACCII--MMaattrriixx Die RACI-Matrix (PMI 2013, S. 262) dient der Zuweisung von Personen oder Rollen zu unterschiedlichen Verantwortlichkeiten im Rahmen von Projekt- oder Betriebsaufgaben. Die folgenden Verantwortlichkeiten werden dabei zugewiesen: R: Responsible = Verantwortlich: Diese Verantwortlichkeit liegt bei der Person, die für die Erledigung der Aufgabe verantwortlich ist. Es gibt für jede Aufgabe mindestens eine Person, die diese Verantwortlichkeit besitzt. Diese Person kann zudem Teilaufgaben delegieren und somit weitere verantwortliche Personen benennen. <?page no="174"?> 4.3 RACI-Matrix 173 www.uvk-lucius.de/ it-management A: Accountable = Rechenschaftspflichtig: Diese Verantwortlichkeit liegt bei der Person, die für die Freigabe der Aufgabe zuständig ist und die dadurch entstehenden Kosten verantwortet. C: Consulted = Konsultiert: Diese Verantwortlichkeit liegt bei den Personen, die aufgrund ihres Fachwissens hinzugezogen werden und bei denen es sich meist um Spezialisten handelt. I: Informed = Informiert: Diese Verantwortlichkeit liegt bei den Personen, die lediglich über die Fortschritte der Aufgabenerfüllung informiert werden. Teilweise beschränkt sich diese Information auf die Abschlussmeldung der Aufgabe. Person A Person B Person C Person D Aufgabe 1 R A C I Aufgabe 2 C R I A Aufgabe 3 A C I R Tab. 21: RACI-Matrix Fallbeispiel RACI: Ein Unternehmen plant die Durchführung eines Projekts zur Entwicklung einer neuen Benutzeroberfläche für das vorhandene Warenwirtschaftssystem. Die Verantwortlichkeiten werden mithilfe einer RACI-Matrix zugewiesen. Geschäftsleitung Projektmanager Entwickler Tester Administrator Planung A R I I I Entwicklung I I R C C Test I I C R C Installation I I C C R Tab. 22: Fallbeispiel RACI-Matrix <?page no="175"?> 174 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management 44..4 4 SSeerrvviicce e LLeevveell AAggrreeeemme ennttss Service Level Agreements (SLA) sind Bestandteil eines Vertrags zwischen einem Dienstleister und einem Kunden. Sie definieren die vereinbarten Anforderungen an einen Service, zu deren Einhaltung sich der Dienstanbieter gegenüber dem Kunden verpflichtet. Um die Einhaltung der Anforderungen sicherzustellen, können Prämien bzw. Strafen für deren Überbzw. Untererfüllung vereinbart werden. Der Service Level ist eine Kategorisierung von unterschiedlichen Ausprägungen dieser Anforderungen und ermöglicht dem Kunden, unter wirtschaftlicher Betrachtung einen passenden Service Level auszuwählen. Die Anforderungen an einen Service können sich unter anderem auf folgende Themen beziehen: Reaktionszeit Durchlaufzeit Verfügbarkeit Zuverlässigkeit Support Sicherheit Wiederherstellung nach Ausfällen Reporting Ein SLA kann kundenbasiert, servicebasiert oder eine Kombination aus beidem (Multilevel) sein: Der kundenbasierte SLA ist eine Vereinbarung mit einer bestimmten Kundengruppe und beschreibt Anforderungen an genau die Services, die durch diese Kunden genutzt werden. Er wird in der Regel dann verwendet, wenn ein großer Kunde eine Vielzahl an Services mit individuellen Anforderungen nutzt. Der servicebasierte SLA beschreibt einen standardisierten Service inklusive standardisierten Anforderungen und gilt für alle Kunden, die diesen Service in Anspruch nehmen. Er wird meist für Routinetätigkeiten verwendet. <?page no="176"?> 4.5 Servicekatalog 175 www.uvk-lucius.de/ it-management Der Multilevel-SLA beschreibt die Anforderungen verschiedener Services für jeweils verschiedene Kundengruppen. 44..55 SSeerrvvi ic ceek kaattaallo ogg Ein Servicekatalog ist eine Auflistung aller IT-Services, die ein Unternehmen für interne und externe Kunden anbietet. Um einen Servicekatalog zu erstellen, kann ein Unternehmen alle verfügbaren IT-Services in einer Datenbank oder in einem Dokument beschreiben. Die IT-Services sind dabei entweder auf Kunden ausgerichtet oder sie dienen der Unterstützung anderer IT- Services. Jeder IT-Service im Servicekatalog wird unter anderem mit folgenden Informationen versehen: fachliche Beschreibung: Dies ist die Beschreibung des IT-Services aus Sicht des Kunden in Bezug auf die Inhalte und den Nutzen. technische Beschreibung: Hierbei handelt es sich um die Beschreibung des IT-Services aus technischer Sicht in Bezug auf betroffene Komponenten und andere abhängige IT-Services. Kategorie des IT-Services: Zu welcher Kategorie ein IT-Service zugeordnet wird, hängt von der vorgenommenen Strukturierung der IT-Services ab. Kontaktperson: Sie ist für die Beauftragung und Unterstützung des IT-Services verantwortlich. Preis des IT-Services: Z.B. kann die Konfiguration neuer Hardware oder die Entwicklung einer neuen Applikation mit bestimmten Preisen pro Zeiteinheit belegt werden. Dadurch wird eine Transparenz über die entstehenden Kosten geschaffen, um sie vor der Inanspruchnahme des IT-Services zu berücksichtigen. <?page no="177"?> 176 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Verfügbarkeit: Die Verfügbarkeit definiert zeitliche oder andere Einschränkungen des IT-Services. Dadurch ist es z.B. möglich, bestimmte IT- Services nur zu den üblichen Bürozeiten anzubieten. 44..66 GGrruun nddlla aggeenn vvoon n GGeessc chhääffttssp prrooz zeesss se enn Die Wertkette von Porter (1985, S. 36 ff.) benennt und strukturiert Aktivitäten, die zur Wertschöpfung durch das Unternehmen beitragen. Bei der Wertschöpfung verarbeitet das Unternehmen Ressourcen, um Waren oder Dienstleistungen herzustellen. Dadurch, dass die Kunden einen Preis zahlen müssen, der die angefallenen Kosten für den Ressourceneinsatz übersteigt, hat das Unternehmen einen Wert geschöpft, und kann dadurch eine Marge (Gewinnspanne) erwirtschaften. Wertschöpfung wird als Differenz zwischen dem Wert produzierter Waren oder Dienstleistungen und dem Wert der hierzu eingesetzten Ressourcen verstanden. Porter unterscheidet zwischen primären und unterstützenden Aktivitäten. Porter entwickelte die Wertkette zur Analyse aller wertschöpfenden Aktivitäten, um diese zu optimieren und die Marge zu erhöhen. Initial fokussierte sich die Wertkette von Porter auf produzierende Unternehmen. Allerdings ist sie auch für dienstleistende Unternehmen anwendbar. Lediglich die Aufteilung zwischen primären und unterstützenden Aktivitäten kann sich dadurch ändern. Ein Beispiel ist ein Softwareentwicklungsunternehmen, bei dem die Entwicklungsaktivitäten als primäre Aktivitäten einzuordnen sind und nicht, wie bei produzierenden Unternehmen, als unterstützende Aktivitäten. <?page no="178"?> 4.6 Grundlagen von Geschäftsprozessen 177 www.uvk-lucius.de/ it-management Abb. 56: Wertkette von Porter Geschäftsprozesse können als eine Abfolge von geschäftlich relevanten Ereignissen und Tätigkeiten verstanden werden, die ein Eingabeobjekt in ein Ausgabeobjekt umwandeln. Die Elemente eines Geschäftsprozesses können sequenziell, parallel, alternativ oder repetitiv durchlaufen werden. Geschäftsprozesse werden durch einen Auslöser gestartet und mit einem Ergebnis beendet. Sie haben das Ziel, einen Nutzen für den Kunden, und dadurch einen Wert, zu erzeugen. In der Regel wirken mehrere Organisationseinheiten des Unternehmens bei der Ausführung eines Geschäftsprozesses mit. Im Gegensatz zu zeitlich befristeten Projektprozessen handelt es sich bei Geschäftsprozessen um dauerhaft angelegte Prozesse. Geschäftsprozesse können sich in inhaltlichen und zeitlichen Aspekten voneinander unterscheiden. Die inhaltlichen Aspekte betreffen Perspektive, Komplexität, Umfang und Modellierungstiefe. In Bezug auf die Perspektive kann ein Geschäftsprozess z.B. an Daten, Informationen oder Wissen ausgerichtet werden. Unternehmensinfrastruktur Personalwirtschaft Technologieentwicklung Beschaffung Eingangslogistik Produktion Ausgangslogistik Marketing & Vertrieb Kundenservice M a r g e M a r g e Primäraktivitäten Unterstützungsaktivitäten <?page no="179"?> 178 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Die Komplexität beschreibt die Vielschichtigkeit des Prozesses und erhöht die Anzahl der benötigten Modellierungselemente und Prozesspfade. Der Umfang eines Geschäftsprozesses hängt davon ab, wie vor- und nachgelagerte Prozesse voneinander abgegrenzt wurden. Grundsätzlich kann ein Unternehmen viele Prozesse mit geringem Umfang oder wenige mit großem Umfang definieren. Die Modellierungstiefe bezieht sich auf den Abstraktionsgrad, der bei der Modellierung des Geschäftsprozesses verwendet wurde. Bei einem hohen Abstraktionsgrad wird die Anzahl der verwendeten Modellierungselemente mittels Aggregation reduziert. Die zeitlichen Aspekte betreffen Häufigkeit, Frequenz und Dauer. Die Häufigkeit gibt an, wie oft ein Geschäftsprozess ausgeführt wird. Die Frequenz definiert die Zeitabstände zwischen den Ausführungszeitpunkten und die zeitliche Regelmäßigkeit der Ausführung. Die Dauer ist die Differenz zwischen Start- und Endzeit der Ausführung. Eine allgemein gültige Kategorisierung von Geschäftsprozessen wurde durch das American Productivity & Quality Center vorgenommen (APQC 2012). Das APQC ist eine nichtkommerzielle Forschungsorganisation für Wissensmanagement. Mit dem Process Classification Framework (PCF) hat das APQC einen offenen Standard entwickelt, der Unternehmen unabhängig von Branche, Größe oder Standort das Prozessmanagement erleichtern soll. Das PCF strukturiert Betriebs- und Management-Prozesse in 12 Kategorien, die 62 Prozessgruppen mit über 1.500 Prozessen und den damit verbundenen Aktivitäten umfassen. <?page no="180"?> 4.7 Optimierungstechniken für Geschäftsprozesse 179 www.uvk-lucius.de/ it-management Nr. Kategorie 1 Entwicklung von Vision und Strategie 2 Entwicklung und Verwaltung von Waren und Dienstleistungen 3 Vermarktung und Verkauf von Waren und Dienstleistungen 4 Auslieferung von Waren und Erbringung von Dienstleistungen 5 Management der Kundenbetreuung 6 Entwicklung und Management der Mitarbeiter 7 Management der IT 8 Verwaltung der Finanzmittel 9 Erwerbung, Erstellung und Verwaltung von Vermögenswerten 10 Management von Unternehmensrisiko, Compliance und Ausfallsicherheit 11 Management externer Beziehungen 12 Entwicklung und Management von Geschäftsfunktionen Tab. 23: Kategorien von Geschäftsprozessen gemäß PCF 44..77 OOppttiim miie erruun nggsstteec chhnniikkeen n ffüür r GGees scchhääffttsspprroo-zzees sssee Das Business Process Reengineering ist ein Ansatz für eine Neugestaltung von Geschäftsprozessen, der von Hammer und Champy beschrieben wurde. Das Business Process Reengineering ist das fundamentale Umdenken und radikale Neugestalten von Geschäftsprozessen, um dramatische Verbesserungen bei bedeutenden Kennzahlen, wie Kosten, Qualität, Service und Durchlaufzeit zu erreichen (Hammer u. Champy 2003). <?page no="181"?> 180 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Die bestehenden Geschäftsprozesse eines Unternehmens werden dabei nicht nur verbessert, sondern von Grund auf neu gestaltet. Der Gedanke bei diesem Ansatz ist, dass Prozesse in ihrer Gesamtheit ineffizient sein können und eine Verbesserung von Teilprozessen nur zu marginalen Verbesserungen führt. Eine Neugestaltung hingegen stellt den gesamten Prozess in Frage und führt zu den größtmöglichen Verbesserungen. Wichtige Erfolgsfaktoren beim Business Process Reengineering sind Engagement, Teamzusammenstellung, Analyse, IT-Infrastruktur, Change-Management und eine kontinuierliche Verbesserung. Das Engagement des gesamten Unternehmens und vor allem der Geschäftsleitung ist eine grundlegende Voraussetzung. Die Geschäftsleitung muss nicht nur das Budget freigeben, sondern auch alle Mitarbeiter zur Unterstützung des Business Process Reengineering verpflichten. Die Mitarbeiter müssen die Änderungen in den Geschäftsprozessen akzeptieren und eine neue Ausrichtung ihrer Arbeitsaufgaben unterstützen. Bei der Teamzusammenstellung für das Business Process Reengineering sollte das Know-how der Teammitglieder berücksichtigt werden. So ist es von großer Bedeutung, dass nicht nur Experten für Geschäftsprozessmodellierung, sondern auch Fachexperten aus dem Unternehmen und Entscheidungsträger in das Team aufgenommen werden. Vor der Neugestaltung von Prozessen ist eine umfassende Analyse des Ist-Zustands notwendig. So können aktuelle Problemfelder identifiziert und Wechselwirkungen zwischen Prozessen verstanden werden. Erst wenn die Geschäftsziele und die daraus abgeleiteten Optimierungsziele vollständig bekannt sind, kann eine sinnvolle Neugestaltung begonnen werden. Die IT-Infrastruktur bietet nicht nur eine technische Unterstützung des Business Process Reengineering, sondern vor allem auch die Basis für die neugestalteten Geschäftsprozesse. Durch die Ausrichtung der IT-Infrastruktur an den neugestalteten Prozessen können Investitionen notwendig werden, die bei der Planung berücksichtigt werden müssen. Das Change-Management ist erforderlich, um Änderungen und Neugestaltungen bestehender Geschäftsprozesse zu steuern und nachvollziehbar zu dokumentieren. Insbesondere ein reibungsloser Übergang und die Vermeidung von Fehlern stehen dabei im Vordergrund. Auch die kontinuierliche Verbesserung sollte beim Business Process Reengineering stets verfolgt <?page no="182"?> 4.7 Optimierungstechniken für Geschäftsprozesse 181 www.uvk-lucius.de/ it-management werden. Dadurch, dass die Geschäftsprozesse des Unternehmens der kontinuierlichen Verbesserung unterliegen, muss man sich klarmachen, dass ein Idealzustand nicht erreicht werden muss. Das Business Process Reengineering schafft keine endgültige Optimierung, sondern Verbesserungen, die durchaus noch weitere Verbesserungsspielräume bieten können. Für das Unternehmen ist es wirtschaftlich meist sinnvoll, kurzfristig überschaubare Verbesserungen umzusetzen, anstatt ohne Zwischenschritte langfristig einen Idealzustand zu verfolgen, der vielleicht niemals erreicht werden kann. Auch vor dem aktuellen Business Process Reengineering hat es bereits Verbesserungen gegeben. Die resultierenden Lessons Learned bilden wertvolle Informationen über vergangene Probleme und Lösungsansätze. Die Geschäftsprozessoptimierung ist ein Ansatz zur Verbesserung von Geschäftsprozessen, bei dem auch geringe Verbesserungen umgesetzt werden. Im Gegensatz zum Business Process Reengineering handelt es sich dabei weniger um eine komplette Neugestaltung der Prozesse, sondern vielmehr um kleinere Prozessänderungen. Die Verbesserungen sollen in erster Linie die Durchlaufzeit verringern und die Qualität des Ergebnisses erhöhen. Die Möglichkeiten zur Geschäftsprozessoptimierung sind laut Bleicher (1991) Weglassen, Auslagern, Zusammenfassen, Parallelisieren, Verlagern, Beschleunigen, keine Schleifen und Ergänzen. Sie dienen alle in erster Linie der Verringerung der Durchlaufzeit, bis auf das Ergänzen, das primär die Qualität erhöhen soll. Beim Weglassen wird eine Aktivität aus dem Prozess gestrichen. Das Weglassen ist immer sinnvoll, wenn sich eine Aktivität nicht oder nicht ausreichend positiv auf das Prozessergebnis auswirkt. Dazu muss geprüft werden, ob die Aktivität wirklich für die Funktionserfüllung notwendig ist. Das Abschaffen von Medienbrüchen kann ebenfalls zu nicht benötigten Aktivitäten führen, die weggelassen werden können. <?page no="183"?> 182 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Abb. 57: Weglassen Das Auslagern von Aktivitäten kann erreicht werden, indem Aktivitäten im Vorfeld, z.B. innerhalb eines vorgelagerten Prozesses verstärkt werden oder Aktivitäten an externe Organisationen vergeben werden. Abb. 58: Auslagern Beim Zusammenfassen von Aktivitäten werden zwei oder mehr Aktivitäten zu einer neuen Aktivität zusammengefasst. Abb. 59: Zusammenfassen Beim Parallelisieren werden zuvor sequentiell angeordnete Aktivitäten parallel ausgeführt oder eine Aktivität wird durch Erhöhung der Arbeitsteilung in mehrere parallele Aktivitäten aufgeteilt. Abb. 60: Parallelisieren 1 2 4 5 3 1 2 4 5 3 1 2+3 4 5 1 2 3 5 4 <?page no="184"?> 4.7 Optimierungstechniken für Geschäftsprozesse 183 www.uvk-lucius.de/ it-management Das Verlagern von Aktivitäten führt dazu, dass eine Aktivität zu einem früheren Zeitpunkt im Prozess ausgeführt wird. Wenn einzelne Aktivitäten auf eine Voraussetzung warten müssen, z.B. eine extern gelieferte Komponente des Endprodukts, und eine davon unabhängige nachgelagerte Aktivität vor diese verlagert wird, kann dies die Durchlaufzeit verkürzen. Abb. 61: Verlagern Beim Beschleunigen wird die Dauer einer Aktivität verkürzt. Dies kann unter anderem durch die Bereitstellung von zusätzlichen Arbeitsmitteln erreicht werden, mit denen die Effizienz der Aufgabenerledigung erhöht wird. Außerdem wirkt sich eine Vermeidung von Warte- und Liegezeiten positiv auf die Dauer aus. Abb. 62: Beschleunigen Um keine Schleifen zuzulassen, können die Plausibilisierung von Eingabedaten und die Vermeidung von Rückfragen implementiert werden. Dadurch kann nicht nur die Durchlaufzeit verringert, sondern auch die Qualität erhöht werden. Abb. 63: keine Schleifen 1 2 4 5 3 6 6 1 1 Dauer 1 2 4 6 3 5 <?page no="185"?> 184 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Durch das Ergänzen von Aktivitäten zur Qualitäts- und Ergebnissicherung kann die Qualität des Endprodukts erhöht werden. Auch wenn die Qualität dabei im Vordergrund steht, kann dies auch Auswirkungen auf die Durchlaufzeit haben, wenn dadurch z.B. in nachgelagerten Prozessschritten Schleifen vermieden werden können. Abb. 64: Ergänzen 44..8 8 GGeesscch hääffttsspprroozzeessssmmo oddeelllliieerruunngg 44..8 8..1 1 GGrru unnddllaaggeenn ddeerr GGeesscchhääffttsspprro ozze essssmmooddeelllliieerru unngg Eine Modellierung ist ein Verfahren, das eine vereinfachte Abbildung eines Realitätsausschnitts beschreibt. Mithilfe der Modellierung kann die Komplexität durch die Verwendung eines höheren Abstraktionsgrades reduziert werden. Außerdem kann eine transparente Beschreibung erstellt werden, welche Objekte, Daten oder Prozesse in verständlicher Weise in einen Kontext bringt. Durch eine Eingrenzung des Modellierungsgegenstands auf ausgewählte Aspekte wird die Beschreibung auf wichtige Teilaspekte fokussiert. Bei der Geschäftsprozessmodellierung wird ein Realitätsausschnitt beschrieben, der auf einer Abfolge von geschäftlich relevanten Ereignissen und Tätigkeiten basiert, die ein Eingabeobjekt in ein Ausgabeobjekt umwandeln. Ein- und Ausgabeobjekte können physisch, z.B. ein produziertes Verbrauchsgut, oder virtuell, z.B. ein Softwareprodukt, sein. Die 1 2 4 5 3 6 <?page no="186"?> 4.8 Geschäftsprozessmodellierung 185 www.uvk-lucius.de/ it-management meisten Geschäftsprozesse stehen zu anderen, vor- oder nachgelagerten Geschäftsprozessen in Beziehung, welche das Eingabeobjekt liefern oder das Ausgabeobjekt weiter bearbeiten. Je nach Abstraktionsebene unterscheidet man zwischen verschiedenen Modellierungstiefen. Während sehr abstrakte Modellierungen in frühen Planungsphasen oder zur Übersicht gegenüber Außenstehenden genutzt werden, dienen detaillierte Modellierungen der technischen Spezifikation oder Analyse bestehender Prozesse. Umso detaillierter die Modellierung ist, desto mehr triviale und ausführliche Darstellungen sind enthalten. In einer funktional strukturierten Linien-Organisation durchläuft ein Geschäftsprozess meist mehrere Abteilungen, da aufgrund der Spezialisierung der Mitarbeiter nur Teilprozesse durch eine Abteilung ausgeführt werden können. Demgegenüber orientiert sich die Prozessorganisation an den modellierten Geschäftsprozessen, so dass ein Zusammenschluss von Rollen im Hinblick auf die Tätigkeiten innerhalb der Geschäftsprozesse vorgenommen wird. 44..88..22 AArrcchhi itteekkttuurr iinntteeggrriieerrtteerr I Innffoorrm maattiioonnssssyysstteemmee Die Architektur integrierter Informationssysteme (ARIS) ist ein von August-Wilhelm Scheer (1992) entwickeltes Modellierungskonzept, mit dem Geschäftsprozesse mithilfe verschiedener Beschreibungssichten und -ebenen modelliert werden können. Die fünf Beschreibungssichten Organisationssicht, Datensicht, Steuerungssicht, Funktionssicht und Leistungssicht bilden zusammen das sogenannte ARIS-Haus. Zu jeder Beschreibungssicht existieren die drei Beschreibungsebenen Fachkonzept, DV-Konzept und Implementierung. <?page no="187"?