Die erste Auflage erschien bei utb.

Bibliografische Information der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <www.dnb.de> abrufbar.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

ISBN 978-3-86764-722-9 (Print)

ISBN 978-3-7398-0136-0 (EPUB)

ISBN 978-3-7398-0137-7 (EPDF)

© UVK Verlagsgesellschaft mbH, Konstanz und München 2016

Umschlaggestaltung: Susanne Fuellhaas, Konstanz

Umschlagmotiv: iuneWind, fotolia

UVK Verlagsgesellschaft mbH

Schützenstr. 24 • 78462 Konstanz

Tel. 07531-9053-0 • Fax 07531-9053-98

www.uvk.de

Vorwort

Das heutige wirtschaftliche Umfeld ist stark von den Merkmalen unserer Informationsgesellschaft geprägt, in der die Information einen fundamentalen Stellenwert besitzt. Sie kann zu erheblichen Wettbewerbsvorteilen führen und große wirtschaftliche oder politische Macht verleihen. Die moderne Informationstechnologie (IT) ermöglicht die zielgerichtete Nutzung und Steuerung des Wirtschaftsguts Information.

Innerhalb von Unternehmen bietet die IT oft nicht nur eine Unterstützung von Geschäftsprozessen, sondern sie bildet immer öfter den Kern des ganzen Geschäftsmodells. Eine strukturierte Steuerung aller IT-Aktivitäten ist essenziell, um die IT wirtschaftlich effizient einsetzen zu können. Denn sie unterliegt einer stetigen Weiterentwicklung und ist wie kaum eine andere Branche von einem andauernden Fortschritt und Wandel betroffen. Bedeutende Merkmale des technischen Fortschritts sind eine immer größere Speicherkapazität, längere Speicherdauer und komplexere Verarbeitung von Informationen. Ein Beispiel für den andauernden Wandel ist das Internet, das zunächst von wenigen Editoren und vielen Benutzern in Anspruch genommen wurde. Anschließend hat es sich zu einer Plattform gewandelt, auf der Benutzer selbst neue Inhalte erstellt haben (Web 2.0). Das Verständnis der Inhalte und deren Auswertungsmöglichkeiten sind immer weiter gestiegen und bilden heute das semantische Internet (Web 3.0). Das Internet gewinnt eine immer größere Bedeutung, was z.B. an der steigenden Nutzung verteilter Services unter dem Stichwort Cloud Computing erkennbar ist.

Nicht nur das Ergebnis der IT, sondern auch die Gestaltung effizienter Prozesse und die überlegte Nutzung von Ressourcen innerhalb der IT sind essenzielle Erfolgsfaktoren und verlangen daher erhöhte Aufmerksamkeit. Außerdem schützt eine hohe Qualität die IT vor nachgelagerten Aufwänden zur Fehlerbehebung und Nachbesserung. Ausgefeilte Sicherheitsstandards schützen zudem vor internen und externen Angriffen sowie anderen Gefahren, die sowohl zu finanziellen Schäden, als auch zu Reputationsverlust führen können. Die Umsetzung von Gesetzesvorgaben, Standards und Best Practices dient der Einhaltung wichtiger Vorgaben und verhilft der IT zur Ausrichtung an Branchenvorgaben oder anerkannten Geschäftspraktiken.

Das IT-Management ist notwendig, um die vielfältigen IT-Aktivitäten in einem Unternehmen planen, vorbereiten, steuern, überwachen und bewerten zu können. Das vorliegende Werk erleichtert die Einführung in dieses komplexe Thema, das nicht nur für Führungskräfte, sondern auch für Inhaber operativer Rollen relevant ist. Das IT-Management umfasst Bereiche aus den Kategorien IT-Strategie, Budget & Ressourcen, IT-Services & Prozesse, Governance, Risk & Compliance und IT-Sicherheit. Während die IT-Strategie die Ausrichtung und langfristige Orientierung für und durch die IT vorgibt, ist das Management von Budget & Ressourcen für einen wirtschaftlich effizienten Einsatz der IT notwendig. Die Kategorie IT-Services & Prozesse befasst sich mit dem fast selbstverständlich gewordenen Dienstleistungsgedanken sowie der Optimierung und Modellierung von Geschäftsprozessen. Governance, Risk & Compliance sorgen für eine ordnungsgemäße IT, die konform zu internen und externen Regeln ist. Die IT-Sicherheit dient der Festlegung und Umsetzung eines angemessenen Sicherheitsniveaus und damit dem Schutz vor Kompromittierung, Manipulation und Beschädigung von Informationen und IT-Systemen.

