Information-Security-Business-Performance- Measurement und -Management im Kontext von Compliance und Unternehmungszielen.

Transkript

1 Information-Security-Business-Performance- Measurement und -Management im Kontext von Compliance und Unternehmungszielen Sebastian Sowa

2 Bibliografische Informationen der Deutschen Nationalbibliothek Die Deutschen Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Sowa, Sebastian: Information-Security-Business-Performance-Measurement und -Management im Kontext von Compliance und Unternehmungszielen Bochum: Institut für Sicherheit im E-Business (ISEB), Bochum 2009 Zugl.: Bochum, Univ., Diss., 2009 ISBN Institut für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum, Bochum 2009 ISEB-Buchreihe Band 4 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB) an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Die vorliegende Arbeit ist am Institut für Sicherheit im E-Business (ISEB) der Ruhr-Universität Bochum mit finanzieller Unterstützung der Horst Görtz Stiftung entstanden und wurde 2009 als Dissertation an der Fakultät für Wirtschaftswissenschaft angenommen.

3 Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Die Themen Sicherheit im E-Business im Speziellen und Informationssicherheit im Allgemeinen entwickeln sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg von Unternehmungen und öffentlichen Institutionen. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E- Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business sowie von Informationssicherheit in Unternehmungen und öffentlichen Institutionen zu erforschen. Im Vordergrund stehen wirtschaftswissenschaftliche Analysen, organisatorische Gestaltungsaufgaben und die Gewährleistung von Datenschutz für die beteiligten Personen, was stets in den interdisziplinären Kontext der Informationssicherheit eingebettet wird. Beispiele sind das Informationsrisiko- und Informationssicherheitsmanagement oder auch Fragestellungen der Informationssicherheit und des Vertrauens im Online-Handel. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen betrieben, zum Beispiel durch gemeinsame Projekte. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Informatiker, Juristen und Soziologen aus Wissenschaft und Praxis. Das ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D Bochum Tel.: +49 (0) Fax: +49 (0)

4

5 Geleitwort In den letzten Jahren hat das Thema Informationssicherheit in Unternehmungen zunehmend an Bedeutung gewonnen. Um die verarbeiteten Informationen vor unberechtigter Einsicht und Veränderung sowie die zur Informationsverarbeitung eingesetzten Informationssysteme adäquat zu schützen, werden erhebliche Anstrengungen unternommen und Ressourcen investiert. Aufgrund dessen ist die Aufmerksamkeit an jenen Forschungsbeiträgen gewachsen, die sich nicht nur mit technischen, sondern insbesondere auch mit ökonomischen Fragestellungen rund um die Informationssicherheit und das Informationssicherheitsmanagement beschäftigen. Diesen Beiträgen ist auch die vorliegende Dissertationsschrift von Herrn Dr. Sebastian Sowa zuzurechnen, in der ein multidimensionales Modell für das Informationssicherheitsmanagement im Zentrum steht, das technische und ökonomische Perspektiven miteinander verbindet. Das in seiner Arbeit von Herrn Dr. Sebastian Sowa entwickelte Modell ermöglicht es, die Gesamtmenge der heterogenen Anforderungen an das Informationssicherheitsmanagement in ein mehrdimensionales Zielsystem zu überführen und bietet zudem die Möglichkeit, diese Ziele mit Kennzahlen zur Leistungsmessung und Maßnahmen zur Leistungserhaltung oder -steigerung zu verknüpfen. Damit verbunden ist ein Managementansatz, der systematisch und präzise die ablaufund aufbauorganisatorischen Gestaltungselemente für das Information-Security- Business-Performance-Measurement beschreibt. In exzellent strukturierter Vorgehensweise und unter hervorragender Berücksichtigung der Herausforderungen und Treiber des Informationssicherheitsmanagements gelingt es Herrn Dr. Sebastian Sowa eindrucksvoll, einen Lösungsansatz für eine zentrale Forschungslücke im betriebswirtschaftlich orientierten Informationssicherheitsmanagement zu präsentieren, ohne hierbei den bedeutenden Praxisbezug zu vernachlässigen. Entsprechend herausragend ist zu bewerten, dass der vom Autor entwickelte Ansatz sowohl aus Theorie- als auch Praxissicht bedeutende Innovationen mit sich bringt. Mit der sehr anspruchsvollen Arbeit liefert Herr Dr. Sebastian Sowa wertvolle Hilfestellung beim Aufbau und Betrieb eines (auch) ökonomisch ausgerichteten, multidimensionalen Informationssicherheitsmanagements, was gegenwärtig wie auch in naher Zukunft von hoher Relevanz ist. Ich wünsche der äußerst fundiert recherchierten Untersuchung daher eine erfolgreiche Aufnahme in Wissenschaft und Praxis. Bochum, November 2009 Roland Gabriel

