Geleitwort | 6 |
Vorwort | 7 |
Zusammenfassung | 8 |
Abstract | 9 |
Inhaltsverzeichnis | 10 |
Abbildungsverzeichnis | 15 |
Tabellenverzeichnis | 19 |
Abkürzungsverzeichnis | 21 |
1 Die Herausforderungen einer wertorientierten Steuerung von Risiken im Informationsmanagement | 23 |
1.1 Motivation der Arbeit | 25 |
1.2 Gestaltungsziel und -gegenstand | 29 |
1.3 Forschungsleitende Fragestellungen | 31 |
1.4 Aufbau und Ablauf der Arbeit | 32 |
1.5 Verwendete Notationskonventionen | 34 |
2 Grundlagen und Forschungsdesign | 35 |
2.1 Grundlagen und Prinzipien der konzeptionellen Modellierung | 36 |
2.1.1 Konzeptionelle Modelle | 37 |
2.1.1.1 Der allgemeine Modellbegriff | 37 |
2.1.1.2 Der konstruktionsorientierte Modellbegriff der Wirtschaftsinformatik | 38 |
2.1.1.3 Die relevante Extension des Modellbegriffs für diese Arbeit | 40 |
2.1.1.4 Konklusion | 42 |
2.1.2 Nutzenpotenziale konzeptioneller Modelle | 42 |
2.1.2.1 Nutzenpotenziale des modellbasierten Problemlösens | 42 |
2.1.2.2 Wirkungen konzeptioneller Modelle | 45 |
2.1.2.3 Qualität konzeptioneller Modelle | 46 |
2.1.2.4 Konklusion | 50 |
2.1.3 Methoden der Informationsmodellierung | 50 |
2.1.3.1 Der Methodenbegriff | 50 |
2.1.3.2 Method Engineering | 52 |
2.1.3.3 Methodenentwicklung nach Greiffenberg (2004) | 53 |
2.1.3.4 Konklusion | 54 |
2.1.4 Notwendigkeit einer wissenschaftstheoretischen Positionierung | 55 |
2.2 Wissenschaftstheoretische Annahmen | 56 |
2.2.1 Gemäßigt konstruktivistische Positionierung | 57 |
2.2.1.1 Die Sprachgemeinschaft als linguistische Position | 58 |
2.2.1.2 Konsens als Wahrheitsbegriff | 59 |
2.2.1.3 Epistemologisch konstruktivistische Position | 60 |
2.2.1.4 Ontologische Position nach Kant | 62 |
2.2.1.5 Konklusion | 63 |
2.2.2 Technologieorientiertes Forschungsverständnis | 64 |
2.2.2.1 Die Ebenen der Forschungstätigkeit nach Chmielewicz (1979) | 64 |
2.2.2.2 Kriterien technologischer Forschung nach Hevner et al. (2004) | 66 |
2.2.2.3 Konklusion | 69 |
2.2.3 Entwicklung eines Artefakts als Ausgangspunkt der Forschungsmethode | 69 |
2.3 Forschungsmethode | 69 |
2.3.1 Design Research | 70 |
2.3.1.1 Artefakte des Design Research | 70 |
2.3.1.2 Vorgehensmodelle für Design Research | 71 |
2.3.1.3 Konklusion | 73 |
2.3.2 Theoriebasierte Entwicklung von Designprinzipien | 73 |
2.3.2.1 Designtheorien als Grundlage | 74 |
2.3.2.2 Kumulative Designprinzipien | 75 |
2.3.2.3 Konklusion | 77 |
2.3.3 Resultierende Forschungsmethode | 77 |
2.4 Theoriegestützte Entwicklung von Artefakten als Grundlage des weiterenVorgehens | 79 |
3 Die wertorientierte Steuerung des Informationsmanagements als Ausgangspunktder Methodenentwicklung | 81 |
3.1 Informationsmanagement | 83 |
3.1.1 Information und Management | 83 |
3.1.2 Das Informationssystem als Gestaltungsgegenstand des Informationsmanagements | 85 |
3.1.3 Die Rolle des Informationsmanagements in der betrieblichen Leistungserbringung | 86 |
3.1.4 Struktur und Funktionen des Informationsmanagements | 88 |
