Schwachstellen

Schwachstelle – ein unscharfer Begriff

Der Duden beschreibt die Schwachstelle als eine „Stelle, an der etwas für Störungen anfällig ist“.

Die Norm DIN 31051:2012-09 „Grundlagen der Instandhaltung“ definiert die Schwachstelle für den technischen Bereich als eine „Einheit, bei der ein Ausfall häufiger, als es der geforderten Verfügbarkeit entspricht, eintritt und bei der eine Verbesserung möglich und wirtschaftlich vertretbar ist“.

Hier greift die Norm aus betriebswirtschaftlicher Sicht aber zu kurz, da sie nur die Instandhaltung fokussiert und nicht den üblichen betrieblichen Einsatz von Maschinen und Anlagen berücksichtigt. Die Unterbrechung des Wertstroms aufgrund eines Defekts an einer störanfälligen Einrichtung ist dabei nur ein Aspekt. Die Schwachstelle kann sich auch allgemein auf die Minderung der Wertschöpfung beziehen. Sie kann sich als Engpass bemerkbar machen, an dem die vorhandenen (Produktions-)Kapazitäten aufgrund mindestens eines limitierenden Faktors nicht vollständig ausgeschöpft werden. Generell können Schwachstellen als bestehende organisatorische, prozessuale, personelle oder systemische Mängel betrachtet werden, die die Zielerreichung der Organisation beeinträchtigen.

In der Informationstechnik (IT) steht der Begriff für Sicherheitslücken in der Software, durch die sich unbefugte Dritte Zugriff auf einzelne Rechner oder Systeme der Informations- und Kommunikationstechnik (IKT) verschaffen und diese manipulieren können. Die Spanne reicht dabei vom Ausspähen über das unerlaubte Abgreifen von Daten bis hin zur Installation von Schadsoftware und zur Übernahme der Systeme. Schwachstellen durchlaufen dabei einen Lebenszyklus aus vier Phasen:

• Um eine theoretische Schwachstelle handelt es sich, wenn zum Beispiel ein Programmierfehler entdeckt wird, aus dem sich eine Sicherheitslücke ergeben könnte.
• Eine ausnutzbare Schwachstelle ergibt sich, wenn ein Proof of Concept eine Sicherheitslücke bestätigt.
• Eine Sicherheitslücke gilt als aktive Schwachstelle, wenn es Anzeichen dafür gibt, dass sie bereits ausgenutzt wird.
• Bei der öffentlich bekannten Schwachstelle ist bereits ein Angriffsinstrument (Exploit) veröffentlicht. Dadurch sinkt der Aufwand, den Angreifer betreiben müssen, auf ein Minimum; „Hacks“ werden auch für weniger versierte Cyberkriminelle durchführbar.

In der ISO/IEC 27005:2018-07 „Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Risikomanagement“ werden im Anhang D die typischen Schwachstellen in Unternehmen aufgelistet und betrieblichen Funktionsbereichen zugeordnet. Mit der Unterscheidung in die Aspekte Personal, Organisation, Infrastruktur, Netzwerk, Hardware und Software ergeben sich Ansatzpunkte für einen detaillierteren Blick auf mögliche Risiken und deren Analyse.

Kategorisierung der Schwachstellen

Bezieht man die Schwachstellen auf die alltäglich ablaufenden betrieblichen Prozesse, lassen sich drei Kategorien unterscheiden. Dies ist unabhängig davon, ob es sich um wertschöpfende, nicht direkt wertschöpfende, also unterstützende, oder nicht wertschöpfende Vorgänge und Tätigkeiten handelt. In allen Fällen können die Schwachstellen diese Aspekte betreffen:

• Prozessqualität;
• Prozesszeit;
• Prozesskosten.

Ausschlaggebend für die Prozessqualität ist die Prozesssicherheit. Die Stabilität von Prozessen kann dabei durch Schwachstellen bei den verwendeten Arbeitsmitteln und auch beim eingesetzten Personal beeinträchtigt werden. Die Folge sind Qualitätseinbußen beim Output, die in Form von Schlechtteilen, notwendiger Nachbearbeitung, Ausschuss oder Fehlerraten sichtbar werden. Schwachstellen gefährden damit das Erreichen der Unternehmensziele.