6

7 Vorwort In meinem Studium der Wirtschaftswissenschaft an der Ruhr-Universität Bochum hatte ich durch wissenschaftliche und praktische Tätigkeiten bereits sehr zeitnah Einblicke in die für mich spannende Schnittstelle zwischen betrieblichen Funktionen, unterstützenden Informationstechnologien und deren Sicherheit. Sowohl in meiner Diplomarbeit als auch in der vorliegenden Dissertation konnte ich mich dann auch ausführlich mit ökonomischen Herausforderungen beschäftigen, die in Theorie und Praxis weiter an Gewicht gewinnen. Für die Chance, meine fachlichen Interessen als Wissenschaftlicher Mitarbeiter an der Ruhr-Universität Bochum einbringen und ausbauen zu können und für die Unterstützung und den nicht selbstverständlichen großen Freiraum bei der Gestaltung und Durchführung meines Promotionsprojekts, möchte ich meinem Doktorvater Prof. Dr. Roland Gabriel meinen herzlichen Dank aussprechen. Auch für die aktive Förderung, einen Forschungsaufenthalt an der UCLA Anderson School of Management einlegen zu können, möchte ich mich aufrichtig bei ihm bedanken. Ferner gilt mein Dank meinem Zweitprüfer Prof. Dr. Stephan Paul und Drittprüfer Prof. York Tüchelmann für die sehr interessanten Gespräche. Des Weiteren möchte ich mich vor allem bei Dr. Roland Düsing und Dr. Jochen Wiedemann, die mir beide mit größtem Engagement fachlich und persönlich zur Seite standen, für die zahlreichen spannenden, konstruktiven und was ich sehr schön fand oft humorvollen Gespräche bedanken, die sehr zum erfolgreichen Abschluss meines Promotionsvorhabens beigetragen haben. Ebenfalls großer Dank gebührt Dr. Lampros Tsinas sowie meinen weiteren Projektpartnern für die motivierenden Gespräche während der Erstellung meiner Arbeit. Auch meinen Kollegen am Lehrstuhl für Wirtschaftsinformatik und am Institut für Sicherheit im E-Business (ISEB) gilt Dank für die vielen tollen gemeinsamen Stunden, die Zusammenarbeit und den Spaß, den wir dabei in der Regel immer hatten. Stellvertretend möchte ich hier Tobias Hoppe, Son Le, Denise Reinert, Susanne Schutta sowie meine ehemaligen Kollegen Dr. Alexander Pastwa und Prof. Dr. Klaus Rüdiger nennen. Mein besonderer Dank für ihre für mich zentrale Begleitung bei meiner Promotion gilt nicht zuletzt meiner lieben Partnerin Ina, meinen Eltern Günter und Monika, meiner Schwester Stefanie und meinen langjährigen Freunden, von denen ich an dieser Stelle speziell Christian Buchholz, Matthias Eschmann, Sebastian Roland und Arthur Schneider erwähnen möchte. Recklinghausen, November 2009 Sebastian Sowa

8

9 Information-Security-Business-Performance-Measurement und -Management im Kontext von Compliance und Unternehmungszielen INAUGURALDISSERTATION zur Erlangung der Würde eines Doktors der Wirtschaftswissenschaft der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum vorgelegt von Diplom-Ökonom Sebastian Sowa aus Recklinghausen 2009