3.1.5 Führungsaufgaben des Informationsmanagements | 90 |
3.1.6 Konklusion | 91 |
3.2 Wertorientiertes Informationsmanagement | 93 |
3.2.1 Der Beitrag des Informationsmanagements zur betrieblichen Leistungserbringung | 93 |
3.2.2 Der Wertbegriff im Informationsmanagement | 96 |
3.2.3 Werttreiber als Steuerungsgrößen eines wertorientierten Informationsmanagements | 99 |
3.2.4 Konklusion | 101 |
3.3 Dienstleistungsorientierung im Informationsmanagement | 102 |
3.3.1 Der Begriff der Dienstleistung | 103 |
3.3.2 Der Begriff der IT-Dienstleistung | 105 |
3.3.3 Konzepte der Erstellung und Steuerung von IT-Dienstleistungen | 107 |
3.3.4 Qualität von IT-Dienstleistungen | 111 |
3.3.5 Service Level Management | 113 |
3.3.6 Konklusion | 115 |
3.4 Risikosteuerung als komplementärer Wertbeitrag des Informationsmanagements | 117 |
4 Risikomanagement im Informationsmanagement | 119 |
4.1 Risikomanagement | 120 |
4.1.1 Betriebswirtschaftliches Risikomanagement | 121 |
4.1.2 Rahmenbedingungen des Risikomanagements im Informationsmanagement | 125 |
4.1.3 Wertorientiertes Risikomanagement nach Junginger (2004) | 128 |
4.1.3.1 Konstitution des Risikomanagementsystems | 130 |
4.1.3.2 Risiken identifizieren mit Risk Cases | 131 |
4.1.3.3 Risiken analysieren mit Risiko-Szenarios | 133 |
4.1.3.4 Der Prozess der Risikosteuerung | 135 |
4.1.3.5 Der Prozess der Risikoüberwachung | 136 |
4.1.4 Vergleich mit anderen Konzepten des Risikomanagements | 138 |
4.1.5 Konklusion | 140 |
4.2 Risiko | 141 |
4.2.1 Extension des Risikobegriffs im Informationsmanagement | 143 |
4.2.2 Risiken der Informationssicherheit als relevanter Extensionsausschnitt | 148 |
4.2.3 Das Risikothermostat als grundlegendes Modell der Risikosteuerung | 149 |
4.2.4 Intension von Risiken der Informationssicherheit | 156 |
4.2.5 Konklusion | 159 |
4.3 Theoretische Grundlagen der Risikosteuerung | 161 |
4.3.1 Ziel und Aufgabe der Risikosteuerung | 161 |
4.3.2 Die Risikoneigung als mediierender Einflussfaktor | 164 |
4.3.3 Die Risikowahrnehmung als zentraler Einflussfaktor | 166 |
4.3.4 Das Risikowissen als Grundlage von Steuerungsentscheidungen | 168 |
4.3.5 Resultierendes Risikoverhalten in Organisationen | 170 |
4.3.6 Konklusion | 172 |
4.4 Risk Services als Gestaltungselemente des Risikomanagements | 173 |
5 Empirische Reflexion | 176 |
5.1 Ziel und Vorgehen | 177 |
5.1.1 Begründung und Zielstellung der Untersuchung | 177 |
5.1.2 Methode und Vorgehen interpretativer Fallstudien | 179 |
5.1.3 Grundverständnis der Untersuchung | 182 |
5.1.4 Aufbau und Durchführung der Fallstudie | 183 |
5.1.5 Limitationen | 185 |
5.2 Diskussion | 187 |
5.2.1 Rahmenbedingungen | 188 |
5.2.1.1 Rolle des Informationsmanagements | 189 |
5.2.1.2 Dienstleistungsorientierung | 190 |
5.2.1.3 Risikostrategie | 193 |
5.2.1.4 Risikokultur | 194 |
5.2.1.5 Konklusion | 196 |
5.2.2 Aufbau und Ablauf des Risikomanagements | 197 |
5.2.2.1 Komponenten des Risikomanagementsystems | 198 |
5.2.2.2 Risikobegriff als Grundlage der Zielsetzung im Risikomanagement | 201 |
