Risk Service Engineering (eBook)

Dr. Michael Schermann ist wissenschaftlicher Mitarbeiter von Prof. Dr. Helmut Krcmar am Lehrstuhl für Wirtschaftsinformatik der Technischen Universität München.

Geleitwort 6
Vorwort 7
Zusammenfassung 8
Abstract 9
Inhaltsverzeichnis 10
Abbildungsverzeichnis 15
Tabellenverzeichnis 19
Abkürzungsverzeichnis 21
1 Die Herausforderungen einer wertorientierten Steuerung von Risiken im Informationsmanagement 23
1.1 Motivation der Arbeit 25
1.2 Gestaltungsziel und -gegenstand 29
1.3 Forschungsleitende Fragestellungen 31
1.4 Aufbau und Ablauf der Arbeit 32
1.5 Verwendete Notationskonventionen 34
2 Grundlagen und Forschungsdesign 35
2.1 Grundlagen und Prinzipien der konzeptionellen Modellierung 36
2.1.1 Konzeptionelle Modelle 37
2.1.1.1 Der allgemeine Modellbegriff 37
2.1.1.2 Der konstruktionsorientierte Modellbegriff der Wirtschaftsinformatik 38
2.1.1.3 Die relevante Extension des Modellbegriffs für diese Arbeit 40
2.1.1.4 Konklusion 42
2.1.2 Nutzenpotenziale konzeptioneller Modelle 42
2.1.2.1 Nutzenpotenziale des modellbasierten Problemlösens 42
2.1.2.2 Wirkungen konzeptioneller Modelle 45
2.1.2.3 Qualität konzeptioneller Modelle 46
2.1.2.4 Konklusion 50
2.1.3 Methoden der Informationsmodellierung 50
2.1.3.1 Der Methodenbegriff 50
2.1.3.2 Method Engineering 52
2.1.3.3 Methodenentwicklung nach Greiffenberg (2004) 53
2.1.3.4 Konklusion 54
2.1.4 Notwendigkeit einer wissenschaftstheoretischen Positionierung 55
2.2 Wissenschaftstheoretische Annahmen 56
2.2.1 Gemäßigt konstruktivistische Positionierung 57
2.2.1.1 Die Sprachgemeinschaft als linguistische Position 58
2.2.1.2 Konsens als Wahrheitsbegriff 59
2.2.1.3 Epistemologisch konstruktivistische Position 60
2.2.1.4 Ontologische Position nach Kant 62
2.2.1.5 Konklusion 63
2.2.2 Technologieorientiertes Forschungsverständnis 64
2.2.2.1 Die Ebenen der Forschungstätigkeit nach Chmielewicz (1979) 64
2.2.2.2 Kriterien technologischer Forschung nach Hevner et al. (2004) 66
2.2.2.3 Konklusion 69
2.2.3 Entwicklung eines Artefakts als Ausgangspunkt der Forschungsmethode 69
2.3 Forschungsmethode 69
2.3.1 Design Research 70
2.3.1.1 Artefakte des Design Research 70
2.3.1.2 Vorgehensmodelle für Design Research 71
2.3.1.3 Konklusion 73
2.3.2 Theoriebasierte Entwicklung von Designprinzipien 73
2.3.2.1 Designtheorien als Grundlage 74
2.3.2.2 Kumulative Designprinzipien 75
2.3.2.3 Konklusion 77
2.3.3 Resultierende Forschungsmethode 77
2.4 Theoriegestützte Entwicklung von Artefakten als Grundlage des weiterenVorgehens 79
3 Die wertorientierte Steuerung des Informationsmanagements als Ausgangspunktder Methodenentwicklung 81
3.1 Informationsmanagement 83
3.1.1 Information und Management 83
3.1.2 Das Informationssystem als Gestaltungsgegenstand des Informationsmanagements 85
3.1.3 Die Rolle des Informationsmanagements in der betrieblichen Leistungserbringung 86
3.1.4 Struktur und Funktionen des Informationsmanagements 88
3.1.5 Führungsaufgaben des Informationsmanagements 90
3.1.6 Konklusion 91
3.2 Wertorientiertes Informationsmanagement 93
3.2.1 Der Beitrag des Informationsmanagements zur betrieblichen Leistungserbringung 93
3.2.2 Der Wertbegriff im Informationsmanagement 96
3.2.3 Werttreiber als Steuerungsgrößen eines wertorientierten Informationsmanagements 99
3.2.4 Konklusion 101
3.3 Dienstleistungsorientierung im Informationsmanagement 102
3.3.1 Der Begriff der Dienstleistung 103
3.3.2 Der Begriff der IT-Dienstleistung 105
3.3.3 Konzepte der Erstellung und Steuerung von IT-Dienstleistungen 107
3.3.4 Qualität von IT-Dienstleistungen 111
3.3.5 Service Level Management 113
3.3.6 Konklusion 115
3.4 Risikosteuerung als komplementärer Wertbeitrag des Informationsmanagements 117
4 Risikomanagement im Informationsmanagement 119
4.1 Risikomanagement 120
4.1.1 Betriebswirtschaftliches Risikomanagement 121
4.1.2 Rahmenbedingungen des Risikomanagements im Informationsmanagement 125
4.1.3 Wertorientiertes Risikomanagement nach Junginger (2004) 128
4.1.3.1 Konstitution des Risikomanagementsystems 130
4.1.3.2 Risiken identifizieren mit Risk Cases 131
4.1.3.3 Risiken analysieren mit Risiko-Szenarios 133
4.1.3.4 Der Prozess der Risikosteuerung 135
4.1.3.5 Der Prozess der Risikoüberwachung 136
