Zusammenfassung
Kleine und mittlere Unternehmen aller Branchen versuchen sich nach wie vor angemessen mit den Herausforderungen der Globalisierung und der digitalen Transformation auseinanderzusetzen. Sie bilden in diesem Zusammenhang wachsende Kompetenz in der Produktionsautomatisierung (Industrie 4.0) und in digitalen Geschäfts- und Verwaltungsprozessen aus. In Bezug auf IT-GRC bleiben KMU demgegenüber faktisch oft noch unreif. Bestehende Ansätze des IT-Governance-, Risiko- und Compliance-Managements sind noch zu wenig für KMU ausgestaltet. Das Kapitel stellt vor diesem Hintergrund einen zunächst aus der Literatur abgeleiteten, und dann zusammen mit Feedback von 14 IT-GRC Experten aufgestellten, kompetenzorientierten Ansatz zur Wahrnehmung und Messung des IT-Governance-, Risiko- und Compliance-Managements in KMU vor. Der Ansatz enthält sechs relevante Kompetenzkategorien. Das Kapitel stellt dann zwei abgeleitete, webbasierte Tools zur Messung und Erfassung der Handlungsbedarfe und zur Unterstützung von Management-Maßnahmen vor. Der Ansatz sowie die prototypisch realisierten Tools unterstützen das IT-GRC-Management von KMU gemäß ihrem Reifegrad und bedarfsorientiert. Bei der Unterstützung wird der Fokus darauf gelegt, KMU bei der Umsetzung der ständig wachsenden IT-GRC-Anforderungen schlanke und konkrete Methoden, Werkzeuge und Hilfsmittel an die Hand zu geben und die verschiedenen Stakeholder einzubinden.
überarbeiteter Beitrag basierend auf dem Artikel „IT-Governance, Risiko- und Compliance-Management (IT-GRC) – Ein Kompetenz-orientierter Ansatz für KMU“ von A. Johannsen, D. Kant, HMD Heft 335, Hans-Peter Fröschle, Nikolaus Schmidt (Hrsg.): Cloud Operations, Mai 2020, S. 1058–1074.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Literatur
ACS (2019a) Allianz für Cybersicherheit. Herausgeber: Bundesamt für Sicherheit in der Informationstechnik. https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/Notfallkarte/TOP_12_Massnahmen.pdf?__blob=publicationFile&v=6. Zugegriffen: 10. Febr. 2020
ACS (2019b) Allianz für Cybersicherheit. Herausgeber: Bundesamt für Sicherheit in der Informationstechnik. https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/Notfallkarte/IT-Notfallkarte_DINA4_eigenesLogo.pdf;jsessionid=5CFFA6B04DC1092950E331705C9F3EE9.2_cid351?__blob=publicationFile&v=4. Zugegriffen: 10. Febr. 2020
Ahn H, Maxa C, Panitz JC (2014) Steuerung von IT-Compliance Management Systemen in Konzernstrukturen. HMD 51:240–251
Albayrak CA, Gadatsch A (2017) Digitalisierung für kleinere und mittlere Unternehmen (KMU): Anforderungen an das IT-Management. In: Knoll M, Strahringer S (Hrsg) IT-GRC-Management – Governance, Risk und Compliance. Grundlagen und Anwendungen. Springer Vieweg, Wiesbaden, S 151–166
Andelfinger U, Kneuper R (2014) Governance und Compliance von Anfang an wirksam umsetzen. HMD 51:217–227
Becker J, Krcmar H, Niehaves B (2009) Wissenschaftstheorie und gestaltungsorientierte Wirtschaftsinformatik. Physika, Heidelberg
Becker W, Ulrich P, Botzkowski T (2017) Industrie 4.0 im Mittelstand. Best Practices und Implikationen für KMU. Springer Gabler, Wiesbaden
Beißel S (2017) Differenzierung von Rahmenwerken des IT-Risikomanagements. HMD 54:37–54
Bergmann R, Tiemeyer E (2017) IT-Governance. In: Tiemeyer E (Hrsg) Handbuch IT-Management. Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis. Hanser, München. S 759–813
Bhattarcharyya A (2019) Governance, risk & compliance (GRC) technology. Internal Company Presentation, Dloitte & Touche, London. In: 19th annual regional audit conference, Abu Dhabi
Bitkom (2018) Bitkom-Mittelstandsbericht 2018. Studie. https://www.bitkom.org/Bitkom/Publikationen/Bitkom-Mittelstandsbericht-2018.html. Zugegriffen: 19. Dez. 2019