5.2.2.3 Prozess des Risikomanagements | 203 |
5.2.2.4 Konklusion | 206 |
5.2.3 Reflexion des steuerungszentrierten Risikomanagements | 207 |
5.3 Notwendigkeit einer modellbasierten Unterstützung | 208 |
6 CORAX: Informationsmodelle für das Risk Service Engineering | 210 |
6.1 Konstruktionsrahmen | 211 |
6.1.1 Ausgestaltung der Methodenentwicklung | 211 |
6.1.2 Risk Services als zentrales Element der Methode | 213 |
6.1.3 Rollenmodell eines steuerungszentrierten Risikomanagements | 215 |
6.1.4 Grundlegende Designprinzipien | 217 |
6.1.4.1 Security Patterns | 217 |
6.1.4.2 Der Goal-Question-Metric-Ansatz | 220 |
6.1.4.3 Benefits-Dependency-Networks | 222 |
6.1.4.4 VisAware | 224 |
6.1.5 Architektur der Methode | 226 |
6.2 Risk Patterns | 229 |
6.2.1 Das Konzept der Risk Patterns | 230 |
6.2.2 Das Vorgehen der Risk Intelligence | 234 |
6.2.3 Konklusion | 236 |
6.3 Risk Levels | 237 |
6.3.1 Das Konzept der Risk Levels | 238 |
6.3.2 Das Vorgehen zur Entwicklung von Risk Level Managements | 242 |
6.3.3 Konklusion | 244 |
6.4 Risk Services Architecture | 246 |
6.4.1 Das Konzept der Risk Services Architecture | 247 |
6.4.2 Das Vorgehen des Risk Service Engineerings | 250 |
6.4.3 Konklusion | 253 |
6.5 Integrierte Sicht auf die Informationsartefakte des Risikomanagements | 255 |
7 Fallstudie 'Corporate Identity Card' | 256 |
7.1 Konzeption der Fallstudie | 257 |
7.1.1 Ziel der Fallstudie | 257 |
7.1.1.1 Evaluation | 257 |
7.1.1.2 Evaluation von Designprinzipien | 258 |
7.1.1.3 Evaluation von CORAX | 262 |
7.1.2 Vorgehen | 263 |
7.1.3 Limitationen | 265 |
7.2 Ausgangssituation | 266 |
7.2.1 Informationssicherheit bei OMEGA | 267 |
7.2.2 Steuerung von Risiken der Informationssicherheit | 269 |
7.2.2.1 Risiken der Informationssicherheit | 269 |
7.2.2.2 Sichten der Risikosteuerung | 272 |
7.2.2.3 Der Entwicklungsprozess für Steuerungsmaßnahmen | 274 |
7.2.2.4 Das Global Security Framework als Ausgangspunkt | 277 |
7.2.3 Herausforderungen der Risikosteuerung bei OMEGA | 279 |
7.3 Die Einführung einer Corporate Identity Card bei OMEGA | 282 |
7.3.1 Historie des Projekts ‚Corporate Identity Card’ | 283 |
7.3.2 Grundlagen des Identitätsmanagements | 288 |
7.3.3 Risk Patterns für die Corporate Identity Card | 292 |
7.3.4 Risk Levels ausgewählter Akteure | 299 |
7.3.5 Die Risk Services Architecture einer 'Corporate Identity Card' | 302 |
7.4 Diskussion | 306 |
7.4.1 Beurteilung der Anwendung von CORAX | 307 |
7.4.2 Vergleichende Diskussion des steuerungszentrierten Risikomanagements | 310 |
7.4.3 Vergleichende Diskussion der Modellierungsmethode | 312 |
7.5 CORAX als Methode der wertorientierten Steuerung von Risiken | 315 |
8 Kritische Würdigung und Ausblick | 317 |
8.1 Zusammenfassung | 317 |
8.2 Kritische Reflexion der Ergebnisse | 319 |
8.3 Ausblick | 322 |
Literaturverzeichnis | 324 |
Anhang | 367 |
A Materialien zur empirischen Reflexion | 367 |
B Materialien zur Fallstudie 'Corporate Identity Card' | 375 |