Model­lierung von Geschäfts­pro­zessen

| Lutz Rossa

Bei der Reali­sierung von Sicherheit liegt ein wesent­licher Aspekt nicht in der Technik, sondern in der Betrachtung der Geschäfts­pro­zesse, die innerhalb eines Unter­nehmens von Abteilung zu Abteilung sowie zwischen einzelnen Unter­nehmen oder Wirtschafts­zweigen der Erfahrung nach ganz unter­schiedlich aussehen und reali­siert sind. Nicht nur bei der Umsetzung von Daten­schutz und Informations­sicherheit gilt es, die Geschäfts­pro­zesse zu analy­sieren. Auch beispiels­weise bei der Imple­men­tierung einer regel- und geset­zes­kon­formen Zutritts­or­ga­ni­sation müssen Geschäfts­pro­zesse beschrieben und model­liert werden. Hierzu zählen zum Beispiel die Prozesse des On-/Off-Boardings von Mitar­beitern und externen Dienst­leistern, Prozesse zur Erlangung von erfor­der­lichen Zutritts­be­rech­ti­gungen und den entspre­chenden Identi­fi­ka­ti­ons­merk­mal­trägern, Prozesse bei Verlust von Schließ­medien, Beschaffung neuer Kompo­nenten bis zur Entsorgung ebendieser und so weiter.

Diese Prozesse können anhand von Fluss­dia­grammen visua­li­siert werden, wobei ein Entwickler diese dann in Programmcode umwandeln muss, um so Geschäfts­pro­zesse als Workflow in einer entspre­chenden Software­ap­pli­kation abzubilden. Einfacher geht es seit inzwi­schen fast 20 Jahren mit BPMN. Die Business Process Model and Notation wurde ab dem Jahr 2001 entwi­ckelt und zuletzt im Jahr 2011 als Version BPMN 2.0 von der Object Management Group (OMG) veröf­fent­licht. BPMN 2.0 beschreibt eine grafische Notation inkl. Ausfüh­rungs­se­mantik für Geschäfts­pro­zesse. Das bedeutet, dass Prozesse anschaulich und verständlich grafisch darge­stellt werden, ohne Program­mier­kennt­nisse besitzen zu müssen.  Denn innerhalb des Metada­ten­mo­dells wird XML-Code (Exten­sible Markup Language) erzeugt, der direkt in entspre­chende Software einge­bettet werden kann. Solche Software kann z. B. dazu genutzt werden, Prozesse der Zutritts­or­ga­ni­sation regel- und geset­zes­konform trans­parent abzubilden. BPMN ist als Norm ISO/IEC 19510:2013–07 Infor­mation technology – Object Management Group Business Process Model and Notation standar­di­siert. Sollen Geschäfts­pro­zesse mittels BPMN abgebildet werden, sind am Markt verschiedene BPMN-Tools erhältlich. Eines, das von vielen Physical-Identity-and-Access-Manage­ment­her­stellern zur Umsetzung einer workflow­ba­sie­renden Zutritts­or­ga­ni­sation genutzt wird, ist Camunda BPMN (www.camunda.com). Diese in Deutschland entwi­ckelte Software ist kostenlos im Netz erhältlich und bietet die beschrie­benen Möglich­keiten zur Definition von Prozessen und deren anschlie­ßenden Ausführung.

Veröf­fent­li­chung in Sicher­heits-Berater, 13/2020