Bergisch Gladbach Stefan Beißel

Inhalt

• Vorwort
• 1 Grundlagen des IT-Managements
• 1.1 Grundbegriffe
• 1.2 Vorgehensweisen
• 1.3 Organisationsformen
• 1.4 Stakeholder des IT-Managements
• 1.5 Stakeholderanalyse
• 1.6 Literatur zu Kapitel
• 2 IT-Strategie
• 2.1 Grundlagen
• 2.2 Strategieentwicklung
• 2.2.1 Business Motivation Modell
• 2.2.2 Produkt-Markt-Matrix
• 2.2.3 Enterprise Wide Information Management
• 2.3 Strategieumsetzung
• 2.3.1 Balanced Scorecard
• 2.3.2 Management von IT-Investitionen
• 2.4 Umfeldanalyse
• 2.4.1 Fünf-Kräfte-Modell
• 2.4.2 STEP-Analyse
• 2.5 Situationsanalyse
• 2.5.1 BCG-Matrix
• 2.5.2 SWOT-Matrix
• 2.5.3 McFarlans Bedeutungsmatrix
• 2.5.4 4C-Net-Business-Modell
• 2.6 Zielfindung
• 2.6.1 SMART
• 2.6.2 Technology Roadmap
• 2.7 Entscheidungstheorie
• 2.7.1 Grundlagen
• 2.7.2 Nutzwertanalyse
• 2.7.3 Analytic Hierarchy Process
• 2.8 Literatur zu Kapitel 2
• 3 Budget & Ressourcen
• 3.1 Kostenrechnung
• 3.1.1 Grundbegriffe
• 3.1.2 Kostenarten
• 3.1.3 Basis der Kostenrechnung
• 3.1.4 Kostenrechnungsmethoden mit Zeitbezug
• 3.1.5 Kostenrechnungsmethoden mit Umfangsbezug
• 3.1.6 Kostenrechnungssysteme
• 3.1.7 IT-Chargeback
• 3.2 IT-Budgetierung
• 3.3 IT-Demand Management
• 3.4 IT-Kennzahlen
• 3.5 IT-Sourcing
• 3.6 IT-Asset Management
• 3.7 Human Resource Management
• 3.8 IT-Projektmanagement
• 3.8.1 Grundlagen des IT-Projektmanagements
• 3.8.2 Netzplantechnik
• 3.8.3 Gantt-Diagramm
• 3.8.4 Projektportfolio-Management
• 3.8.5 Wiederverwendung von Projektwissen
• 3.9 Literatur zu Kapitel 3
• 4 IT-Services & Prozesse
• 4.1 Grundlagen von IT-Services
• 4.2 Information Technology Infrastructure Library
• 4.3 RACI-Matrix
• 4.4 Service Level Agreements
• 4.5 Servicekatalog
• 4.6 Grundlagen von Geschäftsprozessen
• 4.7 Optimierungstechniken für Geschäftsprozesse
• 4.8 Geschäftsprozessmodellierung
• 4.8.1 Grundlagen der Geschäftsprozessmodellierung
• 4.8.2 Architektur integrierter Informationssysteme
• 4.8.3 Ereignisgesteuerte Prozesskette
• 4.8.4 Unified Modeling Language
• 4.8.5 Business Process Modeling Notation
• 4.8.6 Flussdiagramme
• 4.9 Literatur zu Kapitel 4
• 5 Governance, Risk & Compliance
• 5.1 IT-Governance
• 5.2 IT-Risikomanagement
• 5.2.1 Überblick
• 5.2.2 Identifizierung von Risiken
• 5.2.3 Risikobewertung
• 5.2.4 Auswahl der Risikobewältigungsmethode
• 5.2.5 Implementierung von Gegenmaßnahmen
• 5.3 IT-Compliance
• 5.3.1 Grundlagen der IT-Compliance
• 5.3.2 Beispiele aus der Praxis
• 5.3.3 Eingrenzung von Compliance-Umgebungen
• 5.4 Literatur zu Kapitel 5
• 6 IT-Sicherheit
• 6.1 Schutzziele
• 6.2 Sicherheitsniveau
• 6.3 Vorgehensmodelle
• 6.3.1 ISO 27001
• 6.3.2 IT-Grundschutz
• 6.4 Routineaufgaben
• 6.5 Gefahren
• 6.5.1 Hacker
• 6.5.2 Angriffe
• 6.6 Schutzmaßnahmen
• 6.6.1 Schutz vor Unbefugten
• 6.6.2 Kontrolle des Datenverkehrs
• 6.6.3 Vermeidung von Schwachstellen
• 6.6.4 Richtlinien
• 6.6.5 Ausfallsicherheit und Wiederherstellung
• 6.7 Kryptographie
• 6.7.1 Verschlüsselung
• 6.7.2 Hashing
• 6.7.3 Zertifikate
• 6.8 Literatur zu Kapitel 6
• Index