> 186 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Abb. 65: ARIS-Haus Beschreibungssichten: Die Organisationssicht beschreibt die Leistungsträger des Unternehmens. Dies sind die Stellen und die Personen, welche die Stellen besetzen. Auch die einzelnen Kompetenzen und Verantwortungen der Personen können behandelt werden. Ein Werkzeug für die Organisationssicht ist das Organigramm, mit dem die Organisationseinheiten und ihre Beziehungen untereinander hierarchisch modelliert werden können. In der Datensicht wird festgelegt, welche Daten und dadurch repräsentierte Informationen durch das Unternehmen benötigt werden. Dabei werden auch die Quellen der Daten berücksichtigt. Ein verbreitetes passendes Werkzeug für die Modellierung ist das Entity-Relationship-Diagramm (ERD), mit dem Objekte, deren Eigenschaften und Beziehungen visualisiert werden können. Die Steuerungssicht ermöglicht die Verbindung zwischen verschiedenen Sichten durch die Kombination unterschiedlicher Modellierungsobjekte. Z.B. kann mit der ereignisgesteuerten Prozesskette (EPK) der Ablauf von Fachkonzept Fachkonzept DV-Konzept Implementierung Fachkonzept Implementierung Fachkonzept DV-Konzept Implementierung DV-Konzept Implementierung DV-Konzept Fachkonzept DV-Konzept Implementierung Organisationssicht Datensicht Steuerungssicht Funktionssicht Leistungssicht <?page no="188"?> 4.8 Geschäftsprozessmodellierung 187 www.uvk-lucius.de/ it-management Ereignissen und Funktionen modelliert werden. Die erweiterte EPK ermöglicht die Kombination mit Organisations-, Daten- und Leistungselementen. In der Funktionssicht werden die Vorgänge beschrieben, die das Unternehmen zur Durchführung oder Unterstützung von Geschäftstätigkeiten ausführt. Ein passendes Werkzeug ist der Funktionsbaum, der die Funktionen durch Zerlegung in Teilfunktionen verständlich macht. In der Leistungssicht werden die Leistungen modelliert, die als Eingabe in einen Geschäftsprozess eingebracht oder als Ausgabe erzeugt werden. Dabei kann es sich um Dienstleistungen oder Waren handeln. Leistungen können z.B. mit dem Produktbaum modelliert werden, mit dem die Zusammensetzung von Produkten oder Leistungen analysiert werden kann. So können verschiedene Abstraktionsebenen wie Baugruppen und Einzelteile betrachtet werden und Substitutionsbeziehungen dargestellt werden. Beschreibungsebenen: Im Fachkonzept werden Geschäftsprozesse im Hinblick auf die betriebswirtschaftliche Problemstellung beschrieben. In der Regel stammen die Autoren aus den Fachabteilungen außerhalb des IT-Bereichs. Zu den Hilfsmitteln zählen ERD, EPK, Funktionsbaum und Organigramm. Im DV-Konzept werden die im Fachkonzept beschriebenen Anforderungen an die Geschäftsprozesse in technische Anforderungen an die Datenverarbeitung (DV) überführt. Hilfsmittel in dieser Ebene sind z.B. Relationen und Struktogramme. In der Implementierung werden die Geschäftsprozesse mithilfe der DV-Technik realisiert. Hilfsmittel sind z.B. die Erstellung von Programmcode oder Datenbanken. In der Praxis weit verbreitete prozessorientierte Modellierungsmethoden für die Beschreibungsebene des Fachkonzepts aus Steuerungssicht sind die ereignisgesteuerte Prozesskette (EPK), die Business Process Modeling Notation (BPMN) und das Flussdiagramm. Innerhalb der ebenfalls weit verbreiteten Unified Modeling <?page no="189"?> 188 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Language (UML) eignet sich das Aktivitätsdiagramm für die Steuerungssicht, das Klassendiagramm für die Leistungssicht und das Anwendungsfalldiagramm für die Funktionssicht. 44..88..33 EEr reeiiggnniissggeesstteeuueerrttee PPr roozzeesssskkeettttee Die ereignisgesteuerte Prozesskette (EPK) ermöglicht eine anwendungsübergreifende Modellierung von Prozessen aus betriebswirtschaftlicher und informationstechnischer Sicht auch über Unternehmen oder Systeme hinweg. Die EPK ist eine mächtige und umfassende Modellierungsmethode, die aufgrund der guten Verständlichkeit in der Praxis häufig genutzt wird. Sie wurde als Bestandteil des ARIS-Konzepts entwickelt und kann mit anderen Modellierungen, z.B. Klassendiagrammen, verbunden werden. Trotz der guten Verständlichkeit ist jedoch eine intensive Einarbeitung empfehlenswert. Die wichtigsten Bestandteile einer EPK sind Ereignisse, Funktionen, gerichtete Kanten und Konnektoren. Abb. 66: Elemente der EPK Funktionen werden durch ein Rechteck mit abgerundeten Ecken visualisiert und stehen für eine geschäftlich bedeutsame Bearbeitung eines Objektes, welche durch eine automatisierte oder manuelle Tätigkeit einer Person oder eines Systems erfolgt. Funktionen erzeugen Ereignisse. Funktion Ereignis XOR Funktion: Bearbeitung eines Objekts und Erzeugung eines Ereignisses Ereignis: Zustand eines Objekts, der Funktionen auslöst oder deren Ergebnis ist Gerichtete Kante: Verknüpfung von Ereignissen und Funktionen Konnektoren (Und, Oder, ExklusivOder): Verknüpfung von Prozesspfaden <?page no="190"?> 4.8 Geschäftsprozessmodellierung 189 www.uvk-lucius.de/ it-management Ereignisse werden durch ein Sechseck (Hexagon) visualisiert und stehen für einen geschäftlich bedeutsamen Zustand eines Objektes, das im Rahmen des Prozesses bearbeitet wird. Ereignisse lösen Funktionen aus. Gerichtete Kanten verknüpfen Ereignisse und Funktionen miteinander. Konnektoren verknüpfen Prozesspfade. Sie überführen mehrere eingehende Prozesspfade in einen ausgehenden Prozesspfad, einen eingehenden in mehrere ausgehende oder verbinden mehrere eingehende mit mehreren ausgehenden. Bei der Art der Konnektoren unterscheidet man zwischen Und-, Oder- und ExklusivOder(XOR)-Konnektoren. Und-Konnektoren werden verwendet, wenn alle einbzw. ausgehenden Prozesspfade ausgeführt und somit parallel durchlaufen werden. Oder-Konnektoren werden verwendet, wenn ein oder mehrere einbzw. ausgehenden Prozesspfade ausgeführt werden. XOR-Konnektoren werden verwendet, wenn genau ein einbzw. ausgehender Prozesspfad ausgeführt werden. Abb. 67: Prozesspfade der EPK Das erste und das letzte Element eines mit der EPK modellierten Prozesses sind stets Ereignisse. Ereignisse werden immer mit Funktionen verbunden und umgekehrt. Das führt zu einer abwechselnden logischen Folge von Ereignis und Funktion. Funktion Ereignis Und-Konnektor: alle Pfade werden durchlaufen Ereignis Ereignis Ereignis Funktion Funktion Funktion Ereignis Funktion Ereignis Oder-Konnektor: ein oder mehrere Pfade werden durchlaufen Ereignis Ereignis Ereignis Funktion Funktion Funktion Ereignis Funktion Ereignis XOR XOR-Konnektor: genau ein Pfad wird durchlaufen Ereignis Ereignis Ereignis Funktion Funktion Funktion Ereignis XOR Pfad wird durchlaufen Pfad wird nicht durchlaufen <?page no="191"?> 190 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Die Verbindung von Funktionen, Ereignissen und Konnektoren wird grafisch mit einer gerichteten Kante vorgenommen. Wenn Konnektoren zur Verknüpfung von mehreren Prozesspfaden verwendet werden, sind ausschließlich die Funktionen und ihr Ergebnis für die Wahl des Prozesspfads ausschlaggebend. Daher darf nach einem einzelnen Ereignis ausschließlich ein Und- Konnektor eingesetzt werden. Wenn ein eingehender Prozesspfad mithilfe eines Konnektors in mehrere ausgehende Prozesspfade überführt wurde, muss bei einer Zusammenführung dieser Pfade wieder ein Konnektor derselben Art verwendet werden. Fallbeispiel Geldautomat: Ein Kunde einer Bank möchte an einem Geldautomaten mit seiner Debitkarte Bargeld abheben. Zunächst muss sich der Kunde durch Einführung seiner Karte und Eingabe seiner persönlichen Identifikationsnummer (PIN) authentifizieren. Wenn die Authentifizierung nicht erfolgreich war, z.B. aufgrund einer fehlerhaften PIN-Eingabe, kann der Kunde die Authentifizierung wiederholen oder den Vorgang abbrechen. Wenn ein Sperreintrag für die Karte vorliegt oder die PIN mehrfach falsch eingegeben wurde, wird der Vorgang durch den Geldautomaten abgebrochen. Wenn die Authentifizierung erfolgreich war, gibt der Kunde den Wunschbetrag zur Abhebung des Bargelds an. Anschließend wird eine Autorisierung der Transaktion durchgeführt. Wenn die Autorisierung nicht erfolgreich war, z.B. aufgrund mangelnder Kontodeckung, kann der Kunde einen anderen Wunschbetrag eingeben oder den Vorgang abbrechen. Im Fall mangelnder Kontodeckung kann der Abbruch des Vorgangs auch durch den Server der Bank, der den Kontostand prüft, ausgelöst werden. Wenn die Autorisierung erfolgreich war, werden die Karte und das Geld ausgegeben und der Vorgang ist abgeschlossen. Parallel zum gesamten Ablauf erstellt der Geldautomat eine Protokollierung mittels Videoaufzeichnung und Protokolleinträgen in Textform. <?page no="192"?> 4.8 Geschäftsprozessmodellierung 191 www.uvk-lucius.de/ it-management Abb. 68: EPK zum Fallbeispiel Eine EPK kann durch eine weitere EPK verfeinert werden, indem eine Funktion durch eine Abfolge von konkreteren Ereignissen und Authentifizierung Kunde wünscht Bargeld XOR Authentifizierung erfolgreich Authentifizierung nicht erfolgreich Autorisierung Wunschbetrag eingegeben Eingabe Wunschbetrag XOR Autorisierung erfolgreich Autorisierung nicht erfolgreich XOR Abbruch Ausgabe Geld, Karte Vorgang abgeschlossen XOR XOR Protokollierung <?page no="193"?> 192 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Funktionen detailliert wird. Das Gegenstück zur Detaillierung ist die Aggregierung, bei der mehrere Ereignisse und Funktionen oder eine gesamte EPK durch die Funktion einer anderen EPK abgebildet wird. Die Aggregierung darf nicht mit der Generalisierung verwechselt werden, bei der nicht die Modellierungstiefe, sondern die Gültigkeit der EPK geändert wird. Durch eine Generalisierung wird die Gültigkeit erweitert, so dass die EPK für mehr Prozesse verwendet werden kann. Zur EPK wurden Erweiterungen definiert, die in eine neue Modellierungsmethode mit dem Namen erweiterte ereignisgesteuerte Prozesskette (eEPK) eingeflossen sind. Die Erweiterungen umfassen Modellierungselemente für Ein- und Ausgabedaten, ausführende Organisationseinheiten sowie benutze Anwendungssysteme. Ungerichtete Kanten dienen der Zuordnung von erweiterten Elementen zu primären Elementen der EPK. Abb. 69: Elemente der eEPK Prozesse, die mit der EPK modelliert wurden, können durch die Ergänzungen in eine eEPK umgewandelt werden, ohne eine komplett neue Modellierung vornehmen zu müssen. Aufgrund der deutlich erhöhten Vielfalt der Konstrukte und der damit ansteigenden Komplexität sollten die Ergänzungen jedoch mit Bedacht eingesetzt werden. Die Ergänzungen zur Funktion Authentifizierung aus dem Fallbeispiel Geldautomat sind in der folgenden Grafik dargestellt. Organisationseinheit: Zuständigkeit einer Stelle oder einer Gruppe von Stellen Anwendungssysteme: Unterstützung der Bearbeitung des Objekts Beleg: Beschreibung von Ein- oder Ausgabedaten Ungerichtete Kante: Zuordnung von Erweiterungen Org.-E. System Beleg <?page no="194"?> 4.8 Geschäftsprozessmodellierung 193 www.uvk-lucius.de/ it-management Abb. 70: Auszug der eEPK zum Fallbeispiel 44..8 8..4 4 UUn niiffiieedd MMo oddeelliinngg LLaanngguuaaggee 44..8 8..4 4..1 1 ÜÜbbe errbbl liicckk Die Unified Modeling Language (UML) ist eine Modellierungsmethode, die auf die Beschreibung objektorientierter Modelle ausgelegt ist. Die UML ist eine Sammlung von mehreren Diagrammtypen, die in Struktur- und Verhaltensdiagramme unterteilt werden. Strukturdiagramme: Klassendiagramme Komponentendiagramme Kompositionsstrukturdiagramme Objektdiagramme Paketdiagramme Profildiagramme Verteilungsdiagramme Verhaltensdiagramme: Aktivitätsdiagramme Anwendungsfalldiagramme Interaktionsübersichtsdiagramme Authentifizierung Kunde Geldautomat PIN <?page no="195"?> 194 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Kommunikationsdiagramme Sequenzdiagramme Zeitverlaufsdiagramme Zustandsdiagramme Die UML wurde durch die Object Management Group standardisiert und weiterentwickelt (OMG 2009, 2011a). Sie eignet sich in erster Linie für objektorientiertes Programmieren, da eine Umsetzung der Modellierungsergebnisse in Software-Code möglich ist. Zudem wurden viele Werkzeuge für CASE (Computer-Aided Software Engineering) an UML angepasst. Allerdings besitzt UML eine hohe Komplexität und lässt Mehrdeutigkeiten zu. Im den folgenden Kapiteln werden drei Diagrammtypen der UML genauer beschrieben: Das Aktivitätsdiagramm ermöglicht wie die EPK die Modellierung von Geschäftsprozessen. Das Klassendiagramm kann Objekte, z.B. Organisationseinheiten, strukturieren. Das Anwendungsfalldiagramm kann Aktivitäten bzw. Funktionen zu Personen oder Systemen zuordnen. Klassendiagramm und Anwendungsfalldiagramm können auch genutzt werden, um einen modellierten Prozess, z.B. eine EPK, aus einem anderen Betrachtungswinkel darzustellen und zu ergänzen. 44..88..44..22 AAkkttiivviittäätts sddiiaaggr raammmm Das Aktivitätsdiagramm dient der Modellierung von Geschäftsprozessen und kann sowohl für die Darstellung von technischen Rechenoperationen als auch von organisatorischen Aktivitäten genutzt werden. Rechtecke mit abgerundeten Ecken werden für die Darstellung von Aktivitäten genutzt. Rauten repräsentieren Entscheidungen, an denen Prozesspfade zusammen- oder auseinandergeführt werden. Balken werden eingesetzt, wenn der parallele Ablauf von mehreren <?page no="196"?> 4.8 Geschäftsprozessmodellierung 195 www.uvk-lucius.de/ it-management Aktivitäten gestartet oder beendet wird. Ein schwarzer Kreis steht für den Start und ein umkreister schwarzer Kreis für das Ende des Geschäftsprozesses. Gerichtete Kanten werden für die Verbindung der Elemente genutzt. Abb. 71: Elemente des Aktivitätsdiagramms Das Aktivitätsdiagramm zum Fallbeispiel Geldautomat ist in der folgenden Grafik dargestellt. Aktivität Aktivität: Bearbeitung eines Objekts im Rahmen eines Geschäftsprozesses Entscheidung: Zusammen- oder Auseinanderführung von Prozesspfaden Balken: Start oder Ende des parallelen Ablaufs von mehreren Aktivitäten Start und Ende: Abgrenzung von Start und Ende des Geschäftsprozesses Gerichtete Kante: Verknüpfung von anderen Elementen <?page no="197"?> 196 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Abb. 72: Aktivitätsdiagramm zum Fallbeispiel 44..88..44..33 KKllaasssseen nddiiaaggr raammmm Das Klassendiagramm beschreibt ein System, indem es jeweils ähnliche Objekte zu Klassen zusammenfasst, ihre gemeinsamen Attribute und Operationen benennt und die Verhältnisse zwischen Klassen visualisiert. Authentifizierung Autorisierung Eingabe Wunschbetrag Abbruch Ausgabe Geld, Karte Protokollierung erfolgreich nicht erfolgreich Abbruch Wiederholung Abbruch erfolgreich nicht erfolgreich Wiederholung <?page no="198"?> 4.8 Geschäftsprozessmodellierung 197 www.uvk-lucius.de/ it-management Klassen werden durch ein Rechteck visualisiert, das in der einfachen Darstellung nur einen Textbereich für den Namen der Klasse besitzt. Optional ist eine ausführliche Darstellung möglich, bei der das Rechteck darunter zwei weitere Bereiche enthält. Der mittlere Bereich listet die Attribute der Klasse auf und der untere Bereich benennt die Operationen, welche von der Klasse ausgelöst werden können. Die Attribute und Operationen werden bei der Modellierung in einer Klasse mit ihrem Namen, einem Doppelpunkt und weiteren hier nicht näher spezifizierten Angaben, z.B. Typ und Vorgabewert, versehen. Um die Sichtbarkeit von Attributen oder Operationen einer Klasse festzulegen, wird dem jeweiligen Namen ein Symbol vorangestellt. Die wichtigsten Symbole sind in der folgenden Tabelle aufgeführt. Symbol Bezeichnung Beschreibung + öffentlich unbeschränkte Zugriffsrechte privat Zugriffsrechte hat ausschließlich die Klasse selbst # geschützt Zugriffsrechte haben ausschließlich die Klasse selbst und deren Unterklassen ~ Paket Zugriffsrechte gelten innerhalb eines Pakets, das in einer Programmiersprache definiert wurde Tab. 24: Symbole für Sichtbarkeiten Der Relationstyp bei relational verknüpften Klassen wird durch die Art der grafischen Verbindung zwischen Klassenelementen dargestellt. Die wichtigsten Relationstypen sind Assoziation, Aggregation, Komposition und Generalisierung. Die Assoziation repräsentiert eine Beziehung zwischen Instanzen aus verschiedenen Klassen oder zwischen Instanzen aus derselben Klasse. Die Beziehung kann unidirektional (in eine Richtung), bidirektional (in beide Richtungen) oder reflexiv (die Klasse steht zu sich selbst in Beziehung) sein. Sie wird mit einer ungerichteten Kante visualisiert. Bei der Aggregation ist eine Klasse ein Teil von einer anderen Klasse, die als Container aufgefasst werden kann. Grafisch wird <?page no="199"?> 198 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management die Aggregation mit ungerichteten Kanten dargestellt, die auf der Seite der Container-Klasse eine leere Raute anknüpfen. Die Komposition ähnelt der Aggregation mit dem Unterschied, dass die enthaltenen Klassen im Gegensatz zur Aggregation nicht ohne ihre Container-Klasse existieren können. Grafisch wird die Komposition mit ungerichteten Kanten dargestellt, die auf der Seite der generellen Klasse an eine ausgefüllte Raute anknüpfen. Die Generalisierung verbindet eine generelle mit einer speziellen Klasse. Eine spezielle Klasse wird mit einer auf die generelle Klasse gerichteten Kante verbunden. Multiplizitäten sind die erlaubte Anzahl der an einer Beziehung beteiligten Instanzen. Sie können für Relationen, Attribute und Operationen festgelegt werden. Der erste Wert einer Multiplizität ist die untere Schranke und der zweite Wert die obere. Wenn nur ein Wert angegeben ist, ist dieser zugleich untere Schranke und obere. Ein Stern steht für beliebig viele. Bei Relationen werden sie an Anfang und Ende der Verbindung positioniert. Bei Attributen und Operationen können sie innerhalb der ausführlichen Klassendarstellung angegeben werden. Abb. 73: Elemente des Klassendiagramms Klasse in einfacher Darstellung Klasse in ausführlicher Darstellung Komposition Klasse Klasse Attribute Operationen Assoziation Aggregation Generalisierung <?page no="200"?> 4.8 Geschäftsprozessmodellierung 199 www.uvk-lucius.de/ it-management Für das Fallbeispiel Geldautomat veranschaulicht das folgende Klassendiagramm die Klassen rund um den Geldautomaten. Ein bis beliebig viele Geldautomaten ist eine Spezialisierung eines Selbstbedienungsautomaten. Außerdem ist ein Geldautomat eine Komposition von einem Computer, einem Monitor, einem Kartenleser, einem PIN-Pad und einer bis vier Geldkassetten. Ein Geldautomatennetz ist eine Aggregation von einem bis beliebig vielen Geldautomaten. Abb. 74: Klassendiagramm zum Fallbeispiel 44..8 8..4 4..4 4 AAn nwwe en ndduunng gs sf fa allllddiiaaggrraammmm Das Anwendungsfalldiagramm stellt die verschiedenen Akteure eines Systems dar und zeigt auf, wie sie mit dem System interagieren können. Das Anwendungsfalldiagramm wird häufig bei der Definition von Anforderungen an eine neu zu entwickelnde Software angewendet. Es bringt Akteure, also Personen oder Systeme, mit Funktionen in Verbindung, die im Rahmen eines Geschäftsprozesses ausgeführt werden. Dabei wird aufgezeigt, welches Verhalten durch die Akteure möglich ist, jedoch nicht, wie Aktivitäten ablaufen. Die Modellierungselemente des Anwendungsfalldiagramms sind Rollen, Anwendungsfälle, Verbindungen, Beziehungen, Abhängigkeiten und Systemgrenzen. Selbstbedienungsautomat Geldautomat Geldautomatennetz Geldkassette Computer Kartenleser PIN-Pad Monitor 1 1 1 1 1..4 1 * * 1 1 1 1 1 1 1.. 1.. <?page no="201"?