---

---

Nach einem Studium „Wirtschaftsingenieurwesen mit Schwerpunkt Informationsmanagement und Unternehmensführung an der TU Graz verbrachte der Verfasser mehrere Jahre mit Projektleiteraufgaben unterschiedlichster Softwareeinführungs-, Softwareentwicklungs- und Software-anpassungsprojekte in zahlreichen Mittelständischen und Großunternehmen. 
Daran schlossen sich einige Managementpositionen in den Bereichen der Softwareentwicklung, Projektleitung und Unternehmensstrategie an. Nach seiner langjährigen Tätigkeit in der freien Wirtschaft unterrichtet er seit 2005 als hauptberuflicher Professor an der FH OÖ am Campus Hagenberg sowie als Gastprofessor an diversen in- und ausländischen Bildungseinrichtungen.  

---

Mag.a Franziska Haydn arbeitet in der außeruniversitären Forschung am Sozialforschungsinstitut abif sowie als Lektorin an der Universität Wien. Ihre Forschungsschwerpunkte und Lehrbereiche sind
Methoden der Sozialforschung, Informationsmanagement, Arbeitsmarkt- und Arbeitsweltforschung und Wissenschaftstheorie.

---

Vorwort

Sehr geehrte Bewerber*innen des Masterstudiengangs Informationstechnologie!

Die digitale Transformation und der technologische Fortschritt stellen hohe Anforderungen an zukünftige IT-Expert*innen. Unser Masterstudiengang Informationstechnologie vermittelt Ihnen das notwendige Wissen und die praktischen Fähigkeiten, um innovative Lösungen zu entwickeln, komplexe IT-Herausforderungen zu bewältigen und zukunftsweisende Technologien erfolgreich in Unternehmen zu integrieren.

Mit den im Studium erworbenen Kompetenzen in den Spezialisierungen Wirtschaftsinformatik, Data Science & AI, Web Software Engineering & E-Commerce Technology, Security sowie Resilience & Sustainability eröffnen sich für Sie vielfältige Karrierechancen – sowohl auf nationaler als auch auf internationaler Ebene.

Diese Lernunterlage wurde von unseren Lehrenden erstellt und dient Ihnen als Vorbereitung auf den Eignungstest, der ein zentraler Bestandteil des Aufnahmeverfahrens ist. Sie vermittelt Ihnen einen ersten Einblick in die Themenbereiche des Studiengangs und stellt zugleich grundlegendes Wissen bereit, auf das Sie im weiteren Studienverlauf aufbauen werden. Gleichzeitig lernen Sie die didaktische Struktur des Fernstudiums kennen und können sich mit dem selbstständigen und flexiblen Lernen an der Ferdinand Porsche FERNFH vertraut machen.

Im Namen des gesamten Teams wünsche ich Ihnen viel Erfolg und freue mich darauf, Sie bald als Studierende an der Ferdinand Porsche FERNFH begrüßen zu dürfen!

Martin Setnicka, BA MA MSc PhD
Studiengangsleitung Informationstechnologie

Grundlagen der Informationssicherheit

Einleitung

Die Sicherheit der Informationstechnologie ist ein wesentlicher Bestandteil der Unternehmenssicherheit, da viele Prozesse einer intensiven IT-Unterstützung bedürfen und ohne sie nicht mehr, oder nur teilweise, funktionieren können. Es ist daher enorm wichtig, die möglichen Risiken zu kennen und diese, bezugnehmend auf die einzelnen Unternehmensprozesse, bewerten zu können. So umfangreich die Informationssysteme eines Unternehmens sind, so umfangreich sind auch die zu beachtenden Angriffsvektoren, sowie die Szenarien für Datenverlust, Nichtverfügbarkeit und Datendiebstahl. Die Computer- und Netzwerksicherheit ist ein wesentlicher Bestandteil der Informationssicherheit und greift in jede erdenkliche Materie der Informationstechnologie ein.
Die Zwischenfälle im IT-Sicherheitsbereich nahmen in den letzten Jahren immer mehr zu. Einer Statistik der Internet-Sicherheitslage in Österreich von CERT.at und GovCERT.gv.at zufolge ist die Anzahl der IT-Sicherheitszwischenfälle von unter 10 pro Monat im Jahr 2008 auf über 700 pro Monat ab Ende des Jahres 2017 gestiegen. ${\textstyle \lbrack }$Ni17, 13${\textstyle \rbrack }$

Informations- und IT-Sicherheit

Rund um den Bereich der IT-Sicherheit gibt es viele, oft falsch verstandene Begrifflichkeiten wie Datenschutz, Datensicherheit und Informationssicherheit. Nachfolgend werden diese Begriffe nun kurz beschrieben, um einen Überblick über die Materie zu verschaffen.

Informationssicherheit

Bei der Informationssicherheit handelt es sich um die ganzheitliche Betrachtung der Sicherheit und den Schutz aller Art von Informationen. Dabei ist es nicht relevant, ob diese Informationen in elektronischer oder nicht elektronischer Form vorliegen.

IT-Sicherheit

Die IT-Sicherheit ist Teil der Informationssicherheit (siehe Abbildung 1). Sie beschäftigt sich mit dem Schutz aller Art von elektronischer Information. Das beinhaltet alle EDV und Kommunikationssysteme, wie Computer, Internetverbindungen und Netzwerke, Telefonie und die für den Betrieb der Systeme zugrundeliegende Infrastruktur wie beispielsweise die Stromversorgung.

 ${\textstyle \lbrack }$Ha12, 28 ${\textstyle \rbrack }$

Datenschutz und Datensicherheit

Der Datenschutz regelt den Schutz personenbezogener Daten, welche in elektronischer Form vorliegen. In Österreich ist der Datenschutz sowohl in einem Bundesgesetz (DSG), als auch in 9 Landesgesetzen geregelt.
Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. ${\textstyle \lbrack }$Bg19, § 1. (1)${\textstyle \rbrack }$
Die Einhaltung des Datenschutzes ist Teil der IT-Sicherheit ${\textstyle \lbrack }$Ha12, 89${\textstyle \rbrack }$ und damit des IT-Sicherheitsmanagements. Die beiden Begrifflichkeiten werden jedoch oft vermischt oder verwechselt. So ist der Datenschutz selbst nur ein kleiner Teilbereich. IT-Sicherheit betrachtet wesentlich mehr als den Schutz personenbezogener Daten und bezieht sich auf alle Unternehmensprozesse und ihre IT-Unterstützung.

Säulen der Informationssicherheit - CIA Triade

Die IT-Sicherheit und damit das IT-Sicherheitsmanagement basieren auf drei Säulen, welche den zu betrachtenden Rahmen aller durchzuführenden Analysen und den damit verbundenen Maßnahmen darstellen. Sie tragen somit bildlich das Dach der IT-Sicherheit und sorgen nur in ihrer gemeinsamen Betrachtung für die Stabilität und Sicherheit des gesamten IT-Sicherheits-Systems. Ihr Fundament ist das IT-Sicherheitsbewusstsein und die damit verbundene Bewusstseinsbildung ist die notwendige Maßnahme (siehe Abbildung 2). Die drei Säulen sind:

• Vertraulichkeit (Confidentiality),
• Integrität (Integrity) und
• Verfügbarkeit (Availability).

Die drei Säulen der IT-Sicherheit werden oft auch als „CIA-Triade“ ^[1] oder „AIC-Principles“ bezeichnet, da die englischen Bezeichnungen mit den Buchstaben C, I und A beginnen.

Vertraulichkeit (Confidentiality)

Unter Vertraulichkeit wird die Einschränkung der Datenzugriffe auf einen bestimmten Anwender*innenkreis verstanden. Unberechtigte dürfen keinen Zugriff auf die IT-Systeme und Daten haben. Dies sind beispielsweise die Absicherung des gesamten Systems vor IT-Zugriffen unberechtigter Dritter und aber auch die Definition unterschiedlicher Berechtigungsstufen innerhalb der berechtigten Anwender*innen. So sollte es beispielsweise Anwender*innen erlaubt sein, die benötigten Programme zu starten, nicht jedoch neue Software zu installieren oder die gesamte Datenbank zu kopieren.
Je nach System kann die Vertraulichkeit über Benutzer- und Programm-Berechtigungen und auch physische Zutrittskontrolle sichergestellt werden. Die hier gesetzten Maßnahmen sind jene Maßnahmen, welche am häufigsten mit IT-Sicherheit in Zusammenhang gebracht werden, jedoch ohne Betrachtung der anderen beiden Bereiche Integrität und Verfügbarkeit nicht vollständig sind.

Integrität (Integrity)

Die Integrität ist die Betrachtung des Datenbestandes im Zusammenhang mit allen verfügbaren und nicht verfügbaren Daten. Innerhalb des Datenbestandes muss sichergestellt werden, dass die Daten selbst vollständig, unverfälscht, korrekt zusammenhängend und nicht widersprüchlich sind. Das bedeutet, dass der Datenbestand lückenlos und das Fehlen von Daten ersichtlich sein müssen. Auch darf durch die Nichtverfügbarkeit einzelner Daten keine Kettenreaktion auf andere Daten ausgelöst werden, welche wiederum zu weiteren falschen Daten führen würde.
Ein Beispiel hierfür ist das Fehlen von Messwerten eines über das Netzwerk angebundenen Medizinproduktes, welches für eine gewisse Zeit durch eine Störung nicht korrekt angebunden war. Wird dieses Lückenproblem nicht korrekt vom darüberliegenden IT-System behandelt, könnten hierbei falsche Durchschnittswerte entstehen, welche wiederum zu einem falschen Diagnosevorschlag führen würden.

Verfügbarkeit (Availability)

Bei der Verfügbarkeit wird die Funktionsbereitschaft der IT-Systeme zu den Zeitpunkten bezeichnet, zu denen sie benötigt werden. Dabei handelt es sich um alle Maßnahmen gegen Ausfälle oder Datenverlust. Hierbei ist es auch erforderlich den Zusammenhang zwischen den Systemen zu betrachten, da der Ausfall eines als unwichtig erscheinenden Systems andere wichtige Systeme beeinträchtigen könnte.
So kann beispielsweise der Ausfall eines Dateiservers als wenig wichtig eingestuft werden, da die Daten in den Kernprozessen nicht unmittelbar im Zugriff sein müssen. Wenn hingegen eine wichtige Software des Kernprozesses seine Logdateien auf genau diesen Dateiserver ablegen muss, wird die anfangs als unwichtig eingestufte Dateiablage auf einmal zu einer kritischen Komponente, da sonst wiederum die Integrität gefährdet wäre.

Kontrollmechanismen

Rund um die CIA-Triade sind drei Kontrollmechanismen definiert, um ihre grundsätzlichen Ziele im Detail analysieren zu können:

• Physische Kontrolle: Schutz der IT-Systeme vor physischem Zugriff durch Maßnahmen wie Zäune, Schlösser und Wachpersonal.
• Technische Kontrolle: Schutz der IT-Systeme und Daten vor technischen Zugriffen über Netzwerke und Anwenderzugriffe. Beispielsweise durch Benutzerberechtigungen, Firewalls, Datenverschlüsselung und das Verhindern des Betriebs von unerlaubten IT-Komponenten im eigenen IT-System.
• Administrative Kontrolle: Installation, Schulung und Kontrolle von IT-Sicherheitsprozessen und IT-Sicherheitsmanagement und allen damit verbundenen Richtlinien und Vorgaben und die Einhaltung der damit verbundenen Gesetzlichen Vorgaben.

Risiko- und Schwachstelleneinteilung der Schutzziele

Um eine einheitliche Betrachtung und Maßnahmensetzung zu ermöglichen, sollten alle Risiken gemäß der Schutzziele der CIA-Triade kategorisiert werden. Eine Einteilung in mehrere Kategorien ist in einigen Fällen möglich, jedoch nicht immer voll abgrenzbar. Im Rahmen der Analyse sollte jedoch stets darauf geachtet werden, eine mögliche Einstufung in jeder der drei Säulen zu bedenken. So kann beispielsweise das Risiko einer Schadsoftware mehr als einem Schutzziel zugeordnet werden, da sie sowohl die Integrität als auch die Verfügbarkeit und die Vertraulichkeit gefährden kann ${\textstyle \lbrack }$Ha12, 267f${\textstyle \rbrack }$.
Bei der Analyse der Risiken werden mögliche Schwachstellen der Schutzziele aufgedeckt, welche wiederum zu möglichen Bedrohungen führen. Daraus ergeben sich dann die dafür notwendigen Maßnahmen. Zwischen diesen drei Bereichen bestehen nun einige direkte Abhängigkeiten, die sich jedoch auch oft überschneiden können. Das bedeutet, dass eine Schwachstelle mehrere Risiken bedingen kann und mehreren Risiken durch eine einzelne Maßnahme begegnet werden kann. Abbildung 3 beschreibt die hier erwähnten Zusammenhänge anhand einiger Beispiele aus dem Softwarebereich:

 ${\textstyle \lbrack }$Ha12, 274${\textstyle \rbrack }$

Die möglichen Bedrohungen durch das Ausnutzen von Schwachstellen werden oft auch als Angriffsvektoren bezeichnet. Ein Angriffsvektor ist dabei der Weg, den ein Angreifer wählen kann, um sein jeweiliges Angriffsziel zu erreichen.

Informationssicherheits-Standards

Die IT-Sicherheit und die Einführung und der Aufbau von IT-Sicherheits-Management-Systemen sind in unterschiedlichen Normen und Standards geregelt, die teilweise aufeinander aufbauen oder referenzieren.
Die wesentlichen drei Standards sind:

• die ISO/IEC 2700x Reihe,
• IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und
• das Österreichische Informationssicherheitshandbuch.

ISO/IEC 2700x Reihe

Eine Reihe verbreiteter internationaler Informationssicherheits-Standards ist die ISO/IEC 2700x Reihe. Sie wurde von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) begründet und wird stetig ausgebaut.
Das Basisdokument der Reihe ist die ISO/IEC 27000 [II14] (Informationstechnologie, Sicherheitstechnik, Informationssicherheits-Managementsysteme). Sie definiert die Grundbegriffe und bietet einen Gesamtüberblick. Einige Teile der Reihe wurden von Standards der British Standards Institution (BSI) abgeleitet.
Die grundlegenden Teile der ISO/IEC 2700x sind:

• ISO/IEC 27001 bis 27004: Definition, Betrieb und Kontrolle von Informationssicherheits-Managementsystemen (ISMS) und
• ISO/IEC 27005: Informationssicherheits-Risikomanagement.

Die weiteren Teile beschäftigen sich mit dem Audit und branchenspezifischen und technischen Ausprägungen der ersten fünf Standards. Ein Beispiel dafür ist die EN ISO 27799, welche sich auf das Sicherheitsmanagement im Gesundheitswesen bezieht.

IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Der BSI IT-Grundschutz Standard teilt sich in mehrere Dokumente. Er wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland stetig weiterentwickelt und herausgegeben.
Die Teile des IT-Grundschutz sind:

• BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) ${\textstyle \lbrack }$Bu08a${\textstyle \rbrack }$,
• BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ${\textstyle \lbrack }$Bu08b${\textstyle \rbrack }$,
• BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz ${\textstyle \lbrack }$Bu08c${\textstyle \rbrack }$ und
• BSI-Standard 100-4: Notfallmanagement ${\textstyle \lbrack }$Bu08${\textstyle \rbrack }$.

