Entwicklung eines Kennzahlensystems zur Bestimmung des Reifegrades für eine Zertifizierung nach ISO 20000

Aktuell ist deutlich der Trend zu erkennen, dass sowohl IT-Unternehmen als auch Kunden von ihren Lieferanten ein Zertifikat oder eine Konformitätsbestätigung über die Einhaltung definierter Qualitätsstandards fordern. Um diese Anforderungen zu erfüllen, richten Unternehmen immer häufiger ihre IT-Prozesse nach den in ITIL (IT Infrastructure Library) vorgeschlagenen Best Practices aus. Da allerdings ITIL allein keine verbindliche Norm darstellt, wurde Ende 2005 der international gültige Standard ISO/IEC 20000 veröffentlicht. Diese Norm definiert die Anforderungen an interne als auch externe IT-Service-Provider. Eine Zertifizierung nach ISO/IEC 20000 ermöglicht eine unabhängige Beurteilung von IT-Services und wird bereits in vielen Fällen von Kunden vorausgesetzt. Das Zertifizierungsverfahren stellt ein sehr komplexes und umfangreiches Projekt dar. Die vorliegende Arbeit beschäftigt sich mit der Fragestellung nach einer Meßmethode zur Bestimmung des Zertifizierungsfortschrittes eines ISO/IEC 20000 Zertifizierungsprozesses. Es sollen zuerst bestehende Reifegradmodelle untersucht und hinsichtlich ihrer Aussagekraft in Bezug auf die ISO 20000 Zertifizierung untersucht werden. Ausgehend vom ISO/IEC 20000 Zertifizierungsprozess werden aus ermittelten Messpunkten entsprechende Kennzahlen abgeleitet. Die einzelnen Kennzahlen werden über mathematische Funktionen miteinander verknüpft und als ein Kennzahlensystem abgebildet. Aus der resultierenden Spitzenkennzahl soll der Reifegrad des Zertifizierungsprozesses nach ISO 20000 bestimmt werden können. Als Fallbeispiel soll ein anhand des Unternehmens BOC ausgewähltes IT-Service modelliert werden, damit dieses die Anforderungen einer ISO/IEC 20000 Zertifizierung erfüllt. Für die Modellierung des IT-Service wird das von der BOC-Gruppe entwickelte IT-Management Tool ADOit verwendet. Ziel dieser Arbeit ist die Entwicklung eines Kennzahlensystems, welches den Reifegrad eines ISO-20000-Zertifizierungsprozesses ermittelt.The current trend in IT is to recognize that both IT-enterprises and customers demand a certificate or a proof of conformity concerning the defined quality standards. To fulfil these requirements, enterprises have increasingly implemented their IT processes in accordance with “Best of Practices” suggested by the ITIL (IT Infrastructure Library). However, ITIL does not itself set forth mandatory norms. Therefore, the internationally valid standard ISO/IEC 20000 was published in the end of 2005. This norm defines the demands for internal as well as external IT service providers. A certification after ISO/IEC 20000 allows an independent judgment of IT services and is already required by customers in many cases. The certification procedure constitutes a very complicated and extensive project. This paper proposes a measuring method to determine the progress of an ISO/IEC 20000 certification processes. First, existing maturity models are analyzed in view of the ISO/IEC 20000 certification. Based on the ISO/IEC certification process, measuring points will be defined. Key performance indicators, derived from these points, are linked together using mathematical functions. The degree of progress of the ISO/IEC 20000 certification process should be able to be determined from the resulting top key performance indicator. The case study in this paper describes design and modelling an IT service. The purpose of this case study is to realize compliance to the ISO/IEC 20000 standard. For design and modelling the IT-service the IT-management tool ADOit, developed by the BOC-Group, is used. The purpose of this thesis is to draft a Performance Measurement System which evaluates the progress of the ISO/IEC 20000 certification process

Verfahrenstechnische Bewertung mehrstufiger Abluftreinigungssysteme in der Mastschweinehaltung und deren Zertifizierbarkeit

