Schwachstellen


Schwachstellen

Definition

Eine exakte Definition des Begriffs „Schwachstelle“ gibt es auf den ersten Blick nicht. In vielen Erläuterungen wird er gleichgesetzt mit Bedeutungen wie „Angriffspunkt“, „Defizit“, „Mangel“, „Schwäche“, „schwache Seite“, „Schwachpunkt“ und „Sollbruchstelle“ oder umschrieben als „Achillesferse“ oder „wunder Punkt“. Der Duden beschreibt die Schwachstelle allgemein als eine „Stelle, an der etwas für Störungen anfällig ist“.

Diesen Gedanken greift die Norm DIN 31051:2012-09 „Grundlagen der Instandhaltung“ auf und führt ihn mit der Perspektive auf den technischen Bereich aus: Danach ist eine Schwachstelle eine „Einheit, bei der ein Ausfall häufiger, als es der geforderten Verfügbarkeit entspricht, eintritt und bei der eine Verbesserung möglich und wirtschaftlich vertretbar ist“.

Das ist aber bestenfalls die halbe Wahrheit: Schließlich muss es sich nicht zwangsläufig um eine störanfällige Einrichtung handeln, die zu einer ungeplanten Unterbrechung aufgrund eines Defekts führt. Möglich ist auch, dass an einem Punkt die vorhandenen Kapazitäten nicht vollständig ausgeschöpft werden oder dass ein Umstand einen Ablauf als limitierender Faktor begrenzt. Auch diese Defizite, Mängel oder Engpässe sind damit – aus betriebswirtschaftlicher Sicht – Schwachstellen. Generell können sie als bestehende organisatorische, prozessuale, personelle oder systemische Mängel angesehen werden, die die Zielerreichung der Organisation beeinträchtigen.

Die ISO/IEC 27005:2018-07 „Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Risikomanagement“ bezieht sich zwar „nur“ auf den Bereich Computeranwendung, aber gerade im Bereich Softwareentwicklung wird der Begriff „Schwachstelle“ häufig benutzt – auch unter dem Aspekt der Sicherheitslücke. In ihrem „Anhang D“ sind typische Schwachstellen in Unternehmen aufgelistet und betrieblichen Funktionsbereichen zugeordnet. Explizit genannt werden Personal, Organisation, Infrastruktur, Netzwerk, Hardware und Software. Damit ergeben sich auch Ansatzpunkte für einen umfassenderen Blick auf mögliche Schwachstellen und deren Analyse.

Typische Schwachstellen – aus praktischer und theoretischer Sicht

Man könnte sagen: Eine Schwachstelle ist das schwächste Glied in einer Kette – wie etwa in der Supply Chain, der Lieferkette, oder der Wertschöpfungskette. Aber Mängel oder Defizite können in allen Unternehmensbereichen und bei allen Tätigkeiten auftreten. Viele von ihnen bleiben lange Zeit unerkannt, insbesondere bei eingespielten Abläufen, etablierten Prozessen und routinemäßigen Vorgängen.

Typische Schwachstellen oder Engpässe sind beispielsweise:

  • zeitaufwendige Fertigungsschritte, die die Durchlaufzeit maßgeblich bestimmen;
  • unzureichende technische Ausstattung, in der Realität oft veraltete Maschinen oder eine zu geringe Anzahl von Geräten;
  • mangelnde Personalausstattung zur zeitnahen Bearbeitung eines Vorgangs;
  • fehlende Qualifikation zur sach- und fachgerechten Erledigung einer Arbeit;
  • Systembrüche von digital zu analog oder umgekehrt – von der Datei zum Ausdruck oder vom handschriftlich ausgefüllten Formular zum Datenbankeintrag – bei der Bearbeitung eines Dokuments in einem Verwaltungsakt;
  • zu geringe Kapazitäten für den internen und/oder externen Transport, um die gewünschte Just-in-Time-Lieferung oder -Bereitstellung von Materialien zu gewährleisten;
  • organisatorische und strukturelle Probleme, etwa infolge einer hierarchischen Unternehmenskultur oder aufgrund von Abteilungs- und Zuständigkeitsdenken („Silodenken“, Denken in Funktionen anstatt Prozessen).