Bei allen BSI Standards handelt es sich um Empfehlungen zu Methoden, Prozessen und Verfahren der Informationssicherheit. Die Standards dienen der fachlichen Unterstützung von Anwendern der Informationstechnik und bieten die Möglichkeit, entweder die Empfehlungen direkt zu verwenden oder diese erforderlichenfalls an die eigenen Bedürfnisse anzupassen. ${\textstyle \lbrack }$Bu15${\textstyle \rbrack }$

Österreichisches Informationssicherheitshandbuch

Beim Österreichischen Informationssicherheitshandbuch ${\textstyle \lbrack }$Ze14${\textstyle \rbrack }$ handelt es sich um ein vom Österreichischen Bundeskanzleramt herausgegebenes Werk, welches teilweise auf bestehenden Standards und Normen wie den BSI IT-Grundschutz und die ISO/IEC 2700x aufbaut und Vorgehensweisen für den Aufbau und Betrieb von Informationssicherheit-Management-Systemen beinhaltet. Die Struktur entspricht dabei derer der ISO/IEC 27001 und ISO/IEC 27002.
Das Informationssicherheitshandbuch beschreibt seine eigene Ausrichtung und Umfang wie folgt: Von der Ausrichtung versteht sich das Informationssicherheitshandbuch […] als Sammlung von Leitlinien und Empfehlungen für die Praxis, die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz, Informationssicherheitsgesetz, Verschlusssachenvorschriften, Amtsgeheimnis, …) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch. ${\textstyle \lbrack }$Ze14, 27${\textstyle \rbrack }$

Informationssicherheits-Management

IT-Security ist keine Software, kein Werkzeug und auch kein Zustand. IT-Security ist ein Prozess! ${\textstyle \lbrack }$KRS08, 401${\textstyle \rbrack }$
Dieser Satz beschreibt die grundlegende Definition bereits ganz gut. Um IT-Sicherheit einzuführen, benötigt es keiner einzelnen Produkte oder reiner persön-licher Ansichten, sondern einen unterstützenden Unternehmensprozess des IT-Sicherheits-managements. Es kann dabei nicht als eigenständiges Vorhaben betrachtet werden, sondern gliedert sich in die Betrachtung aller Geschäftsprozesse mit ein. Ein wesentlicher Fehler wäre es, die Einführung von IT-Sicherheit als zeitlich begrenztes Projekt abzuwickeln, ohne danach einen funktionierenden Managementprozess zu haben, der sich um die Aufrechterhaltung und stetige Verbesserung des IT-Sicherheitsstatus kümmert.
Der Schutz von Informationen und Daten ist auch für kleine und mittlere Unternehmen von großer Bedeutung, da hier bereits ein kleinerer Zwischenfall existenzbedrohend sein kann.
Die Implementierung eines durchgängigen und effizienten IT-Sicherheitsmanage-ments bedarf detailliertes Wissen über das betreffende Unternehmen und Fachkompetenz im Bereich der IT und IT-Sicherheit. Durch standardisierte Methoden und vormodellierte interne Kontrollsysteme kann es jedoch ermöglicht werden, den operativen Teil des IT-Sicherheitsmanagements durch Spezialist*innen der Geschäftsprozesse mit IT-Basiswissen durchzuführen.
Um IT-Sicherheitsmanagement in einem Unternehmen zu implementieren, wird ein IT-Sicherheitsmanagement-System (ISMS) aufgesetzt. Dieses System ist die Grundlage des IT-Sicherheitsprozesses, welcher, als Managementprozess, wiederum durch entsprechende Prozessnahtstellen Teil aller Unternehmensprozesse ist.
Ein ISMS ist ein Teil eines allgemeineren, umfassenderen Management-Systems, das andere Teile der Organisation, möglicherweise die gesamte Organisation, und weitere Themen umfasst. Das ISMS baut auf der Einschätzung der Geschäftsrisiken auf. Ein ISMS sollte daher als ein Mittel verstanden werden, mit dem das Management einer Organisation auf erkannte Risiken im Geschäft der Organisation reagiert. ${\textstyle \lbrack }$KRS08, 45f${\textstyle \rbrack }$
Die Vorgehensweise für die Installation eines ISMS ist im BSI-Standard folgendermaßen beschrieben ${\textstyle \lbrack }$Bu08a, 24ff${\textstyle \rbrack }$:

1. Festlegung des Geltungsbereiches, für den das ISMS gelten soll
2. Ermittlung von Rahmenbedingungen
3. Formulierung von Sicherheitszielen und einer Leitlinie zur Informationssicherheit
4. Aufbau einer Informationssicherheitsorganisation

Darüber hinaus ist die Einrichtung eines ISMS ein stetig andauernder Prozess, welcher sich in einen Plan-Do-Check-Act Kreislauf darstellen lässt. Nach der Planung und Implementierung muss das ISMS regelmäßig inhaltlich überprüft werden und die aus der Überprüfung resultierten Erkenntnisse wiederum in die ursprüngliche Planung und damit in die eigentliche Umsetzung integriert werden. In der ISO 27001 ist dieser Kreislauf folgend ausformuliert ${\textstyle \lbrack }$II08, 6${\textstyle \rbrack }$:

1. Planen (Einrichten eines ISMS): Einrichten einer ISMS-Politik sowie von Zielen, Prozessen und Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Einklang mit den übergeordneten Grundsätzen und Zielen der Organisation zu erreichen.
2. Durchführen (Umsetzen und Durchführen des ISMS): Umsetzen und Durchführen der ISMS-Politik, Maßnahmen, Prozesse und Verfahren.
3. Prüfen (Überwachen und Überprüfen des ISMS): Bewerten und gegebenenfalls Messen der Prozessleistung an der ISMS-Politik, den ISMS-Zielen und der praktischen Erfahrungen, sowie Berichten der Ergebnisse an das Management zur Überprüfung.
4. Handeln (Instandhalten und Verbessern des ISMS): Ergreifen von Korrektur- und Vorbeugemaßnahmen, basierend auf den Ergebnissen interner ISMS-Audits und Management-Überprüfungen oder anderer wesentlicher Informationen, um eine ständige Verbesserung des ISMS zu erreichen.

Wichtige Teile eines ISMS sind daher auch das IT-Business Continuity Management und das IT-Risikomanagement, sowie die sich daraus ergebenden IT-Maßnahmenziele. Für die laufende Analyse, Kontrolle und Weiterentwicklung maßgebend ist das interne Kontrollsystem, welches mit geeigneten Methoden und Checklisten für die Schaffung und Einhaltung des gewünschten IT-Sicherheitsstandards sorgt.

Business Kontinuität und Sicherheitszwischenfälle

Das IT-Business Continuity Management besteht aus dem IT-Notfallmanagement und dem IT-Verfügbarkeitsmanagement ${\textstyle \lbrack }$Ha12, 149${\textstyle \rbrack }$. Seine Grundlage bilden ein funktionierendes IT-Risikomanagement sowie entsprechende Risikoanalysen, welche wiederum auf den Geschäftsprozessen basieren.
Das IT-Business Continuity Management (IT BCM) konzentriert sich als Teilbereich des Unternehmens-Business Continuity Managements auf diejenigen Arbeitsabläufe und Prozesse, die maßgeblich von IT-Systemen unterstützt werden. ${\textstyle \lbrack }$Ha12, 151${\textstyle \rbrack }$
Der Output des IT-Business Continuity Managementprozesses ist der Business Continuity Plan (BCP). In diesem Plan werden konkrete Maßnahmenziele für die jeweiligen Prozesse der Business Impact Analyse (BIA) und den dazugehörigen Risiken aus der Analyse des Notfallmanagements und des Verfügbarkeitsmanagements definiert.

Betriebliche Informationssysteme

Einführung

Informationstechnologie und die darauf aufbauenden betrieblichen Informationssysteme sind aus dem Geschäftsleben nicht mehr wegzudenken. Die zunehmende globale Vernetzung erhöht die Transparenz des Waren- und Dienstleistungsangebots aller Marktteilnehmer*innen. Kund*innen sind heute in der Lage in Sekundenschnelle weltweit Angebote zu vergleichen, die für ihren jeweiligen Bedarf am besten passende Lösung auszuwählen und hürdenfrei Kaufentscheidungen zu treffen.
In den vergangenen Jahrzehnten reduzierten sich die mit dem weltweiten Informationsaustausch und Gütertransport verbundenen Kosten mittlerweile in einem Ausmaß, dass sie in vielen Fällen keinen entscheidenden Einfluss auf die Preisbildung und damit auf die Kaufentscheidung mehr spielen. Dadurch werden Märkte weltweit transparent, und Barrieren, die einzelnen Marktteilnehmer*innen in der Vergangenheit geschützte Marktbereiche gewährten, gehen immer weiter zurück.
Aus diesen Fakten resultiert für Unternehmen die Erfordernis, dem zunehmenden Wettbewerbsdruck durch geeignete Maßnahmen zu begegnen – Maßnahmen, die sich einerseits an die Innenwelt des Unternehmens (wie Verbesserung der innerbetrieblichen Abläufe, Hebung von Rationalisierungspotenzial und Optimierung des Ressourceneinsatzes) und andererseits an die Außenwelt richten (wie etwa eine optimierte Darstellung des eigenen Waren- und Dienstleistungsportfolios, reibungslose Kommunikationsmöglichkeiten mit Kund*innen und Lieferant*innen sowie eine optimale Betreuung von Interessent*innen und Kund*innen).
Der nutzenbringenden Anwendung der Informationstechnologie durch den passenden Einsatz betrieblicher Informationssysteme kommt somit eine erfolgskritische Bedeutung zu, und in diesem Zusammenhang ist auch das einleitende Zitat zu verstehen: Informationstechnologie im Unternehmenseinsatz soll den Menschen dienen und sie von Routineaufgaben freispielen.
Wir wollen uns nachfolgend mit den typischen informationstechnischen Bedarfen eines modernen Unternehmens beschäftigen und damit, wie diesen Aufgabenstellungen durch den Einsatz moderner betrieblicher Informationssysteme begegnet werden kann.
Wir beginnen unsere Betrachtung mit einem kurzen Überblick über die daraus resultierenden Anforderungen an betriebliche Informationssysteme und wie diese gegliedert werden können.

Anforderungen an Betriebliche Informationssysteme

Betriebliche Informationssysteme (BIS) dienen in erster Linie der Aufgabenstellung, die Geschäftstätigkeit des Unternehmens optimal zu unterstützen. Im Kontext dieser Aufgabe unterscheidet man zwischen den Erfordernissen, die durch die Unterstützung der primären Geschäftsprozesse (Kernprozesse) und der sekundären Geschäftsprozesse (administrative Prozesse oder Supportprozesse) entstehen.
Informationslogistisch betrachtet umfasst diese Unterstützungserfordernis die Notwendigkeiten, Informationen und Hilfsmittel in folgender Form anzubieten:

Sie müssen

• in richtiger (d.h. formal und sachlich korrekter) Weise, Form und Qualität – also frei von Fehlern und Interpretationsspielräumen,
• zum richtigen Zeitpunkt - also nur die für die gerade anstehende Aufgabe maßgeblichen Daten, Dokumente und Anwendungen,
• im richtigen Umfang – also nicht mehr als die tatsächlich benötigten Hilfestellungen und Informationen, und
• am richtigen Ort – also an jener Stelle, an der sich der/die Mitarbeiter*in zur Aufgabenbewältigung aufhält

bereitgestellt werden bzw. bereitstehen.

Informationssysteme, die solchen Anforderungen gerecht werden, bestehen im Regelfall aus folgenden voneinander abtrennbaren Teilsystemen:

• Einer Methode und/oder einem Ort der Datenhaltung,
• einem System zur Bearbeitung der Daten, d.h. einer Sammlung von Methoden, um die Daten gemäß der wirtschaftlichen Aufgabenstellung wiederzugeben, zu bearbeiten und aufzuzeichnen, und
• einem Konzept zur betriebswirtschaftlich zielgerichteten Anwendung, also Vorschriften, Regelungen und/oder Modellsammlungen darüber, wie mit Hilfe dieses Datenbearbeitungssystems die Aufgabenstellung sachlich richtig und effizient gelöst werden kann.
  
  

Typischerweise werden diese drei Teilsysteme durch folgende informationstechnologische Komponenten abgebildet:

• Datenbanken (z.B. Datentabellen, logische und physische Zugriffspfade und –mechanismen, Datenverwaltungs-, -prüf- und –sicherungsalgorithmen,…)
• Programme (z.B. Dialogbearbeitung, Listendrucke, Auswertungen, Batchprogramme,…)
• Bearbeitungsvorschriften (z.B. integrierte Programmabfolgen, parametrierbare Programme oder Geschäftsprozesse,…)
  

Die vielfältigen Aufgabenstellungen, denen betriebliche Anwendungssysteme genügen müssen, führten zu der Ausbildung unterschiedlicher Arten an Informationssystemen. Eine mögliche Einteilung wird im nächsten Kapitel vorgestellt.

Einteilung der BIS

Betriebliche Informationssysteme können nach verschiedenen Aspekten eingeteilt werden, eine übliche Darstellung ist die Einteilung bzw. Gliederung nach dem Anwendungsgebiet (siehe dazu Abbildung "Gliederung nach Anwendungsgebieten") ^[3] .

Transaktionssysteme
Die Aufgabe von Transaktionssystemen liegt in erster Linie in der Unterstützung der Geschäftstransaktionen, d.h. in der möglichst effizienten Abwicklung des Tagesgeschäfts. In diese Kategorie fallen etwa Produktionsplanungs- und Produktionssteuerungssysteme, Warenwirtschaftssysteme und andere branchenspezifische Anwendungssysteme, welche die jeweiligen Kernprozesse optimal unterstützen. Diese Systeme werden auch operative Anwendungssysteme genannt, eine allgemein übliche Abkürzung dafür ist OLTP (Online Transaction Processing Systems).

Wesentliche Merkmale von Transaktionssystemen sind:

• Rasche Antwortzeiten: Kurze Zeiträume vom Absetzen einer Verarbeitungs-anfrage bis zur Ermittlung und Präsentation des Verarbeitungsergebnisses,
• Transaktionssicherheit: Sichere Verarbeitung parallellaufender Prozesse, Absicherung gegen Datenfehler bei unerwarteten Systemzuständen durch Implementierung von Datensicherheitskonzepten (z.B. Commitment Control) und
• Hohe Durchsatzraten: Möglichkeit der gleichzeitigen Bearbeitung vieler Geschäftsvorfälle pro Zeiteinheit.
  

Administrationssysteme
Der Aufgabenbereich der Administrationssysteme besteht in der Unterstützung der Verwaltung eines Unternehmens, also der Aufzeichnung, Steuerung und Berichtsbildung aller im Bereich der Finanzbuchhaltung, dem Personalmanagement, der Unternehmensorganisation und der Informationstechnologie resultierenden Aufgaben.
Administrationssysteme entsprechen im Regelfall der Abbildung von sekundären Geschäftsprozessen (Supportprozessen) und sind deshalb typischerweise branchenneutral ausgelegt.

Querschnittssysteme
Dieser Systemtyp ist in nahezu allen Bereichen eines Unternehmens anzutreffen und dient dazu, Kommunikations- und Berichtsaufgaben von Mitarbeiter*innen zu unterstützen. Dazu zählen neben Officesystemen (Textverarbeitung, Tabellenkalkulation, Präsentationstools) auch E-Mail-Systeme und Systeme, welche die Gruppenzusammenarbeit unterstützen.
In diesen Anwendungsbereich fallen auch Methoden des Wissensmanagements und der künstlichen Intelligenz, mit deren Hilfe menschliches Expertenwissen aufbereitet und informationstechnologisch nutzbar gemacht wird.

Business Intelligence
In den Bereich der Business Intelligence fallen Systeme, die aus der großen Menge täglich anfallender Daten entscheidungs- und führungsrelevante Informationen generieren.
Dazu gehören Data Warehouse-Systeme, Data Mining Systeme und Führungs- und Entscheidungsunterstützungssysteme.
Unter Führungssystemen versteht man alle Anwendungen und Hilfsmittel, die einem/r Mitarbeiter*in mit Führungsaufgaben Unterstützung bei der Ausübung seiner/ihrer Tätigkeit bieten. Dazu zählen Abfragesysteme, Kontrollsysteme, Planungs- und Berichtstools, die interne und externe Daten in einer für die Führungsaufgabe sinnvollen Weise verknüpfen.
Die Gruppe der Entscheidungsunterstützungssysteme soll Mitarbeiter*innen bei der Durchführung herausfordernder Planungs- und Entscheidungsaufgaben helfen, in dem komplexe Sachverhalte unter Zuhilfenahme von Modellrechnungen und maßgeschneiderten Algorithmen analysiert und Alternativen in vereinfachter Weise durchgespielt werden können.

Objekte der Beschaffung betrieblicher Informationssysteme

Im folgenden Kapitel werden die wesentlichsten Objekttypen, die bei der Beschaffung betrieblicher Informationssysteme relevant sind, mit ihren Eigenschaften und Besonderheiten näher vorgestellt:

• Computersysteme
• Software
• Netzwerkkomponenten
• Mobile Systeme
• Outsourcing von IT-Services
• Cloud-Computing
• Weitere Bereiche

Einführung

Die Beschaffung betrieblicher Informationssysteme wird durch eine Reihe von Besonderheiten – verglichen mit der Beschaffung anderer unternehmensrelevanter Objekte – gekennzeichnet. Dies beginnt bei der Komplexität der Beschaffungsobjekte selbst, die durch zahlreiche Parameter wie Leistungsdaten, Produktvarianten und Technologiestand gekennzeichnet sind und reicht über die Abstimmung mit den internen Anforderern in Bezug auf das genaue Einsatzszenario bis hin zum Abschluss eines Wartungsvertrags oder SLAs.
Ein wichtiger Aspekt ist in diesem Zusammenhang die Beachtung und Überwachung des Beschaffungsobjekt-Lifecycles, denn auch eine eventuelle rechtzeitige Wiederbeschaffung bei Erreichen des Endes der Nutzungsdauer ist eine wesentliche Aufgabe der Beschaffung betrieblicher Informationssysteme.