10 Dekan: Referent: Korreferent: Prof. Dr. Stephan Paul Prof. Dr. Roland Gabriel Prof. Dr. Stephan Paul Tag der mündlichen Prüfung:

11 I Inhaltsverzeichnis ABBILDUNGSVERZEICHNIS...VI TABELLENVERZEICHNIS...VIII ABKÜRZUNGSVERZEICHNIS... X 1 EINLEITUNG PROBLEMSTELLUNG UND MOTIVATION ZIEL DER UNTERSUCHUNG EINORDNUNG DER ARBEIT UND SCHNITTSTELLEN AUFBAU DER VORLIEGENDEN UNTERSUCHUNG EINORDNUNG UND ABGRENZUNG DES TERMINOLOGISCHEN UND KONZEPTIONELLEN FUNDAMENTS DER UNTERSUCHUNG STRATEGISCHES MANAGEMENT Grundlegende Begrifflichkeiten Management aus terminologischer Sicht Strategie aus terminologischer Sicht Konzepte des strategischen Managements Ziele und Aufgaben des strategischen Managements Zusammenfassung INFORMATIONSMANAGEMENT Grundlegende Sichten auf das Konstrukt Information Information aus terminologischer Sicht Information aus ressourcenorientierter Sicht Informationssysteme und -subsysteme Konzepte des Informationsmanagements Ziele und Aufgaben des Informationsmanagements Zusammenfassung INFORMATIONSSICHERHEITSMANAGEMENT Grundlegende Sichten auf das Konstrukt Sicherheit Sicherheit aus terminologischer Sicht Sicherheit im unternehmungssystemtheoretischen Kontext Informationssicherheitsmanagement aus terminologischer Sicht Ziele und Aufgaben des Informationssicherheitsmanagements... 40

12 II Zusammenfassung PERFORMANCE-MANAGEMENT Performance aus terminologischer Sicht Gegenstandsbereich des Performance-Measurements Gegenstandsbereich des Performance-Managements Ziele und Aufgaben des Performance-Managements Zusammenfassung DIE BALANCED SCORECARD Entstehung und Ziele der Balanced Scorecard Dimensionen einer traditionellen Balanced Scorecard Dimensionen einer Informationsmanagement-Balanced-Scorecard Zusammenfassung SYNERGETISCHE KONZEPTUALISIERUNG DER ANSÄTZE ZUM FUNDAMENT FÜR DAS INFORMATION-SECURITY-BUSINESS-PERFORMANCE-MEASUREMENT- UND -MANAGEMENT-MODELL KONFIGURATION DES INFORMATION-SECURITY-BUSINESS- PERFORMANCE-MEASUREMENT- UND -MANAGEMENT-MODELLS AKTEURSFUNKTIONEN UND -INTERESSEN Unternehmungsanteilhaltende Akteure Unternehmungssysteminterne Akteure Unternehmungssystemexterne Akteure Zusammenfassung NOTWENDIGE RESSOURCEN Finanzielle Ressourcen Personelle Ressourcen Technologische Ressourcen Zusammenfassung MODELLEBENEN UND -DIMENSIONEN Potenzielle Modellebenen und -dimensionen Relevante Modellebenen und -dimensionen Beziehungen relevanter Elemente Zusammenfassung KENNZAHLENTYPEN UND -EIGENSCHAFTEN Quantitative Kennzahlen Qualitative Kennzahlen Bewertungskriterien Zusammenfassung