> 200 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Rollen werden mit Strichmännchen dargestellt und können von Akteuren wahrgenommen werden, bei denen es sich um eine Person oder ein System handeln kann. Anwendungsfälle werden durch Ellipsen dargestellt und beschreiben das Verhalten eines Akteurs. Verbindungen werden durch ungerichtete Kanten zwischen Akteur und Anwendungsfall visualisiert. Beziehungen umfassen Spezialisierungen und Generalisierungen zwischen Anwendungsfällen oder zwischen Akteuren. Sie werden durch gerichtete Kanten in Richtung des generellen Anwendungsfalls bzw. Akteurs dargestellt. Die wichtigsten Abhängigkeiten zwischen Anwendungsfällen sind Äquivalenz (equivalent), Erweiterung (extends), Beinhaltung (includes), Voraussetzung (requires), Sequenz (follows) und Ähnlichkeit (resembles). Sie werden mit gerichteten gestrichelten Kanten dargestellt. Die Art der Abhängigkeit wird in spitzen Doppelklammern an die gerichteten Kanten geschrieben, z.B. <<extends>>. Systemgrenzen umfassen die Gesamtheit aller Anwendungsfälle eines Systems. Grafisch werden alle betroffenen Anwendungsfälle mit einem Rechteck umgeben. Abb. 75: Elemente des Anwendungsfalldiagramms Rolle Anwendungsfall Abhängigkeit Verbindung Beziehung Systemgrenze System Fall <?page no="202"?> 4.8 Geschäftsprozessmodellierung 201 www.uvk-lucius.de/ it-management Bei Verbindungen, Beziehungen und Abhängigkeiten können wie beim Klassendiagramm Multiplizitäten angegeben werden, z.B. kann ein Kunde mehrere Bestellungen in einem Online-Shop platzieren. Multiplizitäten werden wie beim Klassendiagramm am Anfang und Ende einer Kante positioniert. Abb. 76: Anwendungsfalldiagramm zum Fallbeispiel Geldautomat Beim Fallbeispiel Geldautomat existieren die Rollen Kunde, Geldautomat und Server. Ein Kunde kann beliebig oft die Anwendungsfälle „Karteneinführung“, „Eingabe Wunschbetrag“ und „Abbruch“ ausführen. Und ein Kunde kann einbis viermal den Anwendungsfall „PIN-Eingabe“ ausführen, da nach viermaliger Falscheingabe der PIN der Vorgang durch den Geldautomaten abgebrochen und die Karte eingezogen wird. Ein Anwendungsfall „Eingabe Wunschbetrag“ setzt einen Anwendungsfall „Authentifizierung prüfen“ voraus. Ein Anwendungsfall „Authentifizierung“ beinhaltet jeweils einen Anwendungsfall „Karteneinführung“ und „PIN-Eingabe“. Ein Geldautomat kann beliebig oft die Anwendungsfälle „Protokollierung“, „Authentifizierung prüfen“ und „Abbruch“ ausführen. Ein Anwendungsfall Karten- Einführung Authentifizierung PIN-Eingabe Authentifizierung prüfen Protokollierung Ausgabe Geld und Karte Eingabe Wunschbetrag Abbruch Abbruch Autorisierung Abbruch <<includes>> <<includes>> <<requires>> < < r e q u i r e s > > < < r e q u i r e s > > <<requires>> 1 1 1 1 1..4 * * * <<requires>> <<requires>> 1 1 1 1 1 1 * * * * * * 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Kunde Geldautomat Server 1 1 <?page no="203"?> 202 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management „Authentifizierung prüfen“ setzt einen Anwendungsfall „Authentifizierung“ voraus. Ein Anwendungsfall „Abbruch“ setzt einen Anwendungsfall „Authentifizierung prüfen“ voraus. Ein Server kann beliebig oft die Anwendungsfälle „Abbruch“, „Autorisierung“ und „Ausgabe Geld und Karte“ ausführen. Dabei setzt ein Anwendungsfall „Abbruch“ einen Anwendungsfall „Autorisierung“ voraus. Ein Anwendungsfall „Autorisierung“ setzt einen Anwendungsfall „Eingabe Wunschbetrag“ voraus. Ein Anwendungsfall „Ausgabe Geld und Karte“ setzt einen Anwendungsfall „Autorisierung“ voraus. 44..88..55 BBuussiinneessss PPrroocceessss MMooddeelliinngg NNoottaattiioonn Die Business Process Modeling Notation (BPMN) unterstützt die Modellierung von Prozessen mithilfe einer einfachen Grundstruktur und bei Bedarf einer weitreichenden Detaillierung, um ein Prozessverständnis aus betriebswirtschaftlicher und informationstechnischer Sicht zu schaffen. Die BPMN wurde von der Business Process Management Initiative (BPMI) entwickelt und durch die OMG (2011b) übernommen. Sie bietet eine gute Verbindung zwischen der geschäftlichen Sicht eines Prozesses und der IT. Insbesondere ist sie daher für größere Projektteams mit Mitgliedern aus IT- und Fachabteilungen geeignet. Die BPMN unterstützt ausschließlich die Modellierung von Geschäftsprozessen und kann mit hoher Detaillierung eine hohe Komplexität erreichen. Die Basiselemente der BPMN zur Erstellung eines Business Process Diagram (BPD) sind Flussobjekte, Verbindungsobjekte, Teilnehmer und Artefakte. Flussobjekte sind Aktivitäten, Gateways oder Ereignisse: Aktivitäten beschreiben, welche Tätigkeit erledigt werden soll und werden durch Rechtecke mit abgerundeten Kanten dargestellt. <?page no="204"?> 4.8 Geschäftsprozessmodellierung 203 www.uvk-lucius.de/ it-management Abb. 77: BPMN-Flussobjekte Gateways sind Entscheidungspunkte, an denen Prozesspfade in Abhängigkeit einer Bedingung zusammenlaufen oder geteilt werden können. Sie werden mit Rauten visualisiert und mit einem Symbol im Inneren versehen, unter anderem einem X für exklusives Oder, einem Kreis für Oder und einem Plus für Und. Eine leere Raute steht ebenfalls für exklusives Oder. Ereignisse sind etwas, das im Rahmen eines Prozesses auftreten kann. Sie werden anhand des Zeitpunkts ihres Auftretens in Start-, Zwischen- und Endereignisse unterschieden und anhand der Auswirkung ihres Auftretens in eingehende und ausgehende Ereignisse. Sie werden mit Kreisen dargestellt, wobei die Art des Rands auf den Zeitpunkt und der Inhalt des Kreises auf die Auswirkung hindeuten. Abb. 78: BPMN-Verbindungsobjekte Sequenzfluss Nachrichtenfluss Zuordnungen bedingter Sequenzfluss Standardsequenz Aktivität Gateways Startereignis Aktivität * X O + Oder Und Zwischenereignis Endereignis exklusives Oder Ereignis (* ist ein Symbol) Ereignisse <?page no="205"?> 204 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Verbindungsobjekte umfassen Sequenzflüsse, Nachrichtenflüsse und Zuordnungen. Ein Sequenzfluss verbindet Aktivitäten, Gateways und Ereignisse miteinander, um den zeitlich-logischen Ablauf zu beschreiben. Er wird durch eine gerichtete Kante dargestellt. Falls für die Sequenz eine Bedingung erfüllt sein muss, handelt es sich um einen bedingten Sequenzfluss, bei dem die gerichtete Kante mit einer Raute am Anfang versehen wird. Eine Standardsequenz wird dann ausgeführt, wenn keine andere ausgehende Sequenz von einem bestimmten Element ausgeführt werden kann. Hierbei wird der Anfang der gerichteten Kante mit einem Diagonalstrich versehen. Ein Nachrichtenfluss wird verwendet, wenn zwei Teilnehmer oder zwei Elemente, die unterschiedlichen Teilnehmern zugeordnet sind, Nachrichten austauschen. Mit einem Nachrichtenfluss können nur Aktivitäten oder Ereignisse aus unterschiedlichen Teilnehmerbereichen verbunden werden. Er wird mit einer gestrichelten gerichteten Kante dargestellt, die mit einem Kreis beginnt und mit einem nicht ausgefüllten Pfeil abschließt. Zuordnungen verbinden Artefakte oder Texte mit einem Flussobjekt und werden mit einer gepunkteten Linie mit einem optionalen nicht ausgefüllten Pfeil dargestellt. Abb. 79: BPMN-Teilnehmer Die Teilnehmer eines Prozesses werden durch Pools repräsentiert, welche in Lanes aufgeteilt werden können. Pools fassen alle Flussobjekte zusammen, die einen bestimmten Teilnehmer betreffen. Pool Lane Lane <?page no="206"?> 4.8 Geschäftsprozessmodellierung 205 www.uvk-lucius.de/ it-management Mit Lanes können die Pools in Spuren unterteilt werden, die sich über den gesamten Prozess ausbreiten, und die Abbildung von Funktionen oder Rollen innerhalb eines Teilnehmerbereichs ermöglichen. Abb. 80: BPMN-Artefakte Artefakte ergänzen Flussobjekte um zusätzliche Informationen. Es kann sich dabei um Anmerkungen, Datenobjekte und Gruppierungen handeln. Anmerkungen werden genutzt, um die Verständlichkeit des modellierten Prozesses für den Betrachter zu erhöhen. Sie werden durch eine linksseitige eckige Klammer und einem Text dargestellt. Datenobjekte zeigen, welche Daten durch eine Aktivität benötigt werden. Sie werden durch ein Rechteck visualisiert, bei dem die rechte obere Ecke eingeknickt ist. Gruppierungen fassen Flussobjekte zu einer Gruppe zusammen, ohne den Ablauf des Prozesses zu ändern. Sie werden durch ein Rechteck mit abgerundeten Ecken und gestricheltem Rand visualisiert. Das Fallbeispiel Geldautomat wird in der folgenden Grafik mit einem BPD gemäß BPMN dargestellt. Anmerkung Gruppierung Datenobjekt Text <?page no="207"?> 206 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management Abb. 81: BPD zum Fallbeispiel Kunde Geldautomat Bank Server Eingabe Karte und PIN Protokollierung Eingabe Wunschbetrag Abbruch Autorisierung Ausgabe Geld, Karte Kunde wünscht Bargeld X X + X X Authentifizierung prüfen Abbruch Abbruch X Auth. erfolgreich Auth. nicht erfolgreich Autor. nicht erfolgreich Autor. erfolgreich <?page no="208"?> 4.8 Geschäftsprozessmodellierung 207 www.uvk-lucius.de/ it-management 44..8 8..6 6 FFlluussssddiiaaggrra ammmmee Das Flussdiagramm wird auch als Programmablaufplan oder Programmstrukturplan bezeichnet und dient der Modellierung von Prozessen und Zuständigkeiten. Das Flussdiagramm wurde in der DIN 66001 genormt. Es wird meist zur überblicksartigen Darstellung von Prozessen mit gut abgegrenzten Zuständigkeiten eingesetzt und ist leicht verständlich. Jedoch wäre das Flussdiagramm für eine detaillierte Modellierung von Prozessen nicht zu bevorzugen. Das Flussdiagramm darf nicht mit dem Datenflussdiagramm verwechselt werden, das den Fluss von Daten innerhalb einer Anwendungssoftware beschreibt. Die wichtigsten Elemente sind Operation, Verzweigung, Unterprogramm, Eingabe, Ausgabe, Ablauflinie und Übergangsstelle. Abb. 82: Elemente des Flussdiagramms Die Operation beschreibt eine Tätigkeit innerhalb des Prozesses und wird durch ein Rechteck dargestellt. Die Verzweigung ist ein Entscheidungspunkt, an dem Prozesspfade zusammenlaufen oder geteilt werden können. Sie wird durch eine Raute veranschaulicht. Ein Unterprogramm ist eine Teiltätigkeit innerhalb des Prozes- Operation Verzweigung Unterprogramm Eingabe oder Ausgabe Übergang Ablauflinien <?page no="209"?> 208 4 IT-Services & Prozesse www.uvk-lucius.de/ it-management ses und kann mehrere Ein- und Ausgänge besitzen. Ein- und Ausgabe können maschinell oder manuell sein und werden mit demselben Symbol, einem Parallelogramm, dargestellt. Die Ablauflinie verbindet Elemente miteinander und kann durch eine ungerichtete oder, um die Ablaufrichtung zu verdeutlichen, eine gerichtete Kante dargestellt werden. Die gerichtete Kante sollte immer dann genutzt werden, wenn die Vorzugsrichtungen von oben nach unten oder von links nach rechts nicht eingehalten werden. Die Übergangsstelle ermöglicht einen Übergang in einen Prozess hinein (Start) oder aus einem Prozess heraus (Stopp) und wird mit einem Kreis dargestellt. Abb. 83: Flussdiagramm zum Fallbeispiel Auth. erfolgreich? Authentifizierung Eingabe Karte, PIN Start Stopp Abbruch? Eingabe Betrag Autorisierung Autor. erfolgreich? Abbruch? Ausgabe Geld, Karte Protokollierung ja ja nein nein nein nein ja ja <?page no="210"?> 4.9 Literatur zu Kapitel 4 209 44..9 9 LLiitteerraat tuurr zzuu KKaap piitteell 44 APQC (2012) Process Classification Framework, Version 6.0.0, July 2012, http: / / www.apqc.org/ knowledge-base/ download/ 268712/ K03785_PCF_Cross%20Industry_v6_July2012.pdf Beims, M. (2010) IT-Service Management in der Praxis mit ITIL 3 - Zielfindung, Methoden, Realisierung, 2. Auflage, München 2010 Bleicher, K. (1991) Organisation: Strategien - Strukturen - Kulturen, 2. Auflage, Wiesbaden 1991 Hammer, M.; Champy, J. (2003) Business Reengineering - Die Radikalkur für das Unternehmen, Frankfurt, New York, 7. Auflage, 2003 OMG (2009) OMG Unified Modeling Language (OMG UML), Superstructure, Version 2.2, 2009, http: / / www.omg.org/ spec/ UML/ 2.2/ OMG (2011a) OMG Unified Modeling Language (OMG UML), Infrastructure, Version 2.4.1, 2011, http: / / www.omg.org/ spec/ UML/ 2.4.1/ Infrastructure/ PDF/ OMG (2011b) Documents Associated with Business Process Model and Notation (BPMN) Version 2.0, January 2011, http: / / www.omg.org/ spec/ BPMN/ 2.0/ PMI (2013) A Guide to the Project Management Body of Knowledge (PMBOK Guide) - Fifth Edition, Newtown Square, Pennsylvania 2013 Porter, M. E. (1985) Competitive Advantage: Creating and Sustaining Superior Performance, New York 1985 Scheer, A.-W. (1992) Architektur integrierter Informationssysteme: Grundlagen der Unternehmensmodellierung, Berlin 1992 <?page no="212"?> www.uvk-lucius.de/ it-management 55 GGoovveerrnnaannccee" RRiisskk && CCoommpplliiaannccee Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie Inhalt und Zweck der IT-Governance erklären können, Hilfsmittel für die Gestaltung der IT-Governance benennen und beschreiben können, den Ablauf des IT-Risikomanagements darstellen können, wichtige Begriffe des IT-Risikomanagements kennen, quantitative und qualitative Risikobewertungen voneinander abgrenzen und anwenden können, die Hintergründe der IT-Compliance erläutern können, Regelwerke der IT-Compliance beschreiben können, Techniken zur Eingrenzung von Compliance- Umgebungen kennen und erklären können. 55..11 IITT--GGoovve er rnnaannccee Die IT-Governance umfasst die Konzeption und Etablierung aller Maßnahmen, die durch ein Unternehmen zur Steuerung und Regelung der IT eingesetzt werden können. Der Zweck der IT-Governance besteht darin, die Strategien und Ziele des Unternehmens durch passende Regelwerke und Maßnahmen zu unterstützen. Dadurch kann die IT gesteuert und an der Strategie und den Zielen des Unternehmens ausgerichtet werden. Sie hat enge Beziehungen zur IT-Compliance und zum IT-Risikomanagement: <?page no="213"?> 212 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Die IT-Compliance fließt in die IT-Governance ein und sorgt für die Einhaltung externer Vorgaben. Das IT-Risikomanagement unterstützt die Festlegung von Prioritäten bei der Umsetzung von IT-Maßnahmen, die durch die IT-Governance gefordert werden. Damit wird dem wirtschaftlichen Umgang mit knappen Ressourcen Rechnung getragen. Hilfsmittel für die Gestaltung einer IT-Governance sind IT-Strategien, Vorgaben, IT-Kennzahlen, IT-Risiken, Roadmapping, Weiterbildung und Wertgenerierung. Abb. 84: Hilfsmittel der IT-Governance IT-Strategien: Die Erwartungen des Unternehmens an die IT müssen von der Geschäftsleitung definiert werden, damit jeder die Bedeutung der Initiative versteht. Die Geschäftsleitung muss mit dem IT- Management passende IT-Strategien definieren, die im Rahmen des IT-Alignments an den geschäftlichen Strategien ausgerichtet werden. Aber auch die entgegengesetzte Richtung ist möglich. So können neue technologische Entwicklungen dazu führen, dass geschäftliche Strategien von der IT beeinflusst werden. Insgesamt wird ein optimales wechselseitiges Zusammenspiel von Geschäftsmodell und IT angestrebt. Sobald die IT-Strategie feststeht, werden rollenspezifische Ziele für das IT-Personal abgeleitet. IT-Strategien Wertgenerierung Weiterbildung Vorgaben IT-Kennzahlen Roadmapping IT-Risiken IT-Governance <?page no="214"?> 5.1 IT-Governance 213 www.uvk-lucius.de/ it-management Vorgaben: Sie können z.B. mithilfe von Leitlinien, Richtlinien, Arbeitsanweisung und Verfahrensbeschreibungen formalisiert werden. Mit diesen Dokumenten werden alle Stakeholder der IT zur Einhaltung von Vorgaben verpflichtet. Um deren Einhaltung zu überprüfen, sollte die Nachvollziehbarkeit aller IT-Aktivitäten gewährleistet werden. Dieser Bereich hat einen starken Zusammenhang mit IT-Compliance. Hierbei handelt es sich in der Regel um externe Vorgaben, die sich z.B. aus Regularien ergeben. Ein Verstoß gegen diese Regularien kann zu negativer Presse, Rufschädigung, möglichen Geldstrafen und erheblichen Umsatzeinbußen durch den Verlust von Kunden führen. Die externen Vorgaben fließen in der Regel mit den internen Vorgaben in denselben Dokumenten zusammen. Zunächst werden alle relevanten externen Vorgaben identifiziert. Anschließend müssen sie mit unternehmensinternen Vorgaben abgeglichen werden. Die Erfüllung von optionalen und empfohlenen Vorgaben kann zunächst zurückgestellt werden. Wichtig ist auch eine regelmäßige Recherche nach Versionsänderungen oder neuen Vorgaben. Eine Vereinheitlichung von Vorgaben ermöglicht die Zusammenfassung und deutlich effizientere Erfüllung von Vorgaben aus verschiedenen Quellen, welche oft große Überschneidungen besitzen. Durch eine überlegte Definition von internen Vorgaben können oft gleichzeitig mehrere externe Vorgaben erfüllt werden. IT-Kennzahlen: IT-Kennzahlen dienen dazu, Transparenz über die Erwartungen zu schaffen und die Übernahme von Verantwortung für Ergebnisse zu etablieren. Das Personal muss für die Einhaltung von Zielen verantwortlich gemacht werden. Ziele sollen so formuliert werden, dass sie mithilfe von IT-Metriken gemessen werden können und mithilfe von IT-Kennzahlen transparent gemacht und ausgewertet werden können. Dadurch kann auch der durch die IT generierte Wert gemessen werden. Es wird eine Basis für eine nachvollziehbare Bewertung von IT-Aktivitäten geschaffen und Entscheidungen werden aus Kosten-/ Nutzen-Sicht unterstützt. <?page no="215"?> 214 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management IT-Risiken: Von zunächst allgemeinen Risikoprofilen kann ein Unternehmen mit der Zeit fortgeschrittene Risikoklassifizierungssysteme erstellen. Durch die Implementierung von individuellen Risikomaßnahmen kann ein Unternehmen Ziele verfeinern und effizienter gestalten. In höheren Reifegraden kann ein Unternehmen viele interne und externe Datenquellen nutzen, um sowohl IT- Kennzahlen als auch qualitative Rückmeldungen über die IT zu sammeln. Dies ermöglicht eine Feinabstimmung zwischen Kostenaufwand und realisiertem Nutzen. Ein unternehmensweites Risikoprofil kann in Zusammenarbeit mit dem Personal und weiteren Stakeholdern des Unternehmens erarbeitet werden. Im Rahmen von Interviews können Worst-Case-Szenarien analysiert und mit risikomindernden Aktivitäten in Verbindung gebracht werden. Bei einem Klassifikationsverfahren werden Daten und Applikationen risikobasiert in Klassen eingeordnet. Diese Einordnung muss nicht nur initial durchgeführt, sondern auch regelmäßig aktualisiert werden. Roadmapping: Durch das Erstellen einer Roadmap soll das Zusammenspiel von langfristigen Zielen und passenden IT-Aktivitäten oder Technologien verdeutlicht werden. Letztere werden in einer Technology Roadmap behandelt. Die langfristigen Ziele basieren auf einer Ausgangssituation, sind von Einflussfaktoren, wie z.B. dem Risikoprofil des Unternehmens, abhängig und dienen der Verbesserung der Unternehmensprozesse. Mithilfe der Roadmap können der Zeitrahmen und die logische Abfolge von Maßnahmen visualisiert werden. Grundsätzlich können auch Verzweigungen zur Berücksichtigung verschiedener Alternativen genutzt werden. Dies bietet sich vor allem bei einer hohen Unvorhersehbarkeit an. Die Roadmap sollte regelmäßig aktualisiert werden, um veränderte Rahmenbedingungen und eine fortgeschrittene Implementierung zu berücksichtigen. Weiterbildung: Sie beinhaltet die Wissensvermittlung beim Personal durch Training und Beratung zu Themen der IT-Governance, die für individuelle Job-Funktionen relevant sind. Durch eine rollenbasierte <?page no="216"?