1 Grundlagen des IT-Managements

1.1 Grundbegriffe

Informationen bilden die fundamentale Basis aller Themen rund um die Informationstechnologie (IT). Um den Begriff Informationen zu beschreiben, gilt es zunächst zu überlegen, wie sie entstehen.

• Auf der ersten Betrachtungsebene befindet sich das Zeichen. Es ist Bestandteil eines existierenden Zeichenvorrats, der sich meist aus Buchstaben, Ziffern und Sonderzeichen zusammensetzt und auch Zeichensatz genannt wird.
• Mehrere Zeichen können unter Berücksichtigung von Regeln der Syntax zusammengesetzt werden. Diese zusammengesetzten Zeichen werden als Daten bezeichnet.
• Daten, die in einem Kontext stehen und durch eine Person oder ein System interpretiert werden können, werden durch die Interpretation zu Informationen.
• Wenn Informationen zu einem Erkenntnisgewinn führen, entsteht daraus neues Wissen.

Angenommen, es ist ein Zeichensatz gegeben, der aus Buchstaben, Ziffern und Sonderzeichen, unter anderem einem Leerzeichen, besteht. Wenn mehrere Zeichen aus einem solchen Zeichensatz zusammengesetzt werden, entstehen Daten, z.B. „700 Megabyte“. Durch die Interpretation als Speichergröße eines Datenträgers werden die Daten zu Informationen. Die Information, dass eine Compact Disc standardmäßig über eine Kapazität dieser Speichergröße verfügt, kann zu einem Erkenntnisgewinn führen, aus dem Wissen entsteht.

Abb. 1: Begriffe im Zusammenhang

Elektronische Hilfsmittel können in die beiden Kategorien Hardware und Software unterteilt werden.

• Hardware umfasst alle physischen Objekte in der IT, wie z.B. Datenträger, Prozessoren und Computergehäuse.
• Als Software werden alle nicht physischen, virtuellen Objekte bezeichnet. Darunter fallen z.B. Anwendungen, Betriebssysteme und Datenbanken.

Die Speicherung, Übertragung und Verarbeitung von Informationen lassen sich wie folgt voneinander abgrenzen:

• Bei der Speicherung werden Informationen, also interpretierbare Daten, technisch auf einem Datenträger abgebildet. Grundsätzlich erfolgt dies in Form eines Binärcodes, der durch Systeme in Binär- oder Textdaten umgewandelt wird. Während Binärdaten durch eine kompatible Applikation interpretiert werden müssen, können Textdaten auch von Personen direkt interpretiert werden. Datenträger, die Daten speichern, können stationär oder mobil eingesetzt werden. Stationäre Datenträger befinden sich als Systembestandteil im Inneren von Servern, Workstations oder Netzwerkspeichern. Mobile Datenträger, z.B. CD, DVD, Bänder und SD-Karten, können mithilfe von Laufwerken gelesen werden. Andere mobile Datenträger, z.B. USB-Festplatten, USB-Sticks und Firewire-Festplatten, können direkt an Systemschnittstellen angeschlossen werden. Um Speicherkapazitäten von Datenträgern effizienter nutzen zu können, werden Datenmengen oft komprimiert. Da vor der Verwendung von komprimierten Daten jedoch zunächst eine leistungsintensive Dekomprimierung stattfinden muss, ist dies nur für Daten sinnvoll, die nicht direkt verfügbar sein müssen.
• Die Übertragung von Informationen erfolgt, wenn diese von einem zu einem anderen System übermittelt werden. Für die Übermittlung können lokale Netzwerke (Local Area Networks), z.B. innerhalb eines Geschäftsgebäudes, und Weitverkehrsnetze (Wide Area Networks), wie z.B. das Internet, genutzt werden. Die Infrastruktur lokaler Netzwerke kann sowohl kabelgebunden als auch kabellos sein (Wireless Local Area Network). Insbesondere bei Übertragungen über das öffentlich zugängliche Internet spielt der Schutz von Vertraulichkeit und Integrität eine große Rolle (siehe Kapitel IT-Sicherheit).
• Die Verarbeitung von Informationen beinhaltet die Überführung von interpretierten Daten in anders formatierte oder strukturierte Daten. Sie können z.B. zusammengeführt, verteilt, angereichert, abstrahiert oder transformiert werden. Die Verarbeitung ist oft Bestandteil eines Geschäftsprozesses oder unterstützt diesen. Ein Händler, der im E-Commerce tätig ist, verarbeitet z.B. eingegebene Kundendaten im Rahmen einer Bestellabwicklung bei Fakturierung und Versand. Die Verarbeitung kann durch einen Anwender ausgelöst werden, der eine Applikation bedient und damit eine manuelle Verarbeitung beginnt, oder durch ein zeit- oder fallbezogenes Ereignis, bei dem ein System automatisch die Verarbeitung beginnt. Ein zeitbezogenes Ereignis ist z.B. das Erreichen eines bestimmten Wochentags. Ein fallbezogenes Ereignis ist z.B. die Eingabe einer Bestellung durch einen Kunden im E-Commerce.