13 III 3.5 SYNERGETISCHE KONZEPTUALISIERUNG DER KONFIGURATIONSHERAUSFOR- DERUNGEN FÜR DAS INFORMATION-SECURITY-BUSINESS-PERFORMANCE- MEASUREMENT- UND -MANAGEMENT-MODELL INFORMATION-SECURITY-BUSINESS-PERFORMANCE-MEASUREMENT- MODELL ZUR MULTIDIMENSIONALEN ANFORDERUNGSERFASSUNG UND LEISTUNGSMESSUNG COMPLIANCE ALS NORMATIVE ZIELE DETERMINIERENDES ELEMENT DES INFORMATION-SECURITY-BUSINESS-PERFORMANCE-MEASUREMENT-MODELLS Struktur des Transformationssystems Legislative Regelungen Regulative Regelungen Standardinduzierte Regelungen Vertragliche Regelungen Zusammenfassung UNTERNEHMUNGSZIELE ALS FAKTISCHE ZIELE DETERMINIERENDES ELEMENT DES INFORMATION-SECURITY-BUSINESS-PERFORMANCE-MEASUREMENT-MODELLS Struktur des Transformationssystems Ebene des Unternehmungssystems Ebene der Informationssysteme Ebene der IT-Systeme Ebene der DV-Systeme Zusammenfassung INFORMATIONSSICHERHEITSMANAGEMENT-BALANCED-SCORECARD ALS ZENTRALES INSTRUMENT DES INFORMATION-SECURITY- BUSINESS- PERFORMANCE-MEASUREMENT-MODELLS Struktur der Dimensionstabelle Strategische Ebene Finanzdimension Kundendimension Organisationsdimension Prozessdimension Infrastrukturdimension Zukunftsdimension Operative Ebene Organisationsdimension Prozessdimension Personelle Sicherheitsdimension Physische Sicherheitsdimension Technische Sicherheitsdimension

14 IV Logische Sicherheitsdimension Zusammenfassung SYNERGETISCHE KONZEPTUALISIERUNG DES INFORMATION-SECURITY- BUSINESS-PERFORMANCE-MEASUREMENT-MODELLS INFORMATION-SECURITY-BUSINESS-PERFORMANCE-MANAGEMENT- MODELL ZUR ANFORDERUNGSZENTRIERTEN LEISTUNGSMESSUNG, -ERHALTUNG UND -STEIGERUNG INFORMATIONSSICHERHEITSMANAGEMENT MIT FOKUS AUF COMPLIANCE- UND UNTERNEHMUNGSZIELBEDINGTEN ANFORDERUNGEN Struktur des Prozessmodells Elemente der Planungsphase Initiierung Voranalyse Anforderungsanalyse Maßnahmenkonzeption Elemente der Ausführungsphase Maßnahmenentwicklung Maßnahmenimplementierung/-betrieb Elemente der Überprüfungsphase Elemente der Verbesserungsphase Zusammenfassung PERFORMANCE-MANAGEMENT MIT FOKUS AUF KENNZAHLEN ZUR LEISTUNGSSTEUERUNG UND -KONTROLLE Struktur des Prozessmodells Elemente der Planungsphase Zielanalyse Kennzahlenkonzeption Elemente der Ausführungsphase Kennzahlenentwicklung Kennzahlenimplementierung Elemente der Überprüfungsphase Datenerhebung Datenauswertung Elemente der Verbesserungsphase Zusammenfassung DER ANSATZ DER BALANCED SCORECARD ALS KOMPONENTE ZUR UNTERSTÜTZUNG DER STRATEGIEIMPLEMENTIERUNG Struktur des Prozessmodells Elemente der Planungsphase

15 V Zielidentifizierung Strategiekonkretisierung Elemente der Ausführungsphase Ziel-/Strategiekommunikation Maßnahmenabstimmung Elemente der Überprüfungsphase Elemente der Verbesserungsphase Zusammenfassung SYNERGETISCHE KONZEPTUALISIERUNG DES INFORMATION-SECURITY- BUSINESS-PERFORMANCE-MANAGEMENT-MODELLS Prozessmodell als ablauforganisatorischer Gestaltungsansatz Organisationsmodell als aufbauorganisatorischer Gestaltungsansatz BEWERTUNG DES INFORMATION-SECURITY-BUSINESS- PERFORMANCE-MEASUREMENT- UND -MANAGEMENT-MODELLS BEWERTUNG ANHAND THEORETISCH-KONZEPTIONELLER KRITERIEN Definition der Bewertungskriterien Anwendung der Bewertungskriterien Zusammenfassung BEWERTUNG ANHAND EINES FALLBEISPIELS Projektgegenstand und -durchführung Projekterkenntnisse im Fokus der Modellbewertung Zusammenfassung SYNOPTISCHE BEWERTUNG DER UNTERSUCHUNGSERGEBNISSE UND ABLEITUNG VON ERFOLGSFAKTOREN FÜR DIE ANWENDUNG SCHLUSSBETRACHTUNG UND AUSBLICK LITERATUR...XIII ANHANG 1: DARSTELLUNG UNTERSUCHTER KENNZAHLEN... LXXIII ANHANG 2: KURZDARSTELLUNG DISKUTIERTER ISM-KPI...CXXXIII