Computersysteme

Mainframe Computer

Unter Mainframe Computer oder Großrechnersystemen versteht man Computersysteme mit hoher Performanceleistung, die in Unternehmen typischerweise für den Betrieb einer oder mehrerer Kernprozess-Anwendungen dediziert sind.
Die Aufgabenstellungen für diese Systeme sind vornehmlich die hochzuverlässige Verarbeitung von Massendaten und die Fähigkeit, eine hohe Anzahl gleichzeitiger Transaktionen durchführen zu können. Sie sind redundant und damit ausfallsicher ausgelegt und die Wartung sowie ein eventuell erforderlicher Tausch von Hardwarekomponenten können typischerweise im laufenden Betrieb durchgeführt werden.
Da die Beschaffung eines solchen Großrechnersystems mit hohen Kosten und Aufwänden verbunden ist, erfolgt diese im Regelfall als Teilaufgabe eines größeren IT-Projekts, das ausgehend von einer strategischen Entscheidung zahlreiche zusätzliche Aufgaben und Rahmentätigkeiten umfasst – von der Anforderungsanalyse bis hin zur Datenübernahme und Einrichtung des Echtbetriebs.
Aufgrund der Bedeutung des Systems für die Kernprozesse des Unternehmens ist aus Beschaffungssicht besonderes Augenmerk auf die vertragliche Gestaltung zu legen, wobei speziell die Aspekte der Wartung und des Service im Vordergrund stehen.

Serversysteme

Unter einem Server (im älteren Sprachgebrauch auch „Host“ genannt) versteht man einen Computer, dessen Leistungsmerkmale darauf abgestimmt sind, Serveranwendungen zu betreiben. Typische Einsätze sind etwa als Mail-Server, File-Server, Web-Server oder Applikationsserver.
Ein Server ist darauf ausgelegt, mit mehreren Clients zu kommunizieren und je nach Anwendungsgebiet entsprechende Serverdienste anzubieten.
Grundsätzlich ist die Hardware eines Serversystems auf ausfallsicheren Dauerbetrieb ausgelegt und liefert typischerweise über Monitoring-Schnittstellen laufend Informationen über den Systemzustand, sodass eine vorbeugende Instandhaltung (z.B. Austausch einer Harddisk rechtzeitig vor Plattencrash) durchgeführt werden kann. Dadurch ist auch eine langfristige Planung der Ersatzteilbeschaffung möglich. Bei der Beschaffung von Serversystemen ist neben der Abstimmung der Leistungsparameter auf den jeweiligen Anwendungsfall auch darauf zu achten, eine passende Service- und Wartungsvereinbarung abzuschließen.
Der Trend der letzten Jahre weist in Richtung einer sogenannten Server-Konsolidierung, wobei einzelne dedizierte Server durch Virtualisierung auf einem einzelnen performanten Serverkomplex ersetzt werden. Diese Variante ermöglicht die rasche Anlage neuer Server-Images mit Standard-Betriebssystemen, auch eine Anpassung an geänderte Performanceanforderungen ist damit leichter möglich.
Bei der Beschaffung von Serversystemen ist neben der Abstimmung der Leistungs-parameter auf den jeweiligen Anwendungsfall auch darauf zu achten, eine passende Service- und Wartungsvereinbarung abzuschließen.
Der Trend der letzten Jahre weist in Richtung einer sogenannten Server-Konsolidierung, wobei einzelne dedizierte Server durch Virtualisierung auf einem einzelnen performanten Serverkomplex ersetzt werden. Diese Variante ermöglicht die rasche Anlage neuer Server-Images mit Standard-Betriebssystemen, auch eine Anpassung an geänderte Performanceanforderungen ist damit leichter möglich.

Arbeitsplatzrechner

Dabei handelt es sich um Computer, die im Unternehmenskontext in Bezug auf die Softwareausstattung meist standardisiert sind und neben den typischen Office-Aufgaben auch als Clients für die Serversysteme (z.B. Netzlaufwerke, E-Mail, Applikationen) fungieren.
Aus Beschaffungssicht ist bei der Bestellung auf eine passende Konfiguration zu achten, die einerseits eine gewisse Zukunftssicherheit (absehbare zusätzliche Leistungserfordernisse während des geplanten Lifecycles) und andererseits eine gute Kosten-Nutzen-Relation gewährleistet.
Um einen effizienten Betrieb und eine reibungslose Wartung der Systeme sicherzustellen, sollte eine gewisse Anzahl gleicher Systeme auf einmal bestellt werden. Neben der dadurch zu erzielenden Skaleneffekte (Rabattierung des Kaufpreises) kann auch, bedingt durch die identen Hardware-Komponenten, im Fehlerfall rascher reagiert werden. Dabei sollten auch einige zusätzliche Systeme beschafft und vorinstalliert bzw. im Update-Zyklus mitbetreut werden, um gegebenenfalls einen raschen Austausch eines Arbeitsplatzrechners zu ermöglichen.

Workstations

Unter Workstations versteht man Arbeitsplatzcomputer, die für besondere Aufgabenstellungen dediziert sind. Beispiele dafür sind etwa Spezialaufgaben wie Berechnungen und Auswertungen (z.B. Data Warehousing, Data Mining, Management-Informationssysteme, …), Laborsysteme, Grafikbearbeitung und CAD, CAM.
Die Beschaffung solcher Systeme muss in Abstimmung mit bzw. auf Anforderung von betroffenen Nutzergruppen durchgeführt werden und sich an den besonderen Erfordernissen (Leistungsparameter, Software, …) orientieren.
Eine besondere Herausforderung dieser Systeme ist das entsprechende Life-Cycle-Management, da diese Computer im Gegensatz zu normalen Arbeitsplatzcomputer eine typischerweise lange Lebensdauer besitzen und sich die Wiederbeschaffung u. U. als schwierig erweisen kann, etwa falls für den Betrieb der Workstation-Software eine darauf abgestimmte und maßgeschneiderte Hardware erforderlich ist.

Software

Bei der Beschaffung von Software im Unternehmenskontext müssen folgende unterschiedliche Kategorien von Softwaresystemen unterschieden werden:

Betriebssystem-Software
In diesem Kontext reicht der Bogen von proprietärer Systemsoftware (z.B. für Mainframes) über Standard- und Open-Source-Betriebssystemsoftware für Server und Clients bis hin zu maßgeschneiderter Betriebssystem-Software für Sonderbetriebs-umgebungen, die etwa eine Zertifizierung erfordern (z.B. Hochsicherheitsumgebungen, medizinische Laborsysteme, …).

Software für Office-Standardanwendungen
Darunter versteht man eine meist gebündelte Zusammenstellung von Software zur Unterstützung der typischen Büroaufgaben wie E-Mail, Textverarbeitung, Tabellenkalkulation, Präsentation und Visualisierung, wobei die einzelnen Teile über eine einheitliche Benutzeroberfläche verfügen.

Applikationssoftware
Diese Softwaresysteme decken einen ganz bestimmten Aufgabenbereich der unternehmerischen Datenverarbeitung ab und sind entweder branchenneutral oder branchenspezifisch ausgerichtet. Beispiele dafür wären etwa Produktions-planungs- und -steuerungssysteme (PPS), Finanzbuchhaltungssysteme, Vertriebs-lösungen (CRM-Systeme), Materialbestandsführungssysteme, ERP-Systeme u.v.a.m.
Je nach Anforderung kann es sich dabei um individualentwickelte oder vorgefertigte Software handeln, wobei auch im Falle der vorgefertigten Standardsoftware meist im Rahmen eines Implementierungsprojektes unternehmensspezifische Anpassungen vorgenommen werden. Im Folgenden werden die beiden Varianten mit ihren Vor- und Nachteilen gegenübergestellt.

Individualsoftware vs. Standardsoftware

Unter Individualsoftware werden Softwarelösungen verstanden, welche spezifisch für die jeweiligen Auftraggeber*innen entwickelt werden, um deren individuellen Anforderungen und Prozesse bestmöglich zu unterstützen und eventuelle Wettbewerbsvorteile, die in einem Standardsoftwaresystem nicht abgebildet werden können, abzusichern.
Unter Standardsoftware werden Softwarelösungen verstanden, welche für einen spezifischen Anwendungsbereich entwickelt wurden, um diesen mit einer Standardfunktionalität abzudecken. Anpassungen der Standardsoftware bzw. an den unterstützten Prozessen sind nur in einem beschränkten Maß über vordefinierte Schnittstellen und Optionen möglich und werden als Customizing bezeichnet. Es ist somit die Entscheidung zu treffen, auf welche Art und Weise die betrieblichen Prozesse von der IT unterstützt werden sollen.

Vorteile der Individualsoftware:

• Exakte Abbildung der vorliegenden betrieblichen Prozesse
• Effiziente Unterstützung der Mitarbeiter*innen am Prozess
• Keine organisationalen Veränderungsprozesse im Unternehmen notwendig
• Erhalt eventueller Wettbewerbsvorteile

Folgende Herausforderungen bestehen bei der Individualsoftware:

• Hohes Projektplanungs- und -abwicklungs-Know-how muss vorhanden sein
• Risiko des Projekterfolges der Entwicklung liegt im Unternehmen
• Kostenabschätzung der Gesamtentwicklung nur sehr schwer möglich
• Kein Knowhow-Transfer bezüglich optimierter Prozesse
• Erweiterung des Softwareumfangs teilweise nur schwer möglich
• Keine standardisierten Schnittstellen
• Abhängigkeit gegenüber dem extern beauftragten Softwarehersteller oder den eigenen Mitarbeiter*innen
• Oftmals unklare Wartungssituation

Bei Standardsoftware sieht die Situation diametral entgegengesetzt aus. Die Vorteile sind:

• Standardisierte und vom Hersteller gewartete Schnittstellen
• Automatisches und über einen Wartungsvertrag abgesichertes Bug-Fixing
• Neue Releases durch Hersteller
• Erweiterbarkeit gemäß den vorgesehenen Schnittstellen
• Prozessspezifisches Know-how wird zugekauft (Referenzprozesse, Best Practices)
• Möglichkeit des Business-Process-Reengineerings im Zuge des Implementierungsprozesses
• Typischerweise geringere Kosten als bei der Eigenentwicklung

Ein oft vom IT-Management stark unterschätzter Vorteil von Standardsoftware stellt der Knowhow-Transfer im Sinne von Referenzmodellen dar: durch die vorgegebenen und teilweise starren Prozessabläufe in der Standardsoftware wird den Unternehmen ein formal korrektes Vorgehen in Bezug auf IT-Governance und IT-Compliance vorgeschrieben, z.B. das Vier-Augen-Prinzip bei Freigabeprozessen.
Hierdurch findet ein Business-Process-Reengineering statt, das die Wertschöpfung im Unternehmen erhöhen kann, da die Prozesse, die in der Standardsoftware abgebildet sind, mit den größten Unternehmen der Branche entwickelt wurden. Zudem können jederzeit externe Spezialist*innen zugekauft werden, die Wartung und Erweiterung übernehmen können.
Die Nachteile sind ebenso klar: Die eigenen Prozesse werden abgeschafft, Wettbewerbsvorteile können verlorengehen, es erfolgt eine langfristige Bindung an einen Lieferanten, usw.
Abschließend sei angemerkt, dass es sich bei Standardsoftware ähnlich wie bei vielen anderen Produkten verhält: ein strategischer Einstieg in den ersten Jahren der Marktpräsenz eines Softwareproduktes (Wachstumsphase) gilt als risikoreich, da sich noch keine Stammkundenbasis gebildet hat, die dem Hersteller durch wiederkehrende Betreuungen konstante Einnahmen beschert – somit ist die Zukunft des Herstellers und seines Produktes nicht gesichert.
In Bezug auf die Funktionalität sind nach Sättigung des Marktes die marktführenden Lösungen in der Regel in der Lage, die grundlegenden Bedürfnisse abzudecken und bieten die Möglichkeit, fehlende Funktionalität mittels Schnittstellen anzubinden. Aktuelle Beispiele für gesättigte Märkte sind etwa CRM und ERP.

Open-Source vs. kommerzielle Software

Open-Source-Software ist gekennzeichnet durch die freie Nutzung und freie Verfügbarkeit des Source-Codes. Veränderung am Source-Code zur Weiterentwicklung und Abänderung an die spezifischen Anforderungen sind frei möglich, in Abhängigkeit der unterschiedlichen Lizenzen, unter der die Open-Source-Software entwickelt wurde, z.B. GNU GPL.
Freeware ist dadurch gekennzeichnet, dass nur eine kostenlose Nutzung vorliegt, jedoch der Source-Code nicht frei verfügbar ist.
Kommerzielle Software ist durch das Eigentum des Herstellers an der Software gekennzeichnet und der Source-Code steht dem/r Kund*in im Regelfall weder zur Verfügung noch dürfen Veränderungen am Source-Code vorgenommen werden.
In manchen Ausnahmefällen werden allerdings Sonderregelungen vertraglich vereinbart, z.B. wenn eine businesskritische Anwendung von einem „kleinen“ Hersteller individualprogrammiert wird. In solchen Fällen macht eine vertragliche Absicherung des Zugriffs auf den Source-Code bei Eintritt bestimmter Situationen Sinn (z.B. Lieferantenkonkurs). Hierbei wird der Source-Code etwa bei einem Notar hinterlegt („Escrow-Vereinbarung“).
In Abhängigkeit von der spezifischen Software ist jedoch eine Konfiguration im Rahmen der vom Hersteller gegebenen Möglichkeiten gemäß den spezifischen Anforderungen durchführbar (Customizing).
Für die Nutzung von Open-Source sprechen vor allem drei Faktoren:

• Kostenvorteile durch wegfallende Lizenzkosten.
• Unabhängigkeit von einzelnen Herstellern auf Basis des frei zugänglichen Source-Codes und Unterstützung von breit gefächerten Communities.
• Qualitäts- und Effizienzvorteile dank offenem Zugang zum Source Code.

Derzeit existiert für viele Geschäftsprobleme ein reichhaltiges Angebot an generischen Open-Source-Komponenten - wie z.B. Workflow-Engines, Rule-Engines, Business-Analytics und Web-Commerce-Engines. Für spezielle, branchenspezifische Anforderungen bestehen zumeist keine speziellen Open-Source-Lösungen, was aber nicht heißt, dass nicht durch eine individuelle Implementierung branchenspezifische Prozesse abgebildet werden können.
Besonders vorteilhafte Lösungen im Open-Source Bereich finden sich in jenen Teilgebieten, die bereits einen hohen Reifegrad aufweisen, von der Community stark unterstützt werden, einen oder mehrere strategische kommerzielle Partner haben, in vielen Unternehmen eingesetzt werden und schon lange auf dem Markt sind.
In folgenden Bereichen ist Open Source Software bereits seit vielen Jahren erfolgreich im Einsatz:

• ERP (z.B. Openbravo)
• Server Betriebssysteme (z.B. Linux, FreeBSD, Android)
• Network Management (z.B. OpenNMS)
• Web Server (z.B. Apache)
• Application Server (z.B. JBoss)
• Customer Relationship Management (z.B. SugarCRM)
• Document Management Systeme (z.B. LogicalDOC)
• Content Management Systeme (z.B. TYPO3)
• Enterprise Integration (z.B. MuleESB, FUSE ESB)
• Entwicklungsumgebungen (z.B. Eclipse)

Ein Kritikpunkt an Open-Source-Softwareprodukten ist das Fehlen einer verantwortlichen Person, die beim Auftreten grober Mängel die rechtlichen Konsequenzen trägt. Diesem Kritikpunkt begegnen die Investoren, die hinter den großen Open-Source-Softwareprodukten stehen, mit entsprechenden Wartungsverträgen.
Bei der Planung des Einsatzes von Open-Source-Softwareprodukten ist zu beachten, dass zusätzliche Kosten und anders gelagerte Abhängigkeiten entstehen können:

• Mitarbeiter*innen für Projektplanung, Customizing, Betrieb und Wartung können aufgrund der geringen Verfügbarkeit am Markt teurer sein als Personen mit Knowhow der kommerziellen Software.
• Die dadurch entstehende Abhängigkeit von diesen Mitarbeiter*innen.
• Migrationskosten durch Updates auf neue Releases, die in der Regel problembehafteter sind als bei kommerzieller Software.
• Mangelnder Support für notwendige Schnittstellen zu anderen Systemen.
• Höhere Schulungskosten für interne Mitarbeiter*innen, die diese Systeme nutzen.

Auch an dieser Stelle gilt, dass eine klare Aussage zugunsten einer der beiden Alternativen nicht möglich ist. Wie die Auflistung des erfolgreichen Einsatzes oben jedoch zeigt, sind mittlerweile Open-Source-Softwareprodukte in vielen Gebieten ernsthafte Konkurrenz für kommerzielle Anbieter geworden und dieser Trend scheint sich auch durch den Einstieg großer Investoren weiter fortzusetzen.

