Schwachstellen (englisch vulnerability, bug) sind die in Organisationen (Unternehmen, Behörden) vorhandenen organisatorischen, prozessualen, personellen oder systemischen Mängel, die die angestrebten Ziele beeinträchtigen und Schäden verursachen können.
Allgemeines
Organisationen weisen im Idealzustand keine Schwachstellen auf und können deshalb ihre Sachziele erreichen. In einem realen dynamischen Umfeld jedoch, das durch wirtschaftliche, gesellschaftliche und technologische Veränderungen gekennzeichnet ist, müssen Organisationen auftretende Mängel schnell beseitigen. Schwachstellen sind ein organisatorischer Mangel, der zunächst erkannt und dann mit Hilfe der Schwachstellenanalyse behoben wird. Eine DIN-Norm stellt die Schwachstelle in den Zusammenhang mit einem Schaden oder Schadenspotenzial: „Schwachstelle ist eine durch die Nutzung bedingte Schadensstelle oder schadensverdächtige Stelle, die mit technisch möglichen und wirtschaftlich vertretbaren Mitteln verändert werden kann, dass die Schadenshäufigkeit und/oder Schadensumfang sich verringert“.[1] Es genügt aus betriebswirtschaftlicher Sicht, wenn unzureichend funktionierende Organisationselemente vorhanden sind, die mit vertretbarem technischen und wirtschaftlichen Aufwand beseitigt werden können.
Arten
In einer Organisation gibt es primäre und sekundäre Mängel, die auf Schwachstellen zurückzuführen sind:[2]
- primäre Mängel liegen vor, wenn Aufgaben nicht den Unternehmenszielen entsprechend ausgeführt werden, wenn nicht alle zur Zielerreichung erforderlichen Aufgaben erfüllt werden oder Aufgaben ausgeführt werden, die nicht zur Zielerreichung beitragen.
- Sekundäre Mängel sind vorhanden, wenn berechtigte Belange der Arbeitnehmer organisatorisch nicht berücksichtigt werden oder vorhandene Betriebsmittel nicht adäquat genutzt werden.
Primäre und sekundäre Mängel können entweder zu einem (überwindbaren) Arbeitshindernis („Job-Stopper“) oder im Extremfall zu einer Betriebsstörung mit Produktionsausfall führen.
Die ISO 27005 (Risikomanagement) zählt in ihrem „Anhang D“ typische Schwachstellen in Unternehmen auf und unterteilt sie nach betrieblichen Funktionsbereichen Personal, Organisation, Infrastruktur, Netzwerk, Hardware und Software. Häufige Schwachstellen in Unternehmen können demnach sein:[3]
- Personalwesen: unzureichende Personalkapazitäten (Unterbesetzung oder Überkapazitäten) sind häufige Schwachstellenursachen. Eine nicht nur temporäre Unterbesetzung führt zu Überstunden und kann Fehlproduktion zur Folge haben, dauerhafte Überkapazitäten bringen Leerkosten mit sich. Personelle Probleme beinhalten fehlende Arbeitsmotivation, unzureichende Qualifikation der Mitarbeiter und überdurchschnittlicher Krankenstand.[4] Personelle Überbesetzungen in Verwaltung (flache Hierarchie) oder Produktion (Lean Production) führen zu unnötigen Personalkosten, die als Schwachstelle die Gewinn- und Verlustrechnung belasten.
- Aufbau- und Ablauforganisation: fehlende oder mangelhafte Koordination und/oder Information zwischen interdependenten Stellen und/oder Abteilungen kann Fehlentscheidungen, Parallelarbeiten oder Schäden zur Folge haben.
- Prozess- oder Verfahrensabläufe: die suboptimale Abstimmung technisch einander bedingender Geschäftsprozesse kann zu Job-Stoppern oder gar Betriebsstörungen beitragen. Es ist Aufgabe der Geschäftsprozessoptimierung, solche Mängel zu beseitigen.
- Produktionsfaktoren: die mangelnde Anpassung oder Synchronisierung der Produktionsfaktoren führt zu Engpässen oder Flaschenhälsen, die Produktionsunterbrechungen zur Folge haben können.
Eine Schwachstelle kann ein einzelner Aufgabenträger sein, aber auch ein ganzer Geschäftsbereich innerhalb einer divisionalen Organisation.
Ursachen
Schwachstellen bedeuten die Abweichung eines organisatorischen Elements von seinem Idealzustand. Sie können in allen Bereichen auftreten: in der Organisation, in den Arbeitsabläufen und Prozessen, beim Personal, in der Infrastruktur, bei Hardware und Software, aber auch im Zusammenspiel zwischen internen Stellen einer Organisation und externen Stellen.[5] Wesentliche kreative Schwachstellen sind Mängel in der Informationsverarbeitung, Planungs- und Organisationsmängel, Personalmängel, Führungsmängel[6] oder Sicherheitslücken jeder Art (etwa Sicherheitslücken in der Software).
Das Erkennen von Schwachstellen obliegt neben den hierfür zuständigen Abteilungen (Organisation, Prozessanalyse und Revision), aber auch jedem Mitarbeiter (Fragenkatalog).
Beseitigung
Mit der Beseitigung von Schwachstellen gehen im Regelfall Rationalisierungsgewinne einher.[7] Dadurch entfallen Betriebsrisiken, die die Ertragskraft belasten würden. Folge sich verbessernder Ertragslage ist ein höherer Gewinn mit der Konsequenz besserer Bonität, die sich in einem verbesserten Rating niederschlagen kann. Denn die Aufgabe besteht auch darin, Schwachstellen im Umfeld eines Unternehmens zu ermitteln und zu beseitigen, um eine bestmögliche Ratingeinstufung durch Ratingagenturen zu erzielen.[8]
Weblinks
Einzelnachweise
- ↑ DIN 31051:2003-06
- ↑ Wolfgang Lück (Hrsg.), Lexikon der Betriebswirtschaft, 1983, S. 1030
- ↑ Hans Blohm, Organisation, Information und Überwachung, 1977, S. 147
- ↑ Helmut Wittlage, Organisationsgestaltung mittelständischer Unternehmen, 1996, S. 145
- ↑ Heinrich Kersten,Gerhard Klett, Der IT Security Manager, 2015, S. 112
- ↑ Helmut Schlicksupp, Innovation, Kreativität und Ideenfindung, 2004, S. 104
- ↑ Peter Preisendörfer, Verantwortung im Betrieb, 1985, S. 24
- ↑ Stefan Wehner, Zur strafrechtlichen Verantwortung internationaler Ratingagenturen im Rahmen der europäischen Schuldenkrise, 2015, S. 17