16 VI Abbildungsverzeichnis Abbildung 1: Grundstruktur wissenschaftlicher Einflüsse...7 Abbildung 2: Aufbau der Untersuchung...9 Abbildung 3: Management im Kontext von Führungs- und Durchführungsprozessen...12 Abbildung 4: Strategischer Managementprozess auf Unternehmungsebene...17 Abbildung 5: Semiotische Abgrenzung des Informationsbegriffs...20 Abbildung 6: Informationssysteme und Subsysteme im Unternehmungssystem...25 Abbildung 7: Aufgaben- und Gestaltungsdimensionen des Informationsmanagements...31 Abbildung 8: Sicherheit im unternehmungssystemtheoretischen Kontext...37 Abbildung 9: ISM im Kontext der ISM-Pyramide...45 Abbildung 10: Dimensionen der traditionellen Balanced Scorecard...54 Abbildung 11: Konzeptionelles Fundament für die Gestaltung des Information-Security- Business-Performance-Measurement- und -Management-Modells...62 Abbildung 12: ISM-modellrelevante Akteure unter Berücksichtigung ihres funktionsund interessenbedingten Einflusses auf ISM-Leistungen...77 Abbildung 13: Grundstruktur des ISBP-Measurement- und -Management-Modells...93 Abbildung 14: Beziehungen der Dimensionen auf strategischer ISMBSC-Ebene...99 Abbildung 15: Beziehungen der Dimensionen auf operativer ISMBSC-Ebene Abbildung 16: Systematik quantitativer Kennzahlen Abbildung 17: Systematik qualitativer Kennzahlen Abbildung 18: Kennzahlen- und kennzahlensystemfokussierte Bewertungskriterien Abbildung 19: Konfigurationscharakteristische Gestaltungsherausforderungen Abbildung 20: Transfertabelle normativer ISM-Determinanten Abbildung 21: Transfertabelle faktischer ISM-Determinanten Abbildung 22: Faktische ISM-Treiber auf Unternehmungssystemebene Abbildung 23: Faktische ISM-Treiber auf Informationssystemebene Abbildung 24: Zusammenhang zwischen ISM, IT-Angebot und -Nachfrage Abbildung 25: Zusammenhang zwischen ISM, IT und Unternehmungserfolg (RBV) Abbildung 26: Dimensionstabelle der ISMBSC Abbildung 27: Zusammenfassende Konzeptualisierung der Bestandteile des Information- Security-Business-Performance-Measurement-Modells Abbildung 28: Verknüpfung von PESK- und PDCA-Modell Abbildung 29: Risikomanagement als Prozess Abbildung 30: Exemplarische Verknüpfung zwischen Unternehmungszielen, Geschäftsprozessen, Elementen der Informationsinfrastruktur und Bedrohungen...192