Die wichtigsten Tätigkeitsbereiche in der IT eines Unternehmens sind Helpdesk, Betrieb und Applikationen.

• Der Helpdesk dient der Unterstützung von Anwendern zu allen Problemstellungen in der IT. Beim Helpdesk werden technische Probleme oder Bedienungsfragen durch die Anwender gemeldet. Daraufhin unterstützen Mitarbeiter aus dem Helpdesk bei der Fehleranalyse und Problembehebung. Außerdem sind sie beratend tätig und weisen die Anwender bei Bedarf in die Bedienung neuer technischer Lösungen ein.
• Der Betrieb dient der Überwachung und Aufrechterhaltung der IT-Infrastruktur. Hierzu gehören vor allem das Netzwerk und die IT-Systeme. Auch Speicherkapazitäten, die zentral zur Verfügung stehen, werden durch den Betrieb verwaltet.
• Der Bereich Applikationen beinhaltet Design, Entwicklung, Steuerung und Pflege aller Applikationen, die im Unternehmen betrieben werden. Sie können entweder durch Fremdfirmen, wie z.B. Standardsoftware, oder durch das Unternehmen selbst entwickelt worden sein. Auch der Aufbau und die Weiterentwicklung der notwendigen Infrastruktur für Applikationen fallen in diesen Bereich. Dazu gehören ein IT-System mit ausreichenden Kapazitäten, wie Speicher und Rechenleistung, und eine Netzwerkanbindung zu anderen Systemen.

Das IT-Management umfasst alle Manager und Managementaufgaben innerhalb der IT. Man unterscheidet zwischen einer institutionellen und funktionellen Betrachtungsweise des IT-Managements:

• Das institutionelle IT-Management bezeichnet die Personen, die als Führungskräfte im IT-Bereich eingesetzt werden.
• Das funktionelle IT-Management bezeichnet die Führungsaufgaben, die zur Planung, Vorbereitung, Steuerung, Überwachung und Bewertung aller Tätigkeiten im Bereich der IT wahrgenommen werden. Sie können in fachliche und disziplinarische Führungsaufgaben aufgeteilt werden:
  • Fachliche Führungsaufgaben umfassen die Ausübung von Weisungsbefugnissen bezogen auf den Arbeitseinsatz, also die geschäftlichen Tätigkeiten der geführten Mitarbeiter. Damit kann der Arbeitseinsatz zielgerichtet geplant und gesteuert sowie auf Abweichungen reagiert werden. Weisungen können von einem Linienvorgesetzten an einen hierarchisch untergeordneten Mitarbeiter oder von einem Projektleiter an ein Mitglied des Projektteams erfolgen.
  • Disziplinarische Führungsaufgaben umfassen die Bewertung von Arbeitsergebnissen der Geführten, deren Förderung und Weiterentwicklung, die Maßregelung bei Verstößen sowie die Festlegung von Rahmenbedingungen, wie Arbeitszeit, Urlaub und Entlohnung.

  Fachliche und disziplinarische Führungsaufgaben werden nicht zwingend von derselben Person wahrgenommen. Projektleiter, die ihre Führungsaufgaben nur im Rahmen eines zeitlich begrenzten Projekts ausführen, erfüllen meist nur fachliche Führungsaufgaben. Mitarbeiter aus Personalabteilungen, die grundsätzlich nicht zum IT-Bereich in Linien-Organisationen gehören, und somit auch nicht zum IT-Management, erfüllen meist nur disziplinarische Führungsaufgaben. Personen, die fachliche und disziplinarische Führungsaufgaben gleichzeitig wahrnehmen, sind meist in Form von Vorgesetzten zu finden und leiten Teams, Abteilungen oder Bereiche.

