Fachbereich Informatik
Gliederung
Fachbereich Informatik
Forschungsfelder
- Informationssicherheitsmanagement
- IT-Governance
- IT-Risikomanagement
- IT-Prüfungen von Unternehmen, Behörden und anderen Organisationen
Standort
Sankt Augustin
Raum
C 277
Adresse
Grantham-Allee 20
53757 Sankt Augustin
Telefon
+49 2241 865 9867Profil
Lehrveranstaltungen
- Informationssicherheitsmanagement (ISMS)
- IT-Risikomanagement
- Vor-Ort-Prüfung des Informationssicherheitsmanagements von Organisationen
- Datenschutz, IT-Recht und Privatheit
- Analysis und Lineare Algebra
- Literaturseminar
in den Bachelor- und Masterstudiengängen Cyber Security & Privacy, Informatik und Wirtschaftsinformatik
Lebenslauf
Petra Haferkorn war nach ihrem Studium der Mathematik mit dem Nebenfach Informatik bei der Bundesanstalt für Finanzdienstleistungsaufsicht tätig und leitete internationale Vor-Ort-Prüfungen des Risikomanagements von Kreditinstituten, Versicherungen und anderen Finanzdienstleistern. In den letzten Jahren führte sie IT-Prüfungen mit den folgenden Schwerpunkten durch: IT‑Governance, Informationssicherheitsmanagement- und Informationsrisikomanagementsysteme.
Die Prüfungstätigkeit stellte sie vor Herausforderungen, für deren Bewältigung sie im herkömmlichen Prüfungswesen und in der klassischen Managementtheorie keine befriedigenden Strategien fand. Daher machte sie sich Konzepte der Neueren Soziologischen Systemtheorie und ihren Anwendungen in der systemischen Organisationsberatung zu eigen und wandte sie auf ihre Prüfungsgespräche und auf die Analyse der Funktionsweisen der IT-Sicherheitsmanagementsysteme an.
Systemische Ansätze unterscheiden zum Beispiel lebende von toten Systemen, was bei einer Einschätzung der Funktionsweise der sozio-technischen Systeme „Informationssicherheitsmanagement“ und „Informationsrisikomanagement“ sehr hilfreich ist:
- Während Informationstechnologie sich an vorgegebene Regeln hält und mathematisch determiniert ist, lassen sich die sozialen Interaktionen ihrer Benutzer(innen), Programmierer(innen) und anderer Mitarbeiter(innen) einer Organisation nicht genau vorherbestimmen. So führt z. B. die Addition von Zahlen zu einem eindeutigen Ergebnis, der Erfolg einer Fortbildung zur Informationssicherheit bei den Mitarbeitern einer Organisation bleibt jedoch ungewiss.
- Während Naturgesetze in den rein technischen Systemen ihre Gültigkeit behalten, verändern sich die (Informations-) Risiken von Organisationen permanent. So werden Leitungskabel in einem technischen System bei einer zu großen elektrischen Spannung immer durchschmoren und entsprechende Experimente sind für jedermann jederzeit wiederholbar. Dagegen ist z. B. das Verhalten der Mitarbeiter unterschiedlich, mal wählen sie ein sicheres Passwort und ein anderes Mal halten sie das nicht für nötig.
Die neuere soziologische Systemtheorie bezweifelt demnach, dass soziale Systeme in dem Sinne wie Maschinen gesteuert werden können; die Reaktion der lebenden Systeme auf einen äußeren Reiz ist nicht exakt prognostizierbar. Dieses Postulat stellt die traditionelle Auffassung von dem wie (IT-)Prüfungen und IT-Sicherheitsmanagementsysteme funktionieren in Frage und schafft ein neues Verständnis von Begriffen wie IT-Risiko und Informationssicherheit.
Es geht der Systemtheorie jedoch nicht einfach darum, zu irritieren! Auch möchte sie nicht den Sinn von Prüferteams oder Manager(innen) in Frage stellen. Ganz im Gegenteil! Die Vorteile dieses theoretischen Ansatzes sind von hoher praktischer Relevanz: Erst eine Theorie, die die Steuerbarkeit von lebenden Systemen gedanklich verneint, erlaubt es, Mittel und Wege aufzuzeigen, wie man soziale Systeme „führen“ kann.
Dies gilt sowohl für Prüferteams in Bezug auf (IT-)Prüfungsprozesse als auch für andere Informationssicherheitsteams in Bezug auf (IT-)Managementprozesse. So wird man zum Beispiel die komplexe Frage, wie die Aufmerksamkeit einer Organisation hinsichtlich ihrer Informationsrisiken aufrechterhalten werden kann, nicht durch (zu) simple Lösung beantworten können. (Wie z.B. die zu simple Antwort, dass die Mitarbeiterinnen eine Informationssicherheitsschulung machen und dann wissen sie alle für immer, was sie für die Informationssicherheit der Organisation zu tun haben.)
