Martin-Luther-Universität Halle-Wittenberg

Weiteres

Login für Redakteure

Prozessorientierte wirtschaftliche Bewertung und Auswahl von
IT-Sicherheitsmaßnahmen

Kurzbeschreibung des Projekts ProBITS

Aktuelle Technologien, bspw. aus den Bereichen Cloud-Computing oder Data-Science, bieten einerseits erhebliches Potential für den Erhalt und die Stärkung der Wettbewerbsposition von Unternehmen. Andererseits birgt die Einführung solcher Technologien neue Risiken, bspw. in Verbindung mit Data-Security, Cloud-Hacking oder Datenschutz. Um diesen Risiken entgegen zu steuern, definieren sowohl der Gesetzgeber als auch die Unternehmen selbst weitreichende und übergreifende Anforderungen an die IT-Sicherheit.

Die Umsetzung solcher Anforderungen verlangt zumeist ein komplexes Bündel von ITS-Maßnahmen, das sowohl hohe Investitionskosten mit sich bringt, als auch in einem hohen Grad die Geschäftsprozesse von Unternehmen beeinflusst. Artikel 32 (1) der DSGVO fordert bspw., dass angemessene technische und organisatorische Maßnahmen umgesetzt werden, die die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit bei der Verarbeitung personenbezogener Daten sicherstellen. Für die Umsetzung dieser Anforderung sind sowohl technische Vorkehrungen erforderlich, wie bspw. Verschlüsselung und Pseudonymisierung personenbezogener Daten, als auch prozessuale Konfigurationen, wie bspw. Kontrollen zur Sicherstellung von Compliance oder Konsequenzen für die Verfügbarkeit von Informationen in Prozessschritten.

Damit die Profitabilität eines Unternehmens nicht durch die Umsetzung von ITS-Maßnahmen(-bündeln) beeinträchtigt wird, gilt es daher, geeignete Handlungsalternativen zu identifizieren und basierend auf wirtschaftlichen Kriterien auszuwählen. Ansätze zur ganzheitlichen Bewertung und Auswahl solch komplexer Bündel von ITS-Maßnahmen und deren Wechselwirkungen mit Geschäftsprozessen sind daher notwendig, um Unternehmen die Auswahl der effektivsten ITS-Maßnahme unter ökonomischen Gesichtspunkten überhaupt zu ermöglichen.

Bestehende Verfahren, wie bspw. der Return on Investment, bauen auf der Investitionstheorie auf und fokussieren die eindimensionale Bewertung einzelner ITS-Maßnahmen (bspw. die Einführung einer Firewall) unter Berücksichtigung direkt zurechenbarer und rein monetärer Kosten- und Nutzenwirkungen. Investitionstheoretische Verfahren stoßen jedoch bei der Bewertung von ITS-Maßnahmenbündeln zur Umsetzung gegenwärtiger IT-Sicherheitsanforderungen und deren Wechselwirkungen mit Geschäftsprozessen aktuell an ihre Grenzen.

Das Projekt ProBITS adressiert die Grenzen bestehender Verfahren bei der Bewertung komplexer ITS-Maßnahmen(-bündel) und baut dafür auf den Ansätzen des modernen Geschäftsprozessmanagements auf. Geschäftsprozessmodelle geben einen spezifischen Einblick in die Ablauf- und Organisationsstrukturen, die ITS-Maßnahmen(-bündeln) zugrunde liegen, und eröffnen damit neue Analyse- und Verbesserungspotentiale. Die Untersuchung von prozessbasierten ITS-Maßnahmen (d.h. ITS-Aktivitäten und ITS-Aktivitätssequenzen innerhalb von Geschäftsprozessen) im Hinblick auf die Wirtschaftlichkeit erfordert einen spezifischen Bewertungsansatz, damit Ineffizienzen identifiziert und Prozessverbesserungen stimuliert werden können. ProBITS wird hierfür einen innovativen Ansatz bereitstellen, um zukünftig eine geschäftsprozessorientierte Bewertung von ITS-Maßnahmen methodisch, mehrdimensional, skalierbar und werkzeuggestützt zu ermöglichen.