Ziel der Arbeit war es, die Leistungsfähigkeit einer mehrstufigen Abluftreinigungsanlage, im Rahmen einer Zertifizierungsmessung zu überprüfen und verfahrenstechnisch zu Bewerten. Die Messungen umfassten die Ammoniak- und Staubreduktion sowie die Abscheidungsleistungen von Gerüchen. Das untersuchte Abluftreinigungssystem arbeitet mit drei aufeinander folgenden Reinigungsstufen. Die erste Stufe arbeitet dabei nach dem physikalischen Prinzip und scheidet in erster Linie Staub durch eine Wasserwäsche ab. Die zweite, chemische Stufe dient zur Abscheidung von Ammoniak. In der chemischen Stufe wird Schwefelsäure eingesetzt. Die dritte Stufe reduziert Geruch, durch den Einsatz einer biologischen Schüttung. Diese besteht aus gerissenem Wurzelholz. Die Messungen wurden in zwei Messzeiträumen, nach den Vorgaben des „Leitfadens des Landkreises Cloppenburg zur Feststellung der Eignung von Abluftreinigungsanlagen in der Tierhaltung zur Anwendung in der Genehmigungspraxis und bei der Überwachung“ unter Winter- und Sommerbedingungen durchgeführt. Hierbei wurden jeweils roh- und reingasseitig Messungen durchgeführt und so das Leistungsvermögen der Anlage festgestellt. Die Messungen haben ergeben, dass die untersuchte Abluftreinigungsanlage die an sie gestellten Anforderungen erfüllt und einen großen Teil der Emissionsfaktoren Ammoniak, Staub und Geruch abscheiden kann. Des Weiteren wurde im Rahmen der Arbeit gezeigt, dass die Abluftreinigung im Allgemeinen mit sehr hohen Kosten verbunden ist. Sowohl die Zertifizierung, als auch der Betrieb einer Abluftreinigungsanlage ist sehr kostenintensiv.An Evaluation of Multi-Stage Exhaust Air Cleaning System for Fattening Pig Houses from the Point of View of Process Engineering and Question of Certifiability The aim of this study was to carry out certification measurements to determine the efficiency of a multi-stage exhaust air cleaning system and to evaluate the system’s efficiency from the point of view of process engineering. The measurements were carried out to determine the system’s capacity to reduce the content of ammonia, dust and odour in the exhaust air from fattening pig houses. The exhaust air cleaning system under study consists of three consecutive cleaning stages. The first stage, which operates on the basis of physical principles, uses water for the primary purpose of washing dust from the air. In the second, chemical stage, sulphuric acid is used to remove ammonia. The third stage reduces odours by means of a bio-fill of shredded root wood. Measurements were taken under winter and summer conditions respectively in accordance with the "Guidelines of the Cloppenburg district for determining the suitability of exhaust air cleaning systems in livestock management, for use in building permit procedures and in monitoring". To determine the efficiency of the system under study, measurements were taken in the raw and in the clean gas. The measurements show that the exhaust air cleaning system fulfils its requirements and that it removes a large proportion of the emission factors ammonia, dust, and odour from the air. Moreover, the study showed that exhaust air cleaning generally involves large costs. Both the certification and the operation of exhaust air cleaning systems are very cost-intensive

