02.06.2023, 10:00 Uhr
Universität Wien
Besprechungsraum 4.34
Währinger Str. 29
1090 Wien
Titel: „Balanced Scorecards als Steuerungsinstrument für
IT-Sicherheit und ihre Anwendung bei kleinen und mittleren
Unternehmen“
Kurzfassung:
Moderne Organisationen sind rechtlich, siehe DSGVO, aber auch aus betrieblichen Gründen
auf eine funktionierende Informations- und Kommunikationstechnik angewiesen. Aus
Sicht der IT-Sicherheit bedingt dies eine konstante Überwachung und konsequente Umsetzung
von Schutzmaßnahmen. Diese Herausforderungen werden derzeit nur punktuell
gemeistert.
Insbesondere fehlt ein gesamtheitlicher Ansatz, der sowohl IT, Management- und
Betriebsebene verbindet, als auch Raum für Schutz, Überwachung und konstante Verbesserungen
bietet und sich bekannter Werkzeuge bedient, die sich in den Unternehmensalltag
einfügen, nämlich den Balanced Scorecards (BSCs).
Anhand der durchgeführten systematischen Literaturanalyse wurde festgestellt, dass
Balanced Scorecards in bisherigen Arbeiten in diesem Bereich nur limitiert eingesetzt
werden. So fehlt derzeit unter anderem die Überwachungskomponente. Um diese und
andere Schwachstellen bisheriger Arbeiten abdecken zu können, wird in dieser Arbeit ein
IT-Sicherheitsmanagement-Framework vorgestellt.
Dieses Risiko-orientierte Framework stellt eine Balanced Scorecard-basierte Lösung zur
kontinuierlichen Überwachung und Verbesserung der IT-Sicherheit von Organisationen dar.
Es bildet in drei Schichten Bedrohungen, Sicherheit und Business sowie deren Interaktion
und Abhängigkeiten mit jeweils vier angepassten BSC-Perspektiven ab. Dies unterstützt
Organisationen dabei, eine Kommunikationsabfolge zu etablieren und Bedrohungslage,
Sicherheitsziele sowie Managementaktivitäten aufeinander abzustimmen. Bereits vorhandene
Lösungen können anhand einer aktualisierten Balanced Scorecard Cascade integriert
werden. Durch ein zugehöriges Reifegradmodell kann der derzeitige Stand eingeschätzt
und im Anschluss das Framework schrittweise in Organisationen ausgerollt werden.
Um zu erheben, ob Organisationen an solchen Maßnahmen interessiert sind, wurde
mittels eines Fragebogen-gestützten Interviews eine Pilotstudie durchgeführt. Die Ergebnisse
lassen vermuten, dass die befragten Unternehmen das entwickelte Framework
als sinnvolle Unterstützung ansehen. Insbesondere deshalb, weil die Befragten angaben,
dass es zur Verbesserung der IT-Sicherheit in ihren Unternehmen beitragen würde. Zur
weiteren Vertiefung dieser ersten Ergebnisse, bei denen sich interessante Unterschiede zwischen
den verschiedenen Unternehmensformen zeigten, wurde eine zusätzliche Case Study
durchgeführt. In deren Rahmen wurde das entwickelte Framework praktisch angewendet,
indem ausgewählte Schichten ausgearbeitet wurden und anschließend die dabei erlangten
Erfahrungen diskutiert. Aufgrund der positiven Rückmeldungen kann von einem hohen
Interesse am Einsatz des Frameworks ausgegangen werden.
Schlüsselwörter: Balanced Scorecard, IT-Sicherheit, IT-Sicherheitsmanagement, Framework,
Systematische Literaturanalyse