| IT-GRC-Management – Governance, Risk und Compliance | 4 |
| Grundlagen und Anwendungen | 4 |
| Impressum | 5 |
| Vorwort | 6 |
| Inhaltsverzeichnis | 8 |
| Die Autoren | 12 |
| 1: IT-GRC-Management im Zeitalter der Digitalisierung | 17 |
| 1.1 Grundlagen des IT-GRC-Managements | 18 |
| 1.1.1 IT-Governance | 18 |
| 1.1.2 IT-Risiko | 19 |
| 1.1.3 IT-Compliance | 21 |
| 1.1.4 Zusammenwirken im IT-GRC-Dreieck | 23 |
| 1.2 Organisation | 24 |
| 1.2.1 Organisation der IT-Governance | 24 |
| 1.2.2 Organisation des IT-Risikomanagement | 26 |
| 1.2.3 Organisation der IT-Compliance | 26 |
| 1.3 Erfolgsfaktoren für das IT-GRC-Management | 28 |
| 1.3.1 IT-Governance | 28 |
| 1.3.2 IT-Risikomanagement | 30 |
| 1.3.3 IT-Compliance | 35 |
| 1.4 IT-GRC-Management in kleinen Unternehmen | 36 |
| 1.5 Ausblick auf das IT-GRC-Management im digitalen Zeitalter | 37 |
| Literatur | 38 |
| 2: Governance und Compliance von Anfang an wirksam umsetzen | 41 |
| 2.1 Herausforderungen an Governance und Compliance in der IT | 42 |
| 2.2 Referenzmodelle für Governance und Compliance in der IT | 43 |
| 2.2.1 COBIT | 43 |
| 2.2.2 CMMI | 44 |
| 2.2.3 Weitere Referenzmodelle | 44 |
| 2.3 Referenzmodelle als Werkzeuge zur Governance betrieblicher IT-Prozesse | 45 |
| 2.3.1 Klärung des WARUM | 46 |
| 2.3.2 Klärung des WAS | 46 |
| 2.3.3 Klärung des WIE | 47 |
| 2.4 Governance wirksam umsetzen mit einer PDCA-Kultur | 49 |
| 2.5 Von der Governance zur Compliance | 51 |
| Literatur | 52 |
| 3: Vom Business/IT-Alignment zur Business/IT-Integration – Auswirkungen auf das IT-Controlling als Teil der IT-Governance | 53 |
| 3.1 IT-Management: Vom Alignment zur Integration | 54 |
| 3.2 Business/IT-Integration und die Rolle der Leistungssteuerung | 57 |
| 3.2.1 Ebene der Leistungssteuerung | 58 |
| 3.2.2 Ein erster Bezugsrahmen für die Business/IT-Integration | 59 |
| 3.3 Expertenbefragung und Ableitung eines Vorschlags einer prozessorientierten Anpassung | 60 |
| 3.3.1 Die Expertenbefragung | 61 |
| 3.3.2 Der Vorschlag eines integrierten Wertschöpfungscontrollings | 62 |
| 3.4 Fazit | 65 |
| Literatur | 66 |
| 4: Verbesserung des Wertbeitrags von IT-Organisationen – Empirische Handlungsempfehlungen | 67 |
| 4.1 Unsicherheit als „neue Normalität“ | 68 |
| 4.2 Anforderungen an die IT | 68 |
| 4.3 Flexibilität als Erfolgsfaktor für die IT-Organisation | 70 |
| 4.4 Gestaltungsempfehlungen zur Erhöhung der IT-Flexibilität | 71 |
| 4.4.1 Methodik der empirischen Untersuchung | 71 |
| 4.4.2 Gestaltungsempfehlungen zur Verbesserung der IT-Flexibilisierung | 72 |
| 4.5 Fazit und Ausblick | 77 |
| Literatur | 79 |
| 5: Rahmenwerke für das IT-GRC-Management | 81 |
| 5.1 Motivation für den Einsatz von Rahmenwerken | 82 |
| 5.2 Rahmenwerke für IT-Risk im Überblick | 84 |
| 5.3 Unterschiede und Einsatzgebiete am Beispiel von IT-Risk | 90 |
| 5.4 Fazit | 96 |
| Literatur | 96 |
| 6: Systematische Differenzierung von IT-Risiken | 98 |
| 6.1 Einleitung | 99 |
| 6.2 IT-Risiken und IT-Risikomanagement | 99 |
| 6.3 Unterscheidungskriterien für IT-Risiken | 100 |
| 6.4 Unterscheidung von IT-Risiken nach Wirkungen | 102 |