Die Systemtheorie zeigt, dass es keine kontextfreien, allgemeingültigen Antworten auf die komplexen Herausforderungen des IT-Sicherheitsmanagements gibt und bewahrt uns vor zu einfachen Antworten. Folgt man den Erkenntnissen agiler und systemischer Vorgehensweisen, lernen Prüfungen und Organisationen den Umgang mit (immer neuen) Risiken durch schrittweises, zirkuläres Vorgehen. Unsicherheiten und Risiken werden dabei von den sozialen Systemen durch Lern- und Entscheidungsprozesse bearbeitet.
Demnach wird eine Organisation immer wieder ausloten, wie derzeit der Arbeitsmarkt für IT‑Fachkräfte aussieht (Lernprozess) und sich daraufhin überlegen, ob sie z. B. einstellt oder ausbildet (Entscheidungsprozess). Jede dieser Entscheidungen wird bezüglich ihrer Auswirkungen auf die anderen Mitarbeiter, die Lieferanten und die Kundinnen abgeklopft und die dann getroffene Entscheidung angemessen kommuniziert. Erkennt die Organisation später, dass sich der Arbeitsmarkt oder die Wünsche der Mitarbeiterinnen ändern, wird sie sich erneut vor diese Entscheidung stellen.
Verallgemeinert gesprochen erkundet der Lernprozess in der Sachdimension ganz bewusst das Nichtwissen der Organisation über das IT-Sicherheitsmanagement. Der Entscheidungsprozess bestimmt auf Basis des bislang Gelernten über das weitere Vorgehen. Gleichzeitig behält die Organisation in der Sozialdimension die Betroffenen und die Kritikerinnen der aktuellen Entwicklungen im Auge, um die Perspektiven aller Interessengruppen einzubeziehen und ihnen gegenüber gesprächsbereit zu bleiben. Erst einem dynamischen Informationssicherheitsmanagementsystem gelingt es, eine ausreichende Handlungsvarietät aufrechtzuerhalten, um auf die unvorhergesehene Veränderungen reagieren zu können.
Mitgliedschaften
Arbeitskreis „d!nternal audit“ des Deutschen Instituts für Interne Revision, Themen: Rolle der Prüfer und der Prüfung in immer digitaler werdenden Unternehmen und Behörden, insbesondere Prüfung von IT-Governance, agilen Organisationsformen und großen Datenmengen
FONCSI NeTWork, Fondation pour une culture de sécurité industrielle, Themen: Risiko und Sicherheit in verschiedenen Branchen und Kontexten
Publikationen
2022
Andelfinger, U. und Haferkorn, P.: Mehr als die Prüfung eines agilen Teams. In: Zeitschrift Interne Revision. Berlin (Erich Schmidt Verlag 06/22)
Andelfinger, U. und Haferkorn, P.: Praxiswissen Agilität für die IT-Governance, Prüfung und Revision. (dpunkt-Verlag)
2020
Andelfinger, U. und Haferkorn, P.: Agile Prüfungen. (Heft 31 IT-Governance, dpunkt-Verlag)
Andelfinger, U. und Haferkorn, P.: Agilität – mehr als die Methode? Eine Orientierungshilfe. (Heft 33 IT-Governance, dpunkt-Verlag)
2018
Haferkorn, P.: Risk communication from an audit team to its client. In: Risk communication in and for the real world. Toulouse (Springer Series in Safety Management) URL: https://doi.org/10.1007/978-3-319-74098-0_10
2016
Haferkorn, P.: Systemische Prüfungen. In: forum-executives auf der Homepage von „The AuditFactory“
2015
Haferkorn, P.: Systemische Prüfungstheorie – ein Abriss. In: forum-executives auf der Homepage von „The AuditFactory“
2013
Haferkorn, P.: Zugleich drinnen und draußen. In: Zeitschrift Interne Revision. Berlin (Erich Schmidt Verlag 6/13)
2010
Haferkorn, P.: Systemische Prüfungen. Heidelberg (Carl-Auer Verlag. 2010)
2006
Haferkorn, P.: Mehr als nur ein paar Fragen. In: Zeitschrift Interne Revision. Berlin (Erich Schmidt Verlag, 5/2006), S. 186-196
2001
Haferkorn, P., G. Stahl: Beurteilung von Wahrscheinlichkeitsprognosen durch explorative Diagnoseverfahren. In: Schumacher, E., K. Streichfuss (Hrsg.): Proceedings der 5. Konferenz der SAS-Anwender in Forschung und Entwicklung. Hohenheim (Universität Hohenheim), S. 131-151
1996
Fischer, P.: Die Menge der Digitaloptionen und die Darstellung komplexer Derivate mit Digitaloptionen. In: Research Workshop „Interne Risikosteuerungsmodelle“. Dt. Bundesbank, Frankfurt
1994
Brüggemann-Klein, A., P. Fischer, T. Ottmann: Learning Picture Sets from Examples. In: Maurer, H. (Hrsg.): Birthday Book for Arturo Salomaa. Berlin (Springer Lecture Notes in Computer Science)