Relevante Kriterien für Anbieter von Standardsoftware

Eine solide Basis für den Vergleich der Fähigkeiten von Lieferant*innen und ihrer Lösungen stellt die aggregierte Sicht von Analyst*innen dar. Dies sind Marktanalysen, die von Expert*innen aufbereitet wurden und von diesen gegen Entgelt zur Verfügung gestellt werden.
An dieser Stelle seien etwa die Gartner Quadranten genannt, die es zu vielen verschiedenen Softwareprodukten gibt. Die Analyse der Gartner Quadranten umfasst eine Darstellung auf zwei Achsen:

• „Completeness of vision“ - frei übersetzt „Strategische Perspektive“, „Vollständigkeit der Vision“
• „Ability to execute“ - frei übersetzt „Aktueller Erfüllungsgrad“, „Fähigkeit zur Umsetzung der Vision“

Anhand dieser beiden aggregierten Kennzahlen werden die Anbieter, die eine relevante Marktstellung haben (ausreichende Anzahl von Kund*innen sowie relevante Umsatzzahlen in diesem Markt) in vier Kategorien eingeteilt:

Niche Players:	niedrige Completeness of vision	niedrige Ability to execute
Visionaries:	hohe Completeness of vision	niedrige Ability to execute
Challengers:	niedrige Completeness of vision	hohe Ability to execute
Leaders:	hohe Completeness of vision	hohe Ability to execute

Generell ist jeder Hersteller, der es in den Quadranten schafft, in seinem Markt in Bezug auf Langlebigkeit und finanzielle Situation soweit etabliert, so dass Support und unterstützende Dienstleistungen über Jahre hinaus garantiert sein sollten.
Es gilt jedoch zu bedenken, dass der Gartner Quadrant stark auf den US-amerikanischen Markt fokussiert ist und manche der dargestellten Anbieter in Europa nur begrenzt oder gar nicht tätig sind.
In der folgenden Abbildung "Gartner Quadrant für EMC Software" – als Beispiel für eine typische Quadrantendarstellung - wurden die Enterprise-Content-Management-Softwarehersteller durch die Gartner Group im Oktober 2015 eingeschätzt.

Software-Wartungsverträge

Ziel eines Software-Wartungsvertrags ist es, die Software für die geplante Einsatzzeit funktions- und einsatzfähig zu halten. „Funktionsfähig“ bedeutet, dass auch Fehler, die während der Nutzungszeit auftreten, unentgeltlich vom Softwarehersteller behoben werden, unter „einsatzfähig“ versteht man, dass die Software für den ursprünglichen Einsatzzweck auch unter geänderten Rahmenbedingungen (z.B. rechtlichen Änderungen) nutzbar bleibt.
Mit dem Abschluss eines solchen Software-Wartungsvertrag erwirbt man also üblicherweise die Verpflichtung des Softwareherstellers oder seines Vertreters, die eingesetzte Software betriebsbereit zu halten oder den Betrieb wiederherzustellen sowie das Anrecht auf unentgeltliche Updates der ursprünglichen Software während dessen Laufzeit. In diesem Vertrag kann auch das Anrecht auf funktionelle Neuerungen oder Verbesserungen enthalten sein.
Der Betrag, der für die Erbringung der Leistungen aus einem Wartungsvertrag von einem Softwarehersteller verlangt wird, liegt typischerweise pro Jahr zwischen fünf und 30 Prozent der ursprünglichen Lizenzkosten.
Darüberhinausgehend ist zu differenzieren, welche Bedeutung die betreffende Software für die Unternehmenstätigkeit besitzt und ob es sich um Individual- oder Standardsoftware handelt. Bei unternehmenskritischen Applikationen zur Unterstützung von Kernprozessen wird ein zusätzlicher Servicevertrag (SLA) abzuschließen sein, der genaue Vereinbarungen über Reaktions- und Behebungs- bzw. Wiederherstellungszeiten enthält. Näheres dazu siehe Kapitel 2 und weiter unten beim Abschnitt „IT-Outsourcing“.

Software-Lizenzmanagement

Jeder Hersteller, der eine Software entwickelt und verkauft, legt fest, unter welchen Nutzungsbedingungen diese verwendet werden darf. Die korrekte Lizenzierung der im Betrieb eingesetzten Software besitzt also für jedes Unternehmen rechtliche Folgewirkungen. Somit ist das damit verbundene Softwarelizenzmanagement – wie viele Lizenzen beschafft wurden und wie viele installiert wurden bzw. sich im Einsatz befinden – ein wichtiges Thema.
Neben den weiter unten beschriebenen Lizenzierungsformen der proprietären Software gibt es auch noch den Bereich der Open-Source-Lizenzen, wobei auch diese mit Lizenzbedingungen versehen sind, welche den Einsatz und die Weiterverbreitung der Software beschränken können (z.B. GNU GPL). Auf die weiteren Lizenzformen der Freeware, Shareware und Free Software wird an dieser Stelle nicht weiter eingegangen, da sie im Unternehmenskontext von geringerer Bedeutung sind.
Lizenzmodelle proprietärer Software, für deren rechtmäßige Nutzung ein einmaliges oder wiederkehrendes Entgelt zu bezahlen ist, können etwa durch folgende Faktoren charakterisiert werden:

• Lizenzart: Einzelplatzlizenz, Mehrbenutzerlizenz, unternehmensweite Lizenz, …
• Lizenzklasse: Vollversion, beschränkte Version, Upgrade-Lizenz, …
• Lizenzmetrik: legt die Grundlage fest, nach der lizenziert wird: Anzahl der Systeme, der Prozessoren, der Benutzer*innen, Größe des verwalteten Speicherplatzes, …
• Lizenz-Laufzeit: pro Jahr, unbeschränkt, …

Aus Unternehmenssicht gibt es zwei Arten von unerwünschtem Lizenzbestand, der Lizenzüber- und -unterdeckung:
Von Lizenzüberdeckung wird gesprochen, wenn die Anzahl der vorhandenen Lizenzen die Anzahl der installierten Lizenzen übersteigt. Der umgekehrte Fall, wenn die Anzahl der Lizenzen nicht ausreicht, um die Anzahl der installierten Softwarepakete zu decken, spricht man von Lizenzunterdeckung.

Der Grund für diese Fehlentwicklung liegt im Auseinanderklaffen der drei Lizenzzustände „gekaufte Lizenzen“, „installierte Lizenzen“ und „genutzte Lizenzen“. Sehr häufig wird auf Arbeitsplätzen ein lizenzpflichtiges Softwareprogramm „zur Sicherheit“ installiert, ohne den genauen Bedarf dafür im Vorfeld erhoben und einen Check mit der Anzahl der zur Verfügung stehenden, erworbenen Lizenzen gemacht zu haben.
Von den nun installierten Lizenzen wird nur ein Teil von den Mitarbeiter*innen tatsächlich genutzt, sodass eine gewisse Anzahl von installierten aber nicht genutzten Lizenzen auf den Arbeitsplatzrechnern vorhanden ist.
Um diesem Missstand zu begegnen ist es unbedingt erforderlich, ein professionelles Lizenzmanagement einzuführen.

Das Lizenzmanagement beginnt mit klassischen Inventuren:
Zuerst wird eine Inventur der installierten Software durchgeführt: Dazu werden alle Laptops, PCs und Server in eine Datenbank aufgenommen und die installierte Software pro Einheit genau dokumentiert, da sich die Software durch Unterschiede in den Versionen (z.B. Microsoft Office Professional oder Microsoft Office Small Business) sowie in den Releases (z.B. Service Pack 1 oder 2) unterscheiden können. In der Praxis muss dafür von Gerät zu Gerät gegangen werden, um sicherzustellen, dass keine Geräte und auch keine installierte Software übersehen werden.
Im Zuge dessen wird auch über die an diesem Gerät vorgesehenen Tätigkeiten im Gespräch mit dem/r betroffenen Mitarbeiter*in bzw. der betroffenen Organisationseinheit festgestellt, ob alle installierten lizenzpflichtigen Softwaresysteme tatsächlich auch erforderlich sind und aktiv genutzt werden. Falls dies nicht der Fall ist, wird die entsprechende lizenzpflichtige Software vom Gerät gelöscht.

In einem zweiten Schritt wird eine Inventur der vorhandenen (= erworbenen) Lizenzen vorgenommen, d.h. alle im Unternehmen befindlichen Lizenzen werden erhoben und dokumentiert.

Im dritten Schritt erfolgt die Zusammenführung der Daten der beiden ersten Schritte in der Lizenzbilanz. In ITIL wird dieser Vorgang über die Definitive Media Library (DML) in Verknüpfung mit der Configuration Management Database (CMDB) abgehandelt.
Nun wird situationsbedingt gehandelt: bei Lizenzüberdeckung werden überflüssige Lizenzen verkauft oder gekündigt, bei Lizenzunterdeckung die notwendigen Lizenzen nachgekauft. Nach dieser Analyse beginnt der rollierende Prozess des Lizenzmanagements. Die IT-Abteilung dokumentiert jede Veränderung der installierten Software. Dadurch kann auf neue Gegebenheiten flexibel reagiert werden.
Auch bietet dieser Prozess den Unternehmen die Möglichkeit, den Ankauf von Software zu planen. Somit kommen der IT-Beschaffung auch die zur Erzielung eines günstigen Preises notwendigen Informationen zu. Neben den oben erwähnten Einzelplatzlizenzen, bei der jede Installation auf einem Computer als Lizenz zählt („per seat“), gibt es noch weitere Sonderformen von Lizenzvereinbarungen, die in erster Linie bei unternehmensweiten oder zumindest arbeitsplatzübergreifenden Server-Softwaresystemen zum Einsatz kommen:

Softwarelizenz nach Concurrent Users: nicht die Anzahl der im System registrierten Benutzer legt die zulässige Anzahl an Lizenzen fest, sondern die maximale Anzahl an gleichzeitig auf die Ressource zugreifenden Clients („Floating Licences“). Diese Lizenzform wird z.B. für Systeme angewendet, die nur punktuell, aber von einer hohen Anzahl von Usern verwendet werden können sollen (Beispiel: Auskunfts- und Auswertungsfunktionen, temporär genutzte Arbeitsplätze).

Softwarelizenz nach Registered Users (oder Named Users): dies entspricht der oben beschriebenen Lizenzierungsform, umgelegt auf Server-Softwaresysteme: jeder User, der im System registriert ist, zählt als Lizenzverbrauch.

Ebenfalls von Bedeutung sind die beiden Lizenzierungsformen Prozessor-Lizenz, bei der ein Hersteller die Erlaubnis einräumt, die Software auf einer bestimmten Hardware zu nutzen und die Company-Lizenz, bei der die Lizenzierung für den unternehmensweiten Gebrauch der Software ohne Überprüfung der tatsächlichen Anzahl der Nutzer gilt.
Immer weniger genutzt wird die Sicherstellung der korrekten Lizenzierung durch Hardware, etwa einem USB-Stick oder einem Dongle, der an eine Schnittstelle des PC angeschlossen wird.
Das Lizenzmanagement sollte durch ein entsprechendes Software-Tool, das einen einfachen Abgleich des Ist- mit dem Soll-Zustand ermöglicht, unterstützt werden.

Netzwerkkomponenten

Die Aufgaben im Rahmen der Beschaffung von Netzwerkkomponenten zerfallen in zwei Bereiche: die Bereitstellung von Hardware für die Instandhaltung und Instandsetzung bestehender Netzwerke und Netzwerksysteme sowie die Neuanschaffung im Rahmen eines Netzwerkaufbau- oder -erweiterungsprojekts.

Instandhaltung und Instandsetzung: hier gilt es dafür zu sorgen, dass eine ausreichende Menge an Ersatzmaterialien und -komponenten vor Ort vorgehalten wird, da ein Ausfall von Netzwerken oder Netzwerkbereichen von gravierenden Folgewirkungen für das Unternehmen sein kann. Der entsprechende Sicherheitsbestand an Komponenten und Materialien leitet sich aus den jeweiligen MTBF-Daten ab. Unter MTBF – Mean Time Between Failures – versteht man die Betriebsdauer, die im Mittel vergeht, bis eine Störung an einem reparierbaren Gerät auftritt.

Netzwerk-Neuaufbau: Hierbei handelt es sich um typisches IT-Projekt, bei dem die Beschaffung der Komponenten und Geräte eine Teilaufgabe darstellt, die detailliert mit den Projektverantwortlichen abgestimmt werden muss (Leistungsparameter, Hersteller, Bereitstellungzeitpunkt). Dass es gerade für den Aufbau und Veränderungen an Netzwerkkomponenten oder -bereichen von eminent wichtiger Bedeutung ist, diese umgehend und detailliert zu dokumentieren, versteht sich von selbst (Verzeichnis und Markierung aller Komponenten, Anschlüsse, Kabel, …).

Mobile Systeme

Besonders wichtig im Zusammenhang mit der Beschaffung mobiler Systeme ist die Einbettung dieses Vorgangs in einen strategischen und organisatorischen Rahmen. Diese Systeme (z.B. Smartphones, Laptops) werden ja im Regelfall auch außerhalb des Unternehmensnetzwerks – und damit auch außerhalb der Überwachungsmöglichkeit durch das Unternehmen – betrieben. Es versteht sich von selbst, dass deshalb entsprechende Rahmenbedingungen vor der Anschaffung von mobilen Systemen sichergestellt werden müssen. Zu diesen Rahmenbedingungen gehören:

Policies: Der/die Mitarbeiter*in, der/die die Verfügungsgewalt über das neu beschaffte mobile System erhält, muss einerseits in der Lage sein, die damit verbundenen Gefahren und Herausforderungen einzuschätzen und andererseits auch verpflichtet werden, sich bei der Nutzung des mobilen Systems entsprechend wohl zu verhalten. Dies geschieht durch die Definition und Unterfertigung einer „Mobile Policy“.

Network Access Control (NAC): Darunter versteht man eine Technik, um den Zugriff von mobilen Systemen auf ein Netzwerk zu kontrollieren. NAC prüft nach Anschluss des Gerätes an das Netzwerk während des Authentifizierungsvorgangs, ob das neu angeschlossene System den internen Richtlinien (Aktualität der Sicherheitsparameter wie Virenschutz, Patchstand, Betriebssystem-Updates, …) entspricht und erzwingt im Differenzfall deren Aktualisierung, bis das System den geltenden Richtlinien entspricht. Erst dann kann sich das mobile System einloggen und vom User im Netzwerk genutzt werden. Speziell im Fall von BYOD (siehe unten) oder einer häufigen Notwendigkeit, unternehmensfremde Systeme in das Unternehmensnetzwerk einzubinden (z.B. Dienstleister*innen, Partner*innen, Lieferant*innen oder Kund*innen) ist der Einsatz dieser Technik von großer Bedeutung.

Mobile Device Management (MDM): Dieser Begriff beschreibt die zentralisierte Verwaltung mobiler Geräte mit dem Ziel, das interne Netzwerk zu schützen und die Kontrolle über die Sicherheit und Verwendung dieser mobilen Geräte zu behalten. MDM-Systeme sind Software-Anwendungen, die einem Administrator mobiler Geräte folgende Funktionalitäten in die Hand geben:

• Datensicherung und Datensynchronisation der mobilen Geräte.
• Wiederherstellung von Daten, Programmen und Apps mobiler Geräte.
• Kontrolle über installierte Programme und Apps, Löschen unzulässiger Software.
• Updates von installierten Betriebssystemen, Programmen und Apps.
• Fernlöschung von mobilen Geräten (z.B. bei Diebstahl oder Verlust von Smartphones).
• Lokalisierung von mobilen Geräten (bei Smartphones mit GPS).

Optimaler Weise sollte die MDM-Software mit den gängigen Betriebssystemen und relevanten Anwendungen kompatibel sein, sodass auch Geräte verwaltet werden können, die z.B. im Rahmen einer „Bring Your Own Device“ (BYOD)-Regelung von Mitarbeitern im Unternehmensnetzwerk verwendet werden.
BYOD bezeichnet einen Trend, den Mitarbeiter*innen die Nutzung eigener Geräte (vornehmlich mobiler Geräte wie Smartphones) im Unternehmen zu erlauben. Aus leicht verständlichen Gründen kann allerdings eine solche Erlaubnis nur mit darauf abgestimmten Rahmenbedingungen erteilt werden (Sicherheitsrisiko). Dem Unternehmen müssen in diesem Kontext Rechte auf dem betreffenden Gerät eingeräumt werden, die im Anlassfall auch eine Kontrolle des Gerätes bis hin zum Fernlöschen erlauben (etwa zum Schutz unternehmensrelevanter Daten bei Verlust des Gerätes).
Auch sollte vorab geregelt werden, wer im Fall eines Schadens am Gerät, der während der betrieblichen Nutzung eintritt, haftet. Um diese und weitere Punkte zu regeln sollte vom Unternehmen eine entsprechende BYOD-Policy verfasst und durchgesetzt werden.