| 6.5 Unterscheidung von IT-Risiken nach Ursachen | 103 |
| 6.6 IT-Sicherheitsrisiken | 107 |
| 6.7 Fazit | 110 |
| Literatur | 111 |
| 7: IT-Risikomanagement für Produktionssysteme – Basis zur Gestaltung sicherer Fertigungsprozesse | 112 |
| 7.1 Einleitung | 113 |
| 7.1.1 Wachsende Digitalisierung und Vernetzung im Produktionsumfeld | 113 |
| 7.1.2 Wandel der Produktion hin zu Industrie 4.0 | 114 |
| 7.1.3 Produktionsumfeld erbt klassische IT-Sicherheitsrisiken | 114 |
| 7.2 Besondere Anforderungen im Produktionsumfeld | 116 |
| 7.3 Best Practices zur IT-Sicherheit in der Produktion | 117 |
| 7.4 Vorgehensmodell zur IT-Risikoanalyse | 118 |
| 7.5 Beispiel Fernwartung | 124 |
| 7.6 Fazit und Ausblick | 125 |
| Literatur | 126 |
| 8: Risiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory | 127 |
| 8.1 Bedeutung des Sicherheitsmanagements in der Smart Factory | 128 |
| 8.2 Grundlagen der cyber-physischen Produktion | 129 |
| 8.3 Strukturierungsansatz für das Sicherheitsmanagement in der Smart Factory | 130 |
| 8.3.1 Identifikation interner und externer Bedrohungen | 131 |
| 8.3.2 Analyse der jeweils bedrohten Schutzziele | 132 |
| 8.3.3 Analyse von Ausbreitungseffekten | 134 |
| 8.3.4 Festlegen und Umsetzen von Sicherheitsmaßnahmen | 135 |
| 8.4 Anwendungsbeispiele und allgemeine Handlungsempfehlungen | 137 |
| 8.4.1 Anwendungsbeispiel bei einem Hersteller von Industrierobotern | 138 |
| 8.4.2 Anwendungsbeispiel bei einem Hersteller von Speichersystemen | 139 |
| 8.4.3 Allgemeine Handlungsempfehlungen | 141 |
| Literatur | 142 |
| 9: Kontrollierte Nutzung von Schatten-IT | 143 |
| 9.1 Notwendigkeit einer Praxis-Sicht auf Schatten-IT | 144 |
| 9.2 Methodik | 145 |
| 9.2.1 Analyse der Praktikerveröffentlichungen | 145 |
| 9.2.2 Interviewstudie mit IT-Managern | 145 |
| 9.3 Ergebnisse | 146 |
| 9.3.1 Übersicht zur aktuellen Diskussion von Schatten-IT in der Praxis | 146 |
| 9.3.2 Druck auf die IT | 147 |
| 9.3.3 Auswirkung auf die IT | 150 |
| 9.3.4 Kontrollierte Nutzung Fachbereichsgetriebener IT | 154 |
| 9.3.5 Neuausrichtung der IT | 161 |
| 9.4 Auswirkungen von Schatten-IT auf die Rolle der IT-Abteilung im Unternehmen | 163 |
| Literatur | 163 |
| 10: Digitalisierung für kleinere und mittlere Unternehmen (KMU): Anforderungen an das IT-Management | 165 |
| 10.1 Digitalisierung und IT-Management | 166 |
| 10.1.1 IT-Management und IT-Governance | 166 |
| 10.1.2 IT-Organisation in Großunternehmen | 167 |
| 10.1.3 Zentrale Fragen | 168 |
| 10.2 Analyse des IT-Managements bei deutschsprachigen KMU | 168 |
| 10.2.1 Befragung zur Organisation der IT | 169 |
| 10.2.2 Ergebnisse der Befragung | 169 |
| 10.3 Kernelemente eines IT-Governance-Modells für KMU | 171 |
| 10.3.1 IT-Steuerungsorganisation | 172 |
| 10.3.2 IT-Strategie/IT-Planung | 173 |
| 10.3.3 IT-Kennzahlensystem | 175 |
| 10.3.4 IT-Projektstrukturen | 177 |
| 10.4 Fazit und Ausblick | 179 |
| Literatur | 179 |
| 11: Rahmenwerk für das IT-gestützte Management von Datenschutz in Anwendungssystemen | 181 |
| 11.1 Einführung und Motivation | 182 |
| 11.1.1 Gesetzlicher Rahmen des Datenschutzes und aktuelle Entwicklungen | 182 |