Bömelburg P, Zähres R (2015) Risiko- & Compliance-Management im Mittelstand – ein Plädoyer für ein integriertes System. In: Fahrenschon G, Kirchhoff AG, Simmert DB (Hrsg) Mittelstand – Motor und Zukunft der deutschen Wirtschaft. Erfolgskonzepte für Management, Finanzierung und Organisation. Springer, Wiesbaden. S 539–556
Borchard I, Jurczok F, Javakhishvili E, Repoh I (2018) DIVSI U25-Studie. Euphorie war gestern. Die „Generation Internet“ zwischen Glück und Abhängigkeit. Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI), Hamburg. https://www.divsi.de/wp-content/uploads/2018/11/DIVSI-U25-Studie-euphorie.pdf. Zugegriffen: 3. März 2020
BSI (2018) Basismaßnahmen der Cyber-Sicherheit. Bundesamt für Sicherheit in der Informationstechnik. https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_006.pdf?__blob=publicationFile&v=4. Zugegriffen: 11. Febr. 2020
Buck et al (2016) Mobile Applikationen im Arbeitsalltag: Geringe Literacy als Sicherheitsgefahr für Unternehmen. HMD – Praxis der Wirtschaftsinformatik Heft 307 53(1):87–97
Dehmel S, Kelber U (2019) DS-GVO, ePrivacy, Brexit – Datenschutz und die Wirtschaft. https://www.bitkom.org/sites/default/files/2019-09/bitkom-charts-pk-privacy-17-09-2019.pdf. Zugegriffen: 2. März 2020
Demary V, Engels B, Röhl K, Rusche C (2016) Digitalisierung und Mittelstand. Eine Metastudie. IW-Analyse - Nr. 109. Institut der deutschen Wirtschaft Köln Medien GmbH, Köln
Disterer und Kleiner (2014) Compliance von mobilen Endgeräten HMD 51:307–318. https://doi.org/10.1365/s40702-014-0044-x
Eierdanz F, Herzog-Buchholz E, Sieling E, Schick C (2019) Demografiefestigkeit 4.0 – Chancen des digitalen Wandels zur Förderung von Beschäftigungsfähigkeit und Arbeitgeberattraktivität nutzen. In: Arbeit 4.0 im Mittelstand. Chancen und Herausforderungen des digitalen Wandels für KMU. Springer, Berlin
Guldentops E (2014) Governance of IT in small and medium sized enterprises. In: Devos J, van Landeghem H, Deschoolmeester D (Hrsg) Information systems for small and medium-sized enterprises. Springer, Berlin, S 3–24
Henschel T, Heinze I (2016) Governance, Risk und Compliance im Mittelstand, Praxisleitfaden für gute Unternehmensführung. Schmidt, Berlin
Hevner A et al (2004) Design science in information systems research. In: MIS Q 28. University of Minnesota, Minneapolis, S 75–105
Hillebrand A, Niederprüm A, Schäfer S, Thiele S, Henseler-Unger I (2017) Aktuelle Lage der IT-Sicherheit in KMU. WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH. https://www.wik.org/fileadmin/Sonstige_Dateien/IT-Sicherheit_in_KMU/WIK-Studie_Aktuelle_Lage_der_IT-Sicherheit_in_KMU_Langfassung__2_.pdf. Zugegriffen: 21. Nov. 2019
Hofmann J (2018) Arbeit 4.0 – Digitalisierung, IT und Arbeit IT als Treiber der digitalen Transformation. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-21359-6
Hofmann M, Hofmann A (2017) ISMS-Tools zur Unterstützung eines nativen ISMS gemäß ISO 27001. Gesellschaft für Informatik. https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y. Zugegriffen: 13. Febr. 2020
ifM Bonn (2016) KMU-Definition des IfM Bonn. https://www.ifm-bonn.org/definitionen/kmu-definition-des-ifm-bonn/. Zugegriffen: 13. Jan. 2020
ISIS12 (2018) Bayerischer IT-Sicherheitscluster. Handbuch zur effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen (KMO). Version 1.9. Hrsg.: Bayerischer IT-Sicherheitscluster e.V., Eigenverlag Bayerischer IT-Sicherheitscluster, Regensburg
Jarke M, Otto B, Ram S (2019) Data sovereignty and data space ecosystems. Bus Inf Syst Eng 61(5):549–550. https://doi.org/10.1007/s12599-019-00614-2. Zugegriffen: 20. Dez. 2019
Johannsen A, Kant D (2020) IT-Governance, Risiko- und Compliance-Management(IT-GRC) – Ein Kompetenz-orientierter Ansatz für KMU. HMD Praxis der Wirtschaftsinformatik. HMD 57:1058–1074. https://doi.org/10.1365/s40702-020-00625-8. Springer, Wiesbaden.