> 5.1 IT-Governance 215 www.uvk-lucius.de/ it-management Weiterbildung kann das Bewusstsein für IT-Governance erhöht und Fehler vermieden werden. Auch Informationen über bisher entdeckte Fehlerquellen sollten dabei berücksichtigt werden. Trainings werden meist durch Präsenzveranstaltungen oder computerbasierte Trainings umgesetzt. Auch Individualtrainings sind empfehlenswert. Sie sollten immer dann durchgeführt werden, wenn sie benötigt werden. Das ist z.B. der Fall, wenn Mitarbeiter mit neuen Technologien in Berührung kommen oder ihren Aufgabenbereich ändern. Technische Leitfäden bieten eine weitere Informationsquelle für das Personal. Sie werden durch die Zusammenstellung von Empfehlungen aus Dokumenten, Web-Seiten und technischen Hinweisen erstellt. Viele öffentlich verfügbare Ressourcen im Internet können dafür hinzugezogen werden. Ein Informationsportal kann über eine interne Webseite betrieben werden und ermöglicht den Zugriff auf Best Practices, Anleitungen, FAQs, Foren, Wikis usw. Die Inhalte sollten katalogisiert und leicht durchsucht werden können. Zertifizierungen dienen dazu, das Wissen des Personals zu prüfen und zu bescheinigen. Mithilfe der erreichten Zertifizierungen kann die Zuordnung von Aufgaben zum Personal erleichtert werden. Die Organisation externer Veranstaltungen ermöglicht dem internen Personal einen Einblick in andere Sichtweisen und neue Erkenntnisse. Außerdem ist dies auch eine Marketingmaßnahme für das Unternehmen, da das Engagement für IT nach außen bekannt gemacht wird. Wertgenerierung: Die IT soll aus wirtschaftlicher Sicht einen Wert generieren. Damit ist gemeint, dass Geschäftsprozesse so unterstützt werden, dass ein finanziell bewertbarer Vorteil durch die IT entsteht. Die IT wird demnach nicht mehr als ausschließlich kostenverursachend, sondern vielmehr als wertschaffend angesehen. Die Wertgenerierung steht in engem Zusammenhang mit den IT-Kennzahlen, welche die Messung von Werten überhaupt <?page no="217"?> 216 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management erst ermöglichen. Eine häufig genutzte Kennzahl ist der Return on Investment, der zur finanziellen Bewertung des Nutzens einer Investitionsentscheidung verwendet werden kann. 55..2 2 IITT--R Riissiikkoomma an naag geemme enntt 55..2 2..1 1 ÜÜb beerrbblliicckk Ein Risiko in der IT ist die Wahrscheinlichkeit und die Auswirkung daraus, dass die Geschäftstätigkeit eines Unternehmens durch Kompromittierung, Manipulation, Beschädigung oder Störung von Daten und IT-Systemen beeinträchtigt werden kann. Das Risikomanagement umfasst die Identifizierung von Risiken, die Risikobewertung, die Auswahl der Risikobewältigungsmethode sowie die Implementierung und Pflege von Gegenmaßnahmen zur Steuerung der Risiken. Abb. 85: Ablauf des Risikomanagements 55..22..22 IIddeennttiiffiizziieerru unngg v voonn RRiissiikkeenn Zur Identifizierung von Risiken muss man sich zunächst bewusst machen, wie sie entstehen. Vermögensobjekte sind alle Objekte, Identifizierung von Risiken Implementierung und Pflege von Gegenmaßnahmen Auswahl der Risikobewältigungsmethode Risikobewertung <?page no="218"?> 5.2 IT-Risikomanagement 217 www.uvk-lucius.de/ it-management die für das Unternehmen einen Wert haben. Die Unversehrtheit und Verfügbarkeit dieser Vermögensobjekte können bedroht werden. Eine Bedrohung existiert dann, wenn das Vermögensobjekt eine Schwachstelle besitzt, deren Ausnutzung durch einen Angreifer oder durch Umweltfaktoren möglich ist. Durch das potenzielle Ausnutzen der Schwachstelle entsteht ein Risiko, das mithilfe einer Gegenmaßnahme zum Schutz des Vermögensobjekts gesteuert werden kann. Abb. 86: Begriffe im Risikomanagement Ein Beispiel ist ein mit dem Internet verbundener Server (Vermögenswert), der über das Internet von Hackern erreicht werden kann (Bedrohung). Der Server könnte eine von außen erreichbare Software ausführen, die bei zu vielen Anfragen abstürzt (Schwachstelle). Ein Hacker kann den Server mit Anfragen überfluten (Ausnutzung). Dies führt zu einem wahrscheinlichen Auftreten einer Dienstverweigerung (Risiko). Die Gegenmaßnahme besteht in der Anpassung der Konfiguration des Servers, damit er lediglich eine bestimmte Anzahl an Anfragen akzeptiert (Gegenmaßnahme). 55..22..33 RRiissiikkoobbeewwe errttuunngg 55..22..33..11 GGrruunnddllaagge en n Die Risikobewertung dient der Erstellung einer Entscheidungsvorlage für das Management des Unternehmens, um eine Risikobewältigungsmethode und eventuelle Gegenmaßnahmen auswählen zu können. Vermögensobjekt Bedrohung Risiko Gegenmaßnahme Ausnutzung Schwachstelle <?page no="219"?> 218 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Dabei sollte berücksichtigt werden, dass ausschließlich kosteneffektive Gegenmaßnahmen implementiert werden sollten. Das Prinzip, Risiken so weit wie möglich zu reduzieren, wie es aus Kostensicht noch praktikabel ist, wird auch als As Low As Reasonably Practicable (ALARP) bezeichnet. 55..2 2..3 3..2 2 QQuuaannttiittaattiivve e RRiissiikko obbe ewwe errttuunngg Die quantitative Risikobewertung bedient sich diverser Kennzahlen und Kostenfunktionen, um Risiken geldmäßig beurteilen zu können. Die Basis ist der finanzielle Wert von Vermögensobjekten (Asset Value oder kurz AV). Der Expositionsfaktor (Exposure Factor oder kurz EF) gibt an, wie hoch der finanzielle Verlust in Prozent eines Vermögenswerts bei Eintreten einer Bedrohung sein kann. Ein Vermögensobjekt kann nämlich auch teilweise beschädigt werden. Der erwartete einzelne Verlust (Single Loss Expectancy oder kurz SLE) gibt an, wie hoch der finanzielle Verlust in Euro ist, den ein Vermögenswert bei Eintreten einer Bedrohung erleidet. SLE = AV EF Die wahrscheinliche Häufigkeit des Auftretens einer Bedrohung innerhalb eines Jahres wird mit der Jahresrate des Auftretens (Annualized Rate of Occurrence oder kurz ARO) bezeichnet. Sie repräsentiert eine Wahrscheinlichkeit, die entweder auf Erfahrungswerten basiert oder geschätzt wurde. Eine Null steht dafür, dass die Bedrohung niemals eintritt. Die maximale Höhe des ARO ist nach oben nicht beschränkt. Der wahrscheinliche finanzielle Verlust durch das Eintreten der Bedrohung wird als Wert der jährlichen Verlusterwartung (Annualized Loss Expectancy oder kurz ALE) bezeichnet. <?page no="220"?> 5.2 IT-Risikomanagement 219 www.uvk-lucius.de/ it-management ALE = SLE ARO Kosten-/ Nutzen-Berechnungen stellen die potenziellen Verluste den Kosten für Gegenmaßnahmen gegenüber. Dazu wird die ALE vor und nach der Gegenmaßnahme berechnet. Die Differenz repräsentiert den Wert, den die Gegenmaßnahme für das Unternehmen besitzt. ALE vorher - ALE nachher = Wert der Gegenmaßnahme Die Kosten der Gegenmaßnahme können für den Zeitraum von einem Jahr berechnet werden. Dadurch ergibt sich der Wert der jährlichen Kosten für die Gegenmaßnahme (Annual Cost of the Safeguard oder kurz ACS). Für die Kosten-/ Nutzen-Beurteilung kann man nun prüfen, ob die ACS geringer als die Veränderung der ALE ist. Dann ist die Gegenmaßnahme für das Unternehmen prinzipiell lohnenswert. Wenn die folgende Formel ein positives Ergebnis hat, ist dies der Fall: (ALE vorher - ALE nachher) - ACS > 0 <?page no="221"?> 220 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Akronym Begriff engl. Begriff dt. Berechnung Einheit AV Asset Value Wert eines Vermögensobjekts Messung oder Schätzung Euro (oder andere Währung) EF Exposure Factor Expositionsfaktor Messung oder Schätzung Prozent SLE Single Loss Expectancy erwarteter einzelner Verlust SLE = AV EF Euro (oder andere Währung) ARO Annualized Rate of Occurrence Jahresrate des Auftretens Messung oder Schätzung ganze Zahl ALE Annualized Loss Expectancy Wert der jährlichen Verlusterwartung ALE = SLE ARO Euro (oder andere Währung) ACS Annual Cost of the Safeguard Wert der jährlichen Kosten für die Gegenmaßnahme Messung oder Schätzung Euro (oder andere Währung) Tab. 25: Akronyme der quantitativen Risikobewertung Fallbeispiel quantitative Risikobewertung: Eine Buchhandlung betreibt zusätzlich zum Ladengeschäft einen eigenen Online-Shop zum Verkauf von Büchern. Pro Tag erzielt die Buchhandlung durch den Online-Shop einen Gewinn in Höhe von 200 Euro. AV = 200 Euro Der Online-Shop wird auf einem Server mit nur einer Festplatte betrieben. Im Falle eines technischen Defekts der Festplatte dauert es einen Tag, um eine Ersatzfestplatte zu besorgen und die Daten aus Backups wiederherzustellen. Durch den Ausfall entfällt der gesamte Gewinn eines Tages. EF = 100 % SLE = AV EF = 200 Euro 100 % = 200 Euro Es ist wahrscheinlich, dass die Festplatte einmal im Jahr ausfällt. <?page no="222"?> 5.2 IT-Risikomanagement 221 www.uvk-lucius.de/ it-management ARO = 1 ALE= SLE ARO = 200 Euro 1 = 200 Euro Eine Gegenmaßnahme ist der Betrieb mit zwei Festplatten. Die erste Festplatte wird auf die zweite Festplatte gespiegelt (RAID 1). Dadurch kann der Online-Shop weiter betrieben werden, wenn nur eine Festplatte ausfällt. Die Kosten der zweiten Festplatte liegen bei 100 Euro. ACS = 100 Euro Das Risiko eines Ausfalls wurde vermindert. Es besteht jedoch noch ein Restrisiko, dass beide Festplatten am selben Tag ausfallen. Die Wahrscheinlichkeit, dass eine Festplatte an einem bestimmten Tag innerhalb eines Jahres ausfällt, beträgt 1/ 365. Bei zwei Festplatten werden die Wahrscheinlichkeiten multipliziert. Daraus ergibt sich: 1/ 365 1/ 365 = 0,00274 / 365. ARO nachher = 0,00274 ALE nachher = SLE ARO nachher = 200 Euro 0,00274 = 0,55 Euro Für die Kosten-/ Nutzen-Beurteilung wird zunächst die Differenz zwischen der alten und neuen ALE ausgerechnet. ALE vorher - ALE nachher = 200 Euro - 0,55 Euro = 199,45 Euro Nun kann man erkennen, dass die ACS geringer als die Veränderung der ALE ist. (ALE vorher - ALE nachher) - ACS = 99,45 Euro Die Gegenmaßnahme ist für die Buchhandlung also prinzipiell lohnenswert. 55..22..33..33 QQuuaalliittaatti ivvee RRiissiikkoobbeew weerrttu unngg Die qualitative Risikobewertung basiert auf keinen Wertbeträgen, sondern nutzt Szenarien, um Risiken auf einer Skala einzuordnen, und dadurch ihre Auswirkungen aus qualitativer Sicht zu beurteilen. Dabei werden Expertenurteile, Erfahrungen und Intuitionen berücksichtigt. Ein Szenario ist die Beschreibung einer einzelnen <?page no="223"?> 222 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management bedeutenden Bedrohung. Jedem Szenario werden Bedrohungsgrad, Schadenspotenzial und potenzielle Gegenmaßnahmen zugeordnet. Eine heterogene Besetzung des Bewertungsteams verbessert die Ergebnisse der qualitativen Bewertung. Die Techniken, die dabei eingesetzt werden können, umfassen z.B. Interviews, Umfragen, Brainstorming und Delphi-Technik. In Interviews werden Experten direkt und grundsätzlich einzeln befragt. Umfragen ermöglichen die schriftliche und zeitlich versetzte Beantwortung vorgegebener Fragen durch eine Gruppe oder das gesamte Personal. Brainstorming ist eine Technik zur Suche nach neuen Ideen unter kreativitätsfördernden Rahmenbedingungen. Dabei werden spontane Eingebungen der Teilnehmer gesammelt, ohne Kritik auszuüben. Die Delphi-Technik umfasst eine wiederholte Befragung von Experten. Durch die Verteilung von anonymen Antworten in der Expertengruppe sollen diese zusammengeführt und eingegrenzt werden. Das Ergebnis der qualitativen Bewertung ist eine Risikomatrix, die Eintrittswahrscheinlichkeit und Schadenshöhe von Risiken mithilfe von Kategorien, z.B. niedrig, mittel und hoch, einordnet. Die Bewertung des Risikos hängt von der Position in der Matrix ab, welche auf eine bestimmte Risikoklasse hindeutet. Die Risikoklasse niedrig könnte akzeptable Risiken beinhalten. Die Risikoklasse mittel könnte Risiken beinhalten, die eine mittelfristige Implementierung von Gegenmaßnahmen erfordern, und die Risikoklasse hoch eine kurzfristige Implementierung. Abb. 87: Risikomatrix Eintrittswahrscheinlichkeit niedrig niedrig mittel niedrig mittel hoch mittel hoch hoch niedrig mittel hoch mittel hoch niedrig Schadenshöhe <?page no="224"?> 5.2 IT-Risikomanagement 223 www.uvk-lucius.de/ it-management 55..2 2..4 4 AAuusswwaahhll ddeerr RRiissiikko obbeewwäällttiigguunnggssmmeetthhooddee Bevor konkrete Gegenmaßnahmen in Betracht gezogen werden können, muss zunächst entschieden werden, wie mit Risiken umgegangen werden soll. Risikobewältigungsmethoden sind die Verminderung, der Transfer, die Akzeptanz und die Ablehnung von Risiken. Die Verminderung beinhaltet die Nutzung von kosteneffektiven Gegenmaßnahmen, um Bedrohungen zu blockieren oder Schwachstellen zu schließen. Beim Transfer wird der potenzielle Schaden an ein anderes Unternehmen übertragen. Dazu können z.B. Versicherungen oder Outsourcing genutzt werden. Die Akzeptanz ist die Entscheidung des Managements, das Risiko nicht zu beeinflussen. Dies basiert meist darauf, dass alle verfügbaren Gegenmaßnahmen von einem schlechten Kosten- / Nutzen-Verhältnis betroffen sind. Die Implementierung einer Gegenmaßnahme würde dann zu Kosten führen, die höher als der potenzielle Schaden sind. Bei der Ablehnung wird die Existenz eines Risikos bewusst nicht zur Kenntnis genommen. Da das Schadenspotenzial möglicherweise sehr hoch ist, kann diese Methode den Fortbestand des Unternehmens gefährden. 55..22..55 IImmpplleemmeennttiieerruunngg v voonn G Geeggeennmmaaßßnnaahhmmeenn Falls die Risikobewältigungsmethode Verminderung ausgewählt wurde, werden passende Gegenmaßnahmen implementiert, um die Risiken zu steuern. Nach der Implementierung endet das Risikomanagement nicht, denn die Gegenmaßnahmen müssen kontinuierlich überwacht und gepflegt werden. Dadurch können negative Beeinträchtigungen der Gegenmaßnahmen erkannt und behoben werden. Es muss sichergestellt werden, dass sie funktionieren und das Risiko dauerhaft steuern können. Außerdem kann eine periodische Suche nach alternativen Gegenmaßnahmen, die <?page no="225"?> 224 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management z.B. aufgrund technischer Fortschritte entstehen und eventuell noch kosteneffizienter sind, sinnvoll sein. Das verbleibende Risiko nach Auswahl einer Risikobewältigungsmethode und der eventuellen Implementierung von Gegenmaßnahmen wird Restrisiko genannt. Es wird in der Regel durch das Management akzeptiert. Das Restrisiko ist vorhanden, wenn nicht das gesamte Risiko kontrolliert werden kann. Daher redet man hier auch von einer Kontrolllücke. Das Gesamtrisiko ist das Risiko, dass ohne Gegenmaßnahmen vorhanden wäre. 55..33 IITT--CCoommpplli ia annccee 55..33..11 GGrruunnddllaaggeenn ddeerr I ITT--CCoommpplliiaannccee Die IT-Compliance beinhaltet die Identifikation, Umsetzung und Überwachung von externen Vorgaben. Zu den externen Vorgaben gehören z.B. Gesetze, Standards, Normen und Best Practices. Sie enthalten Vorgaben, die das Unternehmen einhalten muss oder aus eigenem Willen einhalten will. Gesetze haben einen zwingenden Charakter. Ob ein Unternehmen Standards, Normen und Best Practices einhält, obliegt einzig der Entscheidung des Unternehmens. Der Unterschied zwischen Standards und Normen liegt darin, dass Normen von anerkannten Institutionen und unter umfassender Beteiligung der Öffentlichkeit erstellt werden. Demgegenüber werden Standards meist unabhängig von Verbänden oder Herstellern veröffentlicht. Durch die Einhaltung ergeben sich z.B. Vorteile aufgrund von einer verbesserten Wettbewerbssituation oder einer Vereinheitlichung von Spezifikationen oder Prozessen. Standards und Normen ermöglichen durch Vorgaben für kompatible Schnittstellen einen hohen Grad an Interoperabilität. Durch die Zusammenarbeit von branchenspezifischen Experten bei der Erstellung und Pflege der Vorgaben wird eine Transparenz geschaffen, welche die Entwick- <?page no="226"?> 5.3 IT-Compliance 225 www.uvk-lucius.de/ it-management lung proprietärer Produkte verhindern soll. Der Wettbewerb wird belebt, da alle Marktteilnehmer Zugriff auf die Standards haben und die Erwartungen an die Produktqualität gleichzeitig erhöht werden. Die Einhaltung von Standards und Normen gewährt den Markteilnehmern eine höhere Sicherheit, da größere Mengen von Produkten produziert oder angeschafft werden können, deren Marktakzeptanz und Kompatibilität gesichert ist. Die Einhaltung von Standards und Normen kann auch ein Verkaufsargument oder Werbemittel sein. Bekannte Standardisierungsverbände sind die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC). Nationale Komitees sind dabei an der Entwicklung internationaler Standards beteiligt. Europäische Normen (EN) werden von einer der drei Organisationen Comité Européen de Normalisation (CEN), Comité Européen de Normalisation Électrotechnique (CENELEC) oder European Telecommunications Standards Institute (ETSI) veröffentlicht. Eine CEN/ TS-Norm enthält technische Anforderungen (engl. Technical Specifications (TS)) vom CEN für innovative oder alternative Technik. CEN/ TS-Normen sind eine Ergänzung zu den von CEN, CENELEC oder ETSI veröffentlichten EN-Normen und dürfen mit diesen nicht in Konflikt stehen. 55..33..22 BBeeiissppiieellee aauuss d deerr PPr raaxxiiss 55..33..22..11 ÜÜbbeer rbblliicckk zzuurr IITT--SSiicchheerrhheei itt Zu den Gesetzen, die mit der IT-Sicherheit in Verbindung stehen, gehören: das Bundesdatenschutzgesetz (BDSG) zum Umgang mit personenbezogenen Daten, der Sarbanes Oxley Act (SOX) zum Risikomanagement von in den USA börsennotierten Unternehmen, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zum Risikomanagement von Aktiengesellschaften und GmbHs, Basel II zu Eigenkapitalvorschriften von Finanzinstituten. <?page no="227"?> 226 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Bekannte allgemeine Standards zur IT-Sicherheit sind: ISO 27001 zu Informationssicherheits-Managementsystemen, IT-Grundschutz zur Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen, ITIL und ISO 20000 zum IT-Service-Management, Control Objectives for Information and Related Technology (Cobit) speziell zur IT-Governance. Einige branchenspezifische Standards zur IT-Sicherheit sind: der Payment Card Industry Data Security Standard (PCI-DSS) für den Kartenzahlungsverkehr, die Richtlinie VDI/ VDE 2182 für die industrielle Automatisierung, ISO/ IEC 27011 für die Telekommunikation, ISAE 3402 für Dienstleistungsorganisation. Best Practices zur IT-Sicherheit sind z.B.: Benchmarks des Centers for Internet Security (CIS) mit Härtungsempfehlungen, Hinweise zur Awareness durch das European Union Agency for Network and Information Security (ENISA), das Software Assurance Maturity Model (SAMM) und das Building Security In Maturity Model (BSIMM) für sichere Softwareentwicklung, diverse Herstellerempfehlungen zur Konfiguration von IT- Systemen. 55..33..22..22 BBuunnddeessddaatteennsscchhuuttzzggeesseettzz Das Bundesdatenschutzgesetz (BDSG) ist ein Gesetz, an das so gut wie jedes Unternehmen gebunden ist, da nicht nur Kundendaten, sondern auch Personaldaten in die Gültigkeit des BDSGs fallen. Das BDSG ist immer dann gültig, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden (§ 1 Abs. 2 BDSG). Dabei handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Personenbezogene Daten dürfen <?page no="228"?> 5.3 IT-Compliance 227 www.uvk-lucius.de/ it-management nur erhoben, verarbeitet oder genutzt werden, wenn vorher das Einverständnis des Betroffenen dazu abgegeben wurde (§ 4 Abs. 1 BDSG). Der Betroffene hat das Recht, über die ihn betreffenden Daten Auskunft einzuholen (§§ 19, 34 BDSG) und diese berichtigen, löschen oder sperren zu lassen (§§ 20, 35 BDSG). Das BDSG schreibt eine Datenvermeidung und Datensparsamkeit bei personenbezogenen Daten vor, so dass nur zweckbezogene Daten erhoben, verarbeitet oder genutzt werden dürfen (§ 3a BDSG). Zum Schutz der personenbezogenen Daten müssen technische und organisatorische Maßnahmen getroffen werden (§ 9 BDSG). Dazu gehören laut Anlage zu § 9 BDSG: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und getrennte Verarbeitung. Die Datenerhebung und -speicherung darf nur solange wie erforderlich erfolgen (§ 28 Abs. 1 und 2 BDSG). Wenn ein Unternehmen feststellt, dass personenbezogene Daten bei Dritten unrechtmäßig zur Kenntnis gelangt sind und den Betroffenen schwerwiegende Beeinträchtigungen für ihre Rechte oder schutzwürdigen Interessen drohen, muss das Unternehmen dies unverzüglich der zuständigen Aufsichtsbehörde und den Betroffenen mitteilen (§ 42a BDSG). Die Betroffenen müssen über die Art der unrechtmäßigen Kenntniserlangung und über Maßnahmenempfehlungen informiert werden (§ 42a Satz 3 BDSG). Die Aufsichtsbehörde muss zusätzlich über mögliche nachteilige Folgen und über ergriffene Maßnahmen informiert werden (§ 42a Satz 4 BDSG). Sollten die Mitteilungen nicht erfolgen, kann gegen den Teilnehmer eine Geldbuße bis zu dreihunderttausend Euro verhängt werden (§ 43 Abs. 2 Satz 7 und Abs. 3 BDSG). Bei vorsätzlichen Verstößen gegen das BDSG kann eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe verhängt werden (§ 44 Abs. 1 BDSG). Sollten personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt werden, ist der Auftraggeber für die Einhaltung des BDSG verantwortlich (§ 11 Abs. 1 BDSG). <?page no="229"?