Bei dieser Definition werden sowohl die funktionelle als auch die institutionelle Sichtweise des IT-Managements berücksichtigt.

Ein verwandter Bereich zum IT-Management ist das IT-Controlling. Auch das IT-Controlling umfasst Aufgaben zur Planung, Vorbereitung, Steuerung, Überwachung und Bewertung aller Tätigkeiten im Bereich der IT. Allerdings ist das IT-Controlling auf den Wertbeitrag der IT fokussiert, während beim IT-Management der Fokus auf der Führungsfunktion und -institution liegt. Ein IT-Controller hat das primäre Ziel, die Tätigkeiten in der IT so zu steuern, dass der Wertbeitrag durch die IT erhöht wird. Er hat in der Regel keine direkte Führungsbefugnis, sondern nutzt ein Steuerungssystem, um indirekten Einfluss auf die Tätigkeiten zu nehmen. Ein IT-Manager hat hingegen das primäre Ziel, mithilfe seiner institutionellen Führungsbefugnis die Mitarbeiter zu einer effektiven und effizienten Durchführung von Tätigkeiten in der IT zu bewegen.

1.2 Vorgehensweisen

Vorgehensweisen zum IT-Management sind grundsätzlich in Form von Theorien, Best Practices und Pragmatiken zu finden.

• Theorien sind vornehmlich mit der wissenschaftlichen Forschung verknüpft und verfolgen eine abstrakte und erklärende Sichtweise.
• Best Practices befinden sich zwar ebenfalls auf einem abstrakten Niveau, sind jedoch im Gegensatz zu Theorien mehrfach in der Praxis bewährt und haben auch dort ihren Ursprung. Die Herkunft von Best Practices ist stets bekannt. Sie stammen z.B. von großen Unternehmen oder Zusammenschlüssen von Unternehmen.
• Auch Pragmatiken haben ihren Ursprung in der Praxis und wurden dort mehrfach umgesetzt. Die Herkunft von Pragmatiken ist im Gegensatz zur der von Best Practices hingegen unbekannt.

Eine bekannte Pragmatik zur Vorgehensweise im Management ist der PDCA-Zyklus von William Edwards Deming und Walter Andrew Shewhart (Zollondz 2011, S. 86 ff.). Er besteht aus vier Phasen, die zur Steuerung und kontinuierlichen Verbesserung von Prozessen oder Produkten eingesetzt werden können.

Abb. 2: PDCA-Zyklus

• In der Plan-Phase werden Ziele definiert und Voraussetzungen für Tätigkeiten geschaffen, die der Zielerreichung dienen. Da die Phasen in der Regel mehrmals durchlaufen werden, können die Ziele immer stärker erweitert werden. Stark eingegrenzte Ziele am Anfang des Phasendurchlaufs sind eine gute Möglichkeit, um einen schnellen Eindruck über die Auswirkungen der geplanten Tätigkeiten zu erhalten und die Risiken zu reduzieren. Angenommen, eine Software für Textverarbeitung soll durch eine Software eines anderen Herstellers ersetzt werden. Dann kann das Ziel so eingegrenzt werden, dass zunächst nur ein Arbeitsplatz mit der neuen Software versorgt werden soll.
• In der Do-Phase werden die geplanten Tätigkeiten ausgeführt. Je nach Zieldefinition können dadurch Prozesse oder Produkte erstellt oder verändert werden. In dieser Phase müssen zusätzlich Daten über die Ergebnisse gesammelt werden, die in den nächsten Phasen ausgewertet werden können.
• Die Check-Phase umfasst die Analyse der gesammelten Daten aus der vorherigen Phase. Sie stellt diese Daten den erwarteten Ergebnissen gegenüber, die in der Plan-Phase mithilfe der Zieldefinition erarbeitet wurden. Dadurch werden Abweichungen ersichtlich. Die Interpretation der abweichenden Daten führt zur Bildung von Informationen, welche in der nächsten Phase genutzt werden. Damit die Menge der Daten und der daraus gebildeten Informationen nicht zu groß wird, bieten sich die Anwendung eingegrenzter Ziele und deren zyklische Erweiterung an.
• Die ACT-Phase nutzt die Informationen über die in der Check-Phase festgestellten Abweichungen und identifiziert Notwendigkeiten zur Korrektur. Dies ist wiederum der Input für die Plan-Phase, in der Korrekturmaßnahmen als Ziele festgelegt werden, und somit die Grundlage für einen weiteren Durchlauf des Zyklus gelegt wird. Wenn keine Korrekturen notwendig sind, kann der Zyklus bei Bedarf mit erweiterten Zielen erneut durchlaufen werden.

