Externe Qualitätssicherung epidemiologischer Gesundheitsstudien

Eine zuverlässig hohe Qualität ist eine wesentliche Grundlage für das Vertrauen in epidemiologische Studien. Die „Leitlinien und Empfehlungen zur Sicherung von Guter Epidemiologischer Praxis (GEP)“ der Deutschen Gesellschaft für Epidemiologie (DGEpi) enthalten daher Anforderungen an die Qualitätssicherung epidemiologischer Studien. Für die Umsetzung einer externen Qualitätssicherung gibt es jedoch bislang keinen national oder international konsentierten Standard. Das Handbuch „Externe Qualitätssicherung epidemiologischer Gesundheitsstudien – Ein Handbuch für die praktische Umsetzung“ wurde erstellt, um zu diesem Thema eine adäquate Literatur anzubieten und der Weiterentwicklung einer standardisierten externen Qualitätssicherung epidemiologischer Studien einen Anstoß zu geben. Im Kontext epidemiologischer Studien werden in dem Handbuch grundlegende Qualitätsbegriffe (wie „Qualität“, „Qualitätsmanagement“, „Qualitätssicherung“) definiert, relevante Inhalte aus DIN-Normen aufgeführt sowie die Planung, Anforderungen an Teammitglieder, Aufgaben und Werkzeuge einer externen Qualitätssicherung beschrieben

Prozess der ITIL Einführung am Beispiel eines IT-Dienstleisters

In den Unternehmen hat sich die IT (Information Technologie) zu einem kritischen Produktionsfaktor entwickelt. Dem muss man Rechnung tragen und dem entsprechend die IT Entscheidungen, Bereitstellung und Betrieb so standardisieren, damit alles nachvollziehbar und transparent bleibt, um damit eine wichtiges Firmenfundament dauerhaft zu sichern und weiter zu entwickeln. ITIL (Information Technologie Infrastructure Library) stellt ein Sammlung von Best Practice und daraus abgeleiteten Prozessen dar, welche auf ein Unternehmen angepasst eingesetzt werden können, um genau die gewünschte Sicherheit und Kontinuität der IT zu gewährleisten. Die vorliegende Arbeit beschäftigt sich mit dem Prozess der Einführung von ITIL am Beispiel eines IT Dienstleisters und dessen Auswirkungen. Sie untersucht den realen Einführungsprozess in der Fallstudie und zeigt die wesentlichen Erfahrungen auf. Es werden nicht die einzelnen ITIL Prozesseinführungen im Detail betrachtet, sondern die Auswirkungen der gesamten ITIL Maßnahmen im Bereich der zentralisierten IT. Aufgrund der Untersuchungsergebnisse werden grundsätzliche Empfehlungen für eine ITIL Einführung erarbeitet. Der Grundlagenteil stellt ITIL Version 2 (v2) und ITL Version 3 (v3) kurz vor und für die Version 3 werden die Erweiterungen in Bezug auf ITIL v2 kurz beschrieben. Die Grundlagen des Wissensmanagements wurden ebenfalls erarbeitet, um die Auswirkungen des Einführungsprozesses auf die Wissensbasis des Betriebes ebenfalls diskutieren zu können. In der Fallstudie wurden die Auswirkungen des Einführungsprozess im Bereich der zentralisierten IT aus drei verschiedenen Blickwinkeln betrachtet. Es wurde die Ausgangslage und der Einführungsprozess einmal aus der Service-Desk Sicht, einmal aus der Sicht eines IT-Services und einmal aus der Sicht des Managements des Bereiches der zentralisierten IT heraus beschrieben. Die wichtigsten Auswirkungen für jeden dieser drei Bereiche werden anschließend dargestellt und die wichtigsten allgemeinen Auswirkungen herausgearbeitet. Der Schluss der Arbeit stellt einerseits eine Reihe von Maßnahmen für eine erfolgreiche Einführung des ITIL Ansatzes in einem Unternehmen dar und andererseits auch Optimierungsmöglichkeiten im Fallstudienbetrieb.The present work deals with the process of introducing ITIL (IT Infrastructure Library) best practices, from the viewpoint of an IT service provider. The basic portion of ITIL version 2 and ITL version 3 will be a briefly introduced and their modules described. The bases of the knowledge management where also developed, in order to be able to discuss the effects of the introduction of the knowledge base into the enterprise. In the case study of the introduction process, effects where observed from three different viewpoints. Initially the introductory process was described from the Service-Desk viewpoint, then from the viewpoint of IT services and finally from the viewpoint of the service management. Then the most important effects for all three viewpoints were represented and then finally the most important general effects were described. In conclusion the most important measures necessary for the introduction of an ITIL approach in the enterprise where presented

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Digitalisierung souverän gestalten II

Dieses Buch ist eine Open-Access-Publikation unter einer CC BY 4.0 Lizenz. Unter dem Titel „Digitalisierung souverän gestalten“ wirft der zweite Themenband des Instituts für Innovation und Technik (iit) einen schlaglichtartigen Blick auf die Transformation von digitalen Wertschöpfungsnetzwerken und deren Potenziale. In insgesamt elf Beiträgen beleuchten Expert:innen aus verschiedenen Disziplinen Ansätze hybrider und humanzentrierter künstlicher Intelligenz (KI), praxisnahe Konzepte für eine zielgerichtete Kompetenzentwicklung in Betrieben sowie digitale Innovationen im Werkzeug- und Formenbau. Neben zahlreichen Use Cases werden dabei auch Antworten auf juristische Fragen zur Regulierung und Zertifizierung von KI gegeben

