Schwachstelle (Organisation)

Schwachstellen (englisch vulnerability, bug) sind die in Organisationen (Unternehmen, Behörden) vorhandenen organisatorischen, prozessualen, personellen oder systemischen Mängel, die die angestrebten Ziele beeinträchtigen und Schäden verursachen können.

Allgemeines

Organisationen weisen im Idealzustand keine Schwachstellen auf und können deshalb ihre Sachziele erreichen. In einem realen dynamischen Umfeld jedoch, das durch wirtschaftliche, gesellschaftliche und technologische Veränderungen gekennzeichnet ist, müssen Organisationen auftretende Mängel schnell beseitigen. Schwachstellen sind ein organisatorischer Mangel, der zunächst erkannt und dann mit Hilfe der Schwachstellenanalyse behoben wird. Eine DIN-Norm stellt die Schwachstelle in den Zusammenhang mit einem Schaden oder Schadenspotenzial: „Schwachstelle ist eine durch die Nutzung bedingte Schadensstelle oder schadensverdächtige Stelle, die mit technisch möglichen und wirtschaftlich vertretbaren Mitteln verändert werden kann, dass die Schadenshäufigkeit und/oder Schadensumfang sich verringert“.[1] Es genügt aus betriebswirtschaftlicher Sicht, wenn unzureichend funktionierende Organisationselemente vorhanden sind, die mit vertretbarem technischen und wirtschaftlichen Aufwand beseitigt werden können.

Arten

In einer Organisation gibt es primäre und sekundäre Mängel, die auf Schwachstellen zurückzuführen sind:[2]

  • primäre Mängel liegen vor, wenn Aufgaben nicht den Unternehmenszielen entsprechend ausgeführt werden, wenn nicht alle zur Zielerreichung erforderlichen Aufgaben erfüllt werden oder Aufgaben ausgeführt werden, die nicht zur Zielerreichung beitragen.
  • Sekundäre Mängel sind vorhanden, wenn berechtigte Belange der Arbeitnehmer organisatorisch nicht berücksichtigt werden oder vorhandene Betriebsmittel nicht adäquat genutzt werden.

Primäre und sekundäre Mängel können entweder zu einem (überwindbaren) Arbeitshindernis („Job-Stopper“) oder im Extremfall zu einer Betriebsstörung mit Produktionsausfall führen.

Die ISO 27005 (Risikomanagement) zählt in ihrem „Anhang D“ typische Schwachstellen in Unternehmen auf und unterteilt sie nach betrieblichen Funktionsbereichen Personal, Organisation, Infrastruktur, Netzwerk, Hardware und Software. Häufige Schwachstellen in Unternehmen können demnach sein:[3]

Eine Schwachstelle kann ein einzelner Aufgabenträger sein, aber auch ein ganzer Geschäftsbereich innerhalb einer divisionalen Organisation.

Ursachen

Schwachstellen bedeuten die Abweichung eines organisatorischen Elements von seinem Idealzustand. Sie können in allen Bereichen auftreten: in der Organisation, in den Arbeitsabläufen und Prozessen, beim Personal, in der Infrastruktur, bei Hardware und Software, aber auch im Zusammenspiel zwischen internen Stellen einer Organisation und externen Stellen.[5] Wesentliche kreative Schwachstellen sind Mängel in der Informationsverarbeitung, Planungs- und Organisationsmängel, Personalmängel, Führungsmängel[6] oder Sicherheitslücken jeder Art (etwa Sicherheitslücken in der Software).

Das Erkennen von Schwachstellen obliegt neben den hierfür zuständigen Abteilungen (Organisation, Prozessanalyse und Revision), aber auch jedem Mitarbeiter (Fragenkatalog).

Beseitigung

Mit der Beseitigung von Schwachstellen gehen im Regelfall Rationalisierungsgewinne einher.[7] Dadurch entfallen Betriebsrisiken, die die Ertragskraft belasten würden. Folge sich verbessernder Ertragslage ist ein höherer Gewinn mit der Konsequenz besserer Bonität, die sich in einem verbesserten Rating niederschlagen kann. Denn die Aufgabe besteht auch darin, Schwachstellen im Umfeld eines Unternehmens zu ermitteln und zu beseitigen, um eine bestmögliche Ratingeinstufung durch Ratingagenturen zu erzielen.[8]

Weblinks

Wiktionary: Schwachstelle – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

  1. DIN 31051:2003-06
  2. Wolfgang Lück (Hrsg.), Lexikon der Betriebswirtschaft, 1983, S. 1030
  3. Hans Blohm, Organisation, Information und Überwachung, 1977, S. 147
  4. Helmut Wittlage, Organisationsgestaltung mittelständischer Unternehmen, 1996, S. 145
  5. Heinrich Kersten,Gerhard Klett, Der IT Security Manager, 2015, S. 112
  6. Helmut Schlicksupp, Innovation, Kreativität und Ideenfindung, 2004, S. 104
  7. Peter Preisendörfer, Verantwortung im Betrieb, 1985, S. 24
  8. Stefan Wehner, Zur strafrechtlichen Verantwortung internationaler Ratingagenturen im Rahmen der europäischen Schuldenkrise, 2015, S. 17