Bibliographic Metadata

Title
Strategische und strukturelle Integration von Informationssicherheit in Organisationen - Entwicklung eines Modells zum ganzheitlichen Schutz vor Wirtschafts- und Industriespionage / vorgelegt von: Kilian Schmitz
Additional Titles
Strategic and structural integration of information security in organizations - Development of a Model for holistic protection against industrial and economic espionage
AuthorSchmitz, Kilian
Thesis advisorKob, Timo ; Kaiser, Justina
Published2017
Description107 Seiten
Institutional NoteWien, FH Campus Wien, Masterarb., 2017
Date of SubmissionDecember 2017
LanguageGerman
Document typeMaster Thesis
Keywords (DE)Informationssicherheit / Wirtschatfsspioange / Industriespionage
Keywords (EN)information security / industrial espionage / economic espionage
Keywords (GND)Wirtschaftsspionage / Arbeitszufriedenheit / Risikomanagement
Restriction-Information
 The Document is only available locally
Links
Reference
Classification
Abstract (German)

Kontext und Fragestellung

Die Gefahr durch Wirtschafts- und Industriespionage ist in unserer westlichen Welt eine höchst reale, auch wenn dieses Bewusstsein bei vielen Unternehmen und Organisationen nicht der Gefährdung entsprechend ausgeprägt ist. Viele der bereits etablierten Maßnahmen beschäftigen sich primär mit technischen Sicherheitsmaßnahmen oder arbeiten an der Mitarbeiterzufriedenheit und Mitarbeiterinnenzufriedenheit und der Kultur in den Organisationen. Eine Sicherheitsstrategie, anhand derer ein ganzheitliches Schutzsystem ausgearbeitet werden kann und die dazu geeigneten strukturellen Anpassungen werden in den wenigsten Organisationen umgesetzt.

Aufbauend auf Martin Langers Wirtschaftsschutz mit „System“ sollen deshalb weitere Aspekte und relevante Bedingungen der internen Systemlandschaft auf ihre Relevanz in der Informationssicherheit hin überprüft werden. Folgende Fragestellung wird in der vorliegenden Arbeit untersucht:

Wie muss die Sicherheit in einer Organisation strukturell und strategisch aufgebaut und ausgerichtet sein, um einen effektiven Schutz vor Wirtschafts- und Industriespionage gewährleisten zu können?

Ziele der Arbeit

Die Arbeit beginnt damit, ein generelles Verständnis für die Entwicklung von Maßnahmen zur Informationssicherheit zu generieren. Aufbauend auf den Grundlagen soll zwischen den Führungselementen Struktur und Strategie und Wirtschafts- und Industriespionage ein klarer Zusammenhang analysiert werden. Schwerpunkte liegen dabei in dem Verhältnis zwischen einer Sicherheitsfunktion und der restlichen Organisation, sowie einem Modell zur ganzheitlichen und nachhaltigen Umsetzung von Informationssicherheit.

Theorie

Für das generelle Verständnis von Maßnahmen gegen Wirtschafts- und Industriespionage werden die beiden kriminologischen Theorien des Routine Acitivity Approaches und der Rational Choice Theorie herangezogen. In Verbindung zeigen diese beiden Theorien, dass für einen ausreichenden Schutz präventive Maßnahmen sowie das Bewusstsein für Informationssicherheit entscheidend sind.

Das General Management Modell zeigt, dass die Sicherheitsfunktion zum Dienstleister in der eigenen Organisation werden muss. Kritische Elemente sind der klare Auftrag durch die Geschäftsführung, sowie die Art und Weise wie Sicherheit umgesetzt werden muss. An dieser Stelle wird das unternehmerische Navigationssystem von Gälweiler integriert. Anhand diesem wird zwischen der operativen Führung von Sicherheit, welche kurzfristig auf Sicherheit reagieren muss und der strategischen Führung, welche für die langfristige Weiterentwicklung von Sicherheit verantwortlich ist, unterschieden.

