Geschäftsprozesse
Geschäftsprozesse bilden den Kern der Unternehmensabläufe und sind zentral für die Wertschöpfung und damit auch relevant für Informationsicherheit.
Einleitung
Geschäftsprozesse bilden den Kern der Unternehmensabläufe und sind zentral für die Wertschöpfung. Dabei wird zwischen Kernprozessen, die direkt an der Leistungserbringung oder Wertschöpfung beteiligt sind (z. B. Produktion, Vertrieb, Kundenservice), und unterstützenden Hilfsprozessen unterschieden (z. B. IT, Personal, Verwaltung). Die Betrachtung beider Prozessarten ist für die Informationssicherheit essenziell, da in jedem Ablauf sensible Daten verarbeitet und spezifische Sicherheitsanforderungen adressiert werden müssen.
Geschäftsprozesse und Hilfsprozesse sind zentrale Elemente für den unternehmerischen Erfolg und die Informationssicherheit. Die systematische Modellierung ermöglicht es, Prozesse klar zu strukturieren und den Detaillierungsgrad bedarfsgerecht zu wählen. Die differenzierte Betrachtung von Kern- und unterstützenden Prozessen ist wesentlich für die korrekte Schutzbedarfsfeststellung und eine fundierte Risikoanalyse. Unternehmen, die diese Elemente in ihr ISMS integrieren, schaffen eine solide Basis, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen nachhaltig zu gewährleisten.
Der ganzheitliche Ansatz, der von der Prozessmodellierung über die Schutzbedarfsfeststellung bis hin zur Risikoanalyse reicht, trägt maßgeblich zur Resilienz und Wettbewerbsfähigkeit bei. Für Unternehmen ist es daher unerlässlich, Geschäftsprozesse nicht isoliert zu betrachten, sondern als integralen Bestandteil eines umfassenden Sicherheitskonzeptes zu integrieren.
Grundlagen der Geschäftsprozesse und Hilfsprozesse
Geschäftsprozesse umfassen alle wiederkehrenden, zielgerichteten Aktivitäten in einem Unternehmen. Kernprozesse tragen unmittelbar zur Wertschöpfung bei, während Hilfsprozesse die Rahmenbedingungen schaffen, damit die Kernprozesse reibungslos ablaufen können. Die Unterscheidung ist nicht nur organisatorisch relevant, sondern auch hinsichtlich der Schutzbedarfsfeststellung: Kritische Kernprozesse weisen häufig einen höheren Schutzbedarf auf als rein administrative Hilfsprozesse. Dabei ist zu beachten, dass manche Abläufe zwar unterstützend wirken, aber ohne sie auch keine Kernprozesse realisiert werden können. Es gilt, den jeweiligen Kontext und die Schnittstellen zwischen den Prozessen genau zu betrachten.
Identifikation der eigenen Geschäftsprozesse
Die Identifikation der eigenen Geschäftsprozesse stellt für viele Unternehmen – insbesondere kleinere Organisationen – eine Herausforderung dar. Häufig existieren Abläufe zwar implizit, sind jedoch nicht formal beschrieben oder klar voneinander abgegrenzt. Ein strukturiertes Vorgehen erleichtert es, die wesentlichen Prozesse sichtbar zu machen und in einer konsistenten Form zu dokumentieren.
Die folgenden Schritte unterstützen dabei, Geschäftsprozesse systematisch zu erfassen und ein vollständiges Prozessinventar aufzubauen.
1. Unternehmensleistungen und Wertschöpfung verstehen
Zu Beginn wird betrachtet, welche Produkte oder Dienstleistungen das Unternehmen erbringt und welchen Nutzen Kunden oder Geschäftspartner daraus ziehen. Diese Sichtweise bildet die Grundlage, um jene Abläufe zu identifizieren, die unmittelbar zur Leistungserbringung beitragen.