17 VII Abbildung 31: Matrix zur qualitativen Bewertung von Bedrohungen Abbildung 32: Informationssicherheitsmanagementprozess Abbildung 33: Verknüpfung von PDCA-Modell und Performance-Management-Prozessen Abbildung 34: Top-down-/Bottom-up-Kombinationsansatz zur Kennzahlenkonzeption Abbildung 35: Verzahnte Kennzahlen- und Kennzahlensystemkonzeption Abbildung 36: Ausgewählte Visualisierungsmöglichkeiten von Kennzahlenergebnissen Abbildung 37: Performance-Management-Prozess mit Fokus auf Kennzahlen Abbildung 38: Verknüpfung von PDCA-Modell und BSC-Managementprozessmodellen Abbildung 39: Horizontale und vertikale Strategiekonkretisierung Abbildung 40: Strategieimplementierung als Prozess Abbildung 41: Ablauforganisatorischer Gestaltungsansatz für das Information-Security- Business-Performance-Management Abbildung 42: Aufbauorganisatorischer Gestaltungsansatz für das Information-Security- Business-Performance-Management Abbildung 43: Projektphasen des gewählten Fallbeispiels Abbildung 44: Strukturplan des durchgeführten Projekts

18 VIII Tabellenverzeichnis Tabelle 1: Funktionen und Primärinteressen der Anteilseigner...66 Tabelle 2: Funktionen und Primärinteressen der Unternehmungsleitung...68 Tabelle 3: Funktionen und Primärinteressen des IM...69 Tabelle 4: Funktionen und Primärinteressen des DSM und der Rechtsabteilung...70 Tabelle 5: Funktionen und Primärinteressen Werk-/Brandschutzverantwortlicher...71 Tabelle 6: Funktionen und Primärinteressen der GPV...71 Tabelle 7: Funktionen und Primärinteressen der Fachverantwortlichen/-abteilung...72 Tabelle 8: Funktionen und Primärinteressen der Mitarbeiter...72 Tabelle 9: Funktionen und Primärinteressen der Kunden und Öffentlichkeit...73 Tabelle 10: Funktionen und Primärinteressen der Lieferanten und Partner...74 Tabelle 11: Funktionen und Primärinteressen der Zertifizierungsstellen/Revision...75 Tabelle 12: Funktionen und Primärinteressen der Banken und Versicherungen...76 Tabelle 13: Funktionen und Primärinteressen der Staats- und Verwaltungsorgane...76 Tabelle 14: Ausgewählte Kostenarten für Modellaufbau und -betrieb...81 Tabelle 15: Ausgewählte Einflussgrößen auf die Höhe finanzieller Ressourcen...82 Tabelle 16: Anforderung von CObIT PO7 an personelle Ressourcen...84 Tabelle 17: Ausgewählte Einflussgrößen auf die Höhe personeller Ressourcen...86 Tabelle 18: Ausgewählte Einflussgrößen auf den Umfang technologischer Ressourcen...89 Tabelle 19: Softwaretypen zur Unterstützung eines BSC-Ansatzes...90 Tabelle 20: Bewertung verschiedener Klassifikationen im Hinblick auf ihre Eignung zur Nutzung als potenzielle ISMBSC-Dimension...94 Tabelle 21: Exemplarische ISM-Ziele des KonTraG Tabelle 22: Exemplarische ISM-Ziele des BDSG Tabelle 23: Exemplarische ISM-Ziele des SigG/SigV Tabelle 24: Exemplarische ISM-Ziele des TKG Tabelle 25: Exemplarische ISM-Ziele der GoB/GoBS Tabelle 26: Exemplarische ISM-Ziele der ISO/IEC 27001/ Tabelle 27: Exemplarische ISM-Ziele der ITIL Tabelle 28: Exemplarische ISM-Ziele der CObIT Tabelle 29: Exemplarische ISM-Ziele auf Ebene des Unternehmungssystems Tabelle 30: Exemplarische ISM-Ziele auf Informationssystemebene (extrinsisch) Tabelle 31: Exemplarische ISM-Ziele auf Informationssystemebene (intrinsisch) Tabelle 32: Exemplarische ISM-Ziele auf IT-Systemebene Tabelle 33: Exemplarische ISM-Ziele auf DV-Systemebene...146