Um Managementfunktionen zu strukturieren und in eine logische Abfolge zu bringen, wurde der klassische Managementzyklus definiert, der aus fünf Phasen besteht (Schreyögg/Koch 2007, S. 9 ff.):

Abb. 3: Managementzyklus

1. Die Planung ist die primäre Aktivität, an der sich die Inhalte aller anderen Phasen ausrichten. Sie dient dazu, generelle Überlegungen zum angestrebten Ergebnis und zu den dafür eingesetzten Mitteln durchzuführen. Dabei werden sowohl kurz- als auch langfristige Perspektiven berücksichtigt. Aufgrund sich ändernder Rahmenbedingungen oder anfänglich unbekannter Parameter können Rückkopplungen von den folgenden Phasen zurück zur Planung erfolgen. Auf diese Weise können die betroffenen Phasen neu ausgerichtet werden.
2. Im Rahmen der Organisation werden Stellen für die zu erledigenden Aufgaben definiert und mit einer Organisationsform hierarchisch angeordnet. Die Stellen werden zu Organisationseinheiten zusammengefasst und Weisungsstrukturen werden legitimiert. Dadurch ergibt sich ein effektives Kommunikationssystem, bei dem z.B. Probleme an übergeordnete Organisationseinheiten weitergegeben werden können. Auf dieser Hierarchieebene findet eine Problemeskalation statt. Außerdem wird durch die Organisation eine große Überschaubarkeit geschaffen, welche die Zuweisung und Steuerung von Aufgaben erleichtert.
3. Der Personaleinsatz dient einerseits der Besetzung von Stellen, die in der Organisation definiert wurden. Andererseits sollen die Besetzungen durch Stelleninhaber auch dauerhaft bewahrt werden. Zu diesem Zweck werden regelmäßige Personalbeurteilungen und -entwicklungen durchgeführt. Außerdem ist ein Entlohnungssystem empfehlenswert, das eine hohe Arbeitsqualität adäquat entlohnt.
4. Zur Führung zählen alle Führungsaufgaben, die für die fachliche und disziplinarische Führung des Personals notwendig sind. Der Vorgesetzte erteilt Weisungen an seine hierarchisch unterstellten Mitarbeiter. Anschließend wird er in Abhängigkeit seiner Führungstechnik die Erfüllung der Weisungen mehr oder weniger stark steuern und korrigieren. Neben der Zuweisung und Steuerung von Aufgaben versucht der Vorgesetzte auch eine möglichst optimale Motivation, Kommunikation und Konfliktbehandlung zu etablieren.
5. Die Kontrolle beinhaltet einen Abgleich zwischen angestrebtem und erreichtem Zustand. Dieser Soll-/Ist-Abgleich dient dazu, den Erfolg des gesamten Managementzyklus zu beurteilen. Festgestellte Abweichungen können dazu führen, dass eine Rückkopplung in eine der vorherigen Phasen erforderlich ist. Sollte der angestrebte Zustand in ausreichendem Maß erreicht worden sein, ist der Managementzyklus abgeschlossen. In der Regel wurden durch ihn neue Erkenntnisse und Rahmenbedingungen geschaffen, die bei einem neuen Durchlauf des Managementzyklus zu berücksichtigen sind.

1.3 Organisationsformen

Eine Voraussetzung für das IT-Management ist die Organisation des Unternehmens, um Führungskräfte zu institutionalisieren und Führungsaufgaben zu legitimieren. Diese Organisation kann die Formen Stab-Linien-Organisation, Projekt-Organisation, Matrix-Organisation oder Prozess-Organisation annehmen.