Outsourcing von IT-Services

Einleitung

Externe Dienstleistungen werden für Unternehmen immer wichtiger. Dabei spielen die Themen Innovationsdruck, Änderungen im wirtschaftlichen Umfeld und die zunehmende Digitalisierung auch in der Realwirtschaft eine immer größere Rolle. Die Komplexität und Heterogenität, der mit dem erfolgreichen Betrieb einer Unternehmens-IT verbundenen Aufgaben verlangt darüber hinaus nach Kompetenzen und Knowhow, die oft einfacher und rascher durch die Beauftragung externer Dienstleister abgedeckt werden können.
Das Outsourcing von IT-Services ist also mit besonderen Herausforderungen verbunden, die im folgenden Abschnitt dargelegt werden.
Grundsätzlich kann man als Leitlinie ansehen, dass in jenen Bereichen, in denen in der Vergangenheit im eigenen Unternehmen wichtiges Knowhow aufgebaut wurde, also in den „eigenen Stärken“ mit der Auslagerung von IT-Services vorsichtig umgegangen werden sollte, denn zu groß ist die Gefahr des Verlusts wesentlichen Unternehmens-wissens. Zahlreiche Unternehmen, die den Weg eines umfassenden Outsourcings beschritten haben, mussten zumindest in Teilbereichen reumütig wieder zurückkehren (Backsourcing), was mit großen Aufwänden und Reibungsverlusten verbunden war.
Das Schlagwort der „Konzentration auf die eigenen Stärken und Vermeiden von Schwächen“ trifft in diesem Bereich den Kern der Entscheidungsfindung – denn in vielen Fällen kann ein externer Dienstleister durch Skaleneffekte und Knowhow-Konzentration Standardthemen besser, effizienter und letztendlich günstiger übernehmen.

Vorgehensweise im IT-Outsourcing Prozess

Der Ablauf des Outsourcing Prozesses gliedert sich in verschiedene Phasen:

1. Outsourcing Entscheidung
Am Beginn steht die strategische Entscheidung, ob der Prozess outgesourct werden kann/soll, beispielsweise anhand strategischer Relevanz, Kernkompetenz, Kritikalität.

2. Partner Screening
Danach werden die potentiellen Partner nach vorab definierten Kriterien ausgewählt, kontaktiert und evaluiert, beispielsweise nach Sicherheit des Fortbestandes, Preisstabilität, Servicequalität, Skalierbarkeit.

3. Service Level Definition
Anschließend an die Entscheidung für einen Outsourcing-Partner folgt die Definition der Service Levels und die Etablierung von Kennzahlen zur Messung der Einhaltung dieser Service Levels. Eventuell werden noch Vereinbarungen zur Leistung von Pönalzahlungen bei Mindererfüllung abgeschlossen. Die Vertragsunterzeichnung beendet diese Phase.

4. Implementierung des Services
Der vertraglich vereinbarte Prozess wird implementiert.

5. Kontinuierlicher Verbesserungsprozess
Der Prozess wird überwacht, gesteuert und verbessert.

Im laufenden Betrieb gilt es, einerseits die Mitarbeiter im eigenen Unternehmen zum kostenbewussten Umgang mit der outgesourcten IT, sowie andererseits den externen IT Dienstleister zu kontinuierlich hohen Leistungen anzuspornen.

Kostenverlauf bei IT-Outsourcing

IT-Outsourcing zu einem spezialisierten IT Dienstleister bringt zumeist die Erwartung an Kosteneinsparungen mit sich. In vielen Fällen standardisierter Services entwickeln sich die Kosten jedoch wie in der Abbildung "Typische Kostenverläufe bei Outsourcing" dargestellt:

In der Übergangsphase steigen die Kosten, da Transparenz geschaffen werden muss (z.B. durch externe Berater*innen und durch den Aufbau eines internen Controllingsystems), sowie Transaktionskosten (durch die Übergabe der internen Ressourcen beim Start des Outsourcings), die an den externen Dienstleister anfallen. Erst in den Folgejahren schlägt die Einsparung merklich zu Buche, und es sind Einsparungen von durchschnittlich 20 % durch Effizienzsteigerungen erreichbar.

In der Abbildung "Typische Kostenverläufe bei Outsourcing" wird im Jahr 1 im ersten Quartal die Entscheidung getroffen, Outsourcing zu betreiben, da Benchmarks gezeigt haben, dass die Kosten der internen IT Abteilung über dem Marktwert liegen.
In Quartal 2-3 werden die Schnittstellen und der neue Prozess definiert; diese werden Mitte Q3 in Betrieb genommen. Nachdem der Prozess sich bei dem Dienstleister eingespielt hat, konnten schon im 2. Quartal des zweiten Jahres die Einsparungen realisiert werden.

Vertragsinhalte beim IT-Outsourcing

Ein IT-Outsourcing Vertrag besteht aus einem Rahmenvertrag und Einzelverträgen.
Im Folgenden werden die Inhalte dieser beiden Vertragswerke, welche die Basis für die Zusammenarbeit bilden, beschrieben.

Rahmenvertrag

Der Rahmenvertrag beinhaltet die grundlegenden Eigenschaften der Geschäftsbeziehung:

• Vertragspartner
• Vertragsgegenstand und -umfang
• Laufzeit und Kündigung
• Zusammenarbeitsregeln, Kommunikation
• Vergütung
• Datenschutz und -sicherheit
• Haftung
• Rückübertragungsregelung bei späterem Backsourcing

Der Rahmenvertrag gilt in der Regel unbegrenzt. Die Details der jeweiligen Outsourcing-Dienstleistung werden im Einzelvertrag geregelt.

Einzelvertrag / Service Level Agreement

Ein Einzelvertrag wird in der Regel für jedes IT-Service getrennt abgeschlossen. Er beinhaltet:

• Vertragsgegenstand und Geltungsbereich
• Laufzeit, Verlängerungsoptionen und Kündigung
• Genaue Leistungsbeschreibung
• Obligatorische und optionale Leistungen
• Mitwirkungspflichten des Auftraggebers
• Service-Level-Vereinbarungen, Messkriterien und Maßzahlen
• Vergütung und Pönalen

Der Einzelvertrag ist auf bestimmte Zeit abgeschlossen, damit beide Vertragsparteien bei gravierenden Änderungen des Wettbewerbsumfeldes die Preise anpassen können.

Controlling der Outsourcing-Leistung

Ein wesentlicher Aspekt eines erfolgreichen Outsourcings ist die Einrichtung eines entsprechenden Controllings, denn Verträge sind nur insofern zielführend, als deren Einhaltung (Parameter des vereinbarten SLAs) auch überprüft wird und eine eventuelle mangelhafte Erfüllung gemäß Vereinbarung auch Konsequenzen nach sich zieht.
Der damit verbundene organisatorische Aufwand darf jedoch nicht unterschätzt werden (Rollendefinition, Aufwand des Messens und Dokumentieren, Kommunikation mit dem Outsourcing-Partner).
Dieser Aufwand muss daher bereits in der Phase der Entscheidungsfindung für oder gegen ein Outsourcing-Projekt berücksichtigt werden, um eine Kostenwahrheit des Vergleichs mit der Beibehaltung einer Inhouse-Lösung sicherzustellen.

Cloud-Computing

Unter Cloud-Computing versteht man einen immer wichtiger werdenden Trend, der seit etwa 2011 Entscheidungsfindungen in der Beschaffung von IT-Systemen zunehmend beeinflusst. Zahlreiche IT-Dienstleister haben Cloud-Angebote in ihr Produkt-Portfolio aufgenommen, von lokalen Anbietern bis hin zu weltweit tätigen Großunternehmen wie IBM, amazon, Microsoft oder google.
Generell bezeichnet man mit Cloud-Computing die zur Verfügung Stellung von virtuellen IT-Ressourcen über eine Anbindung an das Internet. Um Cloud-Computing nutzen zu können, muss also naturgemäß ein breitbandiger und ausfallsicherer Netzwerkzugang verfügbar sein.

Cloud-Liefermodelle

Es gibt verschiedene Arten von Clouds, die je nach Implementierung eingeteilt werden:

Private Cloud
Bei diesem Szenario befinden sich sowohl Anbieter als auch Nutzer im selben internen Unternehmensnetzwerk, d.h. das Unternehmen betreibt die Cloud selbst, lediglich aus Mitarbeitersicht ändert sich die Nutzung: anstelle des auf seinem Arbeitsplatzcomputer installierten Programms bedient er nun ein Browser-GUI, das via Intranet oder VPN mit der Private Cloud verbunden ist. Datenschutz und Datensicherheit – eine wesentliche Herausforderung der Public Cloud – stellen in diesem Zusammenhang nur ein internes Thema dar.

Public Cloud
Die Public Cloud entspricht der allgemein bekannten Variante des „Cloud“-Sprachgebrauchs, wo ein Anbieter gegen Entgelt oder auch kostenlos Dienste per Internet der gesamten Öffentlichkeit zur Verfügung stellt. Dies ist auch jene Variante, auf die sich dieses Kapitel in erster Linie bezieht.

Hybrid Cloud
Darunter versteht man eine Kombination aus Public Cloud und Private Cloud, wobei typischerweise die Kernprozess-Applikationen in der Private Cloud vom Unternehmen selbst und die Supportsysteme in der Public Cloud eines Anbieters gehostet werden.

Cloud-Servicemodelle

Man unterscheidet grundsätzlich unter folgenden Arten von angebotenen (also Public-) Cloud-Computing-Servicemodellen:

Infrastructure-as-a-Service IaaS
Dabei wird dem Kunden IT-Infrastruktur über das Internet zur Verfügung gestellt. Beispiele wären Speicherkapazität (Storage) oder Rechnerleistung, die vom Kunden genutzt werden können. Der Kunde verwaltet die angemietete Hardware selbst, d.h. eventuelle Server-Instanzen, Softwareanwendungen sowie deren Wartung bleibt in der Hand des Kunden. Die vereinbarte Service-Dienstleistung lässt sich klar und einfach abgrenzen durch die Größe bzw. Leistungsparameter der gemieteten Hardware (z.B. 5 TB Speicherplatz).

Platform-as-a-Service PaaS
Mit diesem Begriff bezeichnet man die Bereitstellung von Plattformen zum Entwickeln und Deployment von Software. Ziel ist es, in einfacher Weise Anwendungen zu entwickeln und zu hosten. Dabei handelt es sich um Webserver, Middleware, Datenbanken und Entwickler-Werkzeuge wie Security-Komponenten, Dashboards, Reporting-Tools, Single-Sign-On-Dienste u.v.a.m. Die Nutzer eines PaaS-Dienstes sind also in erster Linie Entwickler und Systemarchitekten.

Software-as-a-Service SaaS
Das SaaS-Angebot ermöglicht Endanwendern – z.B. Büro-Mitarbeitern – die Nutzung von Software, die früher auf den PCs der User installiert werden musste über die Browseroberfläche. Der Cloud-Anbieter stellt die Software bereit, der Nutzer benötigt lediglich einen Internet-Zugang und einen Browser, der die Spezifikationen der Software-Clientanwendung (GUI) erfüllt.
Typische Angebote für SaaS sind z.B. die Nutzung von Büro-Software (Textverarbeitung, Tabellenkalkulation, E-Mail), ERP- und CRM-Systeme, Projektmanagement-Software u.v.a.m. Im Folgenden werden Vorteile und Herausforderungen des Cloud-Computings diskutiert.

Einige Vorteile, die damit verbunden sind:

• Investitionskosten: Wegfall von Investitionen für Dienste und Systeme, die nur selten genutzt werden.
• Personalkosten: Wegfall der Erfordernisse speziellen Knowhows und Personals für den Betrieb von Systemen
• Skalierbarkeit: Einfache Anpassung der genutzten IT-Kapazität an geänderte wirtschaftliche Rahmenbedingungen (Erhöhung und Verringerung der benötigten IT-Leistungen)
• Reduzierter Wartungsaufwand: Backup, Update und Versionsmanagement werden vom Cloud-Anbieter durchgeführt
• Schnelle Implementierung und Einführung, geringe Schulungskosten
• Nutzung des aktuellen Stands der Technik
• Risikotransfer zum Cloud-Anbieter, der sich an die Parameter des SLAs halten muss (Sicherheit und Verfügbarkeit)

Diesen Vorteilen stehen einige Herausforderungen und Nachteile gegenüber:

• Abhängigkeit vom Cloud-Anbieter, schwieriger Anbieterwechsel oder Backsourcing
• Hoheit über unternehmenskritische Daten
• Zuverlässigkeit der Internet-Anbindung
• Abbau eigener IT-Kompetenzen
• Integration von Systemen unterschiedlicher Anbieter oder mit Inhouse-Applikationen
• Möglicher Verlust von Wettbewerbsvorteilen durch Standardisierung von Prozessen und Anwendungen
• Einhalten rechtlicher Bestimmungen (z.B. Forderung nach Datenverarbeitung innerhalb der EU)
• Datensicherheit und Datenschutz

In jedem Fall ist beim Ersetzen von Inhouse-Kernprozess-Anwendungen durch einen SaaS-Anbieter äußerste Vorsicht geboten. Hier empfiehlt es sich, eine genaue Risikoevaluierung durchzuführen (Ausfallszenarien, Compliance) und gegebenenfalls ein laufendes Risikomanagement zu etablieren sowie die vertragliche Situation genau zu prüfen (Nutzungsbedingungen, Sicherheitsaspekte, Datenschutz).
Viele Unternehmen gehen deshalb in Richtung Hybrid Cloud, bei der die businesskritischen Anwendungen selbst betrieben werden und lediglich die Supportprozess-Unterstützung (z.B: Büro-Software) im SaaS-Modell betrieben werden.

Weitere Bereiche

Grundsätzlich fällt die Beschaffung aller technischer Systeme, die ins Netzwerk eingebunden werden – z.B. auch Produktionsanlagen, Laborsysteme, Telefonsysteme, u.v.a.m. – auch in den Kompetenzbereich der Beschaffung von Informationssystemen.
Wenn auch der Beschaffungsvorgang selbst meist durch die jeweiligen Fachabteilungen selbst angeregt und gemeinsam mit dem technischen Einkauf durchgeführt wird, ist eine Mitarbeit der IT-Abteilung zur Beratung, Steuerung und Veranlassung eventueller Begleitmaßnahmen zur Installation und Einbindung des jeweiligen Systems ins Unternehmensnetzwerk vonnöten.

Zusammenfassung dieser Lektion

In dieser Lektion wurden die wesentlichsten Objekttypen, die bei der Beschaffung von betrieblichen Informationssystemen relevant sind, kurz vorgestellt.
Die verschiedenen Arten von Computersystemen erfordern auch eine unterschiedliche Behandlung im Zuge ihrer Beschaffung. Der Bogen reicht von Mainframe Computer, und Serversystemen bis hin zu Arbeitsplatzrechnern und Workstations.
Besonderes Augenmerk verdient die Software-Beschaffung. Hier sind die unterschied-lichen Typen von Software zu beachten, die auch jeweils andere Erfordernisse bei der Beschaffung aufweisen und verschiedene Konsequenzen bei ihrem Einsatz nach sich ziehen. Individualsoftware und Standardsoftware wurden inklusive ihrer Vor- und Nachteile einander gegenübergestellt.
Open-Source-Software wurde als eine realistische Möglichkeit der Softwarebeschaffung angedacht und die Rahmenbedingungen diskutiert, unter denen eine solche Variante Sinn machen kann. Zwei weitere Themen, die im Zusammenhang mit der Softwarebeschaffung relevant sind – Wartungsverträge und Lizenzmanagement – wurden detailliert betrachtet.
Besonders die Beschaffung von mobilen Systemen ist mit einer Reihe an Erfordernissen verbunden, die beachtet werden müssen und in den Kompetenz- und Entscheidungsbereich der IT-Beschaffung fallen. Das Outsourcing von IT-Services wird von einem standardisierten Vorgehen begleitet, das von der Auswahl des Outsourcing-Partners hin zu einer Vertragsgestaltung und einem effizienten Controlling der outgesourcten Leistung führt.
Das Thema Cloud-Computing stellt einen immer wichtiger werdenden Bereich im Zusammenhang mit betrieblichen Informationsverarbeitung dar. Die grundlegenden Cloud-Computing-Varianten, Liefer- und Servicemodelle sowie die damit verbundenen Vor- und Nachteile wurden diskutiert.

Formen des wissenschaftlichen Arbeitens

Das Ziel der unterschiedlichen Wissenschaften ist, Erkenntnis und Wissen systematisch zu gewinnen und zu ordnen. Wissenschafter*innen können grundsätzlich auf zwei Wegen neues Wissen erschließen, indem sie sich ausschließlich auf vorhandene Theorien beziehen, die bereits publiziert oder auf eine andere Art und Weise dokumentiert sind, oder indem sie versuchen, für wissenschaftliche Probleme und Fragestellungen innovative Lösungen und Antworten zu finden. Die literaturbasierte wissenschaftliche Arbeit steht damit einer wissenschaftlichen Arbeit gegenüber, die neue Erkenntnisse, aber auch den Prozess der Forschung oder Entwicklung dieser Erkenntnisse dokumentiert. In den folgenden zwei Abschnitten sollen die Literaturstudie sowie die empirische Forschungsarbeit genauer beschrieben werden.