Schwachstellen und Engpässe bei der Bearbeitung von Aufträgen erhöhen die Prozesszeit. Ursachen können ein unvorteilhaftes Design der Fertigung, mangelnde Abstimmung zwischen den einzelnen Stationen oder Verzögerungen im Material- und Informationsfluss sein. Bearbeitungs- und Durchlaufzeiten verlängern sich, das Resultat ist oft fehlende Termintreue.

Die Prozesskosten werden von Schwachstellen wie unnötig aufwendigen Prozessschritten, dem nicht nachhaltigen Einsatz von Ressourcen oder die nicht sachgemäße Verwendung von Arbeitsmitteln in die Höhe getrieben. Dadurch verteuern sich die angebotenen Produkte und Dienstleistungen. Dies beeinträchtigt den wirtschaftlichen Erfolg der Organisation.

Typische Schwachstellen

Schwachstellen, also Engpässe, Mängel oder Defizite, können intern in allen Bereichen einer Organisation auftreten, ob produzierendes Unternehmen, Dienstleister oder Verwaltungseinheit. Gerade in der Wertschöpfungskette von Produktionsbetrieben haben sie gravierende Auswirkungen auf die Leistungserstellung und damit die Effizienz der Auftragsbearbeitung und die Wirtschaftlichkeit des Unternehmens. Aber Schwachstellen lassen sich auch unternehmensübergreifend identifizieren, etwa in der Supply Chain, der Lieferkette. Um die Schwachstellen auf allen Ebenen aufdecken und danach beheben zu können, sollte eine Schwachstellenanalyse durchgeführt werden.

Viele der Schwachstellen bestehen über lange Zeiträume. Sie sind oft historisch gewachsen und damit systemimmanent, werden aber nicht entdeckt, da beispielsweise eingespielte Abläufe, etablierte Prozesse und routinemäßige Vorgänge nicht mehr hinterfragt werden. Typische Schwachstellen oder Engpässe sind beispielsweise:

• unnötig zeitaufwendige Fertigungsschritte. Komplexe Abläufe bestimmen die Durchlaufzeit maßgeblich.
• unzureichende technische Ausstattung. Veraltete Anlagen oder eine zu geringe Anzahl von Maschinen sind Ursachen von Qualitätseinbußen und verzögern die Bearbeitung.
• mangelnde Personalausstattung. Eine zu geringe Personaldecke behindert ebenso wie eine schlechte Personaleinsatzplanung die zeitnahe Bearbeitung von Aufträgen.
• fehlende Qualifikation. Versäumnisse bei der Personalentwicklung, also der Aus- und Weiterbildung bzw. der Schulung der Mitarbeiter, oder der Einsatz von Hilfskräften und Quereinsteigern erschwert die sach- und fachgerechte Erledigung der Arbeiten.
• fehlende Motivation. Unmotivierte Mitarbeiter sind nicht leistungsbereit und erfüllen die ihnen übertragenen Aufgaben nur „vertragsgemäß“. Daraus ergeben sich Defizite in der Quantität und der Qualität der Arbeitserledigung.
• Systembrüche. Der Informationsfluss und die Auftragsbearbeitung werden durch Schnittstellen zwischen digitalen und analogen Bearbeitungsschritten et vice versa – von der Datei zum Ausdruck oder vom handschriftlich ausgefüllten Formular zum Datenbankeintrag – erschwert.
• zu geringe Transport- und Lagerkapazitäten. Gerät der Materialfluss ins Stocken, sinkt die Wertschöpfung. Zu geringe Lagermengen oder logistische Probleme beim internen und/oder externen Transport zur Bereitstellung von Materialien, etwa bei der gewünschten Just-in-Time-Lieferung, verursachen unnötige Warte- und Liegezeiten.
• organisatorische und strukturelle Probleme. Die Aufbau- und die Ablauforganisation sollten kundenorientiert ausgerichtet sein, um die Leistungserstellung bestmöglich zu unterstützen. Einer hierarchische Unternehmenskultur oder ein Abteilungs- und Zuständigkeitsdenken („Silodenken“, Denken in Funktionen anstatt Prozessen) hemmen die Abläufe der Auftragsbearbeitung.