> 228 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management § BDSG Inhalt 1 Zweck und Anwendungsbereich des Gesetzes 3 Weitere Begriffsbestimmungen 3a Datenvermeidung und Datensparsamkeit 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung 4a Einwilligung 9 Technische und organisatorische Maßnahmen 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 19 Auskunft an den Betroffenen 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht 28 Datenerhebung und -speicherung für eigene Geschäftszwecke 34 Auskunft an den Betroffenen 35 Berichtigung, Löschung und Sperrung von Daten 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten 43 Bußgeldvorschriften 44 Strafvorschriften Tab. 26: wichtige Paragraphen des BDSG 55. .33. .22. .33 SSttaannd daarrddss iim m KKaarrtteennz zaahhlluunng gssvveerrkkeehhr r Branchenspezifische Standards im Bereich Kartenzahlungsverkehr werden durch das Payment Card Industry Security Standards Council (PCI-SSC) veröffentlicht und verwaltet. Das PCI-SSC ist ein Gremium, dem die fünf Kreditkartenorganisationen American Express, Discover Financial Services, JCB International, Master- Card Worldwide und Visa Inc. angehören. Die Kartenorganisationen stellen die Mitglieder des Gremiums, dessen Aufgabe die Veröffentlichung von Sicherheitsstandards für Teilnehmer des Karten- <?page no="230"?> 5.3 IT-Compliance 229 www.uvk-lucius.de/ it-management zahlungsverkehrs ist. Zu den wichtigsten Standards des PCI-SSC gehören der PCI-DSS, PTS, PA-DSS, und P2PE. Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Standard, der die Verbesserung der Sicherheit von Karteninhaberdaten bezweckt und Anforderungen an die Datensicherheit und zugehörige Prüfverfahren beinhaltet (PCI-SSC 2013). Der PCI- DSS ist gültig, wenn Kontodaten gespeichert, verarbeitet oder übertragen werden. Zu Kontodaten gehören nach Definition des PCI-DSS Karteninhaberdaten und Authentifizierungsdaten. Insbesondere die primäre Kontonummer (engl. Primary Accounting Number oder kurz PAN) ist ausschlaggebend für die Anwendung des PCI-DSS. Händler werden anhand ihrer Transaktionszahl den PCI Compliance Levels 1 bis 4 zugeordnet (Visa 2012). Händler, die den Levels 2 bis 4 zugeordnet sind, müssen einen jährlichen Fragebogen namens Self-Assessment Questionnaire (SAQ) und einen vierteljährlichen Netzwerk-Scan durch einen Approved Scanning Vendor (ASV) durchführen lassen. Händler, die aufgrund einer jährlichen Transaktionszahl von über sechs Millionen dem Level 1 zugeordnet sind, müssen anstelle des SAQ einen jährlichen Report on Compliance (ROC) erstellen und vor Ort die Einhaltung des PCI-DSS durch einen Qualified Security Assessor (QSA) überprüfen lassen. Das Ergebnis der Prüfung wird mittels eines Konformitätsberichts (engl. Attestation of Compliance oder kurz AOC) dokumentiert. Der PCI-DSS beinhaltet 12 Anforderungen zu folgenden Themenbereichen: Netzwerk (Anforderungen 1, 2) Schutz von Karteninhaberdaten (Anforderungen 3, 4) Anfälligkeits-Managementprogramm (Anforderungen 5, 6) Zugriffskontrollmaßnahmen (Anforderungen 7, 8, 9) Überwachung und Testen von Netzwerken (Anforderungen 10, 11) Informationssicherheits-Richtlinie (Anforderung 12) <?page no="231"?> 230 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Nr. Anforderung 1 Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten 2 Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden 3 Schutz gespeicherter Karteninhaberdaten 4 Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze 5 Verwendung und regelmäßige Aktualisierung von Antivirensoftware 6 Entwicklung und Wartung sicherer Systeme und Anwendungen 7 Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf 8 Zuweisung einer eindeutigen Identität (ID) für jede Person mit Computerzugriff 9 Physischen Zugriff auf Karteninhaberdaten beschränken 10 Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten 11 Regelmäßiges Testen der Sicherheitssysteme und -prozesse 12 Befolgung einer Informationssicherheits-Richtlinie für das gesamte Personal Tab. 27: Anforderungen des PCI-DSS Die Anforderungen werden im PCI-DSS in weitere untergeordnete Detailanforderungen und passende Prüfverfahren aufgegliedert. Sollte eine konkrete PCI-DSS-Anforderung aufgrund geschäftlicher Notwendigkeit nicht erfüllt werden können, kann die Konformität zum PCI-DSS dennoch erreicht werden, indem Kompensationskontrollen eingesetzt werden. Mit ihrer Hilfe wird das Risiko aus einer nichterfüllten Anforderung kompensiert. Für Kompensationskontrollen werden im Anhang des PCI-DSS zu berücksichtigende Kriterien definiert. Weitere bedeutende Standards des PCI-SSC sind: <?page no="232"?> 5.3 IT-Compliance 231 www.uvk-lucius.de/ it-management PIN Transaction Security (PTS) mit Anforderungen für eine sichere Verwaltung, Verarbeitung und Übertragung von PINs bei der Verarbeitung von Zahlungskartentransaktionen an Geldautomaten und Point-of-Sale-Terminals, Payment Application Data Security Standard (PA-DSS) mit Sicherheitsvorgaben für die Entwicklung von Zahlungsanwendungen, Punkt-zu-Punkt-Verschlüsselung mit Anforderungen an Verschlüsselungs-Lösungen für eine durchgehende Verschlüsselung vom Sender zum Empfänger. 55..33..22..44 IISSOO 99112266 Der Standard ISO 9126 gehört zum Bereich Qualitätsmanagement und befasst sich speziell mit Software-Qualität. Dieser Standard beschreibt ein Modell für die Bewertung von Produktqualität im Bereich Software Engineering. Inhalt des Standards ist ein Qualitätsmodell, das interne und externe Qualität in sechs verschiedenen Merkmalsbereichen umfasst. Diese Bereiche lauten Funktionalität, Zuverlässigkeit, Benutzbarkeit, Effizienz, Instandhaltbarkeit und Übertragbarkeit. Bereich Merkmal Funktionalität Angemessenheit, Richtigkeit, Interoperabilität, Sicherheit, Konformität Zuverlässigkeit Reife, Fehlertoleranz, Wiederherstellbarkeit, Konformität Benutzbarkeit Verständlichkeit, Erlernbarkeit, Bedienbarkeit, Attraktivität, Konformität Effizienz Zeitverhalten, Verbrauchsverhalten, Konformität Instandhaltbarkeit Analysierbarkeit, Änderbarkeit, Stabilität, Testbarkeit, Konformität Übertragbarkeit Anpassbarkeit, Installierbarkeit, Koexistenz, Austauschbarkeit, Konformität Tab. 28: Qualitätsmodell für Software-Qualität nach ISO 9126 <?page no="233"?> 232 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Die Merkmale können aus interner und externer Sicht betrachtet werden. Die interne Sichtweise (in Bezug auf die Einsicht in den Quellcode) ist in erster Linie für noch nicht ausführbare Software- Produkte während der Entwicklung gedacht. Die externe Sichtweise bezieht sich auf das Systemverhalten bei Test oder Routinebetrieb des ausführbaren Software-Produkts. Die meisten Merkmalsbereiche besitzen sowohl interne als auch externe Aspekte. Z.B. kann die Zuverlässigkeit extern mit der Fehleranzahl innerhalb einer bestimmten Ausführungszeit gemessen werden und intern mittels einer Quellcodeanalyse. Der Standard beschreibt außerdem Bewertungsmöglichkeiten für die Quality-In-Use. Diese ist die Qualität eines Software-Produkts, das innerhalb eines bestimmten Kontextes für bestimmte Ziele genutzt wird, aus Sicht ausgewählter Benutzer. Die Quality-In-Use bewertet das Ausmaß, inwieweit diese Ziele erreicht werden können. Im Unterschied zur Quality-In- Use ist die Benutzbarkeit allgemeingültig. Bei der Quality-In-Use werden die Eigenschaften des Software-Produkts nicht direkt, sondern erst nach längerer Benutzung gemessen. Sie besitzt eine eher subjektive Aussagekraft. 55..33..33 EEi innggrre ennzzuunngg vvoonn CCoommpplliiaannccee--UUmmggeebbuunnggeenn 55..33..33..11 GGrruunnddllaagge en n Um Compliance-Anforderungen und Prüfungsnotwendigkeiten für datenverarbeitende Systeme zu reduzieren, können besonders schützenswerte Umgebungen eingrenzt und somit von weniger Schützenswerten abgeschottet werden. Die Eingrenzung kann vor allem aus Kosten-/ Nutzen-Aspekten sinnvoll sein. Um die Wirtschaftlichkeit einer Eingrenzung zu beurteilen, müssen die Investitionskosten und die laufenden Kosten den potenziellen Einsparungen gegenübergestellt werden. Zu den Investitionskosten gehören die Anschaffungskosten für neue Hardware und Software sowie die Installationskosten. Außerdem sind organisatorische Tätigkeiten, z.B. das Erstellen von Arbeitsanweisungen und Richtlinien, zu berücksichtigen. Zu den laufenden Kosten zählen die Wartungskosten und der Administrationsaufwand der neuen Infrastruktur. Potenzielle Einsparungen der Ein- <?page no="234"?> 5.3 IT-Compliance 233 www.uvk-lucius.de/ it-management grenzung ergeben sich daraus, dass bei Compliance-Prüfungen nur die eingegrenzten Systeme betrachtet werden müssen. Dadurch können Vorbereitungs- und Prüfungsaufwand reduziert werden. Außerdem reduziert sich der Administrationsaufwand außerhalb der sicheren Umgebung, da weniger Anforderungen, z.B. zu den Themen Härtung, Verschlüsselung und Protokollierung, umgesetzt werden müssen. Das Risiko einer Kompromittierung, Manipulation oder Beschädigung von schützenswerten Daten sowie die damit verbundenen Schäden können durch eine Eingrenzung vermindert werden. Bei der Eingrenzung sollten auch potenzielle Anpassungsnotwendigkeiten in der Zukunft, also die Skalierbarkeit, berücksichtigt werden. Wenn geschäftliche Veränderungen Einfluss auf die zu verarbeitenden Daten haben, sollte die Technik zur Eingrenzung skaliert werden können. Dies könnte z.B. der Fall sein, wenn ein Outsourcing der Datenverarbeitung geplant ist, und dadurch weniger schützenswerte Daten intern verarbeitet werden. Zu verbreiteten Techniken zur Eingrenzung von Compliance- Umgebungen zählen Tokenisierung, Punkt-zu-Punkt-Verschlüsselung und Netzwerksegmentierung: Die Tokenisierung ersetzt schützenswerte Daten durch anonyme Zeichenfolgen. Die Punkt-zu-Punkt-Verschlüsselung ermöglicht die Verschlüsselung von Daten auf ihrem Übertragungsweg. Die Netzwerksegmentierung grenzt einen besonders schützenswerten Teil des Netzwerks ab. 55..33..33..22 TTookkeen niissiieerruunngg Die Tokenisierung kann eingesetzt werden, wenn für Verarbeitungsschritte nicht spezielle Dateninhalte, sondern lediglich die eindeutige Identifikation der Daten erforderlich ist. Sie ersetzt schützenswerte Daten durch Token. Token sind anonyme Zeichenfolgen, die nicht durch einen Algorithmus in ihre Ursprungsdaten zurückgewandelt werden können. <?page no="235"?> 234 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management Durch die Tokenisierung können Systeme, die ausschließlich Token und keine schützenswerten Daten nutzen, aus der sicheren Netzwerkumgebung herausgenommen werden. Eine Tokenisierung verhindert, dass schützenswerte Daten in Bereichen gefunden und kompromittiert werden können, in denen nur die Eindeutigkeit der Daten von Bedeutung ist. Sie dient dem Schutz der Vertraulichkeit. Token können so konstruiert werden, dass sie einmal oder mehrmals verwendet werden können. Bei der einmaligen Verwendung wird für jeden Datenwert ein neues Token erstellt, z.B. durch eine fortlaufende Nummer. Bei der mehrmaligen Verwendung wird für den gleichen Datenwert auch das gleiche Token erstellt, wodurch kumulierende Auswertungen möglich sind. Die Häufigkeit der Verwendung muss bei der Generierungstechnik berücksichtigt werden. Verschlüsselung und Hashing erstellen für den gleichen Datenwert automatisch das gleiche Token. Bei der Generierung von Nummern als Token müsste hingegen ein zusätzliches Verfahren integriert werden, um für den gleichen Datenwert auch das gleiche Token wiederzuverwenden. Wenn Verschlüsselungstechniken bei der Generierung von Token eingesetzt werden, werden verschlüsselte Daten aus den schützenswerten Daten erstellt und als Token genutzt. Durch die Möglichkeit, die Token mithilfe von Schlüsseln wieder in ihre Ursprungsdaten zu überführen, sind Verschlüsselungstechniken zur Generierung von Token weniger geeignet. Hashing, das mit einem Algorithmus aus großen Datenmengen kleine Zeichenfolgen berechnet, ist für die Generierung von Token besser geeignet. Obwohl Hashing ursprünglich für die Integritätsprüfung von Daten entwickelt wurde, können durch das Hashing erzeugte Zeichenfolgen auch als Token genutzt werden. Allerdings ist die Eindeutigkeit der Token nicht sichergestellt, wenn ein Hashing-Algorithmus genutzt wird, der Kollisionen zulässt. Sie entstehen, wenn verschiedenen Ursprungsdaten ungewollt dasselbe Token zugeordnet wird. Weitere Techniken zur Generierung von Token sind die Nutzung einer fortlaufenden Nummer oder einer Zufallsnum- <?page no="236"?> 5.3 IT-Compliance 235 www.uvk-lucius.de/ it-management mer. Grundsätzlich kann jede Zeichenfolge als Token genutzt werden, solange sie eine eindeutige Identifikation ermöglicht, also nahezu keine Kollisionen zulässt, und solange sie nicht mit einem Algorithmus in ihre Ursprungsdaten überführt werden kann. Token können nicht nur für einzelne Datenwerte, sondern auch für eine Kombination von zwei oder mehr Datenwerten generiert werden. Vor der Generierung des Tokens kann optional ein weiterer Datenwert (Salt) an den primären Datenwert angehängt werden, um ein Erraten der Ursprungsdaten durch Angreifer zusätzlich zu erschweren. Die Zuordnung von Token zu ihren Ursprungsdaten wird durch ein Tokenisierungs-System durchgeführt. Da die Zuordnung nicht alleine mithilfe mathematischer Algorithmen möglich ist, muss das Tokenisierungs-System Zuordnungsdaten vorhalten. Tokenisierungs-Systeme und Systeme, die mit schützenswerten Daten arbeiten, müssen in einer sicheren Netzwerkumgebung liegen und besonders geschützt werden. Abb. 88: Eingrenzung mit Tokenisierung System System System System System Token- Transfer Token- Transfer Token- Transfer Token- Transfer Ersetzen von Datenwerten durch Token Ersetzen von Token durch Datenwerte sichere Netzwerkumgebung Tokenisierungs-System unsichere Netzwerkumgebung <?page no="237"?> 236 5 Governance, Risk & Compliance www.uvk-lucius.de/ it-management 55..3 3..3 3..3 3 PPuunnkkt t--z zuu--P Puunnkkt t--VVeerrsscchhllüüsssseelluunngg Die Punkt-zu-Punkt-Verschlüsselung ermöglicht eine verschlüsselte Datenübertragung durch die Verschlüsselung von Daten am Startpunkt durch den Sender und deren Entschlüsselung am Endpunkt durch den Empfänger. Dadurch brauchen sich alle zwischenliegenden Kommunikationspunkte nicht mehr in einer sicheren Umgebung zu befinden. Die Punkt-zu-Punkt-Verschlüsselung verhindert, dass abgegriffene Daten gelesen werden können, z.B. nach dem Mitschneiden von Netzwerkverkehr, und verfolgt damit den Schutz der Vertraulichkeit. Auf der Seite des Senders befindet sich eine Verschlüsselungskomponente und auf der Seite des Empfängers eine Entschlüsselungskomponente, bei denen es sich jeweils um ein Hardwaremodul oder eine Software handeln kann. Hardwaremodule werden z.B. bei Interaktionspunkten im Kartenzahlungsverkehr eingesetzt. Eine Transaktion wird dabei an einem Zahlungsterminal mithilfe dieses Moduls verschlüsselt und in der sicheren Umgebung eines Payment Service Providers mithilfe einer Software entschlüsselt. 55..33..33..44 NNeet tzzwweerrkksseeg gmmeen nttiieerruunngg Die Netzwerksegmentierung dient dazu, den Teil des Netzwerks, in dem schützenswerte Daten verarbeitet werden, vom restlichen Teil zu trennen und besonders abzusichern. Mit der Netzwerksegmentierung kann der Zugriff von unsicheren Netzwerksegmenten auf das sichere Netzwerksegment eingeschränkt werden, und damit Angriffsversuche blockiert werden. Sie dient dem Schutz von Vertraulichkeit, Integrität und Verfügbarkeit, da Angriffsversuche jeglicher Art abgewehrt werden können. Die Umsetzung kann mithilfe von Firewalls, Routern oder Switches mit Zugriffssteuerungslisten (engl. Access Control Lists oder <?page no="238"?> 5.3 IT-Compliance 237 www.uvk-lucius.de/ it-management kurz ACL) erfolgen, die angeschlossene Systeme logisch einem virtuellen lokalen Netzwerk (engl. Virtual Local Area Network oder kurz VLAN) zuordnen können. Die Zugriffssteuerungslisten werden dabei so eingerichtet, dass die Systeme im ersten Segment nicht mit den Systemen im zweiten Segment kommunizieren können. Abb. 89: Eingrenzung mit Netzwerksegmentierung Für eine Netzwerksegmentierung mit Firewalls muss eine eigenständige Firewall zwischen der sicheren und der unsicheren Netzwerkumgebung positioniert werden. Firewalls können den Datenverkehr filtern und bieten den größtmöglichen Schutz. Firewalls und Router können Netzwerkumgebungen mit verschiedenen Adressbereichen oder Architekturen verbinden. Dies ist wichtig, wenn eine Netzwerkumgebung mit einer anderen Architektur vorhanden ist, die mit der sicheren Netzwerkumgebung Daten austauschen soll, z.B. bei einer Fernwartung von Systemen. Router sollten für die Netzwerksegmentierung eingesetzt werden, wenn der Datenverkehr nicht gefiltert, sondern nur zwischen Netzwerkumgebungen weitergeleitet werden soll. Switches besitzen keine Sicherheitsfunktionen oder Filtermöglichkeiten. Wenn das Switch- Modell Zugriffssteuerungslisten unterstützt, kann lediglich konfiguriert werden, mit welcher Netzwerkumgebung ein System kommu- System System System Switch/ Router/ Firewall Tokenisierungs- System System System VLAN 1: sichere Netzwerkumgebung VLAN 2: unsichere Netzwerkumgebung <?page no="239"?> 238 5 Governance, Risk & Compliance nizieren darf. Switches sollten für die Netzwerksegmentierung eingesetzt werden, wenn die Netzwerkumgebungen sowohl die gleiche Architektur als auch den gleichen Adressbereich nutzen. 55..44 LLiit teerraattuur r zzuu K Kaappiitteel l 5 5 Barker, E. B.; Barker, W. C.; Burr, W. E.; Polk, W. T.; Smid, M. E. (2012) NIST Special Publication 800-57: Recommendation for Key Management - Part 1: General (Revision 3), 2012, http: / / www.nist.gov/ customcf/ get_pdf.cfm? pub_id=910342 PCI-SSC (2013) Payment Card Industry (PCI) Data Security Standard - Requirements and Security Assessment Procedures, Version 3.0, 2013, https: / / www.pcisecuritystandards.org/ documents/ PCI_DSS_v3.pdf Visa (2012) Compliance validation details for merchants, 2012, http: / / usa.visa.com/ merchants/ risk_management/ cisp_mercha nts.html <?page no="240"?> www.uvk-lucius.de/ it-management 66 IITT--SSiicchheerrhheeiitt Lehrziele Nach der Durcharbeitung dieses Kapitels sollten Sie mit den Schutzzielen der IT-Sicherheit vertraut sein, Kriterien kennen, um die Angemessenheit von Sicherheitsmaßnahmen beurteilen zu können, Vorgehensmodelle der IT-Sicherheit kennen und beschreiben können, Routineaufgaben der IT-Sicherheit aufzählen und anhand ihrer Auslösung abgrenzen können, Gefahren und Schutzmaßnahmen für IT-Systeme benennen und einordnen können, Die Grundlagen der Kryptographie zur Verschlüsselung, zum Hashing und zu Zertifikaten erläutern können. 66..11 SScchhuuttzzzziie el le e Die IT-Sicherheit wird als Zustand verstanden, bei dem die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit erfüllt sind. Diese drei Schutzziele bilden zusammen die Triade der IT-Sicherheit, die in Anlehnung an die englische Übersetzung auch als CIA- Triade bezeichnet wird. <?page no="241"?