10. Interuniversitäres Doktorandenseminar Wirtschaftsinformatik Juli 2009

Begonnen im Jahr 2000, ist das Interuniversitäre Wirtschaftsinformatik-Doktorandenseminar mittlerweile zu einer schönen Tradition geworden. Zunächst unter Beteiligung der Universitäten Leipzig und Halle-Wittenberg gestartet. Seit 2003 wird das Seminar zusammen mit der Jenaer Universität durchgeführt, in diesem Jahr sind erstmals auch die Technische Universität Dresden und die TU Bergakademie Freiberg dabei. Ziel der Interuniversitären Doktorandenseminare ist der über die eigenen Institutsgrenzen hinausgehende Gedankenaustausch zu aktuellen, in Promotionsprojekten behandelten Forschungsthemen. Indem der Schwerpunkt der Vorträge auch auf das Forschungsdesign gelegt wird, bietet sich allen Doktoranden die Möglichkeit, bereits in einer frühen Phase ihrer Arbeit wichtige Hinweise und Anregungen aus einem breiten Hörerspektrum zu bekommen. In den vorliegenden Research Papers sind elf Beiträge zum diesjährigen Doktorandenseminar in Jena enthalten. Sie stecken ein weites Feld ab - vom Data Mining und Wissensmanagement über die Unterstützung von Prozessen in Unternehmen bis hin zur RFID-Technologie. Die Wirtschaftsinformatik als typische Bindestrich-Informatik hat den Ruf einer thematischen Breite. Die Dissertationsprojekte aus fünf Universitäten belegen dies eindrucksvoll.

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Prozess der ITIL Einführung am Beispiel eines IT-Dienstleisters

In den Unternehmen hat sich die IT (Information Technologie) zu einem kritischen Produktionsfaktor entwickelt. Dem muss man Rechnung tragen und dem entsprechend die IT Entscheidungen, Bereitstellung und Betrieb so standardisieren, damit alles nachvollziehbar und transparent bleibt, um damit eine wichtiges Firmenfundament dauerhaft zu sichern und weiter zu entwickeln. ITIL (Information Technologie Infrastructure Library) stellt ein Sammlung von Best Practice und daraus abgeleiteten Prozessen dar, welche auf ein Unternehmen angepasst eingesetzt werden können, um genau die gewünschte Sicherheit und Kontinuität der IT zu gewährleisten. Die vorliegende Arbeit beschäftigt sich mit dem Prozess der Einführung von ITIL am Beispiel eines IT Dienstleisters und dessen Auswirkungen. Sie untersucht den realen Einführungsprozess in der Fallstudie und zeigt die wesentlichen Erfahrungen auf. Es werden nicht die einzelnen ITIL Prozesseinführungen im Detail betrachtet, sondern die Auswirkungen der gesamten ITIL Maßnahmen im Bereich der zentralisierten IT. Aufgrund der Untersuchungsergebnisse werden grundsätzliche Empfehlungen für eine ITIL Einführung erarbeitet. Der Grundlagenteil stellt ITIL Version 2 (v2) und ITL Version 3 (v3) kurz vor und für die Version 3 werden die Erweiterungen in Bezug auf ITIL v2 kurz beschrieben. Die Grundlagen des Wissensmanagements wurden ebenfalls erarbeitet, um die Auswirkungen des Einführungsprozesses auf die Wissensbasis des Betriebes ebenfalls diskutieren zu können. In der Fallstudie wurden die Auswirkungen des Einführungsprozess im Bereich der zentralisierten IT aus drei verschiedenen Blickwinkeln betrachtet. Es wurde die Ausgangslage und der Einführungsprozess einmal aus der Service-Desk Sicht, einmal aus der Sicht eines IT-Services und einmal aus der Sicht des Managements des Bereiches der zentralisierten IT heraus beschrieben. Die wichtigsten Auswirkungen für jeden dieser drei Bereiche werden anschließend dargestellt und die wichtigsten allgemeinen Auswirkungen herausgearbeitet. Der Schluss der Arbeit stellt einerseits eine Reihe von Maßnahmen für eine erfolgreiche Einführung des ITIL Ansatzes in einem Unternehmen dar und andererseits auch Optimierungsmöglichkeiten im Fallstudienbetrieb.The present work deals with the process of introducing ITIL (IT Infrastructure Library) best practices, from the viewpoint of an IT service provider. The basic portion of ITIL version 2 and ITL version 3 will be a briefly introduced and their modules described. The bases of the knowledge management where also developed, in order to be able to discuss the effects of the introduction of the knowledge base into the enterprise. In the case study of the introduction process, effects where observed from three different viewpoints. Initially the introductory process was described from the Service-Desk viewpoint, then from the viewpoint of IT services and finally from the viewpoint of the service management. Then the most important effects for all three viewpoints were represented and then finally the most important general effects were described. In conclusion the most important measures necessary for the introduction of an ITIL approach in the enterprise where presented