Prinzipien für die wissenschaftliche Arbeit

Der bekannte Philosoph und Schriftsteller Umberto Eco beantwortet die Frage nach Prinzipien für das wissenschaftliche Arbeiten folgendermaßen. ${\textstyle \lbrack }$Ec03, 39ff.${\textstyle \rbrack }$

1. Die Untersuchung behandelt einen erkennbaren Gegenstand, der so genau umrissen ist, dass er auch für Dritte erkennbar ist.
2. Die Untersuchung muss über diesen Gegenstand Dinge sagen, die noch nicht gesagt worden sind.
3. Die Untersuchung muss für andere von Nutzen sein.
4. Die Untersuchung muss jene Aufgaben enthalten, die es ermöglichen nachzuprüfen, ob ihre Hypothesen falsch oder richtig sind.

Wichtig ist hierbei auch, darauf zu achten, dass das Problem versachlicht wird. Das heißt, dass für die Beschreibung des Problems eine sachliche Fachsprache verwendet wird und das Problem theoretisch eingebettet ist, sei es nun durch Verwendung einer mathematischen Sprache oder durch eine Verknüpfung mit anderen in der Disziplin vorhandenen Theorien. Die Gütekriterien für wissenschaftliche Arbeiten müssen eingehalten werden.
Folgende Aufzählung von Aufgaben für Wissenschafter*innen ist praxis- und handlungsorientierter und bezieht die Arbeit in der und für die „Scientific Community“ mit ein:

• Hinterfragen und Überprüfen der eigenen Forschungs- und Auswertungsmethoden auf Zweckmäßigkeit, Wahrheitsgehalt und ethische Qualität;
• Aussagen, Hypothesen und Schlussfolgerungen müssen überprüfbar und widerlegbar sein;
• Beachtung der für das Wissensgebiet als „wissenschaftlich“ anerkannten Theorien, Methoden und der Fachsprache (Nomenklatur);
• Erbringen von Beiträgen zur Grundsubstanz des Wissens (z.B. durch Lehrbücher);
• Mitwirkung an fachtypischen Wissensvermittlungsmethoden (Lehre);
• Weiterentwicklung der akademischen Abschlüsse und Qualifikationen des Wissensbereichs;
• Teilnahme am Wissensaustausch zwischen Wissenschafter*innen des Fachbereichs und darüber hinaus („Scientific Community“, Publizieren, Konferenzen etc.). ${\textstyle \lbrack }$Ne03${\textstyle \rbrack }$

Der Soziologe Max Weber stellte für die Wissenschaften das Postulat der Werturteilsfreiheit auf. Wissenschafter*innen haben frei von Werten zu sein. Sie sollen nichts als böse oder gut klassifizieren. Da aber jeder Mensch selbst Werte hat, müssen diese vorab klargelegt werden. Wichtig ist, dass die Erkenntnisse intersubjektiv überprüfbar sind, das heißt, dass andere die Erkenntnisschritte nachvollziehen können. Die Analyse muss immer wieder hinterfragt werden. Nun ist ein Wissenschaftler, eine Wissenschaftlerin nicht amoralisch, sondern positioniert sich, wie Max Weber unterscheidet, in einer Verantwortungsethik und nicht in einer Gesinnungsethik. Die Politik beispielsweise verpflichtet sich einer Gesinnungsethik und ist damit weltanschaulich gebunden.
Die Wissenschafter*innen sind der Rationalität verpflichtet.

Die Forschungsfrage
Aus den genannten Prinzipien leitet sich auch die Forschungsfrage ab. Sie ist der Ausgangspunkt jeglicher Art von Forschung. Es gibt keine wissenschaftlichen Methoden zur Auswahl einer Forschungsfrage. Sie kann entweder dem Interesse des/der einzelnen Wissenschafter*in entspringen oder als Auftrag an die Wissenschafter*innen ergehen.

Bevor sich Wissenschafter*innen einzelnen Forschungsfragen zuwenden, sollten sie jedoch einige Punkte berücksichtigen:

• gesellschaftliche Relevanz,
• wissenschaftliche Relevanz und
• kritische Überprüfung der Forschungsfrage auf ihre Herkunft.

Das wissenschaftliche Literaturstudium

Eine Literaturstudie befasst sich mit bereits publizierter wissenschaftlicher Literatur über ein bestimmtes Thema bzw. eine bestimmte Fragestellung. Im Rahmen des Studiums und auch bei Abschlussarbeiten ^[4] ist dies eine oft gewählte Form des wissenschaftlichen Arbeitens. Oft fällt es schwer, Methoden des Literaturstudiums zu finden, meistens sind Erklärungen auf die Beschaffung von Literatur beschränkt. Wie jedoch mit der vorhandenen Literatur umgegangen wird, wird methodisch von vielen Wissenschafter*innen nicht dokumentiert, sondern basiert auf informell (z.B. im Laufe des Studiums) erworbenem Erfahrungswissen.
Ein wichtiger Punkt bei der Bearbeitung von wissenschaftlichen Texten ist, zu welchem Zeitpunkt im Prozess des wissenschaftlichen Arbeitens diese stattfindet. Sinnvoll ist eine intensive Auseinandersetzung mit Literatur erst dann, wenn bereits eine Forschungsfrage formuliert wurde, also klar ist, welches Problem im Vordergrund steht und im Laufe der Arbeit beantwortet werden soll. Diese Forschungsfrage bildet sowohl den roten Faden für die Literaturrecherche als auch für die Bearbeitung der Literatur. Nur jene Literatur, die zur Beantwortung der Fragestellung beitragen kann, ist relevant. Das Literaturstudium kann also als die Bearbeitung relevanter wissenschaftlicher Literatur in Bezug auf die eigene Fragestellung bezeichnet werden.
Diese relevante Literatur wird im Forschungsstand bzw. State of the Art dargestellt. Mit dem Erfassen des Forschungsstandes wird ein Überblick über die Diskursträger*innen des gewählten Themas geschaffen, also über die Aussagen jener Autor*innen, die zum wissenschaftlichen Diskurs mit wesentlichen Erkenntnissen beigetragen haben. Sie können hierbei beschreibend vorgehen, verschiedene Beiträge zusammentragen und komprimieren oder diese vergleichen und kontrastieren und damit zur Verdichtung bisheriger Erkenntnisse beitragen und neue Erkenntnisse gewinnen.
Aufbauend auf diesem Fundament werden in einer Literaturstudie nun die eigenen Erkenntnisse, die neu erkannten Zusammenhänge, Interpretationen und mögliche Kritik formuliert. Eine Literaturstudie besteht somit darin, die eigene Fragestellung mit Hilfe von bereits publizierten wissenschaftlichen Texten zu bearbeiten und im Laufe der Arbeit zu beantworten.

Wissenschaftlich Forschen

Methode: logisches, planmäßiges, systematisches Verfahren wissenschaftlicher Forschung, Untersuchungsweise, Art der Wahrheitsfindung. ${\textstyle \lbrack }$Ei04, 665-668${\textstyle \rbrack }$
Das Wort Methode stammt aus dem Altgriechischen (methodos) und bedeutet so viel wie „Nachgehen“, „Verfolgen“ oder „der Weg zu etwas hin“. Eine Methode bietet uns die Möglichkeit, bei der Entwicklung wissenschaftlicher Probleme, Fragen, Aussagen sowie deren empirischer Überprüfung durch Realitätsanalysen einen bereits von anderen Forscher*innen entwickelten und erprobten Weg „nachzugehen“. Das heißt, eine Methode gibt ein systematisches Vorgehen bzw. Verfahren vor, um Informationen zu beschaffen und auszuwerten. Methoden helfen damit, zwischen Empirie und Theorie zu vermitteln. Methoden müssen wissenschaftlichen Kriterien entsprechen, um überzeugend zu sein. Sie helfen aber auch dabei, die Intersubjektivität des Forschungsprozesses sicherzustellen. Indem sich ein Forscher, eine Forscherin auf eine bestimmte Methode bezieht und zum Beispiel in der Einleitung seines/ihres Artikels angibt, welche Methode er/sie für das Forschungsvorhaben verwendet hat, können die Leser*innen des Artikels Rückschlüsse auf den Forschungsprozess des Autors, der Autorin ziehen. Zu unterscheiden sind besonders naturwissenschaftliche, sozialwissenschaftliche, formalwissenschaftliche und philosophische Methoden.

Überblick über die Methoden der Wirtschaftsinformatik

Die Wirtschaftsinformatik versteht sich als Wissenschaft mit einer methoden-pluralistischen Erkenntnisstrategie. Sie bedient sich der Instrumente der
Erfahrungs-, Formal- und Ingenieurwissenschaften.
Die Wirtschaftsinformatik arbeitet innerhalb zweier erkenntnistheoretischer Pardigmen. Einerseits will sie mit sozialwissenschaftlichen Methoden die Ausgestaltung und Wirkung verfügbarer IT-Lösungen, Unternehmen und Märkte analysieren. Neben rein an der Erkenntnis orientierten, sozialwissenschaftlichen Forschungsmethoden spielen in der Wirtschaftsinformatik vor allem auch konstruktionsorientierte Methoden (Erstellen und Evaluieren von Prototypen) und Methoden der Informationssystemgestaltung (Entwicklungsmethoden) eine wesentliche Rolle. Im Rahmen von „Design Science“ bzw. dem konstruktionswissenschaftlichen Paradigma will die Wirtschaftinformatik nützliche IT-Lösungen entwickeln, die durch das Schaffen und Evaluieren verschiedener Artefakte in Form von Modellen, Methoden oder Systemen untersucht werden sollen.
Grundsätzlich können wissenschaftliche Methoden in zwei Gruppen eingeteilt werden: in quantitative und qualitative Methoden. Die Unterscheidungsmerkmale sollen nachfolgend anhand der Methoden der Sozialforschung in ihren Grundzügen beschrieben werden. Diese können vor allem aufgrund ihres Formalisierungsgrades unterschieden werden. Wilde & Hess ${\textstyle \lbrack }$WH07, 282${\textstyle \rbrack }$ hingegen ergänzen diese zwei Kategorien um „semi-formale Gegenstandsrepräsentationen“, zu denen sie beispielsweise Petrinetze oder UML-Modelle zählen.
Einen ersten Einblick in die Vielfalt der Methoden der Wirtschaftsinformatik gibt folgende Tabelle, die auf Basis einer Inhaltsanalyse verschiedener facheinschlägiger Artikel in der Fachzeitschrift „Wirtschaftsinformatik“ erstellt wurde. ${\textstyle \lbrack }$WH07${\textstyle \rbrack }$
In dieser Auflistung sind sowohl formalwissenschaftliche, anwendungsorientierte technische Methoden als auch Methoden der empirischen Sozialforschung enthalten.

Methodenspektrum der Wirtschaftsinformatik mit Anwendungsbeispielen, übernommen von ${\textstyle \lbrack }$WH07${\textstyle \rbrack }$

Methode	Beschreibung
Formal-/konzeptionell- und argumentativ-deduktive Analyse	Logisch-deduktives Schließen kann als Forschungsmethode auf verschiedenen Formalisierungsstufen stattfinden: entweder im Rahmen mathematisch-formaler Modelle (z.B. in semi-formalen Modellen) oder rein sprachlich (argumentativ).
Simulation	Die Simulation bildet das Verhalten des zu untersuchenden Systems formal in einem Modell ab und stellt Umweltzustände durch bestimmte Belegungen der Modellparameter nach. Sowohl durch die Modellkonstruktion als auch durch die Beobachtung der endogenen Modellgrößen lassen sich Erkenntnisse gewinnen.
Referenzmodellierung	Die Referenzmodellierung erstellt induktiv oder deduktiv meist vereinfachte und optimierte Abbildungen von Systemen, um so bestehende Erkenntnisse zu vertiefen und daraus Gestaltungsvorlagen zu generieren.
Aktionsforschung	Es wird ein Praxisbeispiel durch einen gemischten Kreis aus Wissenschaft und Praxis gelöst. Hierbei werden mehrere Zyklen aus Analyse-, Aktions-, und Evaluationsschritten durchlaufen, die jeweils gering strukturierte Instrumente wie Gruppendiskussionen oder Planspiele vorsehen.
Prototyping	Es wird eine Vorabversion eines Anwendungssystems entwickelt und evaluiert. Beide Schritte können neue Erkenntnisse generieren.
Ethnographie	Die Ethnographie möchte durch partizipierende Beobachtung Erkenntnisse generieren. Der Unterschied zur Fallstudie liegt in dem sehr hohen Umfang, in dem sich ein Forscher in das untersuchte soziale Umfeld integriert. Eine objektive Distanz ist kaum vorhanden.
Fallstudie	Die Fallstudie untersucht in der Regel komplexe, schwer abgrenzbare Phänomene in ihrem natürlichen Kontext. Sie stellt eine spezielle Form der qualitativ-empirischen Methodik dar, die wenige Merkmalsträger intensiv untersucht. Es steht entweder die möglichst objektive Untersuchung von Thesen (sozialwissenschaftlicher Zugang) oder die Interpretation von Verhaltensmustern als Phänotypen der von den Probanden konstruierten Realitäten (konstruktionsorientierter Zugang) im Mittelpunkt.
Grounded Theory	Die Grounded Theory zielt auf eine induktive Gewinnung neuer Theorien durch intensive Beobachtung des Untersuchungsgegenstandes im Feld ab. Die verschiedenen Vorgehensweisen zur Kodierung und Auswertung der vorwiegend qualitativen Daten sind exakt spezifiziert.
Qualitative/ Quantitative Querschnittsanalyse	Diese beiden Methoden fassen Erhebungstechniken wie Fragebögen, Interviews, Delphi-Methode, Inhaltsanalysen etc. zu zwei Aggregaten zusammen. Sie umfassen eine einmalige Erhebung über mehrere Individuen hinweg, die anschließend quantitativ oder qualitativ kodiert und ausgewertet werden. Ergebnis ist ein Querschnittsbild über die Stichprobenteilnehmer*innen hinweg, welches üblicherweise Rückschlüsse auf die Grundgesamtheit zulässt.
Labor-/Feldexperiment	Das Experiment untersucht Kausalzusammenhänge in kontrollierter Umgebung, indem eine Experimentvariable auf wiederholbare Weise manipuliert und die Wirkung der Manipulation gemessen wird. Der Untersuchungsgegenstand wird entweder in seiner natürlichen Umgebung (im „Feld“) oder in künstlicher Umgebung (im „Labor“) untersucht, wodurch wesentlich die Möglichkeiten der Umgebungskontrolle beeinflusst werden.

Design Science

Wie bereits erwähnt bedient sich die Wirtschaftsinformatik als angewandte Forschungsdisziplin auch Methoden aus anderen Disziplinen, wie Wirtschaft oder Informatik um die Probleme an der Schnittstelle von IT und Unternehmen zu lösen. Allerdings ist die dominante Forschung weiterhin weitgehend diejenige der traditionellen deskriptiven Forschung, abgeleitet von der sozialen Forschung.
In den letzten Jahren hat sich in der Wirtschaftsinformatik jedoch Design Science immer mehr etabliert. Design Science dient dabei als Forschungsparadigma mit der tatsächlichen Integration von Design als einem der wichtigsten Faktoren.

Hevner et al. präsentierten 2004 erstmals sieben Richtlinien für eine designorientierte Forschung ${\textstyle \lbrack }$Hev04${\textstyle \rbrack }$:

• Design als Artefakt: Design Science muss ein funktionsfähiges Artefakt in Form eines Konstrukts, eines Modells, einer Methode oder einer Instanziierung produzieren.
• Problemrelevanz: Ziel von Design Science ist es, technologiebasierte Lösungen für wichtige und relevante Geschäftsprobleme zu entwickeln.
• Designbewertung: Der Nutzen, die Qualität und die Wirksamkeit eines Design-Artefakts müssen durch gut ausgeführte Bewertungsmethoden rigoros nachgewiesen werden.
• Forschungsbeiträge: Effektive Design Science muss klare und nachprüfbare Beiträge in den Bereichen Design-Artefakt, Design-Fundamente und/oder Designmethoden liefern.
• Forschungsstrenge: Die Design Science beruht auf der Anwendung rigoroser Methoden sowohl bei der Konstruktion als auch bei der Bewertung des Design-Artefakts.
• Design als Suchprozess: Die Suche nach einem effektiven Artefakt erfordert die Nutzung der verfügbaren Mittel, um die gewünschten Ziele zu erreichen und gleichzeitig die Gesetze in der Problemumgebung zu erfüllen.
• Kommunikation der Forschung: Design Science muss sowohl dem technologie- als auch dem managementorientierten Publikum effektiv präsentiert werden.