Beheben von Schwachstellen

Schwachstellen können nur dann eliminiert werden, wenn sie bekannt sind. Erkennbar werden Schwachstellen beispielsweise an betrieblichen Kennzahlen als Leistungsindikatoren. Diese sollten individuell, auf die betrieblichen Belange bezogen, ermittelt und zu einem Kennzahlensystem zusammengestellt werden. Die ausgewählten Indikatoren sind dann intern regelmäßig und langfristig zu beobachten und extern mit Benchmarks in der Branche zu vergleichen.

Das Spektrum der Kennzahlen reicht dabei von Output- und Ausschussquoten über Stückkosten und Deckungsbeiträge bis hin zu Stillstands- und Ausfallzeiten oder auch zur Gesamtanlageneffektivität (GAE) bzw. Overall Equipment Effectiveness (OEE). Mithilfe dieser Indikatoren kann die Leistung der Prozesse dargestellt werden. Weicht eine Kennzahl von einer Zielvorgabe oder einem Soll-Wert ab, ist dies ein Indiz dafür, dass eine Schwachstelle besteht und Optimierungspotenzial vorhanden ist.

Die systematische Identifizierung von Schwachstellen erfolgt mithilfe einer Schwachstellenanalyse. Das Ergebnis einer solchen Untersuchung der Prozesse, Abläufe und Tätigkeiten in einer Organisation ist die Offenlegung von Mängeln, Defiziten, Hindernissen und Beeinträchtigungen. Diese können gemäß der Theory of Constraints (ToC) dann durch ein strukturiertes Vorgehen behoben werden.

Dabei ist die Organisation bzw. das Unternehmen systemisch zu betrachten. Einzelmaßnahmen an jeweils einer Stelle einer Prozesskette sind unzureichend, da es sich in der Regel nicht um lineare Abhängigkeiten handelt, sondern um komplexe Zusammenhänge auf verschiedenen unternehmerischen Ebenen. So sind Verwaltung, Produktion, Vertrieb und Logistik meist eng miteinander vernetzt und aufeinander abgestimmt. Der Auftragsdurchlauf und damit der Durchsatz kann nur dann nachhaltig und langfristig beschleunigt werden, wenn das Gesamtsystem – unter Berücksichtigung der gegenseitigen Abhängigkeiten zwischen den einzelnen Komponenten – optimiert wird. Die Prozessoptimierung ist dabei erst der Anfang. Auf dieser bauen beispielsweise das Change Management oder die Umsetzung des Lean-Ansatzes auf. Das Ziel ist beispielsweise die lernende Organisation.

Fazit

Schwachstellen sind im betriebswirtschaftlichen Sinn vorhandene Mängel und bestehende Defizite. Sie können in der Aufbau- und der Ablauforganisation auftreten und alle Bereiche einer Organisation betreffen – von der Verwaltung über die Produktion bis zu Logistik und Vertrieb, auf technischer, personeller oder administrativer Ebene. Als Engpässe und Hindernisse schränken sie die Möglichkeiten der Organisation zum wirtschaftlichen Agieren ein und beeinträchtigen damit das Erreichen der Organisationsziele.

Um Schwachstellen identifizieren und anschließend beseitigen zu können, sollten regelmäßig Schwachstellenanalysen durchgeführt werden. Damit werden die vorhandenen Engpässe und Beschränkungen sichtbar und es lassen sich Potenziale zur Prozessoptimierung erkennen. Daraus lassen sich Maßnahmen ableiten, um die Qualität der angebotenen Güter und Dienstleistungen zu erhöhen, die Auftragsdurchlaufzeiten zu reduzieren und Kosten einzusparen. Die sich so ergebenden Effizienzvorteile stärken die eigene Wettbewerbsposition und tragen dazu bei, die Organisation zukunftsfähig zu gestalten.