> 240 6 IT-Sicherheit www.uvk-lucius.de/ it-management Schutzziel Übersetzung Beschreibung Vertraulichkeit Confidentiality Schutz vor unbefugter Informationsgewinnung Integrität Integrity Schutz vor unbefugter Manipulation von Daten Verfügbarkeit Availability Schutz vor Beeinträchtigung der Funktionalität Tab. 29: CIA-Triade Vertraulichkeit wird dadurch gewährleistet, dass Aktivitäten unberechtigter Personen und Systeme verhindert werden. Zutrittskontrollmechanismen verhindern das unberechtigte Eindringen in physische und Zugriffskontrollmechanismen in virtuelle Bereiche. Physisch ist z.B. ein Rechenzentrum und virtuell ein Speicherort für sensible Dateien. Eine Antiviren-Software verhindert, dass schädliche Software von unberechtigten Personen und Systemen gestartet wird und anschließend Dateien verändert oder abgegriffen werden. Schädliche Software sind vor allem Viren, Würmer und Trojaner. Eine Verschlüsselung von Daten verhindert, dass abgegriffene Daten gelesen werden können, z.B. durch das Mitschneiden des Netzwerkverkehrs oder den Diebstahl eines Computers. Eine Erhöhung des Sicherheitsbewusstseins der Anwender verringert das Risiko, dass Anwender Opfer von Social Engineering werden, bei dem Angreifer über zwischenmenschliche Kommunikation eine Manipulation ihrer Opfer erreichen wollen. Um die Integrität von Daten zu gewährleisten, werden in der IT-Sicherheit drei Prinzipien angewandt: Das Need-to-Know-Prinzip besagt, dass jeder Anwender nur so viele Berechtigungen haben darf, wie er für seine Aufgabenerfüllung unbedingt benötigt, so dass unberechtigte Manipulationen außerhalb seines Aufgabenbereichs verhindert werden. <?page no="242"?> 6.1 Schutzziele 241 www.uvk-lucius.de/ it-management Beim Separation-of-Duties-Prinzip muss jeder Geschäftsprozess von mehr als einem Anwender bearbeitet werden, so dass Manipulationen bemerkt werden können. Das Rotation-of-Duties-Prinzip sorgt dafür, dass die Aufgabenbereiche zwischen den Anwendern regelmäßig getauscht werden, so dass ein ausgefallener Anwender durch Kollegen vertreten werden kann und Manipulationen durch diese Kollegen bemerkt werden können. Die Maßnahmen, die zum Schutz der Vertraulichkeit genutzt werden, dienen auch zum Schutz der Integrität. Denn wenn Daten nicht kompromittiert werden können, können sie in der Regel auch nicht beschädigt oder manipuliert werden. Verfügbarkeit wird gewährleistet, indem die Systeme und die Infrastruktur, die zum Zugriff auf die benötigten Daten notwendig sind, zur Nutzung bereitstehen und genügend Kapazitäten besitzen, um alle Anfragen schnell genug abzuarbeiten. Angreifer können die Verfügbarkeit gefährden, indem sie Systeme mit Anfragen überfluten und somit eine Dienstverweigerung der Systeme herbeiführen. Eine Absicherung gegen Angreifer kann unter anderem mit einer Web Application Firewall erreicht werden, die dem Schutz von Internetanwendungen dient. Kapazitätsplanungen können eine zu starke Auslastung der Systeme, z.B. aufgrund von Personalzuwachs, verhindern. Kapazitäten können auch durch äußere Einflüsse, z.B. Umweltkatastrophen, gefährdet werden. Zur Vorbeugung ist ein Business Continuity Management notwendig, bei dem geplant wird, wie der Geschäftsbetrieb im Fall von Störungen aufrechterhalten werden kann. Ein Teil von Business Continuity Management ist Disaster Recovery, beim dem nach einem Totalausfall eine möglichst schnelle Wiederherstellung des Geschäftsbetriebs erreicht werden soll. Integrität und Verfügbarkeit beeinflussen sich gegenseitig, da die Verletzung der Integrität von Daten dazu führen kann, dass diese nicht mehr verwendet werden können. Auch eine hohe Vertraulichkeit beeinflusst die Verfügbarkeit, da berechtigte von unberechtigten Personen und Systemen oft schwer abzugrenzen sind und je restriktiver die Zugriffsmöglichkeiten sind, desto eher besteht das <?page no="243"?> 242 6 IT-Sicherheit www.uvk-lucius.de/ it-management Risiko, dass formal berechtigte Personen und Systeme ad hoc nicht auf benötigte Daten zugreifen können. Das Ziel der IT-Sicherheit ist der Schutz von Daten. Dabei stellt sich die Frage, welche Daten überhaupt schützenswert sind. Die Antwort hängt in erster Linie davon ab, wie negativ sich eine missbräuchliche Verwendung, eine Manipulation oder eine Nichtverfügbarkeit der Daten auswirken können. Generell kann man schützenswerte Daten in die drei Kategorien Leib & Leben, Privatsphäre und Fortbestand des Unternehmens einteilen. Daten zum Leib & Leben haben Einfluss auf die Gesundheit oder können das Leben von Menschen gefährden. Dazu zählen z.B. aktuelle Krankendaten und Steuerungsdaten für kritische Systeme. Daten zur Privatsphäre beinhalten Informationen über die informationelle Selbstbestimmung und private Interessen, z.B. Politik und Religion. Daten zum Fortbestand des Unternehmens können Wettbewerbsvorteile, Finanzlage oder Reputation beeinflussen und beinhalten z.B. geheime Forschungsergebnisse oder Baupläne. 66..22 SSiicchheerrhheei ittssnniiv ve eaauu Das Sicherheitsniveau gibt an, wie gut die Daten und IT- Systeme eines Unternehmens gegen Angriffe oder Störungen geschützt sind. Ein Sicherheitsniveau, das einen hundertprozentigen Schutz bietet, lässt sich in der Praxis kaum erreichen und wenn, dann ist es aufgrund des schnelllebigen IT-Umfelds nur von kurzer Dauer. Vielmehr ist für die Festlegung eines Sicherheitsniveaus die Angemessenheit als Maßstab zu nutzen. Dabei sollen Aufwand und Nutzen der eingesetzten Sicherheitsmaßnahmen in einem angemessenen Verhältnis sein. Wie ein Unternehmen für sich die Angemes- <?page no="244"?> 6.3 Vorgehensmodelle 243 www.uvk-lucius.de/ it-management senheit von Sicherheitsmaßnahmen bewertet, hängt auch von den individuellen Präferenzen ab. In der Praxis muss das Unternehmen ein Sicherheitsniveau finden, das zum einen keine unverhältnismäßig hohen Sicherheitsrisiken beinhaltet und zum anderen die Gewinnerwartung des Unternehmens nicht zu stark durch kostspielige Sicherheitsmaßnahmen beeinträchtigt. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI 2008) definiert die Angemessenheit von Sicherheitsmaßnahmen als die Wirksamkeit, Eignung, Praktikabilität, Akzeptanz und Wirtschaftlichkeit: Die Wirksamkeit ist vorhanden, wenn die Maßnahme vor den möglichen Gefährdungen effektiven Schutz bietet, und somit den identifizierten Schutzbedarf abdeckt. Die Eignung ist vorhanden, wenn die Maßnahme in der Praxis tatsächlich umsetzbar ist, also z.B. nicht die Organisationsabläufe behindert oder andere Sicherheitsmaßnahmen aushebelt. Die Praktikabilität ist vorhanden, wenn die Maßnahme leicht verständlich, einfach anzuwenden und wenig fehleranfällig ist. Die Akzeptanz ist vorhanden, wenn die Maßnahme für alle Benutzer anwendbar (barrierefrei) ist und niemanden diskriminiert oder beeinträchtigt. Die Wirtschaftlichkeit ist vorhanden, wenn mit den eingesetzten Mitteln ein möglichst gutes Ergebnis erreicht wird. Die Maßnahme sollte also einerseits das Risiko bestmöglich minimieren und andererseits sollten die Kosten in geeignetem Verhältnis zu den zu schützenden Werten stehen. 66..33 VVoorrggeehhe ennssmmooddeellllee Die wichtigsten Vorgehensmodelle in der IT-Sicherheit sind der ISO-Standard 27001 und der IT-Grundschutz gemäß BSI. 66..3 3..1 1 IISSOO 2 277000011 Der Standard ISO 27001 befasst sich mit der Erstellung eines Information Security Management Systems (ISMS). Es handelt <?page no="245"?> 244 6 IT-Sicherheit www.uvk-lucius.de/ it-management sich um ein risikobasiertes Vorgehensmodell, welches die Planung der IT-Sicherheit, die Implementierung von Kontrollmaßnahmen, das Überwachen und Bewerten von Performance und Effektivität und eine kontinuierliche Verbesserung umfasst. Dies entspricht im Wesentlichen dem Ablauf des PDCA-Zyklus. Abb. 90: PDCA-Zyklus und ISO 27001 Planung der IT-Sicherheit: Die Planung der IT-Sicherheit dient zunächst dazu, den Umfang der Unternehmenstätigkeiten einzugrenzen und zu verstehen. Dazu gehören auch die Interessenlagen von Unternehmen und Stakeholdern. Die Ausgestaltung der IT-Sicherheit mit Zielen und Kontrollmaßnahmen orientiert sich an einer Risikobetrachtung und der präferierten Risikobehandlung. Implementierung von Kontrollmaßnahmen: Dies beinhaltet die Etablierung und Integration der festgelegten Kontrollmaßnahmen im Unternehmen. Dazu gehören technische, z.B. Softwareinstallation, und organisatorische Aktivitäten, z.B. Richtlinien und Schulung. Auch die Einrichtung von Alarmierungen bei Sicherheitsvorfällen und von auswertbaren Kennzahlen spielt eine wichtige Rolle. Überwachen und Bewerten: Das Überwachen und Bewerten von Performance und Effektivität basiert auf den in der Do-Phase gesammelten Daten, die nun aufbereitet und ausgewertet werden. Dazu können sowohl manuelle als auch automatisierte Tätigkeiten vom Fachpersonal, vom Management oder von Auditoren initiiert werden. kontinuierliche Verbesserung: Die kontinuierliche Verbesserung bezweckt einerseits die Beseitigung von Abweichungen zum ISO-Standard sowie zu definier- P l a n D o C h e c k A c t Planung der IT-Sicherheit Implementierung von Kontrollmaßnahmen kontinuierliche Verbesserung Überwachen und Bewerten <?page no="246"?> 6.3 Vorgehensmodelle 245 www.uvk-lucius.de/ it-management ten Zielen und Kontrollmaßnahmen. Andererseits wird eine ständige Verbesserung angestrebt, die selbst bei einem anforderungsgerechten, fehlerfreien ISMS noch weitere Ansätze zur Erhöhung von Performance und Effektivität fordert. 66..33..22 IITT--GGrruunnddsscchhu uttzz Das Vorgehensmodell vom BSI (2008) namens IT-Grundschutz umfasst die unten dargestellten Phasen. Sie werden in einem Kreislauf angeordnet, um der Aufrechterhaltung und kontinuierlichen Verbesserung der IT-Sicherheit Rechnung zu tragen. Abb. 91: IT-Grundschutz [1] Geltungsbereich festlegen: Diese Phase beinhaltet die Eingrenzung des Bereichs, für den IT-Sicherheit konzeptioniert werden soll. Dabei kann es sich z.B. um Organisationseinheiten oder Geschäftsprozesse handeln. Im Rahmen der kontinuierlichen Verbesserung ist der IT-Grundschutz als zyklischer wiederkehrender Prozess zu verstehen. Daher sollte der eingegrenzte Bereich zunächst überschaubar gehalten werden und in einem späteren Zyklus erweitert werden. Der eingegrenzte Bereich wird auch als Informationsverbund oder IT-Verbund bezeichnet. Die Eingrenzung sollte sowohl aus technischer als auch aus organisatorischer Sicht erfolgen. [1] Geltungsbereich festlegen [2] Strukturanalyse [4] Maßnahmen festlegen [5] Basis- Sicherheitscheck [6] ergänzende Sicherheitsanalyse [8] kontinuierliche Verbesserung [3] Schutzbedarfsfeststellung [7] Umsetzung <?page no="247"?> 246 6 IT-Sicherheit www.uvk-lucius.de/ it-management [2] Strukturanalyse: Die Strukturanalyse bezweckt eine transparente Betrachtung von Geschäftsprozessen, Anwendungen und der eingesetzten Informationstechnik innerhalb des Informationsverbunds. Da die Systeme im Unternehmen meist stark vernetzt sind, bildet ein Netzwerktopologieplan eine gute Grundlage dafür. Eine mögliche Vorgehensweise ist die Identifikation von Anwendungen und die anschließende Erschließung des restlichen Informationsverbunds, z.B. Netze, IT-Systeme und Räume. Die Bildung von Gruppen mit gleichartigen Elementen hilft dabei, die Komplexität zu reduzieren. [3] Schutzbedarfsfeststellung: In dieser Phase wird festgestellt, wie die in der Strukturanalyse identifizierten Elemente geschützt werden müssen. Grundlage dafür ist die Betrachtung der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Basierend auf der Einschätzung des Schadens, der bei Verletzung der Schutzziele entstehen kann, wird für jedes Element ein individueller Schutzbedarf in Bezug auf jedes der drei Schutzziele bestimmt. Üblich sind die Kategorien normal, hoch und sehr hoch. In der Schutzbedarfsfeststellung sollten insbesondere alle Anwendungen unter Berücksichtigung der verarbeitenden Informationen, IT-Systeme, Räume und Kommunikationsverbindungen betrachtet werden. [4] Maßnahmen festlegen: Bei der Auswahl und Anpassung von Maßnahmen geht es darum, für alle Elemente des Informationsverbunds passende Sicherheitsmaßnahmen zu erarbeiten, die auf dem individuellen Schutzbedarf der Elemente basieren. Maßnahmen können z.B. aus den IT-Grundschutz-Katalogen (BSI 2013) abgeleitet werden. Dort sind Maßnahmenempfehlungen für verschiedene Komponenten, Vorgehensweisen und IT-Systeme in Bausteinen zusammengefasst, die neben den Maßnahmen auch die zu erwartende Gefährdungslage beschreiben. Die Bausteine sind in die <?page no="248"?> 6.3 Vorgehensmodelle 247 www.uvk-lucius.de/ it-management Schichten übergreifenden Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen gruppiert. Die Maßnahmen aus den Bausteinen müssen an die jeweiligen Rahmenbedingungen des Unternehmens angepasst werden. Insbesondere können Maßnahmen z.B. weiter konkretisiert, dem Sprachgebrauch des Unternehmens angeglichen oder teilweise gestrichen werden. [5] Basis-Sicherheitscheck: Der Basis-Sicherheitscheck dient dazu, Details über das vorhandene Sicherheitsniveau in Erfahrung zu bringen. Es wird zunächst ein Prüfplan erstellt, der z.B. aus den Bausteinen der IT-Grundschutz-Kataloge abgeleitet werden kann. Anschließend wird ein Soll-Ist-Vergleich durchgeführt. Als Hilfsmittel werden in erster Linie Interviews mit Spezialisten durchgeführt, um herauszufinden, ob die gewünschten Sicherheitsmaßnahmen bereits vollständig oder teilweise umgesetzt wurden oder vielleicht sogar aufgrund unbekannter Umstände gar nicht erforderlich sind. Z.B. könnte die Sperrung von USB-Anschlüssen in der Windows-Registry entbehrlich sein, wenn auf jedem Windows-Rechner bereits ein Antivirusprogramm betrieben wird, das die Anschlüsse sperrt. Zu jeder gewünschten Sicherheitsmaßnahme wird der Umsetzungsstatus mit „entbehrlich“, „ja“, „teilweise“ oder „nein“ vermerkt. Teilweise und nicht umgesetzte Sicherheitsmaßnahmen zeigen Verbesserungsbedarf auf. [6] ergänzende Sicherheitsanalyse: Die ergänzende Sicherheitsanalyse ist zu empfehlen, wenn der Informationsverbund Elemente mit hohem oder sehr hohem Schutzbedarf umfasst oder die Elemente nicht zu den IT-Grundschutz-Katalogen passen oder in außergewöhnlichen Einsatzszenarien betrieben werden. Die initial geplanten Maßnahmen, z.B. aus den IT-Grundschutz- Katalogen, sind dann unter Umständen nicht ausreichend. Für ausgewählte Elemente können mithilfe einer Risikoanalyse Risiken bestimmt und daraus ergänzende Sicherheitsmaßnahmen abgeleitet werden. <?page no="249"?> 248 6 IT-Sicherheit www.uvk-lucius.de/ it-management [7] Umsetzung: Die Umsetzung der Sicherheitskonzeption umfasst Tätigkeiten zur Detailplanung, Durchführung, Begleitung und Überwachung von Sicherheitsmaßnahmen. Die Detailplanung ist notwendig, da die Sicherheitsmaßnahmen an die organisatorischen und technischen Gegebenheiten des Unternehmens angepasst werden müssen. Auch die eventuelle Konsolidierung von Maßnahmen, die Kosten- und Aufwandsschätzung, die Festlegung der Umsetzungsreihenfolge sowie die Festlegung von Aufgaben und Verantwortung sind wichtige Teiltätigkeiten. Wenn die Sicherheitsmaßnahmen erfolgreich durchgeführt worden sind, müssen sie weiterhin begleitet werden, um deren Aktualität und Effektivität sicherzustellen. Die Überwachung von Sicherheitsmaßnahmen ermöglicht das Erkennen von Risiken aufgrund inaktiver Maßnahmen und von Sicherheitsvorfällen, z.B. aufgrund von Angriffen durch Hacker. [8] kontinuierliche Verbesserung: Vor der kontinuierlichen Verbesserung muss zunächst die Aufrechterhaltung des Sicherheitsniveaus sichergestellt werden. Zur Verbesserung zählen nicht nur die fortlaufende Aktualisierung von Dokumenten und die resultierende Anpassung von Sicherheitsmaßnahmen, sondern auch die Prüfung des Sicherheits-Prozesses selbst in Bezug auf seine Wirksamkeit und Effizienz. Hilfsmittel zur Identifikation von Verbesserungsansätzen sind z.B. die Analyse von Sicherheitsvorfällen, Übungen, Tests, interne und externe Audits sowie ein Zertifizierungsverfahren. 66..44 RRoouut tiin neeaauuf fggaabbeen n Im Bereich der IT-Sicherheit ist nicht nur die Verinnerlichung der kontinuierlichen Verbesserung wichtig, vielmehr herrscht bei der IT-Sicherheit sogar die Gefahr der kontinuierlichen Verschlechterung vor, wenn man dem nicht aktiv entgegenwirkt. Es werden ständig neue Schwachstellen bekannt gemacht und neue Angriffsmethoden entwickelt. Eine aktive Verfolgung neuer Informationen <?page no="250"?> 6.4 Routineaufgaben 249 www.uvk-lucius.de/ it-management und eine angemessene Reaktion verhindern, dass das Unternehmen neuen Risiken ausgesetzt wird. Auch interne Veränderungen an der IT-Infrastruktur des Unternehmens müssen koordiniert und ordnungsgemäß erfolgen. Um ein erreichtes Sicherheitsniveau aufrechtzuerhalten, ist die Durchführung bestimmter Routineaufgaben notwendig. Grundsätzlich kann zwischen zeitbezogenen Routineaufgaben, die nach dem Ablauf einer bestimmten Zeitspanne, und fallbezogenen Routineaufgaben, die nach dem Eintreten eines bestimmten Ereignisses ausgelöst werden, unterschieden werden. Zu zeitbezogenen Routineaufgaben gehören Pflege von Richtlinien und Dokumentationen, Prüfung von Firewall- und Router-Regeln, fristgerechte Datenaufbewahrung, aktuelles Key Management, Installation von Patches, Deaktivieren nicht benötigter Benutzerkonten, Kennwortänderungen, Überprüfen von Backups und Wiederherstellungsmaßnahmen, Inventur von Datenträgern, Prüfung von Protokollen, Vulnerability-Scans, Penetrationstests, Überwachung der Dateiintegrität, Risikobeurteilungen und Schulungen. Zu fallbezogenen Routineaufgaben gehören sichere Konfiguration (Härtung), Anpassung von Dokumenten bei Änderungen, Key Management bei Missbrauch von Keys, Virenschutz, Löschen von Daten oder Konten, Code-Prüfungen, Funktionalitätstests, sichere Programmierung, Autorisierungen sowie Überprüfung von Bewerbern und Geschäftspartnern. Um die Nachvollziehbarkeit von Routineaufgaben und auch anderen Aktivitäten gewährleisten zu können, ist eine Protokollierung notwendig. Darunter ist die Verfolgung und Überwachung des Zugriffs auf Daten und technische Ressourcen zu verstehen. Im Rahmen der Protokollierung werden Protokolle erstellt, mit denen unerlaubte Zugriffe erkannt und nachvollzogen werden können. Außerdem können sie bei einer technischen Fehleranalyse von Vorteil sein. <?page no="251"?> 250 6 IT-Sicherheit www.uvk-lucius.de/ it-management 66..5 5 GGeeffaah hrreenn 66..5 5..1 1 HHaacckke err Zu Beginn der 80er Jahre hatten Hacker meist keine schadhaften Absichten. Sie waren darauf aus, die technischen Möglichkeiten aufzuzeigen und durch das Hacking ihren Bekanntheitsgrad in der Szene zu erhöhen. Mittlerweile verfolgen Hacker häufig wirtschaftliche oder politische Interessen und sind Bestandteil komplexer weltweit agierender Organisationen. Sie orientieren sich auf bestimmte Ziele und nutzen deren individuelle Schwachstellen aus. Die Angriffe besitzen eine hohe Qualität und werden durch professionelle IT-Spezialisten entwickelt. Die Angriffe zielen meist auf einen möglichst großen finanziellen Gewinn für den Hacker oder auf einen möglichst großen Schaden für das angegriffene Unternehmen ab. Exemplarisch dafür ist das Abgreifen von Zahlungsdaten, bei dem zunächst möglichst viele Daten gesammelt werden, bevor diese missbraucht werden. So wird der Schadcode, der die Daten abgreift, häufig erst sehr spät erkannt. Ein Hacker ist eine Person, die Schwachstellen in Systemen oder Netzwerken sucht und ausnutzt. Der Begriff Hacker ist nicht allein als Bezeichnung für kriminelle Personen, sondern eher allgemein zu verstehen. Er lässt keine Interpretation der Absichten zu. Diese lassen sich jedoch durch die folgenden Begriffe umschreiben: Black-Hat-Hacker (auch Cracker) sind Hacker, die Schwachstellen zum Schaden anderer ausnutzen. Sie veröffentlichen die gefundenen Schwachstellen nicht, sondern nutzen sie aus persönlichen Interessen aus. Die Auswirkungen sind z.B., dass Daten kompromittiert, manipuliert, beschädigt oder unbrauchbar gemacht werden. Außerdem werden abgegriffene Daten, z.B. Zahlungsdaten, zum eigenen Vorteil eingesetzt. White-Hat-Hacker (auch ethische Hacker) haben gegenüber Black-Hat-Hackern ausschließlich die Absicht, Systeme oder <?page no="252"?