• Bei der Stab-Linien-Organisation sind Organisationseinheiten, welche ein oder mehrere Stellen gruppieren, in einer Hierarchie angeordnet. Auf der obersten Ebene befindet sich die Geschäftsleitung. Dazu untergeordnet sind z.B. Bereiche, Abteilungen und Teams. Stabsstellen können sich in jeder Hierarchieebene befinden und haben selbst keine untergeordneten Stellen. In der Praxis existieren verschiedene Bezeichnungen für Organisationseinheiten in der Hierarchie. Neben den oben genannten sind weitere Bezeichnungen anzuführen, z.B. Department, Fachrichtung, Ressort, Sektion, Sektor, Sparte und Teilbereich. Mitarbeiter, die Stellen einer Organisationseinheit besetzen, verfügen über Weisungsbefugnisse gegenüber Mitarbeitern aus untergeordneten Organisationseinheiten. Letztere haben die Pflicht, die erhaltenen Weisungen aus übergeordneten Organisationseinheiten auszuführen. Wenn über Mitarbeitern nur eine Organisationseinheit steht, von der sie Weisungen empfangen, spricht man von einer Einlinien-Organisation. Wenn sie von mehreren übergeordneten Organisationseinheiten Weisungen empfangen, spricht man von einer Mehrlinien-Organisation. Die Weitergabe von Aufgaben durch weisungsbefugte Mitarbeiter wird als Delegation bezeichnet. Bei der Delegation werden Zuständigkeiten zur Erfüllung von Aufgaben übertragen. Der Mitarbeiter, an den eine Aufgabe delegiert wurde, besitzt aus organisatorischer Sicht die Pflicht und Kompetenz zur Erledigung der Aufgabe. Die Verantwortung zur Erledigung einer Aufgabe kann jedoch nicht vollständig delegiert werden. Nicht nur der Delegierte besitzt Verantwortung zur Erfüllung der Aufgabe, sondern auch der Delegierende, der seine ursprüngliche Verantwortung behält.
  

  Abb. 4: Stab-Linien-Organisation

• Die Projekt-Organisation orientiert sich an der Erledigung von Projekten, die von ihrer Natur zeitlich befristet sind. Daher muss sich diese Organisationsform immer wieder an neue Projekte anpassen und ist generell sehr flexibel. Mitarbeiter werden oft keinen festen Stellen, sondern Rollen zugeordnet, welche ebenfalls zeitlich befristet sind. Die Organisationseinheiten in dieser Organisation existieren lediglich während der Laufzeit eines Projekts. Bei jedem neuen Projekt werden sie erneut zusammengesetzt. Innerhalb der Laufzeit eines Projekts besitzt die Projekt-Organisation Ähnlichkeiten mit der Stab-Linien-Organisation. Auch hier existiert eine Hierarchie mit weisungsbefugten Organisationseinheiten.
  

  Abb. 5: Projekt-Organisation

• Die Matrix-Organisation ist eine hybride Organisationsform und kombiniert die Stab-Linien-Organisation mit der Projekt-Organisation. Während die Stab-Linien-Organisation dauerhaft existiert, wird bei Bedarf parallel dazu eine Projekt-Organisation geschaffen. Dadurch ist eine flexible Projektarbeit möglich, bei der die Stellen aus der Stab-Linien-Organisation zusätzlich Rollen in der Projekt-Organisation ausfüllen müssen. Allerdings ist die Matrix-Organisation sehr konfliktgefährdet. Mitarbeiter, die Stellen und Projektrollen parallel ausführen, befinden sich ständig zwischen zwei konkurrierenden Anspruchsinhabern. Zum einen haben sie einen Vorgesetzten aus der Stab-Linien-Organisation, der primär eine optimale Durchführung des Tagesgeschäfts anstrebt, und zum anderen einen Projektleiter, der primär den erfolgreichen Projektabschluss anstrebt. Wenn keine festen Vorgaben zum Einsatz der Arbeitsleistung existieren, wie z.B. 60 % Tagesgeschäft und 40 % Projektarbeit, werden beide Anspruchsinhaber einen maximalen Einsatz der Arbeitsleistung für ihre Interessen anstreben. Dies führt zu Konflikten bei Mitarbeitern, die gegenüber beiden Anspruchsinhabern gleichermaßen zur Befolgung von Weisungen verpflichtet sind.
  