4.1.4 Vergleich mit anderen Konzepten des Risikomanagements 138
4.1.5 Konklusion 140
4.2 Risiko 141
4.2.1 Extension des Risikobegriffs im Informationsmanagement 143
4.2.2 Risiken der Informationssicherheit als relevanter Extensionsausschnitt 148
4.2.3 Das Risikothermostat als grundlegendes Modell der Risikosteuerung 149
4.2.4 Intension von Risiken der Informationssicherheit 156
4.2.5 Konklusion 159
4.3 Theoretische Grundlagen der Risikosteuerung 161
4.3.1 Ziel und Aufgabe der Risikosteuerung 161
4.3.2 Die Risikoneigung als mediierender Einflussfaktor 164
4.3.3 Die Risikowahrnehmung als zentraler Einflussfaktor 166
4.3.4 Das Risikowissen als Grundlage von Steuerungsentscheidungen 168
4.3.5 Resultierendes Risikoverhalten in Organisationen 170
4.3.6 Konklusion 172
4.4 Risk Services als Gestaltungselemente des Risikomanagements 173
5 Empirische Reflexion 176
5.1 Ziel und Vorgehen 177
5.1.1 Begründung und Zielstellung der Untersuchung 177
5.1.2 Methode und Vorgehen interpretativer Fallstudien 179
5.1.3 Grundverständnis der Untersuchung 182
5.1.4 Aufbau und Durchführung der Fallstudie 183
5.1.5 Limitationen 185
5.2 Diskussion 187
5.2.1 Rahmenbedingungen 188
5.2.1.1 Rolle des Informationsmanagements 189
5.2.1.2 Dienstleistungsorientierung 190
5.2.1.3 Risikostrategie 193
5.2.1.4 Risikokultur 194
5.2.1.5 Konklusion 196
5.2.2 Aufbau und Ablauf des Risikomanagements 197
5.2.2.1 Komponenten des Risikomanagementsystems 198
5.2.2.2 Risikobegriff als Grundlage der Zielsetzung im Risikomanagement 201
5.2.2.3 Prozess des Risikomanagements 203
5.2.2.4 Konklusion 206
5.2.3 Reflexion des steuerungszentrierten Risikomanagements 207
5.3 Notwendigkeit einer modellbasierten Unterstützung 208
6 CORAX: Informationsmodelle für das Risk Service Engineering 210
6.1 Konstruktionsrahmen 211
6.1.1 Ausgestaltung der Methodenentwicklung 211
6.1.2 Risk Services als zentrales Element der Methode 213
6.1.3 Rollenmodell eines steuerungszentrierten Risikomanagements 215
6.1.4 Grundlegende Designprinzipien 217
6.1.4.1 Security Patterns 217
6.1.4.2 Der Goal-Question-Metric-Ansatz 220
6.1.4.3 Benefits-Dependency-Networks 222
6.1.4.4 VisAware 224
6.1.5 Architektur der Methode 226
6.2 Risk Patterns 229
6.2.1 Das Konzept der Risk Patterns 230
6.2.2 Das Vorgehen der Risk Intelligence 234
6.2.3 Konklusion 236
6.3 Risk Levels 237
6.3.1 Das Konzept der Risk Levels 238
6.3.2 Das Vorgehen zur Entwicklung von Risk Level Managements 242
6.3.3 Konklusion 244
6.4 Risk Services Architecture 246
6.4.1 Das Konzept der Risk Services Architecture 247
6.4.2 Das Vorgehen des Risk Service Engineerings 250
6.4.3 Konklusion 253
6.5 Integrierte Sicht auf die Informationsartefakte des Risikomanagements 255
7 Fallstudie 'Corporate Identity Card' 256
7.1 Konzeption der Fallstudie 257
7.1.1 Ziel der Fallstudie 257
7.1.1.1 Evaluation 257
7.1.1.2 Evaluation von Designprinzipien 258
7.1.1.3 Evaluation von CORAX 262
7.1.2 Vorgehen 263
7.1.3 Limitationen 265
7.2 Ausgangssituation 266
7.2.1 Informationssicherheit bei OMEGA 267
7.2.2 Steuerung von Risiken der Informationssicherheit 269
7.2.2.1 Risiken der Informationssicherheit 269
7.2.2.2 Sichten der Risikosteuerung 272
7.2.2.3 Der Entwicklungsprozess für Steuerungsmaßnahmen 274
7.2.2.4 Das Global Security Framework als Ausgangspunkt 277
7.2.3 Herausforderungen der Risikosteuerung bei OMEGA 279
7.3 Die Einführung einer Corporate Identity Card bei OMEGA 282
7.3.1 Historie des Projekts ‚Corporate Identity Card’ 283
7.3.2 Grundlagen des Identitätsmanagements 288
7.3.3 Risk Patterns für die Corporate Identity Card 292
7.3.4 Risk Levels ausgewählter Akteure 299
7.3.5 Die Risk Services Architecture einer 'Corporate Identity Card' 302
7.4 Diskussion 306
7.4.1 Beurteilung der Anwendung von CORAX 307
7.4.2 Vergleichende Diskussion des steuerungszentrierten Risikomanagements 310
7.4.3 Vergleichende Diskussion der Modellierungsmethode 312
7.5 CORAX als Methode der wertorientierten Steuerung von Risiken 315
8 Kritische Würdigung und Ausblick 317
8.1 Zusammenfassung 317
8.2 Kritische Reflexion der Ergebnisse 319
8.3 Ausblick 322
Literaturverzeichnis 324
Anhang 367
A Materialien zur empirischen Reflexion 367
B Materialien zur Fallstudie 'Corporate Identity Card' 375