Prozesse, die direkt mit der Erstellung oder Bereitstellung dieser Leistungen verbunden sind, gelten als Kernprozesse.
2. Abläufe aus Kundensicht betrachten
Ein bewährter Ansatz ist die Perspektive der Kunden/Partner:
Welche Schritte durchläuft ein Auftrag vom ersten Kontakt bis zur Erfüllung?
Durch diese Betrachtung entsteht eine natürliche Reihenfolge von Aktivitäten, aus der sich typische Kernprozesse wie Vertrieb, Auftragsabwicklung, Produktion oder Service ableiten lassen.
3. Unterstützende Tätigkeiten zuordnen
Im nächsten Schritt werden jene Bereiche identifiziert, die die Kernprozesse ermöglichen oder unterstützen. Dazu zählen beispielsweise IT‑Betrieb, Personalmanagement, Einkauf, Finanzwesen oder Qualitätsmanagement.
Diese Abläufe gelten als unterstützende Prozesse, da sie die Rahmenbedingungen für die Wertschöpfung schaffen.
4. Prozesse von Aktivitäten abgrenzen
Nicht jede Tätigkeit ist ein eigener Prozess. Ein Geschäftsprozess zeichnet sich durch ein klares Ziel, einen definierten Anfang und ein Ende sowie eine wiederholbare Abfolge von Schritten aus. Einzelne Arbeitsschritte, die lediglich Teil eines umfassenderen Ablaufs sind, werden nicht als eigenständige Prozesse geführt.
Diese Abgrenzung hilft, das Prozessinventar übersichtlich und konsistent zu halten.
5. Prozesse in einer ersten Grobbeschreibung erfassen
Für jeden identifizierten Prozess wird eine kurze Beschreibung erstellt, die Zweck, Startpunkt, Endpunkt, Hauptschritte und verantwortliche Rolle umfasst. Diese Grobbeschreibung dient als Grundlage für spätere Detaillierungen, ohne bereits eine vollständige Modellierung zu erfordern. Siehe Prozesssteckbrief
6. Vollständigkeit prüfen und Schnittstellen betrachten
Abschließend wird geprüft, ob alle wesentlichen Abläufe abgedeckt sind und ob die Übergänge zwischen den Prozessen logisch und vollständig beschrieben wurden.
Fehlende Prozesse zeigen sich häufig an unklaren Schnittstellen oder an Abläufen, die „zwischen zwei Bereichen hängen“. Eine konsistente Prozesslandschaft bildet die Basis für spätere Analysen und die Integration in ein Informationssicherheits‑Managementsystem.
Modellierung von Geschäftsprozessen
Eine fundierte Modellierung bildet die Basis für die Analyse und Absicherung der Abläufe. Dabei wird zunächst zwischen eigenständigen Geschäftsprozessen, unterstützenden Hilfsprozessen und nicht als eigenständige Prozesse anzusehenden Aktivitäten unterschieden. Ein Geschäftsprozess (GP) zeichnet sich durch einen klar definierten Anfang und ein Ende aus, während ein Hilfsprozess einen unterstützenden Charakter besitzt und häufig in die Kernprozesse integriert ist. Beispielhaft ist der IT-Betrieb zu nennen: Er ist ein eigenständiger Hilfsprozess, der aber gleichzeitig eng mit den Kernprozessen verknüpft ist. Aktivitäten, die lediglich als Teilschritte innerhalb eines umfassenden Prozesses auftreten und keinen eigenen Ablauf dokumentieren, gelten nicht als eigenständige Prozesse.
Für die Modellierung empfiehlt sich ein angemessener Detaillierungsgrad:
- Auf der strategischen Ebene genügt oft eine übersichtliche Prozesslandkarte oder Prozesssteckbriefe, die Kern- und Hilfsprozesse in ihrem Zusammenspiel darstellt.
- Für operative Zwecke sind detailliertere Modelle sinnvoll, etwa in Form von BPMN-Diagrammen oder Flussdiagrammen, um einzelne Arbeitsschritte, Verantwortlichkeiten und Informationsflüsse transparent zu machen.