Kritische Betrachtung der Sicherheitsaspekte von BPM in der Cloud

Das Thema Cloud Computing hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere Klein- und mittelständische Firmen können von der Cloud profitieren, da z.B. weniger in den Aufbau einer eigenen IT investiert werden muss. Die Kombination von BPM und Cloud Computing steht allerdings noch am Anfang ihrer Entwicklung. Zwar bieten schon einige Unternehmen BPM in der Cloud an (BPMaaS) und der Markt wächst stetig aber das Angebot ist momentan noch überschaubar, in Bezug auf Benutzung und Entwicklung. Der Vorteil Geschäftsprozesse in der Cloud zu bearbeiten geht Hand in Hand mit den Vorteilen des Cloud Computing im Allgemeinen. Allerdings muss auch, ungeachtet der Vorteile, die die Cloud mit sich bringt, genau bedacht werden, welche Daten in die Cloud übermittelt werden und welcher Cloudanbieter ausgewählt wird. Insbesondere der Datenschutz und die Datensicherheit spielen hier eine große Rolle. Denn wenn in Deutschland personenbezogene Daten in die Cloud ausgelagert werden, müssen diese gemäß den Regelungen des Bundesdatenschutzgesetzes behandelt werden. Da der Cloudnutzer für den Schutz dieser Daten verantwortlich bleibt, auch wenn diese auf den Servern des Cloud Service Provider liegen, besteht hierbei große Vorsicht bei der Auswahl des Cloudanbieters. Vor allem wenn die Server desjenigen außerhalb des Europäischen Wirtschaftsraumes (EWR) liegen, wie z.B. in den USA, da dort ein weitaus geringeres Datenschutzniveau besteht als in Deutschland. Das Ziel dieser Diplomarbeit ist es, diese Schwierigkeiten in Bezug auf Datenschutz und Datensicherheit offenzulegen. Mittels eines Kriterienkataloges werden die wichtigsten Anforderungen und Sicherheitskriterien an die Cloud aufgelistet und mit denen der Cloudanbieter verglichen und eingeordnet. Vor diesem Hintergrund werden auch Möglichkeiten betrachtet, inwiefern und mit welchen Mitteln sensible Daten anonymisiert werden können, um eine rechtskonforme Speicherung der Daten, gemäß dem Bundesdatenschutzgesetzes, gewährleisten zu können.The topic of cloud computing became more important in the last few years, especially in relation to small enterprises, because they can benefit from the advantages of the Cloud, such as less investment in the own IT infrastructure. But the combination of BPM and Cloud Computing is only just beginning to develop. Although some companies offer Business Process Management in the Cloud and the market continues to grow, but the offer is relatively modest. The benefits of moving business processes into the cloud (such as BPMaaS) are the same as those which offers cloud computing in general. What need to be considered, however, is which data is to be outsourced in the cloud and which provider needs to be selected. In particular, data protection and data security play an important role in this topic. If german personal data are transferred into the cloud, the data must be treated in accordance with the German Federal Data Protection Act. The cloud computing user stays responsible for all content and data, even if this data will be stored on the provider’s server, so caution is also recommended in this case. Especially when these servers are outside of the European Economic Area, such as USA, because there consist a much lower level of data privacy protection than in Germany. The purpose of this diploma thesis is to explore these difficulties in relation to data protection and data security. By means of a catalog of criteria, the most important requirements and security criteria will be listed and compared with those of the provider. Against this background a number of possible opportunities for a concept of "anonymization" of data are considered, to secure that the data storage complies with legal requirements, such as the German Federal Data Protection Act