Kernaspekt ist dabei das Artefakt, das geschaffen wurde, um ein Problem aus der Praxis zu lösen. Sein Nutzen, seine Qualität und Wirksamkeit müssen danach bewertet werden. Es reicht also nicht aus, das Artefakt zu erzeugen, auch der Test der Wirksamkeit spielt eine ebenso große Rolle.
In der Praxis wird der erste Punkt – das funktionsfähige Artefakt – oft in Form eines Prototyps oder eines Leitfadens umgesetzt. Fehlt jedoch der Test der Qualität und Wirksamkeit, dann entspricht dies nicht den wissenschaftlichen Ansprüchen an die designorientierte Forschung. Um eine wissenschaftliche Arbeit zu schaffen sollte man also die Punkte von Hevner als Checkliste abarbeiten. Betrachten wir die sieben Richtlinien etwas detaillierter:

Funktionsfähiges Artefakt
Das funktionsfähige Artefakt kann vom theoretischen Konzept bis zur praktischen Umsetzung alles beinhalten. Die Bandbreite reicht also von der Machbarkeitsstudie bis hin zum funktionierenden Prototyp eines Roboters.

Technologiebasierte Lösung
Die Entwicklung eines Prototyps birgt meist sowohl aus technologischer als auch aus wirtschaftlicher Sicht Potential in sich. Aus wissenschaftlicher Sicht ist es dabei wichtig sich erneut die Prinzipien von Umberto Eco in Erinnerung zu rufen. Die Untersuchung muss über diesen Gegenstand Dinge sagen, die noch nicht gesagt worden sind und die Untersuchung muss für andere von Nutzen sein. Speziell der Aspekt der Neuheit setzt für Forscher voraus, sich zuvor mit vorhandener Literatur zu dem Thema auseinanderzusetzen, um den aktuellen Stand des Wissens zu ermitteln.

Qualität und Wirksamkeit
In der Softwareentwicklung dient unter anderem die ISO/IEC 250XX Software engineering – Software product Quality Requirements and Evaluation (SQuaRE) als Norm zur Qualitätssicherung. Sie beschreibt „Qualität ist die Gesamtheit von Eigenschaften und Merkmalen eines Produkts oder einer Tätigkeit, die sich auf deren Eignung zur Erfüllung gegebener Erfordernisse bezieht“ ${\textstyle \lbrack }$DIN08${\textstyle \rbrack }$.
Neben dem Produkt liegt der Fokus auch auf dem Prozess der Entwicklung selbst, wie laut Mellis der Einhaltung bestimmter zeitlicher bzw. finanzieller Restriktionen und die Notwendigkeit der Einhaltung bestimmter Prozessrichtlinien ${\textstyle \lbrack }$Wer13${\textstyle \rbrack }$. Das Zusammenspiel zeigt die Abbildung "Prozess- und Produktqualität".

Eine Möglichkeit zur Evaluation von Artefakten besteht nach Hevner auch darin, den erzeugten Nutzen der Artefakte mit dem Nutzen von anderen Artefakten, die das gleiche Problem lösen, zu vergleichen ${\textstyle \lbrack }$Hev04${\textstyle \rbrack }$.

Nachprüfbare Beiträge
Methoden oder Artefakte innerhalb des Prozesses müssen eindeutig nachvollziehbar sein. Wenn man eine Blackbox mit einem Input und einem Output generiert, dann genügt dies nicht den Ansprüchen der Nachvollziehbarkeit. Dieser Aspekt ist aus den Naturwissenschaften bekannt, ein Experiment muss nachvollziehbar und auch reproduzierbar sein.

Rigorose Methoden
Die Qualität von Software und Software-Entwicklungsprozessen kann durch formale Entwicklungsmethoden deutlich gesteigert werden. Es gibt viele verschiedene formale Methoden, die unterschiedlich gut für bestimmte Projekttypen geeignet sind. Ein Kriterium kann die Benutzerfreundlichkeit oder die Skalierbarkeit sein. In der Entwicklung der Software werden diese Spezifikationen dann in einer logisch nachvollziehbaren, formalen Sprache notiert. Bestimmte Eigenschaften wie Fehlerfreiheit in manchen Aspekten können damit auch mathematisch bewiesen werden.

Design als Suchprozess
Eine Wissensbasis zu dem spezifischen Thema wird anhand eines fortlaufenden iterativen Entwicklungsprozesses aufgebaut. Entwicklungen werden umgesetzt und evaluiert. Die Suche nach einem bestimmten Prüfgegenstand erfordert die Ausnutzung der verfügbaren Möglichkeiten um einen bestimmten Nutzen zu erreichen und gleichzeitig die Regeln des Problemumfeldes einzuhalten. Die Evaluierung selbst kann in Form von sehr formalen heuristischen Methoden mit Checklisten wie der ISO 9241 (Mensch-Computer Interaktion) oder der ISO 14915 (Software-Ergonomie für Multimedia-Benutzungsschnittstellen) erfolgen. Aber auch Benutzerevaluationen in Form von Interviews oder Eyetracking sind möglich. Das Methoden-Spektrum richtet sich sehr stark nach dem Artefakt.

Kommunikation der Forschung
Letztlich muss das Ergebnis auch einem wissenschaftlichen Publikum präsentiert werden. Im Zuge des Studiums erfolgt hier der erste Kontakt mit dem Thema meist beim Verfassen der Bachelor- oder Masterarbeit. In der weiteren wissenschaftlichen Karriere gilt dies auch für das Verfassen von Fachbeiträgen oder der Formulierung von Forschungsvorhaben.

Beispiel zur Umsetzung in der Praxis anhand einer Masterarbeit
In der Praxis hat man als Forschende*r oder Studierende*r oft eine Idee im Kopf. Angenommen wir wollen als Masterarbeit eine Anwendung für ein Mobiltelefon schreiben, das uns via GPS den Weg weist. Natürlich gibt es schon unzählige Apps zu dem Thema am Markt und es wäre daher auch kein wirklicher Neuigkeitswert gegeben. Sehen wir uns dennoch die 7 Richtlinien nach Hevner für dieses einfache Beispiel an:

• Funktionsfähiges Artefakt
  • Das funktionsfähige Artefakt kann vom theoretischen Konzept der Anbindung von GPS am Mobiltelefon, bis hin zu einem Prototyp zur einfachen Navigation reichen. Ein einfacher Prototyp der die GPS Koordinaten auf einer Karte aufzeichnet wäre ausreichend.
• Technologiebasierte Lösung
  • Die Entwicklung des Prototyps birgt sowohl aus technologischer als auch aus wirtschaftlicher Sicht Potential in sich. Eine (wirtschaftliche) Welt ohne GPS wäre heute kaum mehr vorstellbar.
• Qualität und Wirksamkeit
  • Das Artefakt wurde gemäß ISO/IEC 25010 auf dessen Usability überprüft. Besonderes Augenmerk wurde dabei auf den Schutz vor Fehlbedienung durch Nutzer*innen gelegt.
• Nachprüfbare Beiträge
  • Der Quellcode steht in digitaler Form zur weiteren Verarbeitung zur Verfügung. Einzelne Schritte können so leicht nachvollzogen werden.
• Rigorose Methoden
  • Besonderer Wert wird auch auf die Verlässlichkeit gelegt. Kritische Programmteile wurden daher unter Einsatz formaler Methoden entwickelt.
• Design als Suchprozess
  • Die Usability wird durch Standardchecklisten geprüft und weiter durch Feldversuche validiert.
• Kommunikation der Forschung
  • Die Masterarbeit ist sowohl für Wissenschafter*innen als auch für interessierte Laien geschrieben. Ein roter Faden ist erkennbar und erlaubt es die Arbeit ähnlich einem Buch zu lesen. Als Masterarbeit wird die Arbeit auch veröffentlicht und steht damit für weitere Forschung zur Verfügung.

Qualitativ/Quantitativ: Was ist der Unterschied?

Methodologien und Methoden sind stark mit erkenntnistheoretischen und philosophischen Denkpositionen verbunden. In der Sozialforschung wird vor allem zwischen quantitativen bzw. qualitativen Methoden unterschieden.
Welche Methode in einem speziellen Forschungsvorhaben angewandt wird, muss je nach der jeweiligen Forschungsfrage entschieden werden. Zuvor muss klar sein, auf welche Fragen man Antworten sucht. Dann kann über die Methode entschieden werden.

Unterschiede zwischen qualitativen und quantitativen Forschungsmethoden

Quantitativ	Qualitativ
Erklären	Verstehen
Deduktiv/Theorien prüfend	Induktiv/Theorien entwickelnd
Standardisiert/Geschlossen	Nicht standardisiert/Offen
Lineares Forschungsdesign	Zirkuläres Forschungsdesign
Hohe Fallzahl	Niedrige Fallzahl
Statistik	Offene Auswertungsverfahren
Zufallsstichprobe	Bewusste Auswahl der Fälle
Prädetermination der Forschenden	Relevanzsystem der Betroffenen
Objektiv	Subjektiv
Starres Vorgehen	Flexibles Vorgehen

Quantitative Methoden sollen kausale Beziehungen zwischen Erscheinungen, über die Gesetze entwickelt werden sollen, aufdecken. Qualitative Methoden sehen ausgehend von dem Prinzip der sozialen Konstruktion der Wirklichkeit Menschen als schaffende Wesen. Soziale Tatsachen werden durch Menschen konstruiert und immer wieder neu interpretiert. Phänomene sind von Menschen mit Bedeutung versehen. Mittels qualitativer Methoden wollen ForscherInnen den Sinn hinter sozialen Handlungen verstehen.

Während in der quantitativen Sozialforschung der Forschungsablauf standardisiert abläuft, wählt die qualitative Sozialforschung eine natürliche Befragungssituation; Befragte können selbst bestimmen, was sie sagen wollen. Oftmals sagen die gewählten Erzählungen viel aus.

Quantitative Sozialforschung glaubt, soziales Handeln objektiv erfassen zu können. Die Subjektivität des Forschers bzw. der Forscherin wird möglichst zurückgenommen. Das Forschungsobjekt wird deterministisch als Manifestation verschiedener Kausalzusammenhänge gesehen. Die Qualitative Sozialforschung geht davon aus, dass keine objektive Befragungssituation geschaffen werden kann. Es wird vom einzelnen Fall ausgegangen und dessen subjektive Wirklichkeitskonstruktion beobachtet.

Quantitative Methoden

Mittels quantitativer Methoden will man Rückschlüsse auf Kausalzusammenhänge zwischen unabhängigen und abhängigen Variablen gewinnen. Vieles in der Sozialwissenschaft ist nicht direkt beobachtbar oder messbar (Messen = Zahlen zuordnen) und zählt damit zu den latent vorhandenen Realitäten (Bildung, Lebensqualität, Akzeptanz von neuen Produkten). Theoretische Konstrukte dienen als Modelle für diese latenten Realitäten. Soll zum Beispiel der Bildungsstand der Bevölkerung festgestellt werden, muss auf verschiedene Indikatoren zurückgegriffen werden: z.B. höchster Schulabschluss, Anzahl der Schuljahre, Textverständnis, Anzahl der gelesenen Bücher. In der Anwendung der quantitativen Methoden sind immer die Gütekriterien zu beachten, um unsystematische wie auch systematische Messfehler zu reduzieren.

Objektivität
Objektiv ist eine Messmethode dann, wenn die Ergebnisse unabhängig von der Person sind, die das Messinstrument anwendet. Probleme gibt es bei quantitativen Methoden vor allem bei der Durchführungsobjektivität, da beispielsweise die interviewende Person Einfluss auf das Untersuchungsfeld nehmen kann.

Validität (Gültigkeit)
Von Validität kann dann gesprochen werden, wenn die Methode das misst, was sie vorgibt zu messen. Eine Messung ist dann valide, wenn es einen Zusammenhang zwischen dem zu messenden Konzept und den Indikatoren, anhand derer gemessen wird, gibt. Auf Validität ist während des gesamten Forschungsprozesses zu achten. Das beginnt bei der Operationalisierung der Forschungsfrage und betrifft aber auch die Beziehung des Forschers bzw. der Forscherin zum Forschungsfeld und dessen Beeinflussung.

Reliabilität (Zuverlässigkeit)
Die Reliabilität kontrolliert die Stabilität und Genauigkeit der Messung. Eine Wiederholung des Experiments und der Erhebung unter gleichen Rahmenbedingungen würde das gleiche Ergebnis erzielen. Die Zuverlässigkeit beruht auf der Standardisierung des Kontexts und der Isolierung der untersuchenden Variablen. Qualitative Methoden haben nicht den Anspruch das Gütekriterium der Reliabilität zu erfüllen, da die untersuchten Einzelfälle bei jeder erneuten Erhebungseinheit von-einander abweichen können. ${\textstyle \lbrack }$Di01, 216ff${\textstyle \rbrack }$

Quantitatives Forschungsdesign
Ein quantitatives Forschungsvorhaben geht immer von einer bereits bestehenden Theorie aus. Im idealtypischen Forschungsablauf ist es unwichtig, wie es zu dem Ausgangspunkt der Theorie kommt. Die Entstehung von Theorie ist vorwissenschaftlich. Das heißt, grundsätzlich können Theorien intuitiv entstehen, natürlich überprüft ein Forscher, eine Forscherin oftmals Theorien, die andere ForscherInnen bereits zuvor aufgestellt haben. ${\textstyle \lbrack }$Po35${\textstyle \rbrack }$
Auf Basis dieser Theorie werden Hypothesen gebildet, deren Annahme folglich im Forschungsprozess bestätigt bzw. widerlegt werden soll. Dazu ist es notwendig, die Hypothesen zu operationalisieren. Unter Operationalisierung versteht man den Wechsel von der Theoriesprache zur „Empiriesprache“. Theoretische Konzepte sollen auf konkret beobachtbare (messbare) Phänomene heruntergebrochen werden. Dies wird zu einem insgesamt sehr wichtigen Schritt in der empirischen Forschung. Wenn man nicht überzeugend operationalisiert, kann das eigene Forschungsvorhaben dafür kritisiert werden, dass man gar nicht das gemessen hat, was von einer Theorie behauptet wird (Validität).
Mittels eines Messinstruments (z.B. Fragebogens) werden Daten erhoben. Diese Daten werden mittels statistischer Methoden ausgewertet. Nach der Beschreibung und Interpretation der Ergebnisse werden diese gemeinsam mit der Beschreibung des Forschungsprozesses (Messinstrument, Datenerhebung, Auswertungsschritte) oftmals im Rahmen eines Forschungsberichtes dokumentiert und damit die intersubjektive Nachvollziehbarkeit gewährleistet.

Qualitative Methoden

Qualitative Methoden wurden als Antwort auf die Defizite der quantitativen Sozialforschung entwickelt. Der markante Unterschied der zwei Forschungsparadigmen ist, dass die qualitativen Methoden nicht standardisiert vorgehen. Qualitativ forschende Wissenschafter*innen wollen das Subjekt und seine subjektiv konstruierte Welt in aller Komplexität erfassen. Das sie leitende Prinzip ist Offenheit. Qualitative Sozialforschung will nicht Hypothesen prüfen, sondern Hypothesen generieren (induktives Vorgehen). Dabei werden im Laufe des Forschungsprozesses immer neue Hypothesen entwickelt. Wichtig für die qualitative Sozialforschung ist die Orientierung am einzelnen Subjekt. Es geht nicht darum, eine möglichst hohe Fallzahl zu erheben, sondern den Einzelfall genau zu beschreiben und zu analysieren.
Forscher*innen, die im qualitativen Paradigma forschen, glauben nicht an unveränderbare Naturgesetze, die das menschliche Handeln anleiten. Wenn sich bestimmte Phänomene häufen, wird von Regeln bzw. Strukturen gesprochen, die jedoch immer mit dem Kontext verbunden und Veränderungen unterworfen sind. Menschen handeln nach Regeln bzw. orientieren sich in ihrem Handeln an Strukturen und nicht an Gesetzen.
Qualitative Methoden erheben nicht den Anspruch, repräsentative Ergebnisse zu liefern, das heißt, ausgehend von der Stichprobe sollen keine Aussagen über die Grundgesamtheit getroffen werden.
Sehr wohl gibt es aber Vorgangsweisen für eine Verallgemeinerung der entwickelten Ergebnisse hin zu Theorien (z.B. Typenbildung). Verallgemeinerbarkeit findet jedoch nur durch Begründung und nicht durch (statistische) Verfahren statt. Die Verallgemeinerung steht damit auf einer argumentativen und induktiven Ebene und stellt kontextgebundene Regeln (statt Gesetzmäßigkeiten) auf. ${\textstyle \lbrack }$Ma02${\textstyle \rbrack }$

Theorieverständnis in der qualitativen Sozialforschung
Der Umgang mit Theorien und theoretischen Konzepten unterscheidet sich je nach dem angewandten Forschungsansatz.