Wissenschaftliche Methoden

Die empirische Erforschung wurde aufgrund der Komplexität des Themas und der relativ geringen Zeitspanne mittels Leitfrageninterviews erhoben. Dies bot den Vorteil, dass Experten und Expertinnen zusätzliche Anmerkungen mit in die Ausarbeitung einbringen konnten. Die Auswertung und Interpretation der Ergebnisse erfolgte anhand der qualitativen Inhaltsanalyse nach Mayring.

Ergebnisse

Generell wurde festgestellt, dass es im Bezug auf Struktur und Strategie in der Informationssicherheit kein klares Verständnis gibt. Dennoch waren eindeutige Gemeinsamkeiten unter den verschiedenen Interviews zu erkennen. Die Sicherheitsfunktion muss als Stabsstelle sehr weit oben in der Hierarchie positioniert werden. Sie ist dafür verantwortlich die Strategie und Ziele für die Informationssicherheit festzulegen, das Bewusstsein zu erhöhen und als Prozesseigner die Sicherheit langfristig weiterzuentwickeln.

Der Sicherheitsprozess kann in zwei grundlegende Teile untergliedert werden, den strategischen und den operativen Teil. Im strategischen Bereich muss die Sicherheitsfunktion die Ziele vorgeben, Bewusstsein fördern, fachlicher Ansprechpartner und Ansprechpartnerin sein sowie die Umsetzung der Schutzziele überprüfen. Die restliche Organisation ist für die Umsetzung der Sicherheit verantwortlich. Dem gegenüber steht die operative Führung, wobei es sich nicht um einen kontinuierlichen Prozess, sondern die Reaktion auf Sicherheitsvorfälle handelt. In diesem Fall müssen die Experten und Expertinnen Folgeschäden verhindern indem sie die Sicherheitslücke schnellstmöglich schließen.

Abstract (English)

Context of the Thesis

The dangers of economic espionage are a serious problem in our western world, mainly because the awareness is not matching the current threats. Also most of the taken actions against information loss are based on firmly established technical measures or improvement of employee satisfaction.

In only a few organizations security measures are taken to a higher level, by reviewing the organizational structures or developing a security policy. This is where the current paper takes place and is trying to work out relevant aspects that link between information security, organizational structure and corporate strategy. Therefor the following question was established:

Which aspects of organizational structure and corporate strategy are relevant to provide an effective protection against information loss and espionage?

Goal of the Thesis

First objective is to work out the general understanding on how security measures are developed and implemented. The fundamental understanding is required to then find out key factors on working in a security department and developing sustainable protection against espionage and information loss.

Theory

Several theories are used to answer the research issue. Some of the theories are criminological theories, while others are general scientific theories.

Working on the fundamental understanding of security measures the routine activity approach and the rational choice theory are used. Connecting these theories, preventive measures and building up awareness are able to provide a sufficient protection against espionage.

To establish a sufficient protection the security department hast to provide security as a service. Therefor critical elements are the precise mandate given by managers and clear processes. The Process is based on model by Gälweiler and divided into two parts. First the operational management that has to react on security incidents. Secondly the strategic management, that is responsible for long-term development of security.

Methodology

Based on the complexity of the topic and the relatively short time of the Thesis a qualitative survey was chosen. It also allowed experts to bring in their own suggestions and experience. The evaluation and analysis was based on the model of qualitative content analysis.

Results

To sum up, the interviews clearly pointed out, that there is no consistent understanding on the topic of information security in combination with operational strategy and structure. Nevertheless some general similarities could be identified.

Any kind of security department has to be situated very high in organizational hierarchy as an independent unit with clear communication paths to the top management. The security department then is responsible to specify a security strategy and information security objectives, improve awareness and further development of information security.

The security process consists of the operational information security and the strategic information security. The strategic information security has to point out security information targets, improve awareness and has to be a point of contact for any questions about information security. Last but not least the security department has to review realization of security measures.

On the other hand, the operational security is not a continuous improvement process as shown above but a reaction to information security incidents. In this very special case experts of the security department have to close any security gab and prevent consequential losses.