Auf theoretischer Ebene setzt hier die Theory of Constraints (TOC) an, auch Engpasstheorie genannt. Der Engpass (constraint) oder Flaschenhals (bottleneck) ist als einschränkende Bedingung Ursache für eine zeitliche oder mengenmäßige Begrenzung. Die Aufhebung der Einschränkung wird damit gemäß Systemtheorie zum zentralen Erfolgsfaktor, da damit die Leistungsfähigkeit punktuell gesteigert und als Resultat die Produktivität des gesamten Ablaufs vergrößert wird. Die Verschwendung (Muda) von Ressourcen wie Zeit und Personal wird so, im Sinne des Lean-Ansatzes (Lean Management, Lean Production), verringert, die Effizienz erhöht.

Aus praktischer Sicht reichen Einzelmaßnahmen an jeweils einer Stelle der Kette natürlich nicht aus. Denn in den meisten Fällen handelt es sich um vernetzte und aufeinander abgestimmte Systeme, nicht um einfache lineare Abhängigkeiten. Der Durchsatz kann nur dann nachhaltig und langfristig gesteigert werden, wenn das Gesamtsystem – unter Berücksichtigung der gegenseitigen Abhängigkeiten zwischen den Systembestandteilen – optimiert wird. Das reicht von der Prozessoptimierung über das Change Management bis hin zur lernenden Organisation.

Indikatoren für Schwachstellen in 3 unternehmerischen Dimensionen

Alle Abläufe in einer Organisation lassen sich im Hinblick auf drei grundlegende Faktoren untersuchen: Qualität, Zeit und Kosten. Denn die drei höchsten Ziele einer jeden unternehmerisch tätigen Einrichtung sind:

  • der Kundschaft die gewünschten Produkte und Dienstleistungen (mindestens) in der von ihr geforderten Qualität zur Verfügung stellen zu können;
  • die Durchlaufzeiten zur Erstellung des Angebots zu minimieren, um die Abnehmerseite möglichst schnell und termingetreu bedienen zu können;
  • die Kosten für die Herstellung auch individualisierter Produkte und Dienstleistungen möglichst niedrig zu halten, um die sich daraus ergebenden finanziellen Vorteile entweder selbst zu nutzen oder (teilweise) an die Kunden weiterzugeben, um einen Wettbewerbsvorteil daraus zu ziehen.

Zu jedem dieser Punkte lassen sich immer wieder dieselben Schwachstellen aufdecken:

  • Die angestrebte Qualität wird nicht erreicht, wenn Arbeitsabläufe und Prozesse nicht hinreichend organisiert bzw. zweckmäßig gestaltet sind und nicht zielgerichtet ablaufen. Indikatoren für Schwachstellen sind hohe Fehlerraten, schlechte Ergebnisqualität (große Toleranzen bei der Vermaßung, Ausschuss) sowie störanfällige Prozesse mit hohem Ausfallrisiko (häufige Unterbrechungen, hoher Wartungsaufwand).
  • Lange Durchlaufzeiten ergeben sich als Summe aus den für die einzelnen Prozessschritte nötigen Zeitbedarfen. Mit hinein spielen sowohl die zeitlichen Aufwendungen für die einzelnen Arbeitsabläufe als auch logistisch bedingte Zeiten. Berücksichtigt werden müssen also Bearbeitungs-, Warte- und Rüstzeiten, aber auch Transport- und Liegezeiten. Ein Indikator für Schwachstellen kann neben den langen Prozesszeiten eine mangelhafte Termintreue sein; häufige Verspätungen sind dafür typisch.
  • Die Kosten müssen unterschieden werden in die Fixkosten und die variablen Kosten. Das Ziel sollte eine Kostenminimierung auf beiden Ebenen sein, um Produkte und Dienstleistungen zu wettbewerbsfähigen Preisen anbieten zu können. Schwachstellen können sich unter anderem in den Bereichen Personaleinsatz, Maschinen- und Anlagennutzung sowie Flächennutzung, Ressourcenverbrauch und Instandhaltungsmanagement

Um Schwachstellen identifizieren zu können, sollten betriebliche Kennzahlen ermittelt und sowohl intern über längere Zeiträume beobachtet als auch extern mit Benchmarks in der Branche verglichen werden. Das Spektrum reicht dabei von Ausstoß und Ausschussquoten über Stückkosten und Deckungsbeitrag bis hin zu Stillstands- und Ausfallzeiten. Mithilfe dieser Indikatoren kann die Leistung der Prozesse dargestellt werden. Weicht eine Kennzahl von einer Zielvorgabe oder einem Soll-Wert ab, ist dies ein wichtiger Hinweis darauf, dass eine Schwachstelle besteht und Optimierungspotenzial vorhanden ist.

