Strategisches GRC-Management: Anforderungen, Forschungsagenda und datenseitiges Modell

„Governance, Risk and Compliance“ (GRC) wird gegenwärtig überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. Die Integrationsmöglichkeiten und strategische Bedeutung von GRC werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert. Die vorliegende Arbeit entwickelt daher ein allgemeines Verständnis für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden Anforderungen hergeleitet, der Forschungsstand analysiert und eine Forschungsagenda entwickelt. Durch eine Delphi-Studie werden die Anforderungen und Forschungsbedarfe priorisiert. Ein datenseitiges Modell stellt die strukturellen Zusammenhänge von GRC auf Informationsebene dar.GRC as an acronym for governance, risk and compliance is currently looked at as a catchword and implemented with short-term, isolated initiatives. GRC is more considered to be a burden for the business and opportunities for integration as well as the strategic relevance of the topic is not recognized, which makes it difficult to realize potential benefits and synergies. Even though first GRC approaches exist, the overall topic area remains quite unstructured and is not narrowed down precisely. Detailed questions, which are relevant for the topic area, like automation of compliance controls and risk measures, modeling of GRC information as well as the determinants of compliance behavior cannot be sorted into their overall context. The research work at hand therefore aims to establish a basic understanding of an integrated and strategically oriented GRC management, which is called strategic GRC management. For this purpose, this research identifies requirements for such an approach based on an exhaustive and structured literature review, discusses the current state of research in this field and develops a research agenda. These research results are evaluated with a three round Delphi study which at the same time determines the importance of the requirements and the research needs and thereby enables its prioritization. Furthermore, a data-centred model for strategic GRC management, which depicts the structural relationships of GRC on the level its information, is constructed. The data model is demonstrated based on an example and evaluated using published practical examples. This research work provides, specifically with the research agenda, various research opportunities. The requirements and the data-centred model enable the assessment and further development of GRC related management systems in company practice.GRC als Akronym für "Governance, Risk and Compliance" wird gegenwärtig in der Unternehmenspraxis überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. GRC wird mehrheitlich als Bürde gesehen und die Integrationsmöglichkeiten sowie die strategische Bedeutung des Themas werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert und die Eingrenzung bleibt vage. Relevante Detailfragen, wie die Automatisierung der Compliance-Sicherung und Risikosteuerung, die Modellierung von GRC-Informationen und die Determinanten des Compliance-Verhaltens können nur schwer in den Gesamtzusammenhang eingeordnet werden. Die vorliegende Arbeit verfolgt daher das Ziel der Grundlegung eines allgemeinen Verständnisses für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden basierend auf einem umfangreichen Literaturreview Anforderungen an das strategische GRC-Management hergeleitet, der Forschungsstand strukturiert analysiert und eine Forschungsagenda entwickelt. Diese Forschungsergebnisse werden durch eine Delphi-Studie bestehend aus drei Befragungsrunden abgesichert. Die Studie bestimmt zudem die Bedeutung der einzelnen Anforderungen und Forschungsbedarfe, wodurch eine Priorisierung ermöglicht wird. Darüber hinaus wird ein datenseitiges Modell für das strategische GRC-Management entwickelt, das die strukturellen Zusammenhänge von GRC auf Informationsebene darstellt. Das Datenmodell wird an Hand eines Beispiels demonstriert und mit Hilfe einer Auswertung von publizierten Praxisbeispielen evaluiert. Die Arbeit stellt durch die Forschungsagenda vielfältige Anknüpfungspunkte für weitere Forschung zur Verfügung. Die Anforderungen sowie das datenseitige Modell ermöglichen eine Bewertung und Weiterentwicklung des GRC-Managements in der Unternehmenspraxis

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Ein Nearshoring-Modell für die Erstellung von IT-Dienstleistungen unter besonderer Berücksichtigung rechtlicher Rahmenbedingungen