  Abb. 6: Matrix-Organisation

• Die Prozess-Organisation ist wie die Stab-Linien-Organisation dauerhaft eingerichtet. Im Gegensatz zur Stab-Linien-Organisation basiert die organisatorische Einteilung bei der Prozess-Organisation auf Geschäftsprozessen anstatt auf Funktionen. Auch hier werden Rollen verwendet, die jedoch nicht temporär wie bei der Projekt-Organisation, sondern dauerhaft ausgerichtet sind. So kann es vorkommen, dass ähnliche Rollen mit vergleichbaren Funktionen zu unterschiedlichen Organisationseinheiten gehören, da sie jeweils einem anderen Geschäftsprozess zugeordnet sind. Ein Beispiel ist die Kosten- und Leistungsrechnung, die nicht nur in einer zentralen Organisationseinheit, sondern auch dezentral zu jedem Geschäftsprozess durchgeführt werden kann. Die Weisungsbefugnisse in einer Prozess-Organisation liegen bei Prozessverantwortlichen, die für die Koordination innerhalb und zwischen Organisationseinheiten zuständig sind. Je nach Bedeutung eines Prozesses unterscheidet man zwischen Kern- und Unterstützungsprozessen. Während Kernprozesse für das Unternehmen von essenzieller Bedeutung sind, erleichtern oder verbessern Unterstützungsprozesse die Durchführung von Kernprozessen.
  

  Abb. 7: Prozess-Organisation

Die Einbindung der IT-Abteilung als Organisationseinheit in eine Stab-Linien-Organisation kann als Linieninstanz oder Stabsstelle erfolgen.

• Als Linieninstanz kann sie entweder als eigenständiger Bereich direkt unter der Geschäftsleitung eingeordnet oder einem anderen Bereich untergeordnet werden, und sich damit auf einer tieferen Hierarchieebene befinden. Welche Alternative gewählt wird, hängt von der Bedeutung der IT im Unternehmen ab. Als eigenständiger Bereich hat sie eine sehr viel größere Bedeutung im Unternehmen. Das Geschäftsfeld und die Ausrichtung des Unternehmens spielen dabei eine große Rolle. So wird ein Unternehmen, das primär in der IT-Branche tätig ist, der IT-Abteilung eine größere Bedeutung beimessen als ein Unternehmen, das in einer ganz anderen Branche aufgestellt ist, z.B. ein Einzelhändler.
• Als Stabsstelle wird die IT-Abteilung übergreifend eingeordnet und kann teilweise auch zusätzliche Weisungsbefugnisse gegenüber anderen Organisationseinheiten besitzen. Sie kann damit einen großen beratenden Einfluss auf die Geschäftsleitung wahrnehmen.

Abb. 8: Mögliche Einbindungen der IT in die Stab-Linien-Organisation

Bei der Projekt-Organisation können IT-Mitarbeiter als Teil des Projektteams eingesetzt werden, um mit ihrem Know-how und ihrer technischen Kompetenz die Projektarbeit zu unterstützen.

In einer Matrix-Organisation halten die IT-Mitarbeiter nicht nur Rollen im Projektteam, sondern gleichzeitig auch Stellen in der Stab-Linien-Organisation inne. Hierbei handelt es sich um eine Sonderform der Matrix-Organisation, bei der eine Stab-Linien-Organisation nicht durch parallele Projekte überlagert wird, sondern durch eine eigenständige Abteilung. So können Mitarbeiter neben ihren eigentlichen Stellen zusätzlich Rollen in der IT-Abteilung ausfüllen. Dies ist organisatorisch mit der Übernahme von Rollen aus einem Projekt vergleichbar. Im Gegensatz zu Projekten ist diese Überlagerung jedoch nicht zeitlich befristet, sondern dauerhaft angelegt.

Bei der Prozess-Organisation besitzt jeder Geschäftsprozess eigene Rollen für die Ausführung von IT-Tätigkeiten. Es ist also keine abgrenzbare IT-Abteilung, sondern es sind nur Rollen vorhanden, die IT-Tätigkeiten im Rahmen von festgelegten Geschäftsprozessen verantworten. Reine IT-Geschäftsprozesse haben in Unternehmen außerhalb der IT-Branche oft den Charakter von Unterstützungsprozessen.

1.4 Stakeholder des IT-Managements

Der Begriff Stakeholder ist sehr weit gefasst und berücksichtigt auch Interessenhalter, die nur indirekt oder temporär mit dem Unternehmen in Verbindung stehen, wie z.B. Kunden oder politische Interessengruppen. Das IT-Management wird durch die Interessen der Stakeholder beeinflusst. Während einige Stakeholder, wie die Geschäftsleitung, direkten Einfluss auf die Ausgestaltung der Aufgaben im IT-Management nehmen, haben andere, wie z.B. Kunden, eher indirekten Einfluss. Kunden beeinflussen die Umsatzzahlen eines Unternehmens und können dadurch ihren Interessen Bedeutung verleihen.

Abb. 9: Stakeholder des IT-Managements