Organisationen sind seit längerer Zeit abhängig von IT-Systemen, welche Unternehmensprozesse auf vielfache Weise unterstützen. Das Ziel der Prozesse ist mittel- oder unmittelbar Wertsteigerung und Wertschöpfung. Das Gesamtmodell aus dem Zusammenspiel externer und interner Prozesse zwischen mehreren Unternehmen stellt ein Geflecht hoher Komplexität dar.
Diesem Umstand wird zunehmend mit einer föderativen Strategie begegnet. Hierbei werden eigene Prozesse in lokaler Autonomie entwickelt und durchgeführt. Das globale Zusammenspiel wird auf die notwendige, zu spezifizierende Kommunikation zwischen den beteiligten Organisationen beschränkt. Dies senkt unmittelbar die Komplexität, da die einzelne Organisation stets nur noch die Grenze zur nächsten Organisation beachten muss, jedoch nicht ihre internen Einzelprozesse.
Föderative Organisationen teilen das Interesse an einem gemeinsamen Wertschöpfungsnetz, welches den einzelnen Mitgliedern jedoch weitreichende Unabhängigkeit gewährt. Die verbundenen Unternehmen müssen sich jedoch in einem gemeinsamen Raum definierter Standards, Richtlinien und ggf. technischen Vorgaben bewegen – insbesondere zur Gewährleistung von Sicherheitsanforderungen. Die Realisierung der Informationssicherheit muss aufgrund der Komplexität der Anwendungslandschaft methodisch gestützt werden, einerseits bei der Entwicklung, jedoch auch beim Betrieb der Anwendungssysteme.
Die Literatur fokussiert sich auf die Entwicklungssicht (Vorgehensmodelle, Methoden, etc.), nicht den Betrieb. Der Betrieb ist jedoch in der Praxis das verbreitetere Problem (Beispiel Banken: 70% der Aufwendungen sind dem Betrieb zu schulden). Die praktische Relevanz des Problems ist somit sehr groß, die wissenschaftlichen Beiträge gleichzeitig sehr gering.
Grundsätzlich beschäftigt sich Informationssicherheitsmanagement mit dem Prozess der nachhaltigen Risikoreduktion in Bezug auf verschiedene Gefährdungen gegen die drei Hauptkriterien der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität. Diese Kriterien ändern sich nicht wenn sich Prozesse über mehrere Organisationen erstrecken. Ebenso bleiben die Gefährdungen erhalten. Das Risiko hingegen wächst signifikant, und somit die Notwendigkeit der Implementierung effektiver Maßnahmen für relevante IT-Objekte.
Bislang existiert kein Rahmenwerk, welches die wachsende Notwendigkeit der IT Governance über mehrere Organisationen, insbesondere der nachhaltigen Unterstützung eines konsistenten Informationssicherheitsmanagements für föderierte Unternehmensprozesse, adressiert. Das Forschungsvorhaben adressiert dieses Problem.