Konzeption eines SOA-Repository mit Analysefähigkeiten

In einer SOA werden bereitgestellte Services von Servicenutzern, etwa fremden IT-Systemen konsumiert. Eine Serviceänderung bzw. -abschaltung kann solche Servicenutzer schwer beein¬trächtigen. Deshalb müssen diese vor einem solchen Eingriff ermittelt werden, wozu das SOA-Repository genutzt werden kann. Allerdings ist bei umfangreichen SOA-Repositories schwer erkennbar, welche IT-Systeme (evtl. indirekt) in welchem Zeitraum betroffen sein werden. Da diese Pro-blem¬stellung in der bisherigen SOA-Literatur nicht betrachtet wird, stellen wir ein Lösungskonzept vor. Es ermöglicht automatisierte Analysen, um in den Daten ent-haltene Problemsituationen zu identifizieren (Ist-Analysen), und auch, um Aus¬wir-kungen zukünftig durchzuführender Serviceänderungen zu simulieren (Planspiele)

Erhöhung der System-Stabilität und -Flexibilität durch ein SOA-Repository mit Analysefähigkeiten

In einer Service-orientierten Architektur (SOA) werden bereitgestellte Services von Servicenutzern, etwa fremden IT-Systemen, konsumiert. Eine Serviceänderung bzw. -abschaltung kann solche Servicenutzer schwer beeinträchtigen. Deshalb müssen diese vor einem solchen Eingriff ermittelt werden, wozu das SOA-Repository genutzt werden kann. Allerdings ist bei umfangreichen SOA-Repositories schwer erkennbar, welche IT-Systeme (evtl. indirekt) in welchem Zeitraum betroffen sein werden. Da diese Problemstellung in der bisherigen SOA-Literatur nicht betrachtet wird, stellen wir ein Lösungskonzept vor. Es ermöglicht automatisierte Analysen, um in den Daten enthaltene Problemsituationen identifizieren zu können (Ist- Analysen), und auch um Auswirkungen zukünftig durchzuführender Serviceänderungen zu simulieren (Planspiele)

Herausforderungen eines serviceorientierten BI Framework und die Effekte auf die Data Literacy von Anwendern in einem Unternehmen

Unternehmen sind bemüht komplexe Zusammenhänge zwischen externen und internen Variablen zu analysieren und für profitable Zwecke zu nutzen. Business Intelligence (BI) und serviceorientierte Business Intelligence (SoBI) Systeme sind bedeutende Konzepte für eine verbesserte Datenanalyse und effektive Entscheidungsfindung. Diese Arbeit untersucht die Zusammenhänge zwischen BI-Ordnungsrahmen und der Data Literacy von Anwendern. Daher wurden die Auswirkungen von BI und anderen Informationstechnologieansätzen auf die Lernkurve der Mitarbeitenden und der BI-Systeme untersucht. Die erste Forschungsfrage befasst sich mit den Herausforderungen, welche ein Unternehmen bei der Implementierung eines SoBI-Frameworks hat und wie die Lernkurve der Mitarbeitenden und der BI-Systeme bei der Umsetzung des BI-Konzepts gefördert werden können. Die zweite Forschungsfrage befasst sich mit d en Effekten einer BI-Architektur auf die Data Literacy der Mitarbeitenden in einem in der Schweiz tätigen Grossunternehmen. Hinsichtlich des Vorgehens verwendet diese Arbeit eine Kombination aus Literaturrecherche, Mixed-Methods Forschung und die Erstellung sowie Analyse eines Strukturgleichungsmodells (SEM). Die Mixed-Methods Forschungsmethode umfasst eine Umfrageerhebung, welche sich aus einer qualitativen Vignettenforschung und einer quantitativen Likert-Skala-Umfrage zusammensetzt. Als Grundlage für das SEM dient die Umfrageerhebung. Das Resultat der Literaturrecherche ist ein SoBI-Referenzarchitektur für Unternehmen, welche den Datenaustausch, die Analytik und die Entscheidungsunterstützung verbessert. Zudem zeigen die Resultate, dass der Einsatz von prädiktiven Business Analytics Systemen in einer SoBI-Architektur die Lernkurve der Mitarbeitenden und des BI-Systems fördern kann. Des Weiteren verbessert eine SoBI-Architektur die Data Literacy der Mitarbeitenden und die Qualität der Unternehmensprozesse. Eine Kombination aus BI und Decision Intelligence, basierend auf Artificial Intelligence und Machine Learning, führt zu einem «intelligenten» Unternehmen. Die Resultate der Vignettenforschung haben ergeben, dass 40% der Teilnehmenden auf die Berechnungen der internen BI-Tools des Unternehmens vertrauen. Die Resultate des SEM bestätigen die Hypothesen H1, H2 und H4. Diese besagen, dass ein Unternehmen mit einer SoBI-Architektur neue Prozesse einfacher umsetzen, Mitarbeitende dabei unterstützen kann die Prozesse besser und schneller zu lernen, sowie eine höhere Qualität und schnellere Durchführung der Prozesse ermöglicht. Die Hypothese H3 konnte nicht von dem SEM bestätigt werden. Jedoch konnte diese von der Literaturrecherche verifiziert werden und definiert, dass eine SoBI-Architektur zu einer erhöhten Datenqualität führt. Diese Arbeit empfiehlt Unternehmen in die Entwicklung einer SoBI-Architektur zu investieren. Zudem generiert diese Masterarbeit einen Mehrwert für alle Unternehmen, welche die erarbeitete SoBI-Referenzarchitektur nutzen und die eigene BI-Architektur ausbauen oder eine SoBI-Architektur von Grund auf implementieren möchten. Die begrenzte Stichprobengrösse der Umfrageerhebung ist eine ausschlaggebende Limitation dieser Arbeit. Die Ergebnisse basieren auf spezifischen Merkmalen des untersuchten Unternehmens und sind daher in Bezug auf externe Validität eingeschränkt. Empirische Untersuchungen sind notwendig, um die Wirksamkeit des SoBI-Frameworks und der Ansätze zur Förderung der Lernkurve der Mitarbeitenden und der BI-Implementierung zu bestätigen