> 6.5 Gefahren 251 www.uvk-lucius.de/ it-management Netzwerke zu schützen. Sie halten meist die Rolle des Sicherheitsexperten inne und werden generell nur im Rahmen vertraglicher Vereinbarung mit betroffenen System- oder Netzwerkeigentümern tätig. Sie können z.B. mittels Vulnerability-Scans nach Schwachstellen suchen und diese mittels Penetrationstests ausnutzen, ohne Schaden anzurichten. Grey-Hat-Hacker sind zwischen Black-Hat- und White-Hat- Hackern einzuordnen. Sie beabsichtigen sowohl den Schutz von Systemen und Netzwerken als auch die Verfolgung eigener Interessen. Ein Beispiel ist ein Hacker, der Schwachstellen findet und diese nur gegen eine Vergütung dem Eigentümer des betroffenen Systems oder Netzwerks bekannt geben will. Ein anderes Beispiel ist ein Hacker, der ungeachtet der Gesetzeslage (§ 202a StGB verbietet das Ausspähen von Daten.) und ohne Genehmigung nach Schwachstellen sucht, jedoch die Ergebnisse dem Eigentümer mitteilt. Skriptkiddie ist ebenfalls ein weit verbreiteter Begriff. Hierbei handelt es sich um einen Hacker, der nur wenig Fachwissen besitzt und lediglich vorgefertigte Skripte anderer Hacker einsetzt. 66..55..22 AAnnggrriiffffee Angriffe auf Daten oder IT-Systeme werden von Hackern initiiert und dienen dazu, diese entgegen den Interessen der Eigentümer zu kompromittieren, zu manipulieren, zu beschädigen oder unbrauchbar zu machen. Hacker nutzen als Hilfsmittel für Angriffe unter anderem Schadsoftware, das Internet und Social Engineering. Schadsoftware ist eine Software, die vom Anwender nicht erwünschte Aktionen ausführt. Je nach Art der Schadsoftware unterscheiden sich die Verhaltensweisen und potenziellen Schäden. Viren, Würmer und Trojaner können Daten kompromittieren, manipulieren oder löschen. <?page no="253"?> 252 6 IT-Sicherheit www.uvk-lucius.de/ it-management Viren werden aktiv, sobald sie ausgeführt werden. Trojaner ebenfalls, jedoch verbergen sich diese in einem Programm, das wünschenswert ist und die schadhaften Aktivitäten meist unbemerkt im Hintergrund ausführt. Würmer verbreiten sich selbständig über Netzwerke und werden auch selbständig aktiv. Manche Schäden werden nicht sofort angerichtet, sondern erst nach einer bestimmten Wartezeit. Hier spricht man von Zeitbomben. Spionagesoftware führt zu keinen direkten Schäden, sondern verletzt die Vertraulichkeit, indem sie persönliche Daten, z.B. Anwenderverhalten und besuchte Internetseiten, an externe Adressaten sendet. Als Grayware wird Software bezeichnet, die zwar keine Schäden anrichtet, allerdings auch keinen Nutzen für den Anwender bringt und unnötig Rechenleistung beansprucht. Angriffe über das Internet werden häufig mithilfe von Skripten und dem Überfluten mit Anfragen ausgeführt. Skripte können von einem Angreifer genutzt werden, um die Kontrolle über einen Computer zu erhalten. Durch Speicherüberläufe können sie aus der abgeschotteten Umgebung einer Applikation ausbrechen und den gesamten Computer kontrollieren. Indem Angreifer Systeme mit Anfragen überfluten, versuchen sie eine Dienstverweigerung herbeizuführen. Die wichtigste Absicherung gegen Angriffe aus dem Internet ist eine restriktive Konfiguration der Firewall, so dass die freigegebenen Ports eingeschränkt und überwacht werden. Ports sollten nur nach außen freigegeben werden, wenn sie tatsächlich für angebotene Dienste notwendig sind. Für Angriffe über das Internet werden teilweise auch illegale Botnetze verwendet. Dabei handelt es sich um eine Gruppe von Computern, die durch Schadsoftware kontrolliert werden. Sie können über das Internet miteinander kommunizieren und zusammen gezielte Angriffe durchführen. Sie werden z.B. für den Versand von Spam-E-Mails oder eine Überflutung mit Anfragen eingesetzt. <?page no="254"?> 6.6 Schutzmaßnahmen 253 www.uvk-lucius.de/ it-management Unter Social Engineering versteht man eine psychologische Beeinflussung von Personen, damit diese vertrauliche Informationen preisgeben oder eine bestimmte Aktion durchführen. Eine Beeinflussung kann direkt durch eine Person oder indirekt über einen Computer erfolgen. Verbreitete Techniken sind Phishing, Dumpster Diving und Tailgating. Beim Phishing ist das Angriffsziel das Abgreifen von vertraulichen Informationen. Meistens werden dazu E-Mails versendet, die als Absender legitime Unternehmen vortäuschen und die Eingabe von Zahlungsdaten oder ähnlichem zu Prüfungszwecken fordern. Beim Dumpster Diving werden Abfallbehälter in der Hoffnung durchsucht, daraus vertrauliche Informationen zu gewinnen. Das Tailgating ist eine Form, physische Zutrittssysteme zu umgehen. Unbefugte Personen laufen direkt hinter befugten Personen durch geöffnete Türen oder lassen sich die Tür aufhalten. 66..66 SScchhuuttzzm maaßßnnaahhmmeenn Da ein adäquater Schutz mit den Geschäftsinteressen und der IT- Architektur des Unternehmens zusammenpassen muss, können allgemeingültige Schutzmaßnahmen nur auf einer hohen Abstraktionsebene beschrieben werden. Wie die Maßnahmen individuell ausgestaltet werden, bleibt dem Unternehmen überlassen. 66..66..11 SSc chhu uttzz v voorr UUnnbbeeffuuggtteenn 66..66..11..11 ZZuuggaannggs s-uunnd d ZZuuggrriiffffsssscch hu uttzz Der Zugriff auf Daten (logisch) und der Zugang zu sensiblen Bereichen (physisch) sollten im Hinblick auf den konkreten Geschäftsinformationsbedarf eingeschränkt werden. <?page no="255"?> 254 6 IT-Sicherheit www.uvk-lucius.de/ it-management Zur Absicherung des Zugriffs auf Daten sollten nach dem Need-to-know-Prinzip nur die Personen, die für geschäftliche Zwecke einen Zugriff auf Daten benötigen, die Berechtigung dazu erhalten. Dazu gehören Kontrollmechanismen und eine Berechtigungsverwaltung, bei der jeder Person eine Rolle mit zur Tätigkeit passenden Berechtigungen zugeordnet werden kann (Role Based Access Control (RBAC)). Um die Nachvollziehbarkeit bei Zugriffen auf Daten sicherzustellen, sollte jeder Person ein eindeutiges Benutzerkonto zugeteilt werden. Dadurch kann eine Person nur Zugriff erhalten, wenn sie sich eindeutig mithilfe eines Passworts, Tokens oder anderer Authentifizierungsmethoden erfolgreich authentifiziert hat. Passwörter sollten regelmäßig geändert und inaktive Benutzerkonten gesperrt werden. Der Zugang zu sensiblen Bereichen muss ebenfalls abgesichert werden, z.B. mit Kartenlesern, Schlüsseln oder Biometrie (z.B. Fingerabdruck). Unbefugte, die sich Zutritt zu Büroräumen oder Rechenzentren verschaffen, können Medien oder Computer entwenden, beschädigen oder manipulieren. Zu Medien zählen nicht nur elektronische Medien, wie Diskette, CDs und Festplatten, sondern auch Papier. Durch die Verpflichtung zum sichtbaren Tragen von Ausweisen können Unbefugte von Befugten durch andere Mitarbeiter unterschieden werden. 66..66..11..22 AAuutth heen nttiiffiizziieerruunngg uunndd AAuutto orriissiieerruunngg Authentifizierung ist die Tätigkeit, die eine Person durchführen muss, um ihre Identität zu beweisen, um dadurch Zugriffs- oder Zugangskontrollen zu passieren. Man unterscheidet bei der Authentifizierungsart zwischen etwas, das die Person hat, weiß und ist. Wenn zwei Authentifizierungsarten bei einer Kontrolle gefordert werden, spricht man von einer Zwei-Faktor-Authentifizierung und bei drei Arten entsprechend von einer Drei-Faktor-Authentifizierung. Je nach Authentifizierungsart können unterschiedliche Authentifizierungsmittel eingesetzt werden. <?page no="256"?> 6.6 Schutzmaßnahmen 255 www.uvk-lucius.de/ it-management Authentifizierungsart Authentifizierungsmittel Etwas, das die Person hat Karte, Schlüssel, Token usw. Etwas, das die Person weiß PIN, Passwort usw. Etwas, das die Person ist Unterschrift, Fingerabdruck, Retina, Stimme usw. Tab. 30: Authentifizierung Etwas, das die Person hat, ist ein Gegenstand im Besitz der Person. Hier besteht die Gefahr, dass der Gegenstand gestohlen wird oder verloren geht. Etwas, das die Person weiß, ist eine geheime Information im Gedächtnis der Person. Lange und komplizierte Informationen können zwar nicht so schnell von Angreifern erraten werden, allerdings werden diese schneller vergessen oder als Gedächtnisstütze aufgeschrieben. Etwas, das die Person ist, umfasst jegliche biometrische Daten über eine Person. Alles, was eine Person einzigartig macht, kann dazu genutzt werden, z.B. Fingerabdruck, Klang der Stimme, Schriftart oder Aufbau des Auges. Die Schwierigkeiten liegen hier vor allem bei der Akzeptanz der Anwender. Einige Kontrollmechanismen, z.B. der Scan des Auges, können unangenehm sein. Außerdem können biometrische Eigenschaften zur Gefährdung von Leib und Leben führen, wenn Angreifer diese mit allen Mitteln erlangen wollen. Die Autorisierung ist die nächste Sicherheitsmaßnahme nach der erfolgreichen Authentifizierung und beinhaltet die Prüfung, ob der Authentifizierte dazu berechtigt ist, einen spezifischen Zugriff oder Zugang zu tätigen. Zu diesem Zweck wird eine Prüfung in der Berechtigungsverwaltung durchgeführt. Nur wenn die Rechte des Authentifizierten den Zugriff erlauben, kann er tatsächlich durchgeführt werden. <?page no="257"?> 256 6 IT-Sicherheit www.uvk-lucius.de/ it-management 66..6 6..2 2 KKoonnttrro ollllee ddeess DDaatteennvveerrk ke ehhrrss Um die Übertragung von Daten innerhalb oder zwischen Netzwerken zu kontrollieren, können Firewalls, Router und Switches eingesetzt werden. Eine Firewall kontrolliert den Datenverkehr zwischen zwei Netzwerken. Basierend auf Netzwerkadressen und Protokollen kann eine Firewall den Datenverkehr filtern, und somit Verbindungsversuche blockieren, die Angreifer zur Kompromittierung, Beschädigung oder Manipulation von Daten vornehmen können. Außerdem kann eine Firewall gegen Angreifer schützen, die Systeme mit Anfragen überfluten, und somit eine Dienstverweigerung der Systeme beabsichtigen. Eine Firewall kann eigenständig oder auf einem lokalen Arbeitsplatzrechner betrieben werden. Man unterscheidet zwischen Packet-Filter-, Stateful- Inspection- und Application-Layer-Firewalls: Bei Packet-Filter-Firewalls werden lediglich die Informationen im Kopf eines Datenpakets betrachtet, um zu entscheiden, ob es weitergeleitet wird. Dabei werden in der Regel Ziel- und Empfangsadresse, Protokoll sowie Portnummer berücksichtigt. Bei Stateful-Inspection-Firewalls werden übertragene Datenpakete von der Firewall vorgehalten, um zu entscheiden, ob neue Datenpakete zu einer bestehenden Verbindung gehören und mit anderen Datenpaketen in Beziehung stehen. Datenpakete, die nicht zu einer legitimen Verbindung passen, werden blockiert. Eine Application-Layer-Firewall, auch als Web Application Firewall bezeichnet, kann die Inhalte von Datenpaketen mit Protokollen abgleichen. Wenn unerwünschte Daten in einem Standardprotokoll getunnelt werden, kann die Firewall dies erkennen. Auf diese Weise ist eine Kontrolle des Datenverkehrs auf Applikationsebene möglich. Ein Router leitet Datenpakete zwischen Netzwerken weiter. Er nutzt Routing-Tabellen, um die bestmöglichen Verbindungswege zwischen Quell- und Zieladressen zu speichern und schneller wiederzufinden. Viele Router-Modelle besitzen inte- <?page no="258"?> 6.6 Schutzmaßnahmen 257 www.uvk-lucius.de/ it-management grierte Sicherheitsfunktionen. Da Router Netzwerkumgebungen mit verschiedenen Adressbereichen oder Architekturen miteinander verbinden können, ist z.B. eine Fernwartung von Systemen aus anderen Netzwerkumgebungen möglich. Ein Switch leitet Datenpakete innerhalb eines Netzwerks oder zwischen Netzwerksegmenten weiter. Switches besitzen keine weiteren Sicherheitsfunktionen oder Filtermöglichkeiten. Wenn das Switch-Modell Zugriffssteuerungslisten unterstützt, kann lediglich konfiguriert werden, mit welcher Netzwerkumgebung ein System kommunizieren darf. 66..66..33 VVeerrmmeeiidduunngg vvoonn SScchhw waacchhsstteelllleenn 66..66..33..11 HHäärrttu unngg Als Härtung werden die Deaktivierung nicht benötigter Dienste, das Deinstallieren nicht benötigter Software und die sichere Konfiguration von IT-Systemen bezeichnet. Insbesondere Passwörter und andere Einstellungen, die vom Hersteller der Systeme eingerichtet wurden, sind meist allgemein zugänglich und können von unbefugten Personen ausgenutzt werden. Außerdem ist nach der Erstinstallation von Betriebssystemen meist eine Vielzahl von nicht benötigten Diensten auf dem System aktiviert. Durch die Härtung können die möglichen Angriffspunkte eines Systems reduziert werden. Außerdem hat der Angreifer weniger Möglichkeiten, um auf dem betreffenden System Sicherheitslücken zu finden und auszunutzen. Neben dem Sicherheitsgewinn verliert das IT-System auch an Komplexität, und damit an Administrations- und Pflegeaufwand. 66..6 6..3 3..2 2 VViirreennsscchhuuttzz Zum Schutz gegen Schadsoftware kann Antivirensoftware eingesetzt werden. Obwohl Viren als Namensbestandteil die Hauptrolle zu spielen scheinen, schützt die Software grundsätzlich gegen jegliche Art von Schadcode, auch Trojaner und Würmer. Antivi- <?page no="259"?> 258 6 IT-Sicherheit www.uvk-lucius.de/ it-management rensoftware kann musterbasierte und verhaltensbasierte Erkennungstechniken nutzen. Bei musterbasierten Erkennungstechniken wird Schadsoftware erst erkannt, nachdem neue Muster in Form von Updates an die Antivirensoftware übermittelt wurden. Bei verhaltensbasierten Erkennungstechniken kann Schadsoftware anhand von unüblichem Verhalten erkannt werden, jedoch sind diese Erkennungstechniken unscharf und können zu Fehlalarmierungen (engl. False Positives) und Nichterkennen (engl. False Negatives) von Schadsoftware führen. Einen hundertprozentigen Schutz gibt es also nicht, da lediglich bereits bekannte Schadsoftware eindeutig identifizieren werden kann. Bei verhaltensbasierten Erkennungen gibt es keine Sicherheit, dass eine bisher unbekannte Schadsoftware auffälliges Verhalten aufweist. 66..66..33..33 SSiicchheerree EEnnttw wiicckklluunngg vvoonn SSoofft twwaarree Bei der sicheren Softwareentwicklung geht es darum, Sicherheit in allen Phasen der Softwareentwicklung zu berücksichtigen, um dadurch mögliche Sicherheitslücken bereits im Design zu bedenken und im Rahmen der Quellcodeerstellung bewusst zu vermeiden. Die Vermeidung von Sicherheitslücken ist am effektivsten, wenn sie bereits im Rahmen der Softwareentwicklung geschieht. Von Anfang an sollte darauf geachtet werden, sicher zu entwickeln und Angriffspunkte bereits beim Design der Software zu vermeiden. Demgegenüber ist eine nachträgliche Beseitigung bereits vorhandener Sicherheitslücken meist mit einem sehr hohen Arbeitsaufwand verbunden. Einen Überblick über die kritischsten Sicherheitslücken, speziell bei Web-Applikationen, bietet das Open Web Application Security Project (OWASP 2013). Beispiele für Sicherheitslücken sind das Einschleusen von schadhaftem Code, das Umgehen der Authentifi- <?page no="260"?> 6.6 Schutzmaßnahmen 259 www.uvk-lucius.de/ it-management zierung, das Eindringen in fremde Sitzungen, Cross-Site-Scripting und unsichere Konfigurationen. Ein klassisches Vorgehensmodell der Softwareentwicklung ist das Wasserfallmodell, das abgeschlossene Phasen und ein strukturiertes Vorgehen beinhaltet. Abb. 92: Wasserfallmodell Andere Vorgehensmodelle unterscheiden sich im Detaillierungsgrad und Art des Durchlaufs. So werden z.B. im Spiralmodell die Phasen mehrmals durchlaufen. Verbreitete Best Practices in der sicheren Softwareentwicklung sind das Software Assurance Maturity Model (SAMM) und das Building Security In Maturity Model (BSIMM). SAMM (OpenSAMM 2009) definiert auf der höchsten Ebene die vier Geschäftsfunktionen Governance, Construction, Verification und Deployment. Jede Geschäftsfunktion umfasst drei Sicherheitspraktiken, die sicherheitsrelevante Aktivitäten beinhalten. Für jede Sicherheitspraktik definiert SAMM drei Reifegrade. Je höher der Reifegrad ist, desto anspruchsvoller sind die umzusetzenden Ziele. Jedes Unternehmen, in dem Softwareentwicklung betrieben wird und das Sicherheitspraktiken erfüllt, kann mit einem Reifegrad kategorisiert werden. BSIMM (2012) definiert auf der höchsten Ebene die vier Domänen Governance, Intelligence, SSDL Touchpoints und Deployment. Auch hier kann ein Unternehmen mit einem Rei- Initialisierung Konzept Entwurf Implementierung Test Installation Wartung <?page no="261"?> 260 6 IT-Sicherheit www.uvk-lucius.de/ it-management fegrad kategorisiert werden. Jede Domäne umfasst drei Sicherheitspraktiken mit untergeordneten sicherheitsrelevanten Aktivitäten. 66..66..33..44 PPaattc chh--MMaannaagge em meen ntt Patches dienen dem Schließen von Sicherheitslücken oder dem Beheben funktionaler Probleme in Betriebssystemen und Applikationen. Wenn Angreifer Kenntnis über Sicherheitslücken erlangen, können sie diese ausnutzen, indem sie passende Schadsoftware programmieren und verteilen. Sobald eine Schadsoftware, die eine neue Sicherheitslücke ausnutzt, allgemein bekannt wird, redet man von einem Zero-Day-Exploit. Der Tag Null (Zero Day) gilt solange, bis ein Patch vom Softwarehersteller erstellt wurde, der diese Sicherheitslücke schließt. Ab da zählen die Tage beginnend bei Eins aufwärts. Ein Schutz vor Zero-Day-Exploits bieten Workarounds, die das Risiko einer Ausnutzung verringern sollen. Erst wenn die Sicherheitslücke geschlossen wurde und ein Patch verfügbar ist, kann sie durch die Patch-Installation vollständig beseitigt werden. Um die regelmäßige Suche nach Patches im Unternehmen zu etablieren, sollte ein Patch Management betrieben werden. Grundsätzlich besteht bei allen Software-Updates die Gefahr, dass Fehler eingebaut wurden oder Inkompatibilitäten zu anderen Applikationen entstehen. Obwohl Softwarehersteller vor der Veröffentlichung von Updates in der Regel Qualitätskontrollen durchführen, sollten Patches zum Schutz der Verfügbarkeit im Unternehmen vorher getestet werden. 66..66..33..55 RReeggeellmmääßßiig gee SSiic chheerrhheeiittsspprrüüffuunnggeenn Regelmäßige Sicherheitsprüfungen umfassen die Suche nach Sicherheitslücken und Angriffsmöglichkeiten. Diese gilt es zu beseitigen, bevor ein Angreifer sie ausnutzen kann. Beispiele sind die Suche nach unerlaubten drahtlosen Netzwerken sowie interne und externe Scans nach Sicherheitslücken. <?page no="262"?> 6.6 Schutzmaßnahmen 261 www.uvk-lucius.de/ it-management 66..6 6..4 4 RRiicchhttlliinniieenn Richtlinien machen das geforderte Sicherheitsniveau im Unternehmen bekannt und machen transparent, welche Vorgaben durch das Personal eingehalten werden sollen. Richtlinien sind für alle oder einen Teil der Mitarbeiter bindend. Konkrete Vorgaben können z.B. Schulungsanforderungen zum Sicherheitsbewusstsein, das Verhalten bei einem Sicherheitsvorfall und die Überwachungsanforderungen zur Sicherheit von Dienstanbietern sein. 66..66..55 AAuussffaallllssiicchhe errhhe eiitt uunndd W Wiieeddeerrhheerrsstteelllluunngg Das Business Continuity Management (BCM) dient der Sicherstellung eines kontinuierlichen Geschäftsbetriebs im Fall von Störungen und der Wiederherstellung von Geschäftsprozessen nach unabwendbaren Ausfällen (Krisen). Das Ziel ist die Sicherung des Fortbestands des Unternehmens unter Berücksichtigung von ermittelten Risiken. Beim BCM werden Erkenntnisse aus einer Risikobeurteilung aufgegriffen, um wichtige Geschäftsprozesse ausfallsicher zu machen. Ein wichtiges Hilfsmittel dabei ist die Business Impact Analysis, die der Evaluation kritischer Prozesse und der Auswirkungen von möglichen Störungen zur Bestimmung von maximal akzeptierter Ausfallzeit und maximal akzeptiertem Datenverlust aus Sicht der Fachbereiche dient. Die Ergebnisse sind in der Regel eine Business Continuity Richtlinie (BCR) ein Business Continuity Plan (BCP) und ein Disaster Recovery Plan (DRP). Die BCR enthält die Beschreibung aller Maßnahmen, die im Sinne der Ausfallsicherheit implementiert und aufrechterhalten werden sollen. Sie beschreibt die Umstände, die eine Krise kennzeichnen, und ein risikobasiertes Eskalations-Verfahren bei Ausfällen, das entscheidet, wann BCP oder DRP aktiviert werden. Außerdem werden die Verantwortlichkeiten aufgelistet. Der BCP beschreibt aus organisatorischer Sicht und der DRP aus technischer Sicht, was bei Eintritt eines Desasters getan bzw. veranlasst werden muss. Die Trennung ist erforderlich, da nicht <?page no="263"?