Die Bausteine von ProBITS

Hierfür umfasst ProBITS insgesamt vier Bausteine (siehe Abbildung): neben einem multikriteriellen Entscheidungsmodell, mit dem sich ITS-Maßnahmen bewerten und auswählen lassen, sind dies drei Unterstützungsleistungen in Form der Erweiterung einer Prozessmodellierungssprache, eines Vorgehensmodells und eines IT-Werkzeugs. Das ProBITS-Projekt umfasst zudem mehrere Demonstratoren: Mit „ProBITS deckt auf“ wird die Effektivität existierender Verfahren (wie dem ROSI) auf Basis vergangener ITS-Maßnahmen analysiert; „ProBITS in Aktion“ dient hingegen der Demonstration der Effektivität der ProBITS-Bausteine sowie deren kontinuierlicher Weiterentwicklung.

Übersicht zum Projekt „ProBITS: Prozess-orientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen"

Übersicht zum Projekt „ProBITS: Prozess-orientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen"

Da Großunternehmen und KMUs gleichermaßen von ITS-Anforderungen betroffen sind, KMUs jedoch oft nur begrenzte Ressourcen (in den Bereichen Finanzen, Personal und Daten) zur Verfügung stehen, wird ProBITS explizit unter Berücksichtigung der Skalierbarkeit für unterschiedliche Unternehmensgrößen entwickelt. Zusätzlich zur mehrdimensionalen werkzeuggestützten Bewertungsmethode soll ein Vorgehensmodell realisiert werden, das die Umsetzung des ProBITS-Ansatzes in Unternehmen unterschiedlicher Größe anleitet. Die Entwicklung und Evaluation von ProBITS erfolgen deshalb sowohl in enger Zusammenarbeit mit KMU als Projektpartner, als auch mit Großunternehmen als assoziierte Partner.

Das Teilprojekt MEBITS

Der Lehrstuhl für Wirtschaftsinformatik, insb. Betriebliches Informationsmanagement bearbeitet das Teilvorhaben "Multikriterielles Entscheidungsmodell zur prozessorientierten wirtschaftlichen Bewertung und Analyse von IT-Sicherheitsmaßnahmen" (MEBITS)

Der Fokus dieses Teilvorhabens liegt insbesondere auf der Entwicklung eines multikriteriellen Entscheidungs­modells, das es ermöglicht, unter Berücksichtigung verschiedener Prozesseinflussgrößen, kosten- und nutzenorientierten Bewertungsdimensionen sowie praktischer Anforderungen, alternative ITS-Maßnahmen und alternative ITS-Maßnahmenbündel zu analysieren und Entscheidungen über deren Einsatz unter Berücksichtigung wirtschaftlicher Dimensionen zu treffen.

Unsere Projektpartner

Verbundpartner:
Assoziierte Partner:
  • YourCar GmbH, Göttingen
  • Flavia IT-Management GmbH, Kassel
  • Otto Bock SE & Co. KGaA, Duderstadt
  • blueways GmbH & Co. KG, Halle
  • WINGAS GmbH, Kassel
  • Volkswagen Financial Services AG, Braunschweig
  • Grünes Auto GmbH, Göttingen

Projektvolumen, -laufzeit und -träger

Gesamtprojektvolumen:1,39 Mio.€ (davon 83% Förderanteil durch BMBF)
Teilprojekt der Martin-Luther-Universität Halle-Wittenberg:"Multikriterielles Entscheidungsmodell zur prozessorientierten wirtschaftlichen Bewertung und Analyse von IT-Sicherheitsmaßnahmen" (MEBITS)
Teilprojektsumme:315.627,92€
Teilprojektleitung:Dr. Stephan Kühnel, Prof. Dr. Stefan Sackmann
Laufzeit:01. April 2021 - 31. März 2024
Mittelgeber:Bundesministerium für Bildung und Forschung (BMBF)
Projektträger:VDI/VDE Innovation + Technik GmbH
Förderrichtlinie:"Ökonomische Aspekte von IT-Sicherheit und Privatheit"

Ihr Ansprechpartner

Dr. Stephan KühnelPostdoctoral Researcher
Stephan Kühnel

Stephan Kühnel

Stephan Kühnel

E-Mail:


Tel.: 0345 / 55-234 77

Zum Seitenanfang