| 11.1.2 Bedeutung und Auswirkungen auf die Unternehmen | 183 |
| 11.2 Anforderungen an ein IT-gestütztes Rahmenwerk | 185 |
| 11.2.1 Informationsmodell | 185 |
| 11.2.2 Anforderungen | 187 |
| 11.3 Stand der Technik | 188 |
| 11.4 Vorschlag für ein Rahmenwerk zum Datenschutz in Anwendungen | 189 |
| 11.4.1 Lösungsansatz | 190 |
| 11.4.2 Modul „Modellierung“ | 191 |
| 11.4.3 Modul „Steuerung“ | 194 |
| 11.4.4 Modul „Analyse“ | 194 |
| 11.5 Anwendungsbeispiel | 195 |
| 11.6 Zusammenfassung und Ausblick | 196 |
| Literatur | 197 |
| 12: Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU-DSGVO | 199 |
| 12.1 Einführung | rechtlicher Rahmen | 200 |
| 12.2 Löschen personenbezogener Daten im Unternehmen | 201 |
| 12.2.1 Löschkonzept | 202 |
| 12.2.1.1 Aufbau zu löschender Datenstrukturen | 202 |
| Bildung von Datenclustern | 203 |
| Kriterien zur Zweckerfüllung | 204 |
| 12.2.1.2 Bestimmung der Aufbewahrungsfristen | 204 |
| 12.2.2 Technische Umsetzung des Löschkonzeptes | 206 |
| 12.3 Prototypen für ein ganzheitliches Umsetzungskonzept | 207 |
| 12.4 Datenschutzkonformität: auch eine Aufgabe der Wirtschaftsinformatik?! | 209 |
| 12.5 Fazit | 210 |
| Literatur | 211 |
| 13: Datenschutzanforderungen und ihre Unterstützung in HR-Systemen am Beispiel SAP ERP HCM | 213 |
| 13.1 Von den Datenschutzgesetzen zur EU-Datenschutzgrundverordnung | 214 |
| 13.2 Technische Anforderungen | 214 |
| 13.3 Allgemeiner Projektansatz | 220 |
| 13.4 Spezifische Funktionen im SAP ERP HCM | 222 |
| 13.4.1 Sperren der Daten mit Hilfe des Berechtigungskonzeptes | 222 |
| 13.4.1.1 Sperren auf der Ebene der Mitarbeiter | 223 |
| 13.4.1.2 Sperren für historische Datensätze | 223 |
| 13.4.2 Löschen der Daten | 224 |
| 13.4.3 Vereinfachtes Löschen ausgewählter Mitarbeiterdaten | 225 |
| 13.4.4 Auskunftsanspruch | 226 |
| Literatur | 226 |
| 14: Datenschutz im Konzern – ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Personaldaten | 228 |
| 14.1 Einleitung | 229 |
| 14.2 Der Personalmanagement-Prozess im Konzern | 230 |
| 14.2.1 Organisatorische und IT-Sicht | 230 |
| 14.2.2 Datenfluss im Personalmanagement-Prozess | 230 |
| 14.3 Verantwortlichkeit im Sinne der DSGVO | 231 |
| 14.3.1 Charakterisierende Merkmale der Verantwortung | 231 |
| 14.3.1.1 Die offensichtliche Verantwortung des Arbeitgebers | 232 |
| 14.3.1.2 Der Differenzierungsaspekt | 232 |
| Verarbeitung im Sinne der DSGVO | 232 |
| Zweck im Sinne der DSGVO | 233 |
| Mittel im Sinne der DSGVO | 233 |
| Entscheiden im Sinne der DSGVO | Entscheidungsfindung | 234 |
| Partizipative Entscheidungsfindung | 234 |
| Mittel und ihre unterschiedliche Wirkungsbreite | 235 |
| 14.3.1.3 Der kollektive Aspekt | 236 |
| 14.3.2 Datenaustausch im Konzern | 237 |
| 14.4 Auftragsverarbeitung | 237 |
| 14.5 Notwendige Dokumentation und Verträge nach Art. 26 und 28 DSGVO | 238 |
| 14.6 Empfehlungen zur praktischen Handhabung der Methodik | 239 |
| 14.7 Beispiel einer weiteren Konzernstruktur | 241 |
| 14.8 Operationalisierung der Verantwortung | 241 |
| 14.9 Fazit | 242 |
| Literatur | 243 |
| Stichwortverzeichnis | 245 |