> 262 6 IT-Sicherheit www.uvk-lucius.de/ it-management bei jeder Krise beide Pläne befolgt werden müssen. Z.B. muss bei einer Pandemie nur der BCP und nicht der DRP ausgeführt werden. Beide Pläne können Schritt-für-Schritt-Anleitungen enthalten. Die organisatorische Seite umfasst z.B. den Transfer des Personals zu Notfallarbeitsplätzen, eine übergreifende Koordination des Recoverys und den Umgang mit Image- oder Reputationsschäden. Die technische Seite beinhaltet unter anderem die Wiederherstellung von Backups oder den Neuaufbau von IT-Systemen. 66..77 KKrryyppttooggrraapphhiie e 66..77..11 VVeerrsscchhl lüüsssseelluunngg Grundsätzlich sollten vertrauliche Daten nur verschlüsselt gespeichert und übertragen werden. Vor allem kann durch eine Verschlüsselung verhindert werden, dass ein Angreifer die Kommunikation in offenen Netzen mitschneidet, und dadurch Daten erlangen und manipulieren kann. Beispiele für diese Netze sind das Internet, drahtlose Netzwerke, Global System for Mobile Communications (GSM) oder General Packet Radio Service (GPRS). Bei einer Verschlüsselung werden Daten so in eine Form, dem Chiffretext verändert, dass sie keine Ähnlichkeit zu ihrer ursprünglichen Darstellungsform, dem Klartext besitzen, jedoch wieder in ihren Ursprungszustand überführt werden können. Um Daten zu ver- und entschlüsseln, wird jeweils ein digitaler Schlüssel und ein Algorithmus benötigt. Man unterscheidet zwischen symmetrischen und asymmetrischen Verschlüsselungstechniken. Bei der symmetrischen Technik wird derselbe Schlüssel für die Ver- und Entschlüsselung von Daten benutzt. <?page no="264"?> 6.7 Kryptographie 263 www.uvk-lucius.de/ it-management Abb. 93: symmetrische Verschlüsselung Bei der asymmetrischen Technik werden der öffentliche Schlüssel für die Verschlüsselung und der private Schlüssel für die Entschlüsselung benutzt. Abb. 94: asymmetrische Verschlüsselung Die symmetrische Technik ist viel schneller, aber die asymmetrische Technik ermöglicht eine höhere Sicherheit, da hier ausschließlich dem Empfänger der Schlüssel zur Entschlüsselung vorliegt. In der Praxis, z.B. beim Aufbau einer verschlüsselten Netzwerkverbindung, werden symmetrische und asymmetrische Verschlüsselungstechniken oft kombiniert. Über eine asymmetrische Verschlüsselungstechnik wird nur der symmetrische Schlüssel ausgetauscht, damit die zu übertragenden Daten anschließend mit der symmetrischen Technik schneller ver- und entschlüsselt werden können. Mit der asymmetrischen Verschlüsselungstechnik können auch digitale Signaturen erstellt werden. Hierbei wird der Hashwert einer Nachricht vom Absender mit einem privaten Schlüssel verschlüsselt. Der Empfänger entschlüsselt den Hashwert mit dem zugehörigen, allgemein bekannten öffentlichen Schlüssel. Klartext Chiffretext Verschlüsselung mit Schlüssel Entschlüsselung mit Schlüssel Verschlüsselung mit privatem Schlüssel Entschlüsselung mit öffentlichem Schlüssel Klartext Chiffretext <?page no="265"?> 264 6 IT-Sicherheit www.uvk-lucius.de/ it-management Abb. 95: digitale Signatur Der Empfänger vergleicht den entschlüsselten Hashwert der versendeten Nachricht mit dem später generierten Hashwert der empfangenen Nachricht. Wenn die beiden Hashwerte identisch sind, kann der Empfänger sicher sein, dass der Inhalt der Nachricht nicht manipuliert oder beschädigt wurde. Ein zusätzlicher Vorteil der digitalen Signatur ist die Nichtabstreitbarkeit. Da grundsätzlich nur der Absender der Nachricht im Besitz seines privaten Schlüssels ist, kann er nach dem Versand der Nachricht nicht abstreiten, dass er sie tatsächlich versendet hat. Bekannte Standards für eine symmetrische Verschlüsselung sind der Data Encryption Standard (DES), der Triple Data Encryption Standard (3DES) und der Advanced Encryption Standard (AES): Der DES wurde im Jahr 1975 durch IBM entwickelt und im Jahr 1976 durch das National Institute of Standards and Technology (NIST) zertifiziert. Der Standard beschreibt einen Algorithmus, der mit Blockverschlüsselung arbeitet. Im Gegensatz zur Stromverschlüsselung, bei dem jedes Zeichen einzeln mit einem Schlüsselstrom verknüpft wird, arbeitet die Blockverschlüsselung mit der Zerlegung der Daten in gleich große Blöcke, die mit demselben Schlüssel verschlüsselt werden. Beim DES werden die zu verschlüsselnden Daten in 64 Bit große Blöcke aufgeteilt und einzeln verschlüsselt. Der Schlüssel besitzt eine Größe von 56 Bit. Da die 2 hoch 56 Möglichkeiten des Schlüssels mit der heutigen Technik in wenigen Stunden durchlaufen werden können, gilt der DES heute als unsicher. Verschlüsselung mit privatem Schlüssel Entschlüsselung mit öffentlichem Schlüssel 787557a89 8b12822c2 Hashwert im Klartext Nachricht 787557a89 8b12822c2 Hashwert im Chiffretext Nachricht <?page no="266"?> 6.7 Kryptographie 265 www.uvk-lucius.de/ it-management Der 3DES ist der Nachfolger vom DES und kombiniert drei Schlüssel, die jeweils eine Größe von 56 Bit besitzen und nicht unterschiedlich sein müssen. Effektiv entspricht die Nutzung von drei unterschiedlichen Schlüsseln einem Schlüssel mit einer Größe von 168 Bit. Die Daten werden dreimal verschlüsselt (DES-EEE) oder verschlüsselt, entschlüsselt und wieder verschlüsselt (DES-EDE). Bei jeder Ver- oder Entschlüsselung wird ein anderer Schlüssel genutzt. Der 3DES ist zwar leicht zu implementieren, allerdings gibt es mittlerweile andere Standards, die weniger Rechenleistung benötigen, wie Rivest Cipher 6 (RC6) und Blowfish. Der AES wurde von Joan Daemen und Vincent Jijmen unter dem Namen Rijndael entwickelt. Er besitzt eine variable Block- und Schlüsselgröße. Ein Schlüssel mit der Größe 256 Bit gilt heute als unknackbar. Bekannte Standards für eine asymmetrische Verschlüsselung sind RSA, Digital Signature Standard (DSS) und Diffie-Hellman (DH): RSA steht für die ersten Buchstaben der Nachnamen von Ronald Rivest, Adi Shamir und Leonard Adleman, die den Standard im Jahr 1977 entwickelten. Die Grundlage der Verschlüsselung beim RSA ist die Nutzung von Primzahlen, um den privaten und öffentlichen Schlüssel zu generieren. Um vom öffentlichen Schlüssel zurück auf den privaten Schlüssel zu gelangen, müsste man eine technisch sehr aufwendige Primfaktorzerlegung durchführen. Die Zerlegung einer großen Zahl in ihre Primfaktoren ist ein Problem, bei dem selbst leistungsstarke Computer keine effiziente Berechnung durchführen können. Der RSA-Standard wird unter anderem durch viele Webbrowser (SSL-Funktionalität) und durch sichere Netzwerkprotokolle (IP- Sec) verwendet. Der DSS ist ein Standard vom NIST, der im Jahr 1994 veröffentlicht wurde und einen Algorithmus für digitale Signaturen (engl. Digital Signature Algorithm oder kurz DSA) spezifiziert. Der DSS bezweckt ausschließlich die Signatur von Daten und nicht deren Verschlüsselung. Es wird also nur die Integrität und nicht die Vertraulichkeit geschützt, da Manipulationen zwar bemerkt werden, ein Angreifer die Daten jedoch unbemerkt <?page no="267"?> 266 6 IT-Sicherheit www.uvk-lucius.de/ it-management kompromittieren kann. Der Hashwert beim DSS wird mithilfe des Hashing-Standards SHA-1 erstellt. DH steht für die beiden Entwickler Whitfield Diffie und Martin Hellman, die den Standard DH im Jahr 1976 veröffentlichten. Der DH wird ausschließlich für die Aushandlung eines symmetrischen Schlüssels als Vorbereitung einer symmetrisch verschlüsselten Netzwerkverbindung genutzt. Der Schlüsselaustausch mit dem DH ist durch einen Man-in-the-middle-Angriff verwundbar. Daher ist die Kombination mit einer weiteren Authentifizierung der beiden Parteien untereinander, z.B. durch digitale Signaturen, zu empfehlen. Bei einem Man-in-the-middle-Angriff schaltet sich der Angreifer direkt in den Kommunikationskanal zwischen zwei Kommunikationspartnern, die Daten austauschen. Bei einem erfolgreichen Man-in-the-middle-Angriff kann der Angreifer die Daten unbemerkt einsehen und manipulieren. Um die Aktualität und Sicherheit der Schlüssel zu gewährleisten, muss ein Key Management betrieben werden. Dazu gehört, dass kryptographische Schlüssel im Fall einer Kompromittierung oder nach Ablauf einer definierten Nutzungsdauer ausgetauscht werden. Best Practices zum Key Management wurden vom National Institute of Standards and Technology (NIST) in der Special Publication 800-57 veröffentlicht, die für verschiedene Schlüssel jeweils eine Nutzungsdauer empfiehlt (Barker et al. 2012, S. 49 ff.). Private Schlüssel, die bei der Aushandlung von symmetrischen Schlüsseln genutzt werden, sollen eine Nutzungsdauer von ein bis zwei Jahren haben. Symmetrische Schlüssel sollen maximal einen Monat zur Verschlüsselung und können mehrere Jahre zur Entschlüsselung verwendet werden. 66..77..22 HHaasshhi inngg Hashing ist eine Technik zur Bildung von Prüfsummen, die zur Integritätsprüfung von Daten genutzt werden. Wenn Daten übertragen werden, kann durch Hashing nachträglich sichergestellt werden, dass die Daten während der Übertragung <?page no="268"?> 6.7 Kryptographie 267 www.uvk-lucius.de/ it-management nicht manipuliert oder beschädigt wurden. Mithilfe von Hashing wird von einem Datenpaket ein möglichst eindeutiger Hashwert, auch als digitaler Fingerabdruck oder Message Digest bezeichnet, erstellt. Die Eindeutigkeit soll verhindern, dass unterschiedliche Datenpakete den gleichen Hashwert besitzen und daher Kollisionen auftreten. Im Zusammenhang mit Kollisionen beim Hashing wird oft das Geburtstagsparadoxon genannt, nach dem die Wahrscheinlichkeit, dass in einer Gruppe von 23 Personen mehr als zwei Personen am selben Tag Geburtstag haben, über 50 % liegt. Da diese Wahrscheinlichkeit von den meisten Menschen falsch eingeschätzt wird, spricht man von einem Paradoxon. Beim Birthday Attack wird nicht der eigentliche Algorithmus angegriffen, sondern es wird versucht, die unerwartet hohe Wahrscheinlichkeit von Kollisionen auszunutzen, um Daten so zu manipulieren, dass sie den gleichen Hashwert wie die originalen Daten besitzen und der Empfänger der Daten den Unterschied nicht bemerkt. Zu den bekanntesten Hashing-Algorithmen gehören der Message Digest 5 (MD5) und der Secure Hash Algorithm 1 (SHA-1): Der MD5 wurde im Jahr 1991 von Ron Rivest erfunden und im Request for Comments (RFC) 1321 definiert. Der MD5 verwendet einen Hashwert, der eine Größe von 128 Bit besitzt. Es sind 2128 verschiedene Hashwerte möglich. Der MD5 wird allgemein als unsicher betrachtet, da Angreifer Schwachstellen mithilfe von Kollisionen ausnutzen können. Der SHA-1 ist eine im Jahr 1994 veröffentlichte Überarbeitung des im Jahr 1993 durch das NIST entwickelten Secure Hash Algorithm (SHA). Die Hashwerte von SHA-1 besitzen eine Größe von 160 Bit. Die Erweiterung SHA-2 wurde im Jahr 2001 veröffentlicht und ermöglicht größere Hashwerte, z.B. mit den Größen 256 Bit (SHA-256) und 512 Bit (SHA-512). 66..7 7..3 3 ZZeerrttiiffiikka attee Um sicherzustellen, dass Kommunikationspartner mit der jeweils richtigen Person kommunizieren und die Kommunikationsinhalte nicht beschädigt oder manipuliert werden, wird die digitale Signatur von Daten angewendet. <?page no="269"?> 268 6 IT-Sicherheit www.uvk-lucius.de/ it-management Die Anwendung der digitalen Signatur in einem öffentlichen Netzwerk wird durch digitale Zertifikate erleichtert, die einen öffentlichen Schlüssel oder Informationen über diesen beinhalten. Zertifizierungsstellen geben Zertifikate heraus und überprüfen deren Echtheit und Gültigkeit. Bevor eine Zertifizierungsstelle ein Zertifikat an einen Antragsteller herausgibt, wird die Identität des Antragstellers durch die Registrierungsstelle überprüft. Bei natürlichen Personen kann z.B. ein Ausweis mit einem Lichtbild geprüft werden, um die Identität des Antragstellers zu bestätigen. Wenn der Antragssteller von einer Zertifizierungsstelle ein Zertifikat erhält, wird er zum Zertifikatsinhaber. Die Personen oder Systeme, die das Zertifikat nutzen, um mit dem Zertifikatsinhaber sicher zu kommunizieren, werden als Zertifikatsnutzer bezeichnet. Es reicht nicht aus, Zertifikate nur bei einem Kommunikationspartner zu hinterlegen. Es muss einen Aufbewahrungsort geben, mit welchem die Zertifikate gespeichert und jederzeit verteilt werden können. Dieser Aufbewahrungsort wird als Verzeichnisdienst bezeichnet. Das Zusammenwirken von Zertifizierungsstelle, Registrierungsstelle, Verzeichnisdiensten sowie Zertifikatsinhaber und -nutzer wird als Public Key Infrastructure (PKI) bezeichnet. Die International Telecommunication Union (ITU) hat für Verzeichnisdienste diverse Standards veröffentlicht. Am wichtigsten sind der Standard X.500 für Grundlagen von Verzeichnisdiensten und X.509 für eine PKI. Abb. 96: Public Key Infrastructure Zertifizierungsstelle Registrierungsstelle Zertifikatsinhaber Verzeichnisdienst Zertifikatsnutzer Freigabe Zertifikatserstellung Sichere Kommunikation Abruf Zertifikat Hinterlegung Zertifikat Ausgabe Zertifikat Beantragung Zertifikat <?page no="270"?> 6.8 Literatur zu Kapitel 6 269 66..8 8 LLiitteerraat tuurr zzuu KKaap piitteell 66 BSI (2008) BSI-Standard 100-2 - IT-Grundschutz-Vorgehensweise, Version 2.0, 2008, https: / / www.bsi.bund.de/ SharedDocs/ Downloads/ DE/ BSI/ Publikationen/ ITGrundschutzstandards/ standard_1002_pdf.pdf BSI (2013) IT-Grundschutz-Kataloge, 2013, https: / / www.bsi. bund.de/ DE/ Themen/ ITGrundschutz/ ITGrundschutzKatalog e/ itgrundschutzkataloge_node.html BSIMM Community (2012) Building Security In Maturity Model, 2012, http: / / bsimm.com/ download/ BSIMM-V.pdf OpenSAMM Project (2009) Software Assurance Maturity Model - A guide to building security into software development, Version 1.0, 2009, http: / / www.opensamm.org/ downloads/ SAMM-1.0. pdf OWASP (2013) OWASP Top 10 2013 - The Ten Most Critical Web Application Security Risks, 2013, http: / / owasptop10. googlecode.com/ files/ OWASP%20Top%2010%20-%202013. pdf <?page no="272"?> www.uvk-lucius.de/ it-management IInnddeexx 4C-Net-Business-Modell 80 Aktivitätsdiagramm 188, 194 Analytic Hierarchy Process 96 Antivirensoftware 257 Anwendungsfalldiagramm 188, 199 Applikationen 14 Architektur integrierter Informationssysteme 185 ARIS-Haus 185 As Low As Reasonably Practicable 218 Authentifizierung 254 Autorisierung 255 Balanced Scorecard 52 BCG-Matrix 70 Bedeutungsmatrix 76 Best Practices 16, 224 Betrieb 14 Break-Even-Analyse 125 Bundesdatenschutzgesetz 226 Business Continuity Management 241, 261 Business Impact Analysis 261 Business Motivation Modell 44 Business Process Modeling Notation 187, 202 Business Process Reengineering 179 Case-Based Reasoning 160 Continual Service Improvement 171 Daten 11 Deckungsbeitragsrechnung 124 Dienstvertrag 32 digitale Signatur 267 Disaster Recovery 241 Economics of Scale 166 Economics of Scope 166 Enterprise Wide Information Management 49 ereignisgesteuerte Prozesskette 187, 188 erweiterte ereignisgesteuerte Prozesskette 192 Flussdiagramm 187, 207 Frühwarnsystem 133 Führungsaufgaben 14 <?page no="273"?> 272 Index www.uvk-lucius.de/ it-management Führungsstile 149 Führungstechniken 150 Fünf-Kräfte-Modell 64 Gantt-Diagramm 158 Gegenmaßnahme 223 Geschäftsprozesse 177 Geschäftsprozessmodellierung 184 Geschäftsprozessoptimierung 181 Gesetze 224 Hacker 250 Hardware 12 Hardware Asset Management 147 Härtung 257 Hashing 234, 266 Helpdesk 14 Human Resource Management 149 Indikatoren 131 Information Security Management System 243 Information Technology Infrastructure Library 167 Informationen 11 Integrität 240 Inventar 142 ISO 27001 243 ISO 9126 231 Istkostenrechnung 119 IT-Alignment 43 IT-Asset Management 142 IT-Benchmarking 135 IT-Budgetierung 128 IT-Chargeback 127, 131 IT-Compliance 224 IT-Controlling 16 IT-Demand Management 129 IT-Enabling 43 IT-Governance 211 IT-Grundschutz 245 IT-Inshoring 142 IT-Insourcing 141 IT-Kennzahlen 131, 213 IT-Kennzahlensystem 133 IT-Management 15 IT-Offshoring 141 IT-Outsourcing 138, 140 IT-Outtasking 140 IT-Portfolio-Management 60 IT-Projekt 151 IT-Projektmanagement 151 IT-Risiken 214 IT-Service Management 164 IT-Services 164 IT-Showback 128 IT-Sicherheit 239 <?page no="274"?> Index 273 www.uvk-lucius.de/ it-management IT-Sourcing 137 IT-Strategie 43, 212 Kartenzahlungsverkehr 228 Kennzahlensteckbrief 133 Key Management 266 Klassendiagramm 188, 196 Kostenrechnung 110 Kostenrechnungssystem 126 Kostenremanenz 114 Lebenszyklus 142 Lizenzmanagement 146 Managementzyklus 18 Matrix-Organisation 21, 152 Mission 42 Modellierung 184 Netzplantechnik 153 Netzwerksegmentierung 233, 236 Normalkostenrechnung 119 Normen 224 Nutzwertanalyse 91 Organisation 20 Patch 260 Payment Card Industry Data Security Standard 229 PDCA-Zyklus 16, 244 Personalführung 149 Plankostenrechnung 122 Pragmatiken 16 Process Classification Framework 178 Produkt-Markt-Matrix 47 Projekt 151 Projekt-Organisation 20, 21, 153 Projektportfolio-Management 131, 158 Protokollierung 249 Prozess-Organisation 22 Punkt-zu-Punkt-Verschlüsselung 231, 233, 236 qualitative Risikobewertung 221 quantitative Risikobewertung 218 RACI-Matrix 172 Restrisiko 224 Return on Investment 56 RGT-Metrik 115 Risiko 216 Risikobewältigungsmethode 223 Risikobewertung 217 Risikomanagement 216 Risikomatrix 222 Roadmapping 214 Routineaufgaben 249 Schadsoftware 251 Schutzziele 239 Service Design 168 <?page no="275"?> 274 Index Service Level Agreement 174 Service Operation 170 Service Strategy 167 Service Transition 169 Servicekatalog 131, 175 Shared Services 140 Shareholder 25 sichere Softwareentwicklung 258 Sicherheitsniveau 242 SMART 82 Social Engineering 253 Software 12 Software Asset Management 145 Software-Qualität 231 Speicherung 12 Stab-Linien-Organisation 20 Stakeholder 25 Stakeholderanalyse 34 Stakeholdermap 37 Standards 224 STEP-Analyse 68 Strategie 42 Strukturdiagramme 193 SWOT-Matrix 73 Taktik 42 Technology Roadmap 85 Theorien 16 Token 233 Tokenisierung 233 Tokenisierungs-System 235 Total Cost of Ownership 57 Übertragung 13 Unified Modeling Language 188, 193 Val IT 57 Verarbeitung 13 Verfügbarkeit 241 Verhaltensdiagramme 193 Vermögensobjekt 216 Verschlüsselung 234, 262 Vertraulichkeit 240 Vision 41 Vorgaben 213 Weiterbildung 214 Werkvertrag 32 Wertgenerierung 215 Wertkette 176 Wertschöpfung 176 Wissen 12 Workstations 147 Zeichen 11 Zertifikate 268 Ziel 42 <?page no="276"?> www.uvk.de E i n B u c h , d a s n i e m a n d e n m e h r r u h i g s c h l a f e n l ä s s t . Schöne neue Welt? Die Datensammelwut der Internetgiganten ist kein Geheimnis - und aufgrund dieser Datenbasis und neuer digitaler Produkte wie Haustechnik, Autoelektronik, Drohnen, digitaler Währungen etc. dringt die New Economy immer weiter in alle Systeme ein. Doch wie sieht eine Welt aus, in der Google, Facebook & Co. als gigantische globale Monopole agieren? Regieren sie längst die Welt? Arno Rolf und Arno Sagawe beschreiben den Weg in die digitale Welt - in die smarte Gesellschaft - und untersuchen auf spannende Weise, ob die digitale Transformation und stabile Gesellschaften überhaupt miteinander vereinbar sind. Arno Rolf, Arno Sagawe Des Googles Kern und andere Spinnennetze Die Architektur der digitalen Gesellschaft 2015, 278 Seiten, flex. Einb. ISBN 978-3-86764-590-4 <?page no="277"?> www.uvk.de Verhandeln wie professionelle Ein- und Verkäufer Der Erfolg gibt ihnen Recht: die Everest- Methode von Jörg Pfützenreuter und Thomas Veitengruber ist bei Konzernen und Mittelständlern gleichermaßen gefragt. Seit Jahren coachen sie Vertriebler und Einkäufer und lassen die eine Seite in die Karten der anderen schauen. Am Ende entscheidet die strategische, taktische und psychologische Raffinesse, wer als Sieger vom Verhandlungstisch aufsteht. Ein Buch für alle, die im Einkauf oder Vertrieb arbeiten und ihr Verhandlungsgeschick um den alles entscheidenden Gipfelmeter voranbringen wollen. Jörg Pfützenreuter, Thomas Veitengruber Die Everest-Methode Professionelles Verhandeln für Ein- und Verkäufer 2015, 230 Seiten, flex. Einb. ISBN 978-3-86764-549-2