Reifegradmodelle für Werkzeuglandschaften zur Unterstützung von ITSM-Prozessen

Dienstleister aus dem Bereich der Informationstechnologie (IT) stehen vor der großen Herausforderung, immer komplexere IT-Dienste kostengünstig anzubieten und diese effizient zu betreiben. Um dies zu erzielen, führt die Disziplin des IT-Service-Management (ITSM) strukturierte Managementprozesse ein. Werkzeuge unterstützen diese und stellen eine wichtige Schnittstelle zwischen Mensch, Prozess und Technik dar. Mit diesen Werk- zeugen lassen sich Prozesse koordinieren, die Technik effizient verwalten und wichtige Informationen für den Betrieb zusammenzuführen. Der geeignete Einsatz von Werkzeugen ist eine wesentliche Voraussetzung, um komplexe Aufgaben mit möglichst geringem Aufwand durchzuführen. Effizientes ITSM verfolgt somit auch stets das Ziel, Werkzeuge optimal einzusetzen und die ITSM-Prozesse sinnvoll zu unterstützen. Im Rahmen der Arbeit wird ein Ansatz vorgestellt, um den Einsatz von Werkzeugen entsprechend zu optimieren. Kern des Lösungsansatzes ist die Definition eines Reifegradmodells für Werkzeuglandschaften. Mit diesem lassen sich Werkzeuglandschaften begutachten und die Unterstützung der ITSM-Prozesse systematisch bewerten. Das Resultat ist eine gewichtete Liste mit Anforderungen an die Werkzeuglandschaft, um eine möglichst gute Prozessunterstützung zu erreichen. Aufgrund der Priorisierung der Anforderungen ist ein IT-Dienstleister nicht gezwungen, die Werkzeuglandschaft komplett in einem großen Schritt anzupassen. Stattdessen können die Verbesserungen sukzessive vorgenommen werden. Das Reifegradmodell unterstützt systematisch dabei, zunächst die wichtigsten Anforderungen umzusetzen, so dass die ITSM-Prozesse effektiv arbeiten können. Die Steigerung der Effizienz erfolgt dann in weiteren Schritten, indem zusätzliche Anforderungen umgesetzt werden. Die Erstellung eines solchen Reifegradmodells wird im Folgenden beschrieben. Zunächst wurden Anforderungen an einen geeigneten Lösungsansatz analysiert und ein Konzept für ein Reifegradmodell erarbeitet. Darauf aufbauend ist dieses Konzept beispielhaft angewendet worden, um ein Reifegradmodell für Werkzeuglandschaften zur Unterstützung von Prozessen nach ISO/IEC 20000 zu entwickeln. Die Arbeit schließt mit einer Evaluation des Lösungsansatzes ab, wobei das entwickelte Reifegradmodell empirisch in einem Szenario eines IT-Dienstleisters angewendet wurde. Mit der vorliegenden Arbeit wird die Grundlage für ein ganzheitliches und integriertes Management der Werkzeuglandschaft von IT-Dienstleistern geschaffen. Künftige Arbeiten können diese Methodik für spezifische Anwendungsszenarien übernehmen. Langfristig soll diese Arbeit als Grundlage dienen, um ein standardisiertes Reifegradmodell für Werkzeuglandschaften im Kontext von ITSM zu etablieren

Risk governance in organizations

Dieses Buch dokumentiert 10 Jahre Risk-Governance-Forschung an der Universität Siegen. In 50 Beiträgen reflektieren Forscher und Praktiker Risk Governance vor dem Hintergrund ihrer eigenen Forschungen und/oder Erfahrungen und geben jeweils einen Entwicklungsimpuls für die Zukunft der Risk Governance. Das Buch zeigt die große Bandbreite und Tiefe des Forschungsgebietes auf und diskutiert Grundannahmen, Implementierungsfragen, die Rolle der Risk Governance als Transformationsmotor, ihre Wirkung in den verschiedenen betrieblichen Funktionen, Entwicklungsperspektiven und den Beitrag der Risk Governance zu einer nachhaltigen Ausrichtung von Unternehmen.This book documents 10 years of risk governance research at the University of Siegen. In 50 contributions, researchers and practitioners reflect on risk governance against the background of their own research and/or experience and provide a development impetus for the future of risk governance. The book shows the wide range and depth of the research field and discusses basic assumptions, implementation issues, the role of risk governance as transformation engine, its impact in the various operational functions, development perspectives, and the contribution of risk governance to a sustainable orientation of companies

Chancen und Risiken der Digitalisierung kritischer kommunaler Infrastrukturen an den Beispielen der Wasser- und Abfallwirtschaft. Endbericht zum TA-Projekt

Im Mittelpunkt des TAB-Arbeitsberichts Nr. 205 steht der Einsatz digitaler Lösungen für zentrale Aufgaben der kommunalen Abfall- und Wasserwirtschaft. Der Bericht informiert für beide Bereiche über den aktuellen Stand der Technik und die Perspektiven der Digitalisierung. Für die Wasserwirtschaft wird der mögliche Nutzen digitaler Lösungen zur Bewältigung von Ausnahmesituationen untersucht. Darüber hinaus werden die Anfälligkeiten der Versorgungsinfrastrukturen der Wasserwirtschaft gegenüber Cyberangriffen und anderen IT-bedingten Störungen diskutiert sowie der aktuelle Stand der Informationssicherheit und der diesbezügliche Handlungsbedarf identifiziert. Abschließend werden Gestaltungsoptionen skizziert und ein möglicher Orientierungsrahmen speziell für politisches Handeln aufgezeigt, um den digitalen Fortschritt nachhaltig zu gestalten. Dem Bericht ist eine 20-seitige Zusammenfassung vorangestellt. Zentrale Ergebnisse sind auf vier Seiten im zugehörigen TAB-Fokus (s.u. Relation in KITopen) zusammengestellt