Johannsen A, Eifert F, Annan T (2020) Der IT-Mittelstand als Wegbereiter für Datengetriebene und kooperative Geschäftsmodelle. In: Wissenschaft trifft Praxis. Nr. 13, Jan. 2020, WIK-Consult GmbH, Bad Honnef, S 59–65
Kant D, Creutzburg R, Johannsen A (2020) Investigation of risks for critical infrastructures due to the exposure of SCADA systems and industrial controls on the Internet based on the search engine Shodan. In: IS&T international symposium on electronic imaging 2020 mobile devices and multimedia: enabling technologies, algorithms, and applications 2020. Society for imaging science and technology. Springfield, USA. https://doi.org/10.2352/ISSN.2470-1173.2020.3.MOBMU-253 Zugegriffen: 25. Okt 2021
Kersten H, Klett G, Reuter J, Schröder K W (2020) IT-Sicherheitsmanagement nach der neuen ISO 27001. ISMS, Risiken, Kennziffern, Controls, 2. Ak. Aufl. Springer Vieweg, Wiesbaden
KIW-ADV (2019) ADV-Vertrag. Auftragsdatenverarbeitung im Einklang mit der DSGVO. Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft, Berlin. https://itwirtschaft.de/wp-content/uploads/2019/12/ADV-Vertrag.pdf. Zugegriffen: 10. Febr. 2020
KIW-DS 2019 (2019) Datenschutzerklärung für eine Webseite. Muster. Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft, Berlin. https://itwirtschaft.de/wp-content/uploads/2019/12/Muster_DSGVO_2.pdf. Zugegriffen: 10. Febr. 2020
KIW (2020a) Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft. www.it-wirtschaft.de. Zugegriffen: 10. Dez. 2020
KIW (2020b) Information Security Policy, Informationssicherheitsrichtlinie für eine Kooperation. Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft, Berlin. https://itwirtschaft.de/wp-content/uploads/2019/09/Info-Sec-Policy-1_7.pdf. Zugegriffen: 10. Dez. 2020
Klotz, M (2017) IT-Compliance. In: Tiemeyer E (Hrsg) Handbuch IT-Management. Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis, 6. Aufl. Hanser, München, S 857–902
Klotz M (2019) IT-Compliance nach COBIT 2019. SIMAT Arbeitspapiere. No. 11–19–034. Hochschule Stralsund. Stralsund Information Management Team (SIMAT), Stralsund
Knoll M, Strahringer S (2017) IT-GRC-Management im Zeitalter der Digitalisierung. In: Knoll M, Strahringer S (Hrsg) IT-GRC-Management – Governance, Risk und Compliance. Grundlagen und Anwendungen. Springer Vieweg, Wiesbaden, S 1–24
Knüpffer W, Gabriel A, Herzog D, Schnaider M (2017) Entwicklung und Umsetzung einer Mobile-Gesamtstrategie. In: Knüpffer W (Hrsg) Integration mobiler IT-Systeme. Einsatzfelder – Management – Strategie. Verlag Erich Schmidt, Berlin, S. 141–175
Kohne A, Ringleb S, Yücel C (2015) Bring your own device. Einsatz von privaten Endgeräten im beruflichen Umfeld – Chancen,Risiken und Möglichkeiten. Springer Vieweg, Wiesbaden
Krcmar H, Eckert C, Roßnagel A, Sunyaev A, Wiesche M (2018) Management sicherer Cloud-Services. Springer, Wiesbaden
Leeser DC (2020) Digitalisierung in KMU kompakt, Compliance und IT-Security. Springer Vieweg, Wiesbaden
Müller K (2018) IT-Sicherheit mit System, 6. Aufl. Springer Vieweg, Wiesbaden
OWASP (2017) Die 10 kritischsten Sicherheitsrisiken für Webanwendungen. (Deutsche Version 1.0). Open Web Application Security Project. https://www.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf. Zugegriffen: 20. Dez. 2019
Pohlmann N (2019) Cyber-Sicherheit. Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg, Wiesbaden