19 IX Tabelle 34: Exemplarische KPI der strategischen Dimension Finanzen Tabelle 35: Exemplarische KPI der strategischen Dimension Kunden Tabelle 36: Exemplarische KPI der strategischen Dimension Organisation Tabelle 37: Exemplarische KPI der strategischen Dimension Prozesse Tabelle 38: Exemplarische KPI der strategischen Dimension Infrastruktur Tabelle 39: Exemplarische KPI der strategischen Dimension Zukunft Tabelle 40: Exemplarische KPI der operativen Dimension Organisation Tabelle 41: Exemplarische KPI der operativen Dimension Prozesse Tabelle 42: Exemplarische KPI der operativen Dimension personelle Sicherheit Tabelle 43: Exemplarische KPI der operativen Dimension physische Sicherheit Tabelle 44: Exemplarische KPI der operativen Dimension technische Sicherheit Tabelle 45: Exemplarische KPI der operativen Dimension logische Sicherheit Tabelle 46: Zuordnungsspalten für exemplarische Compliance-Anforderungen

20 X Abkürzungsverzeichnis AktG AO AT BaFin BDSG BegleitG BI BITKOM BMI BS BSC BSI Bstbl CCTA CEO CFO CIO CISO CISWG CObIT COSO DoS DSM DV E-Business EDI EFQM ElGVG ERP EVA FBI FIPS GDPdU GG GmbH GmbHG GoB GoBS GPV Aktiengesetz Abgabenordnung Allgemeiner Teil Bundesanstalt für Finanzdienstleistungsaufsicht Bundesdatenschutzgesetz Begleitgesetz zum Telekommunikationsgesetz Business-Intelligence Bundesverband Informationswirtschaft, Telekommunikation und neue Medien Bundesministerium des Innern British Standard Balanced Scorecard Bundesamt für Sicherheit in der Informationstechnik Bundessteuerblatt Central Computer and Telecommunications Agency Chief Executive Officer Chief Financial Officer Chief Information Officer Chief Information Security Officer Corporate Information Security Working Group Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission Denial of Service Datenschutzmanagement Datenverarbeitung Electronic Business Electronic Data Interchange European Foundation for Quality Management Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz Enterprise-Resource-Planning Economic Value Added Federal Bureau of Investigation Federal Information Processing Standards Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Grundgesetz Gesellschaft mit beschränkter Haftung Gesetz betreffend die Gesellschaften mit beschränkter Haftung Grundsätze ordnungsmäßiger Buchführung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Geschäftsprozessverantwortliche(r)

21 XI HDSG HGB I3P IAEA IEC IM IMBSC INSAG IRM IS ISACA ISBP ISF ISM ISMBSC ISMO ISO ISQR IT ITGI ITIL itsmf KonTraG KPI KWG MaRisk MDStV MIS MIT MSSP MTBF MTTR NIST NSA OECD OGC OLAP ORBIT PCAOB PDCA PersBG PESK PIN PKI RACI Hessisches Datenschutzgesetz Handelsgesetzbuch Institute for Information Infrastructure Protection International Atomic Energy Ageny International Electrotechnical Commission Informationsmanagement Informationsmanagement-Balanced-Scorecard International Nuclear Safety Advisory Group Informationsrisikomanagement Informationssicherheit International Systems Audit and Control Association Information-Security-Business-Performance Information Security Forum Informationssicherheitsmanagement Informationssicherheitsmanagement-Balanced-Scorecard Informationssicherheitsmanagementorganisation International Organization for Standardization Information-Security-Quality-Review Informationstechnologie IT Governance Institute IT Infrastructure Library IT Service Management Forum Deutschland Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Key-Performance-Indikator Kreditwesengesetz/Gesetz über das Kreditwesen Mindestanforderungen an das Risikomanagement Mediendienstestaatsvertrag Managementinformationssystem Massachusetts Institute of Technology Managed Security Service Provider Mean Time between Failures (durchschnittliche Zeit zwischen Ausfällen) Mean Time to Recover (durchschn. Zeit für Wiederherstellung nach Ausfall) National Institute of Standards and Technology National Security Agency Organisation for Economic Co-operation and Development Office of Government Commerce Online Analytical Processing Operational Risks in Business and IT Public Company Accounting Oversight Board Plan, Do, Check, Act Personalrechtliches Begleitgesetz zum Telekommunikationsgesetz Planung, Entscheidung, Steuerung, Kontrolle Persönliche Identifikationsnummer Public-Key-Infrastruktur responsible, accountable, consulted, informed