• Ein Minimum an theoretischer Standortbestimmung ist die theoretische Einbettung des Forschungsvorhabens durch die Verwendung von Begrifflichkeiten, die von bestehenden Theorien abgeleitet wurden, sowie von sensibilisierenden Konzepten (z.B. interpretatives Forschungsparadigma).
• In anderen qualitativen Forschungsansätzen (z.B. Qualitative Inhaltsanalyse nach Mayring) werden aus vorab bestehenden Theorien Kategorien deduktiv abgeleitet. Dennoch werden Theorien durch induktive Kategorienbildung ergänzt.
• Schließlich gibt es auch qualitative Forschungsansätze, die ein theoretisches, variablenzentriertes Fallstudiendesign aufweisen.
  

Qualitative Erhebungsmethoden

• Interviews
  • Einzelinterviews (Narrative Interviews, Expert*inneninterviews …)
  • Gruppeninterviews (Fokusgruppe)
• Beobachtungen (Teilnehmende Beobachtung)
• Nicht reaktive Verfahren (Dokumente, Artefakte)
• Qualitatives Experiment

Die hier vorgestellten Erhebungsmethoden arbeiten zumeist auf sprachlicher Basis (Interviews, Gruppendiskussion), aber auch mit Beobachtung. In der qualitativen Forschung ist besonders der verbale Zugang, das Gespräch von großer Bedeutung. Subjektive Bedeutungen lassen sich nur schwer aus Beobachtungen ableiten. Die Subjekte können in Interviews etc. jedoch selbst zu Sprache kommen. ${\textstyle \lbrack }$Ma02, 66f.${\textstyle \rbrack }$

Fallauswahl

• Theoretical Sampling: Das Konzept des Theoretical Sampling stammt aus der Grounded Theory. Die Stichprobe wird aufgrund von theoretischen Überlegungen gewonnen. Der Forscher, die Forscherin sammelt, kodiert und wertet Daten aus und trifft aus diesem Prozess heraus die Entscheidungen, welche Daten als nächste zu sammeln sind. Die qualitative Sozialforschung interessiert weniger, wie ein Problem statistisch verteilt ist, sondern welche Probleme es gibt und wie diese beschaffen sind. So können beispielsweise abweichende Beispiele sehr erkenntnisreich sein und interessante Aufschlüsse geben. Zu beachten ist, dass die Auswahl der Stichprobe bestimmt, was später gesagt werden kann.
• Qualitativer Stichprobenplan: Hier wird ein Sample (Stichprobe) selektiv gezogen. Es liegen bereits Informationen zu Merkmalen vor, die relevante Erkenntnisse versprechen. Wenn bereits quantitative Forschungsergebnisse vorliegen, können diese im Stichprobenplan berücksichtigt werden.
  

Qualitative Auswertungsverfahren im Überblick (interpretative Verfahren)

1. Verfahren der Kodierung und Kategorisierung: Gegenstandsbezogen, Interpretation und Reduktion des Materials durch induktive Bildung von Kategorien, auch auf nicht-textliches Material und bei größeren Datenmengen anwendbar;
2. Sequentielle Analysen: stärker fall- und subjektorientiert, größere Tiefenschärfe, eher für kleinere Datenmengen geeignet.

Ein Forschungsprozess in der Sozialwissenschaft kann wie folgt aussehen:

1. Formulierung und Präzisierung des Forschungsproblems
   1. Auftragsklärung
   2. Forschungsfrage formulieren
   3. Theoretischen Rahmen festlegen
2. Forschungsdesign konzipieren
   1. Entscheidung für ein Forschungsparadigma
   2. Welche Methode? Welche Daten?
   3. Auswahl und Erhebung der Daten
   4. Auswertung der Daten
3. Durchführung
4. Ergebnisdarstellung/Bericht
5. Publikation

Methodentriangulation

In der wissenschaftlichen Praxis kommt es häufig zu einer Verknüpfung des quantitativen Ansatzes mit dem qualitativen Ansatz. Das wird als Methodentriangulation verstanden. Die Triangulation ist eine methodische Technik, um einen Untersuchungsgegenstand möglichst breit und tief erfassen zu können. Die Verknüpfung der verschiedenen Paradigmen kann in unterschiedliche Forschungsdesigns eingebettet werden (siehe Abbildung "Basisdesign zur Verbindung qualitativer und quantitativer Forschung"). Dabei können Vorteile beider Forschungsparadigmen verknüpft und Nachteile verringert werden.

Datenerhebung

In der Regel werden unabhängig von der verwendeten Methode Daten erhoben. Einige statistische Grundlagen der deskriptiven Statistik (sie beschreibt Merkmale wie beispielsweise die durchschnittliche Größe von Schüler*innen) und der Inferenzstatistik (sie untersucht Hypothesen) sollen hier gezeigt werden.

Skalen
Variablen-Ausprägungen werden auf Skalen gemessen.

• Skalenniveaus bestimmen, welche statistischen Maßzahlen zur Beschreibung eines Merkmals verwendet werden dürfen.
• Skalenniveaus bestimmen, mit welchen Methoden Zusammenhänge zwischen zwei Merkmalen bestimmt werden.
• Skalenniveaus geben an, welche statistischen Tests und Modelle verwendet werden dürfen.

Auflistung Skalenniveaus

		Beispiel	Rechenoperationen
Kategoriell	Nominalskala	Mann/Frau	A = B oder A ${\textstyle \neq }$ B
	Ordinalskala	Stimme sehr, ziemlich, wenig, gar nicht zu	${\textstyle A<B<C}$ Reihenfolge
Metrisch	Intervallskala	IQ	A - B, B + C Abstände
Metrisch	Verhältnisskala	Einkommen in Euro, Alter	A / B, Verhältnisse (doppelt soviel etc)

Grundgesamtheit und Stichprobe
Als Grundgesamtheit wird die Population verstanden, über die man eine Aussage treffen will. Ist eine Vollerhebung nicht möglich oder nicht sinnvoll, wird eine Stichprobe gezogen, aufgrund derer man mittels der Methoden der Statistik (Inferenzstatistik) repräsentative Aussagen über die Grundgesamtheit trifft. Durch die Art der Stichprobenziehung soll gewährleistet werden, dass die Stichprobe die Grundgesamtheit entweder in Bezug auf alle Merkmale oder auf ein bestimmtes Merkmal gut repräsentiert.

Als häufigste Arten der Stichprobenziehung gelten:

• die einfache Zufallsstichprobe: Die Wahrscheinlichkeit, in die Stichprobe aufgenommen werden, ist für jede Person gleich. Gängige statistische Verfahren basieren auf Zufallsstichproben.
• die geschichtete Stichprobe: mit Zufallsauswahl in jeder Schicht; Schichten sind vordefiniert (z.B. Bundesländer, Geschlecht, Alter).
  
  

Organisation der Daten
Für statistische Berechnungen werden die Daten in eine Datenmatrix eingefügt. Eine Datenmatrix ist die Darstellung von Daten in einer Tabelle. Die Erstellung der Datenmatrizen erfolgt entweder in eine Statistik-Software (z.B. R oder SPSS) oder in einem Tabellenkalkulationsprogramm (z.B. Excel).
In jeder Zeile befindet sich ein Merkmalsträger bzw. ein Fall. In den Spalten finden sich die Merkmale oder auch Variablen (z.B. Alter, Größe, Einkommen).

Person	Alter	Größe	Einkommen
1	24	1,63	3.250
2	57	1,57	0
3	43	1,80	2.300

Merkmale, die nicht in Zahlen ausdrückbar sind, wie zum Beispiel Geschlecht, Zufriedenheit mit einem Produkt, müssen umkodiert werden. Das heißt, den einzelnen Ausprägungen werden Zahlen zugeordnet. Zusätzlich gibt es eine Unterscheidung in „gültige Werte“ und „fehlende Werte“.

z.B. Variable Geschlecht
1 … Mann
2 … Frau
99 … keine Angabe/Angabe verweigert (fehlender Wert)

z.B. Zufriedenheit mit einem Produkt
1 … sehr zufrieden
2 … ziemlich zufrieden
3 … wenig zufrieden
4 … gar nicht zufrieden
99 … keine Angabe/Antwort verweigert (fehlender Wert)

Datenauswertung – Überblick über statistische Verfahren
Zu den wichtigsten Aktivitäten der erfahrungswissenschaftlichen/empirischen ForscherInnen zählen die Beschreibung von Untersuchungseinheiten im Hinblick auf einzelne Variablen (univariate Verteilungen), die Beschreibung der Beziehung zwischen Variablen (bivariate und multivariate Verteilungen), sowie die Generalisierung von Untersuchungsresultaten (Inferenzstatistik, Signifikanztests). [Be05, 11]

Die Multivariaten Verfahren gliedern sich in ${\textstyle \lbrack }$Ba03${\textstyle \rbrack }$:

• Strukturentdeckende Verfahren
  • Faktorenanalyse, Hauptkomponentenanalyse
  • Clusteranalyse
  • Multidimensionale Skalierung
• Strukturprüfende Verfahren
  • Regressionsanalyse (lineare Regression, logistische Regression)
  • Varianzanalyse
  • Strukturgleichungsmodelle

Deskription
Deskriptiv (=beschreibend) vorzugehen, heißt meistens Antworten auf Fragen des Typs „Wie ist/sind…?“ zu suchen. Jede Beschreibung braucht eine theoretische Vorstellung darüber, was wichtig ist. Dieser theoretische Hintergrund muss immer so explizit wie möglich formuliert werden. Bei der deskriptiven Statistik werden folgende Beschreibungsarten unterschieden:

• Beschreibung eines Merkmals (univariate Verteilungen)
• Beschreibung von einfachen Zusammenhängen (bivariate Verteilungen)
  • Kreuztabellen
  • Kontingenzmaße
  • Kovarianz
  • Korrelation

Induktion (Indifferenzstatistik)
In der Statistik kommt der Begriff Induktion zur Anwendung, wenn festgestellte Fakten dazu genutzt werden, eine Aussage einer Theorie zu bestärken. Hierbei handelt es sich um Wenn-Dann-Beziehungen. Die Kausalzusammenhänge einer Theorie werden in Zahlenwerten erhoben und anhand dieser bewertet.

Korrelation
Die Korrelation beschäftigt sich damit, wie häufig interessierende Merkmalskombinationen gemeinsam auftreten. Die Korrelation misst die Stärke des Zusammenhangs zwischen den interessierenden Variablen, das heißt, wie viele die Annahme bestätigende Fälle und wie viele Ausnahmefälle es gibt. Ein Zahlenwert zwischen 0 (kein Zusammenhang) und +/-1 (Maximaler Zusammenhang) gibt Auskunft über die Stärke des Zusammenhangs. Plus oder Minus gibt dabei die Richtung des Zusammenhangs an.

Signifikanz
Die Signifikanz beschäftigt sich damit, ob der festgestellte Zusammenhang im Sinne einer statistischen Wahrscheinlichkeit als Zufall zu betrachten ist. Sie beantwortet die Frage, ob eine begrenzte Stichprobe als Beweis für einen Zusammenhang, der in der Grundgesamtheit besteht, zu interpretieren ist oder nicht. Signifikanz kommt dann zum Tragen, wenn eine Stichprobe gezogen wird, das heißt, wenn nicht die Grundgesamtheit (alle Untersuchungseinheiten/Personen, die uns interessieren) erhoben wird. Eine Stichprobe ist eine zufällige Auswahl aus der Grundgesamtheit. Die Signifikanz eines Ergebnisses hängt einerseits von der Stärke des Zusammenhangs, andererseits von der Stichprobengröße n ab, also davon, auf wie vielen Fällen ein gefundener Zusammenhang beruht. Je größer die Stichprobe, desto eher ist ein Ergebnis signifikant. Dann ist jedoch vor allem auf die Stärke des Zusammenhangs zu achten (Korrelation). ${\textstyle \lbrack }$Ed01, 2.1-2.12${\textstyle \rbrack }$

Beschreibung eines Merkmals ${\textstyle \lbrack }$Be05${\textstyle \rbrack }$

• Häufigkeitsverteilungen
• Lagemaße
  • Mittelwert (arithmetisches Mittel, Median, Modus)
  • Streuungsmaße (Quartile, Standardabweichung, Varianz)
• Graphische Darstellung

Literaturverzeichnis

[Ba03]		Backhaus K.; Erichson B.; Plinke W. et al. (2003): Multivariate Analysemethoden. Eine anwendungsorientierte Einführung. 10. Aufl. Berlin: Springer Verlag.
[Be05]		Benninghaus H. (2005): Deskriptive Statistik - Eine Einführung für Sozialwissenschaftler. 10. Aufl. Wiesbaden: VS Verlag für Sozialwissenschaften.
[Bg19]		(2019): Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG). BGBl. I Nr. 14/2019, idgF.
[Bu08a]		Bundesamt für Sicherheit in der Informationstechnik, Deutschland (2008): BSI-Standard 100-1, Managementsysteme für Informationssicherheit (ISMS). Bonn: Bundesamt für Sicherheit in der Informationstechnik (BSI).
[Bu08b]		Bundesamt für Sicherheit in der Informationstechnik, Deutschland (2008): BSI-Standard 100-2, IT-Grundschutz-Vorgehensweise. Bonn: Bundesamt für Sicherheit in der Informationstechnik (BSI).
[Bu08c]		Bundesamt für Sicherheit in der Informationstechnik, Deutschland (2008): BSI-Standard 100-3, Risikoanalyse von IT-Grundschutz. Bonn: Bundesamt für Sicherheit in der Informationstechnik (BSI).
[Bu08d]		Bundesamt für Sicherheit in der Informationstechnik, Deutschland (2008): BSI-Standard 100-4, Notfallmanagement. Bonn: Bundesamt für Sicherheit in der Informationstechnik (BSI).
[Bu15]		Bundesamt für Sicherheit in der Informationstechnik, Deutschland: IT-Grundschutz-Standards. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html, zuletzt geprüft am 22. März 2022.
[Ca58]		Gaius Iulius Caesar (deutsch: Gaius Julius Cäsar) (58 bis 51/50 v. Chr.): Commentarii de bello Gallico.
[Di01]		Diekmann A. (2001): Empirische Sozialforschung - Grundlagen, Methoden, Anwendungen. Hamburg: Rowohlt Taschenbuch Verlag.
[Ec03]		Eco U. (2003): Wie man eine wissenschaftliche Abschlussarbeit schreibt. Heidelberg: C.F. Müller Verlag UTB.
[Ed01]		Eder A. (2001): Grundzüge der angewandten Mathematik und Statistik für SoziologInnen. Wien: WUV Universitätsverlag.
[Ei04]		Eisler R. (1904): Wörterbuch der philosophischen Begriffe. Berlin.
[Ha12]		Harich T.W. (2012): IT-Sicherheitsmanagement, 1. Auflage. Heidelberg, München, Landsberg, Frechen, Hamburg: mitp, eine Marke der Verlagsgruppe Hüthig Jehle Rehm GmbH.
[II08]		ISO/IEC (2008): Informationstechnologie - Sicherheitstechnik, Informationssicherheits-Managementsysteme - Anforderungen (ISO/IEC 27001:2005). Wien: ON Österreichischen Normungsinstitut.
[II14]		ISO/IEC (2014): Information technology - Security techniques - Information security management systems - Overview and vocabulary (ISO/IEC 27000). Schweiz: ISO/IEC.
[KRS08]		Kerstenn H. und Reuter J.S.K.-W. (2013): IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz, 4. Auflage. Wiesbaden: Springer Fachmedien.
[Ma02]		Mayring P. (2002): Einführung in die qualitative Sozialforschung. Weinheim und Basel: Beltz Verlag.
[MH94]		Miles M.B. und Huberman M. (1994): Qualitative Data Analysis: An Expanded Sourcebook. 2. Aufl. Newbury Park, CA: Sage Publications.
[Ne03]		Nebelsiek K. (2003): Was ist eine Wissenschaft? https://www.kersti.de/VA136.HTM , zuletzt geprüft am 22. März 2022.
[Ni17]		nic.at GmbH, computer emerGency response team austria (2017): Bericht internet-Sicherheit Österreich 2017. Wien: nic.at GmbH, computer emerGency response team austria.
[Po35]		Popper K.R. (1935): Logik der Forschung. Wien: Springer Verlag.
[WH07]		Wilde T. und Hess T. (2007): Forschungsmethoden der Wirtschaftsinformatik. Wirtschaftsinformatik, 49,4, 280-287.
[Ze14]		Zentrum für sichere Informationstechnologie - Austria (2014): Österreichisches Informationssicherheitshandbuch, Version 4.0.0. Wien: Bundeskanzleramt Österreich, www.sicherheitshandbuch.gv.at.