Robuste und kontextbezogene Ausführung mobiler Aktivitäten in Prozessumgebungen

IT-Trendanalysten sehen das Thema "Mobilität" als eine wichtige Säule nachhaltiger IT-Lösungen. Der Trend in Richtung mobiler IT-Anwendungen wird maßgeblich durch Millenials getrieben, d.h. Menschen die mit dem digitalen Zeitalter aufgewachsen sind. Diese erwarten insbesondere auch eine Integration von Smart-Mobilgeräten in bestehende IT-Lösungen. In Bezug auf Prozess-Management-Technologie bedeutet dieser Trend, dass Smart-Mobilgeräte in IT-gestützte Arbeits- bzw. Prozessabläufe nahtlos integriert werden können müssen. Insbesondere sollten sowohl einzelne Aktivitäten (d.h. Prozessschritte) als auch ganze Prozessfragmente (d.h. Ausschnitte eines Prozesses) auf Smart-Mobilgeräten ausführbar sein. Die vorliegende Arbeit adressiert eine solche Integration von Prozess-Management-Technologie und Smart-Mobilgeräten. Konkret wird untersucht, wie ausgewählte Aktivitäten eines Prozesses robust und kontextbezogen auf Smart-Mobilgeräten ausgeführt werden können und welche weitergehenden Anforderungen sich für mobil ausgeführte Aktivitäten im Vergleich zur Ausführung von Aktivitäten auf stationären Systemen ergeben. Da Smart-Mobilgeräte beschränkte Ressourcen besitzen und das Risiko eines Ausfalls höher als bei stationären Systemen ist, erfordern diese Aspekte tiefergehende Untersuchungen. Darüber hinaus erfordert die Unterstützung mobiler Aktivitäten eine technische Umgebung, in der Prozesse ausgeführt werden (sog. Prozessumgebung). Die Arbeit zeigt, dass die nahtlose Integration von Smart-Mobilgeräten in eine Prozessumgebung einen mobilen Kontext (d.h. Attribute wie z.B. Ausführungsort, Geräteeigenschaften und Netzverbindung) erfordert. Auf dessen Basis wird ein umfassendes Rahmenwerk eingeführt, mit dem sich mobile Aktivitäten robust und kontextbezogen in einer Prozessumgebung ausführen lassen. Das Rahmenwerk fußt auf fünf technischen Säulen, deren Konzepte die robuste und kontextbezogene Ausführung bewerkstelligen. Darüber hinaus wird gezeigt, wie sich die vorgestellte Lösung in existierende Prozess-Management-Technologie integrieren lässt. Insgesamt eröffnet eine robuste und kontextbezogene Ausführung mobiler Aktivitäten in einer Prozessumgebung neue Perspektiven für die Einbindung von Endanwendern in ihre Prozesse

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Vereinigung von detaillierten Teilmodellen in einer flexiblen Enterprise Architecture zur übergreifenden Analyse: Ableitung des Bedarfs an Handlungen für einen durch Kennzahlen beschriebenen Untersuchungskontext

Modelle haben sich zu Dokumentationszwecken bewährt, existieren in der Praxis aber oftmals losgelöst voneinander. Durch die wachsende Komplexität in den Unternehmen reicht jedoch eine getrennte Betrachtung nicht mehr aus. Das Zusammenspiel der Unternehmensbestandteile muss bei Entscheidungen berücksichtigt werden. Eine Enterprise Architecture (EA) eignet sich zur Herstellung einer übergreifenden Sichtweise. Wobei hauptsächlich aggregierte Inhalte enthalten sind, die manuell erstellt werden. Damit ist die EA ein weiteres Datensilo. Durch das Fehlen detaillierter Informationen in der EA sind außerdem die Möglichkeiten einer ganzheitlichen Analyse begrenzt. Die vorliegende Arbeit entwickelt daher ein Gesamtkonzept, um Detailinhalte zu vernetzen und übergreifende Analysen zu ermöglichen. Insbesondere werden auch Datenwerte (z.B. Kosten) einbezogen. Eine Indirektstufe kann die Teilmodelle lose verknüpfen. Zugleich dient ein einfaches EA-Vokabular als neutrale Begriffsschicht. Mithilfe der Technologien des Semantic Web entsteht so eine integrierte Datenbasis. Sie positioniert sich als Ebene oberhalb der Datenquellen. Anschließend kann eine übergreifende Analyse erfolgen, in der alle Inhalte kombiniert werden. Zur Konkretisierung des Ansatzes fokussiert sich die Arbeit auf die Ableitung des Bedarfs an Handlungen. Mit der Importance-Performance-Analyse wird ein Verfahren aus dem Qualitätsmanagement von Dienstleistungen entliehen und auf die EA-Analyse übertragen. Die Berechnung basiert auf flexibel zu beschreibenden Kennzahlen, bei deren Definition das EA-Vokabular verwendet wird. Als Ergebnis werden Gesamtratings für alle Untersuchungsobjekte ausgewiesen. Sie sagen etwas über einen Handlungsbedarf und die Dringlichkeit aus. Auch die Analyse basiert auf Technologien des Semantic Web. Als Nachweis der Realisierbarkeit wurde der Ansatz in einem Prototyp umgesetzt. Außerdem wird ein praxisnaher Anwendungsfall einer Digitalisierungsinitiative bei einer Versicherung skizziert