22 XII RBV RiskMAP RL ROI SigÄndG SigG SigV SLA SLR SOX TDDSG TKG TMG UStG VAPT WLAN ZVEI Resource-based View (ressourcenorientierter Ansatz) Risk to Mission Assessment Process Richtlinie Return on Investment Gesetz zur Änderung des Signaturgesetzes Signaturgesetz/Gesetz über Rahmenbedingungen für elektronische Signaturen Signaturverordnung/Verordnung zur elektronischen Signatur Service-Level-Agreement Service-Level-Requirement Sarbanes-Oxley Act Teledienstedatenschutzgesetz Telekommunikationsgesetz Telemediengesetz Umsatzsteuergesetz Vulnerability-Assessment and Penetration-Test Wireless Local Area Network Zentralverband der Elektrotechnik- und Elektronikindustrie

23 1 1 Einleitung Im Jahr 2005 wurden weltweit 23,6 Milliarden Euro für die Informationssicherheit ausgegeben. Ende des Jahres 2007 waren es schon 48,7 Milliarden Euro. Auch wuchs in dieser Zeit der Anteil, den Unternehmungen für die Informationssicherheit im Verhältnis zur Unterstützung der Informationsverarbeitungsaktivitäten insgesamt ausgaben, stetig an. 1 Vor diesem Hintergrund verwundert es nicht, dass das Thema Informationssicherheit nach wie vor zu den wichtigsten Themen des Informationsmanagements zählt. Auch zukünftig ist damit zu rechnen, dass die Informationssicherheit einen hohen Stellenwert haben wird. 2 Es wurden diverse Konzepte entwickelt, welche die Aufgabenträger des Informationssicherheitsmanagements (ISM) dabei unterstützen sollen, den angestrebten Zustand von Informationssicherheit zu erreichen. Während der überwiegende Teil dieser Konzepte einen physischen, technischen oder logischen Schwerpunkt hatte, sind ökonomische Aspekte, abgesehen von einzelnen organisatorischen Maßnahmen, wenn überhaupt, dann meist nur sekundär betrachtet worden. Erst in jüngster Vergangenheit mehren sich die Beiträge von Autoren, die für das Informationssicherheitsmanagement ökonomisch fokussierte Managementansätze propagieren und ihre Entwicklung vorantreiben. Diesen Beiträgen ist die vorliegende Arbeit zuzurechnen. Dabei beschreibt das erste Kapitel die Problemstellung, Motivation und das Untersuchungsziel. Zudem werden die wissenschaftliche Position und der Aufbau der Untersuchung vorgestellt. 1.1 Problemstellung und Motivation Die Begründung der vorliegenden Arbeit lässt sich durch drei wesentliche Treiber im Unternehmungsumfeld ausdrücken: Wettbewerbsdruck, Sicherheitsdruck und Messdruck. Zum Wettbewerbsdrucks ist zu anzumerken, dass sich gegenwärtig hohe Anforderungen an den effektiven und effizienten Umgang mit Unternehmungsressourcen identifizieren lassen. Geprägt durch die von Porter genannten Wettbewerbskräfte (Verhandlungsmacht der Lieferanten und Kunden, Bedrohung durch neue Wettbewerber und Ersatzprodukte, aktuelle Konkurrenzsituation zu den Mitbewerbern der Branche) sowie durch die Markt- und Technolo- 1 Vgl. TNS Infratest (2008), S. 229 in Verbindung mit TNS Infratest (2007), S. 326 zur Aussage über die Ausgaben für die Informationssicherheit im Vergleich zu den Ausgaben für die Informationsverarbeitung im Allgemeinen. 2 In der jährlichen Befragung der Capgemini von Entscheidungsträgern zu IT-Trends nimmt die Sicherheit in den Jahren 2004 bis 2008 stets Platz eins ein. Vgl. Capgemini (2008), S. 6.