Laut Homer Simpson gibt es drei Arten von Menschen: die, die zählen können, und die, die nicht zählen können. Ich muss zur zweiten Gruppe gehören, denn alle sagen, dass es 10 Projektmanagementbereiche gibt, aber ich komme auf 12. Schauen wir mal.

Auf der einen Seite haben wir die Integration, bei der das gesamte Management einen einheitlichen Ansatz und eine einheitliche Bedeutung erhält. Dann gibt es den Geltungsbereich, der sich darauf konzentriert, welche Ziele verfolgt werden und was getan werden muss (und wie es getan werden muss), um diese Ziele zu erreichen. Außerdem gibt es das Planungs- und Kostenmanagement sowie das Risikomanagement, zu dem noch die Bereiche Qualität, Kommunikation und Ressourcen (das sind acht) hinzukommen. Stakeholder und Zulieferer nicht zu vergessen, insgesamt sind es bereits 10. Und nicht zuletzt haben wir das Sicherheits- und Innovationsmanagement. Insgesamt sind es zwölf.

Spaß beiseite: Sicherheits- und Innovationsmanagement werden in Projektmanagement-Rahmen wie dem PMBOK oder PM² (gefördert von der Europäischen Kommission) nicht offiziell als eigenständige Themen behandelt. Auch in agilen Ansätzen spielen sie keine große Rolle. Und doch sind sie für eine wachsende Zahl von Projekten von größter Bedeutung.

In diesem ersten Teil werden wir das Sicherheitsmanagement analysieren und das Innovationsmanagement in einem nachfolgenden Artikel behandeln.

Sicherheitsmanagement

Die Digitalisierung bringt uns nicht nur unendlich viele Möglichkeiten und Vorteile, sondern setzt Organisationen und Nutzer auch neuen Möglichkeiten für Cyberangriffe aus. Reife Organisationen verwalten die Cybersicherheit auf Unternehmensebene, stellen die Mittel für die Informationssicherheit und die Geschäftskontinuität bereit und schulen das Personal in den zu diesem Zweck definierten Verfahren und Best Practices. Aber wie steht es mit Lösungen, die intern oder für Dritte entwickelt werden?

Security by Default und Security by Design sind zwei grundlegende Paradigmen der Informationssicherheit. Die Systeme müssen so gestaltet sein, dass ohne zusätzliche Benutzereinstellungen sicher sind (Security by default). Andererseits ist die Sicherheit von vornherein in ein Produkt eingebaut und wird nicht erst später durch Produkte und Dienste von Drittanbietern hinzugefügt (Security by design). Beide Paradigmen zielen darauf ab, die Sicherheit von Systemen von Anfang an und während ihres gesamten Lebenszyklus zu gewährleisten. Sie betreffen daher alle Phasen eines Projekts und alle Bereiche des Projektmanagements.

• Die Aufgaben und Verfahren müssen so definiert sein, dass sie den Sicherheits- und Datenschutzanforderungen entsprechen, unabhängig davon, um welche Anforderungen es sich handelt (gesetzliche Vorschriften, Normen, Kundenanforderungen usw.), und zwar vom Entwurf bis zur Abnahmeprüfung. Außerdem müssen die Sicherheitsmaßnahmen auch den Bedrohungsszenarien und der Risikobereitschaft angemessen sein. Mit anderen Worten: sie haben maßgeblichen Einfluss auf den Umfang und das Risikomanagement des Projekts.
• Sicherheitsaufgaben müssen geplant (Zeitplan) und ihre Arbeits- und Materialkosten berücksichtigt werden (Kosten).
• Um die Projektziele zu erreichen, sind geeignete Qualitätsverfahren einzuführen, die das Projekt (unter Sicherheitsaspekten) in angemessenen Abständen überprüfen.
• Für das Projekt müssen ausreichende Ressourcen zur Verfügung gestellt werden, um die Sicherheitsaufgaben zu erfüllen, die normalerweise ein hohes Maß an Spezialisierung erfordern.
• Abgesehen von der internen Kommunikation im Team selbst ist zu beachten, dass im Rahmen des Projekts möglicherweise sensible oder sogar geheime Informationen verarbeitet werden, was sich auf die zu ergreifenden Maßnahmen auswirkt, um die Anforderungen an Informationssicherheit und Datenschutz nicht zu verletzen. Der Bedeutung von LOPD/GDPR in diesen Fällen ist zu berücksichtigen.
• Die Beschaffung spielt eine wesentliche Rolle, da spezialisierte Lösungen und Beratungsdienste oft an Dritte oder an ausgelagerte Dienste wie Cyber Security Operations Center (SOCs) vergeben werden.
• Auch die Cybersicherheit hat ihre Stakeholder. Es gibt viele spezifische Sicherheitsakteure, darunter den Chief Information Security Officer (oder CISO) und den Datenschutzbeauftragten, um nur ein paar Beispiele zu nennen.

Wenn das Sicherheitsmanagement mit jedem einzelnen Bereich und seinen Besonderheiten zusammenhängt, wäre es dann nicht sinnvoll, es als einen weiteren Bereich zu betrachten?

Die Agentur der Europäischen Union für Raumfahrtprogramme (EUSPA) stärkt die Umsetzung der Sicherheit in den großen europäischen Raumfahrtprogrammen (wie Galileo und EGNOS).  Dazu sind für die mit diesen Programmen verbundenen Projekte die Aufgaben des Cybersicherheitsmanagements und der internen Cyber-Audits mit ihren jeweiligen Managern erforderlich, die, sehr vereinfacht gesagt, das Äquivalent des Projektmanagers und des Qualitätsmanagers im Cybersicherheitsbereich wären. GMV erbringt diese Dienstleistungen für diese Programme seit 2013. Seitdem haben sich die Aufgaben und Pflichten dieser Rollen mit der Reife des Sicherheitsstatus von Galileo und EGNOS weiterentwickelt, mit bemerkenswerten Erfolgen für alle beteiligten Parteien.

Die Investitionen in die Cybersicherheit steigen jedes Jahr im zweistelligen Prozentbereich, ein Symptom für die steigende Zahl von Cyberangriffen, ihre Folgen und das Bewusstsein der Organisationen, sich zu schützen. Parallel dazu entwickelt sich die Gesellschaft zu einer Projektwirtschaft, im Gegensatz zur traditionellen Betriebswirtschaft. Die Digitalisierung, die zunehmende Gefährdung durch Bedrohungen und die Wirtschaftlichkeit von Projekten sind mehr als genug Argumente, um Cybersicherheit zu einer eigenen Projektmanagement-Kategorie zu erheben.

Autor: Ángel Gavín