Schwachstellenanalyse

Um Schwachstellen aufzudecken, ist eine regelmäßige Schwachstellenanalyse sinnvoll. Dabei sollten alle Tätigkeiten und Abläufe in der Organisation hinterfragt werden: in Kernprozessen der Wertschöpfungskette ebenso wie in Unterstützungsprozessen – und idealerweise auch in Managementprozessen. Die Schwachstellenanalyse dient dazu, offene und versteckte Schwachstellen, Engpässe und „Flaschenhälse“ in den Abläufen sowie Kommunikationslücken und Verschwendungen zu erkennen, zu beurteilen und Alternativmöglichkeiten zu finden. Grundlage dafür ist die Aufnahme des Ist-Zustands (Zeiten, Mengen, ...) und der Vergleich mit den Soll-Werten als Vorgaben.

Sind die Schwachstellen identifiziert, ist ein Maßnahmenkatalog zur Beseitigung der Ursachen zu erstellen. Ziel ist, Fehler in der Prozesslandschaft auszumerzen und jegliche Art von Verschwendung zu vermeiden. Sind die Maßnahmen erfolgreich, können damit Kommunikationslücken geschlossen, Kapazitätsengpässe abgebaut und Prozesse optimiert werden. Die Wertschöpfung steigt, da Ressourcen geschont und Kosten vermindert werden; die Effizienz wächst. Schwachstellenanalysen tragen dadurch zur Zukunftssicherung und zur Wettbewerbsfähigkeit des Unternehmens bei.

Etabliert haben sich für die Schwachstellenanalyse diese Methoden:

  • Klassische Checklisten sind das am häufigsten eingesetzte Analysemittel. Bekannte Fehler können damit einfach – basierend auf bereits gemachten Erfahrungen – in der eigenen Organisation identifiziert werden.
  • Die SWOT-Analyse ist ein Standardverfahren, um interne Stärken (Strengths) und Schwächen (Weaknesses) zu erkennen und externe Chancen (Opportunities) und Gefahren (Threats) aufzuspüren. Angewendet auf die eigenen Prozesse und unter Berücksichtigung der am Markt bestehenden Rahmenbedingungen lassen sich Schwachstellen und Optimierungspotenziale aufzeigen.
  • Das Ishikawa-Diagramm, auch Fischgrät-Diagramm genannt, dient der Darstellung von Ursache und Wirkung auch bei komplexeren Abläufen.
  • Die strukturierte Analyse als formale Systembeschreibung wird insbesondere im Bereich Softwareentwicklung angewendet. Sie ist geeignet, um Denk- und Konstruktionsfehler in einem System zu erkennen.

Fazit

Schwachstellen sind anzusehen als vorhandene Mängel. Sie können auftreten auf den Ebenen der Aufbau- und der Ablauforganisation, auf Prozess-, Personal- und Systemebene. Sie schränken die Möglichkeiten der Organisation zum wirtschaftlichen Agieren ein und beeinträchtigen damit das Erreichen der Organisationsziele.

Regelmäßig durchgeführte Schwachstellenanalysen sind notwendig, um Engpässe zu identifizieren und zu beseitigen. Damit werden Potenziale zur Prozessoptimierung aufgedeckt und freigesetzt, um die Qualität der angebotenen Güter zu steigern, die Durchlaufzeiten zu deren Erstellung zu reduzieren und Kosten einzusparen. Die so gewonnenen Effizienzvorteile stärken die eigene Wettbewerbsposition und tragen mit dazu bei, die Organisation zukunftsfähig zu gestalten.

"