Rehäußer P et al (2015) GSTOOL QUO VADIS? Evaluation von Information Security Management System Tools als Grundschutz Tool Alternativen. https://www.kronsoft.de/download/free/csc-studie.pdf. Zugegriffen: 14. Dez. 2019
Richter S, Straub T, Lucke C (2018) Information Security Awareness – eine konzeptionelle Neubetrachtung. In: Multikonferenz Wirtschaftsinformatik 2018. Lüneburg, Germany, S 1369–1380
SAP (2019) SAP Governance, risk, and compliance (GRC) solutions road map. https://blog.asug.com/hubfs/2019%20AC%20Slide%20Decks%20Wednesday/ASUG82909%20-%20Road%20Map%20SAP%20Governance,%20Risk,%20and%20Compliance%20Solutions.pdf. Zugegriffen: 20. Dez. 2020
Schmied J, Wentzel P-R, Gerdom M, Hehn U (2008) Mit CMMI Prozesse verbessern. dpunkt, Heidelberg
Schonschek O (2019) Studie cloud security. IDG Research Services, München. www.computerwoche.de/studien. Zugegriffen: 4. Dez. 2020
Sirur S, Nurse J R C, Webb H (2018) Are we there yet? Understanding the challenges faced in complying with the general data protection regulation (GDPR). In: 2nd international workshop on multimedia privacy and security (MPS’18), Toronto. ACM, New York, S 88–95
Todesco F (2010) Die Unternehmensplanung bei kleinen und mittleren Unternehmen im Blickpunkt der aktuellen gesetzlichen Anforderungen an die Unternehmensführung. Dissertation, Universität Würzburg. https://opus.bibliothek.uni-wuerzburg.de/frontdoor/index/index/year/2010/docId/4210. Zugegriffen: 3. März 2020
Urbach N, Ahlemann F (2018) Der Wissensarbeitsplatz der Zukunft: Trends, Herausforderungen und Handlungsempfehlungen. In: Hofmann J (Hrsg) Arbeit 4.0 – Digitalisierung, IT und Arbeit IT als Treiber der digitalen Transformation. Springer Vieweg, Wiesbaden. S 79–94
Verinice (2019) BSI IT-Grundschutz. SerNet GmbH, Göttingen. https://verinice.com/grundschutz. Zugegriffen: 15. Dez. 2019
Wagner C (2017) Extreme Eigenkapitalausstattungen kleiner und mittlerer Unternehmen. Bestandsaufnahme und explorative Untersuchung. Springer Gabler Research, Wiesbaden
Watson B, Zheng J (2017) On the user awareness of mobile security recommendations. In: ACM SE’17, Kennesaw, GA, USA, 13-15 April 2017. 8 pages. https://doi.org/10.1145/3077286.3077563
Weber K, Schütz AE, Fertig T (2019) Grundlagen und Anwendung von Information Security Awareness. Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren. Springer Vieweg, Wiesbaden
Welter F, May-Strobl E, Schlömer-Laufen N, Kranzusch P, Ettl K (2014) Das Zukunftspanel Mittelstand Eine Expertenbefragung zu den Herausforderungen des Mittelstands. IfM-Materialien Nr. 229, Bonn. https://www.ifm-bonn.org/uploads/tx_ifmstudies/IfM-Materialien-229.pdf. Zugegriffen: 5. März 2020
Wohlfarth M (2019) Data portability on the internet. An economic analysis. Bus Inf Syst Eng 61(5):551–574
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2022 Der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Johannsen, A., Kant, D. (2022). IT-Governance-, Risiko- und Compliance-Management (IT-GRC) – Ein kompetenzorientierter Ansatz für KMU. In: Weber, K., Reinheimer, S. (eds) Faktor Mensch. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-34524-2_15
Download citation
DOI: https://doi.org/10.1007/978-3-658-34524-2_15
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-34523-5
Online ISBN: 978-3-658-34524-2
eBook Packages: Computer Science and Engineering (German Language)