Die Auswahl des Detaillierungsgrades orientiert sich an den Anforderungen der jeweiligen Analyse: Während die Schutzbedarfsfeststellung einen Überblick über kritische Abläufe benötigt, erfordert die konkrete Risikoanalyse oft detaillierte Einblicke in Schnittstellen und Datenflüsse.
Beispiel: Geschäftsprozessen in einem kleinen, mittelständischen Unternehmen
Im Folgenden wird ein praktisches Beispiel für ein kleines, mittelständisches Unternehmen dargestellt. Zunächst erfolgt eine Übersicht über die Kernprozesse (GP), die unmittelbar zur Wertschöpfung beitragen. Anschließend werden die Hilfsprozesse (HP) dargestellt. Hilfsprozesse erbringen keinen direkten Beitrag zur Wertschöpfung, sondern stellen notwendige Rahmenbedingungen und Ressourcen bereit, die die effektive Ausführung der Kernprozesse ermöglichen.
Kernprozesse (GP)
Kernprozesse sind wertschöpfende Prozesse die sich direkt aus den Unternehmenszielen ableiten.
| GP | Beschreibung | Verantwortlicher |
|---|---|---|
| Vertrieb | Akquise, Betreuung und Vertragsmanagement mit Kunden. | Vertriebsleitung |
| Produktion/Dienstleistungserbringung | Herstellung von Produkten bzw. Erbringung von Dienstleistungen als direkter Wertschöpfungsprozess. | Produktions-/Serviceleitung |
| Kundenservice | Betreuung nach dem Verkauf, Bearbeitung von Anfragen und Reklamationen. | Kundenserviceleitung |
| Logistik | Transport, Lagerhaltung und Distribution der Produkte. | Logistikleitung |
Hilfsprozesse (HP)
Hilfsprozesse unterstützen die Kernprozesse, indem sie notwendige Ressourcen, administrative Steuerung und Rahmenbedingungen bereitstellen. Sie sind nicht als eigenständige, wertschöpfende Abläufe zu verstehen, sondern als integrative Funktionen, die den reibungslosen Ablauf der Kernprozesse sicherstellen.
| HP | Beschreibung | Verantwortlicher | Unterstützte GP |
|---|---|---|---|
| IT-Management | Bereitstellung, Betrieb und Wartung der IT-Infrastruktur sowie Implementierung von IT-Sicherheitsmaßnahmen. | IT-Leitung | Alle Kernprozesse |
| Personalmanagement | Rekrutierung, Schulung, Entwicklung und Verwaltung von Mitarbeitenden. | Personalleitung | Alle Kernprozesse |
| Finanz- und Rechnungswesen | Verwaltung der Finanzen, Controlling, Buchhaltung und Finanzplanung. | Finanzleitung | Alle Kernprozesse |
| Einkauf | Beschaffung von Materialien, Rohstoffen und Dienstleistungen zur Unterstützung der operativen Abläufe. | Einkaufsleitung | Produktion, Logistik |
| Qualitätsmanagement | Sicherstellung und Kontrolle der Qualitätsstandards in der Produktion und im Kundenservice. | QM-Leitung | Produktion, Kundenservice |
| Facility Management | Verwaltung und Instandhaltung der betrieblichen Infrastruktur und Gebäude. | Facility Manager | Produktion, Logistik, Kundenservice |
Diese detaillierte Darstellung zeigt, wie durch die getrennte Modellierung von Kern- und Hilfsprozessen sowohl der direkte Wertschöpfungsbeitrag als auch die unterstützenden Funktionen eines Unternehmens transparent gemacht werden. Für die Informationssicherheit ist diese Unterscheidung wichtig, um gezielt Schutzmaßnahmen und Risikoanalysen an den jeweiligen Schnittstellen und Abhängigkeiten vorzunehmen.