Das Outsourcing-Phänomen ist in der heutigen Wirtschaftswelt sehr verbreitet und gleichzeitig sehr kompliziert. IT-Offshoring- und Nearshoring-Projekte bringen zusätzliche Komplexität mit sich. Besonderen Stellenwert hat die Problematik der Rechtsfragen, denn das Recht unterliegt ständigem Wandel. Der technische Fortschritt und die sich ständig ändernden Gesetze fordern die Anpassung der organisatorischen Aspekte des Projektes und des Unternehmens. Benötigt werden aktuelle Modelle, welche das Unternehmen von Anfang an bei den wichtigsten Entscheidungen unterstützen. Diese Masterarbeit befaßt sich mit der Problematik der rechtlichen und organisatorischen Rahmenbedingungen bei der Durchführung von IT-Nearshoring-Projekten und gibt Antworten, welche das Unternehmen bei diesem Prozess unterstützen sollen. Dabei werden die klassischen Rechtsgebiete des Arbeits-, Steuer-, Exportrecht behandelt und es wird näher auf die Problematik des Datenschutzgesetzes innerhalb und außerhalb der Europäischen Union eingegangen. Die organisatorischen Aspekte werden entsprechend dargestellt. Diese unterstützen das Unternehmen bei der Auswahl der Organisationsform, Planung des Projektmanagements und Gestaltung von Verträgen. Die existierenden Ansätze, die die IT-Outsourcing-Projekte unterstützen, werden dargestellt. Näher werden sowohl die Referenzmodelle ITIL V3 und CoBIT, als auch die Standards ISO 27001 und ISO 1900 beschrieben. Der Vergleich der Ansätze ermöglicht dessen Vorteile in einem neuen Modell einzubauen, das genau auf die Bedürfnisse der IT-Nearshoring-Projekte eingeht. Somit wird ein neues IT-Nearshoring Modell entwickelt. Das Ziel des Modells ist die Unternehmen bei der Planung eines IT-Nearshoring-Projektes zu unterstützen und dadurch einen Beitrag an das Projektmanagement zu leisten. Die frühzeitige Erkennung von Einflussfaktoren soll die Risiken minimieren und die Erfolgschancen des Projektes steigern.The phenomenon of outsourcing in today's business world is spread very widely and at the same time it is a very complicated topic. Offshoring and nearshoring in IT projects bring additional complexity to the companies. Special attention must be given to all related legal aspects, because this domain is subject to constant change. Due to the rapid technological progress and changing laws, frequent adaptation of the organizational is required for the aspects of the project management and the organizational structure within the company. There is a strong need for current state-of-the-art models which support the company from the beginning of the project with the most important decisions. This thesis addresses the challenges of legal and organizational frameworks for the implementation of IT nearshoring projects, proves answers and provides guidance to companies, even with regard to the traditional areas of employment law, tax law, export law and other legal aspects. Within this thesis, we will take a deeper look into the issue of data protection law within and outside the European Union. The organizational aspects are represented respectively. These assist the company in choosing the form of the required organizational structure, project planning, project management and negotiation of contracts. The following frameworks and standards are presented within this thesis: ITIL V3, CoBIT, ISO 27001 and ISO 1900. The last part of the thesis is about a newly developed IT nearshoring model. The aim of the model is to support a company in planning a nearshoring IT project and to contribute to the project management. Early detection of factors minimizes risks and maximizes the chances of success of the project

Management und IT: Tagungsband zur AKWI-Fachtagung vom 16. bis 18.09.2012 an der Hochschule Pforzheim

Wirtschaftsinformatik befasst sich mit allen Themen, die an der Schnittstelle zwischen Informatik und Betriebswirtschaft anzutreffen sind. So geht es in der Wirtschaftsinformatik – basierend auf dem Wissen und dem Verstehen der betriebswirtschaftlichen Konzepte und Anwendungen – insbesondere darum, IT-Systeme für die betriebliche Praxis zu entwickeln, einzuführen und zu betreiben. Eine wissenschaftliche Fachtagung, die den Titel „Management und IT“ trägt, setzt an einer solchen Beschreibung der Wirtschaftsinformatik an