Schutzbedarf der Geschäftsprozesse
Die Schutzbedarfsfeststellung oder Informationssicherheitseinstufung bildet eine zentrale Grundlage im Informationssicherheitsmanagement. Geschäftsprozesse sind hierbei als Informationsverarbeitungseinheiten zu betrachten, die verschiedene Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten müssen. Die Bewertung des Schutzbedarfs erfolgt in mehreren Schritten:
Zunächst wird der kritische Charakter des Prozesses identifiziert. Kernprozesse, die unmittelbar zur Wertschöpfung beitragen, weisen meist einen höheren Schutzbedarf auf als rein administrative Hilfsprozesse. Dabei ist es entscheidend, nicht nur die Prozessschritte, sondern auch die zugehörigen Informationsflüsse und Schnittstellen zu berücksichtigen. Insbesondere Übergabepunkte zwischen Kern- und Hilfsprozessen können Schwachstellen darstellen.
Anschließend erfolgt eine qualitative oder quantitative Bewertung, in der unter anderem Aspekte wie Ausfallzeiten, potenzielle Schäden durch Manipulationen oder den Verlust von Vertraulichkeit eine Rolle spielen. Die ermittelten Schutzbedarfe fließen direkt in die Festlegung der erforderlichen Sicherheitsmaßnahmen ein. So können etwa Zugangskontrollen, Verschlüsselungsmechanismen oder physische Sicherheitsvorkehrungen angepasst werden.
Risikoanalyse im Kontext von Geschäftsprozessen
Die Risikoanalyse erfordert eine detaillierte Betrachtung der Geschäftsprozesse, um gezielt Schwachstellen und Bedrohungen zu identifizieren. Dabei werden folgende Schritte verfolgt:
Zunächst erfolgt die Identifikation aller relevanten Prozesse, wobei Kern- und Hilfsprozesse differenziert betrachtet werden. Anschließend werden Abhängigkeiten und Schnittstellen analysiert, um potenzielle Angriffspunkte zu erkennen. Dabei ist insbesondere zu beachten, dass nicht nur einzelne Prozessschritte, sondern auch die Interaktion zwischen verschiedenen Prozessen als Risikoquelle dienen können.
In einem nächsten Schritt werden konkrete Bedrohungsszenarien definiert. Hierbei fließen sowohl externe Faktoren wie Cyberangriffe als auch interne Risiken, beispielsweise durch Bedienungsfehler oder unzureichende Schulungen, ein. Alternativ können auch die elementaren Gefährdungen des BSI IT-Grundschutz genutzt werden. Die identifizierten Risiken werden anschließend bewertet – sowohl hinsichtlich ihrer Eintrittswahrscheinlichkeit als auch der potenziellen Schadenshöhe. Dies ermöglicht eine Priorisierung, die zur Ableitung gezielter Maßnahmen führt.
Die Ergebnisse der Risikoanalyse bilden die Basis für die Implementierung von Sicherheitskontrollen, wobei technische, organisatorische und personelle Maßnahmen integriert werden. Dabei ist es wichtig, dass die Maßnahmen stets im Einklang mit den festgestellten Schutzbedarfen der einzelnen Geschäftsprozesse stehen.
Integration in das Informationssicherheits-Managementsystem
Die modellierten Geschäftsprozesse sowie die Ergebnisse aus Schutzbedarfsfeststellung, Informationssicherheitseinstufung und/oder Risikoanalyse sind integrale Bestandteile eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS). Durch die kontinuierliche Überprüfung und Anpassung der Prozesslandschaft kann das Unternehmen sicherstellen, dass alle relevanten Risiken erkannt und adäquat adressiert werden. Dabei unterstützen regelmäßige Audits, interne Revisionen und Schulungen nicht nur die Einhaltung gesetzlicher Vorgaben, sondern erhöhen auch die Reaktionsfähigkeit im Krisenfall.
