Autor*innen mit den meisten Dokumenten
Auflistung nach:
Neueste Veröffentlichungen
- ZeitschriftenartikelFraud-Detection im Gesundheitswesen: Data-Mining zur Aufdeckung von Abrechnungsbetrug(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Könsgen, Raoul; Stock, Steffen; Schaarschmidt, MarioIm Gesundheitswesen belaufen sich die Betrugskosten auf circa 5,6 Prozent, die Tendenz ist weiter steigend (Neuber 2011). Für Deutschland würde dies im Jahr 2014 etwa 18,3 Mrd. Euro an Betrugskosten bedeuten (Statistisches Bundesamt 2016). Steigende Krankenversicherungsbeiträge und eine neue Auffassung von gesetzlicher medizinischer Grundversorgung sind die Folgen. Es handelt sich bei Abrechnungsbetrug um eine besonders sozialschädliche Form der Wirtschaftskriminalität, da die Integrität des Gesundheitswesens insgesamt negativ beeinflusst wird (Bundeskriminalamt 2004). Zudem stehen Krankenversicherungen in einer dynamischen Umwelt und bei stetig steigendem Konkurrenzdruck vor der Herausforderung ihre Kosten zu senken. Die Abrechnungsdatensätze der Ärzte unterliegen regelmäßiger Änderungen und werden zunehmend komplexer. Dies führt dazu, dass es für die Rechenzentren der Krankenversicherungen zunehmend schwieriger sein wird, Informationen zur Aufdeckung von Abrechnungsbetrug zu extrahieren. Data-Mining zählt zu den Analysemethoden von Business Analytics und wird zur Mustererkennung in großen Datenbeständen verwendet. Die vorliegende Arbeit liefert einen Erkenntnisbeitrag zu Umsetzungsmöglichkeiten eines Fraud-Detection-Systems, auf Basis einer Data-Mining-Assoziationsanalyse.AbstractThe health care fraud costs in Germany totaled 21 bn euro in 2014 (Statistisches Bundesamt 2016) and the numbers continue to grow. Rising health care contributions and a new view with regard to basic medical care are the consequences. From the the German Federal Criminal Office point of view, accounting fraud is a socially harmful conduct. At the same time, health insurances face the challenge to reduce their costs. The accounting data from medical doctors are subjected to continuous change and become increasingly complex. Due to this, it becomes more difficult to extract useful information out of this enormous volume of data. Data-mining is part of the analysis methods of business analytics and is used to pattern recognition. The intention of this paper a new contribution to implementation possibilities of a fraud-detection-system that is based on data-mining-association-analysis.
- ZeitschriftenartikelEffizienzorientiertes Risikomanagement für Business Process Compliance(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kühnel, Stephan; Sackmann, Stefan; Seyffarth, TobiasBusiness Process Compliance (BPC) bezeichnet die Einhaltung von Anforderungen (aus Gesetzen, Standards, internen Vorgaben usw.) bei der Definition und Ausführung von Geschäftsprozessen. Die Sicherstellung von BPC ist für Unternehmen häufig eine komplexe und kostenintensive Angelegenheit. Um eine Beeinträchtigung der Wettbewerbssituation durch BPC zu vermeiden, ist es erforderlich Compliance-Risiken unter Berücksichtigung der Effizienz quantitativ zu steuern. Die Ergebnisse des Beitrags verdeutlichen die Potentiale von BPC-Ansätzen zur konzeptionellen und technologischen Unterstützung des Managements von Compliance-Risiken im Rahmen der Risikoidentifikation, Risikovermeidung und Risikoüberwachung. Es zeigt sich, dass ein effizienzorientiertes Management von Compliance-Risiken eine Risikoquantifizierung erfordert, die BPC-Ansätze bis dato nicht leisten können. Weitere Ergebnisse zeigen, dass finanzwirtschaftliche Verfahren zur Risikoquantifizierung monetärer Compliance-Risiken geeignet sind und eine Effizienzmessung sowie teilweise -optimierung von BPC erlauben. Die Möglichkeiten und Grenzen der praktischen Anwendbarkeit dieser Verfahren für BPC werden diskutiert und abschließend empirisch verifiziert.AbstractBusiness Process Compliance (BPC) is defined as the adherence of requirements (such as laws, standards, internal guidelines etc.) in the conception and execution of business processes. Ensuring BPC can become a complex and cost-intensive issue for companies. In order to avoid the deterioration of the competitive position by BPC it is necessary to quantitatively control compliance risks taking into account efficiency. The results of this paper show that BPC supports the management of compliance risks within the scope of risk identification, risk aversion and risk monitoring. It becomes apparent that an efficiency-oriented management of compliance risks requires risk quantification, which BPC approaches cannot support to date. Moreover, the analysis shows that financial approaches are suitable for quantifying monetary compliance risks and enable efficiency measurement as well as partly efficiency optimization of BPC. The possibilities and limitations of the practical applicability of these approaches are discussed and empirically verified.
- ZeitschriftenartikelSoftwarenutzung im Umbruch: Von der Software-Lizenz zum Cloudbasierten Business Process Outsourcing(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Brassel, Stefan; Gadatsch, AndreasBislang war die Rollenverteilung eindeutig geregelt: Die Beschaffung von „Standardsoftware“ war eine Aufgabe für die IT-Leitung. Im Kern war es ein Bestellprozess für Softwarelizenzen. Die Unternehmensführung (CEO) konnte sich darauf konzentrieren, die Unternehmensstrategie zu entwickeln und in diesem Zusammenhang das Budget für die IT bereitzustellen. Strategisch in der Unternehmensführung diskutiert, wurden lediglich Softwarebeschaffungsprojekte mit Einfluss auf sämtliche Unternehmensabläufe- wie z. B. die Einführung eines ERP-Systems. Die rasch zunehmende Digitalisierung verändert aber nicht nur die Arbeitsweise in den Unternehmen, sondern auch das IT-Management selbst. Aufgrund der veränderten Produktpolitik großer Softwareanbieter wie z. B. Microsoft sind zukünftige Investitionsentscheidungen über den Einsatz von Standardsoftware keine reinen Beschaffungsvorgänge mehr, sondern strategische Entscheidungen über die Auslagerungen von Prozessen (Business Process Outsourcing) und damit verbunden auch mit den zusammenhängenden Daten. Der Softwareanbieter von morgen ist ein Prozessdienstleister, der neben der Hard- und Software auch noch Teilprozesse (z. B. Kommunikation, Dokumentenmanagement) für die Unternehmen bereitstellt.AbstractUp to now the roles were distinct: Standard software sourcing was a main task of the IT-Management department (CIO). The CEO was able to concentrate on his role of developing a company strategy and managing the IT budget. The upcoming digitalization changes not only the kind of work in companies. It changes the IT-Management himself. Reasoning by the changed product policy of the big software provider like Microsoft the decisions of IT-Software investments are not only a purchasing processes. The situation changes to a decision going to Business Process Outsourcing of processes and the involved data. The software provider of the future is more a process provider who services processes like communication, document management and more in addition to the hard- and software for the companies.
- ZeitschriftenartikelIT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kraft, Reiner; Stöwer, MechthildProduktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best-Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best-Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.AbstractNowadays, industrial processes are more and more based on a wide range of information technology (IT). This development contributes significantly to greater flexibility and efficiency of industrial production. However, this sector also inherits the vulnerability to threats typically associated with IT, such as malware or hacker attacks. The resulting risks intensify, the more the IT applications are linked, and the more interfaces they have across business or location boundaries. In the area of office IT, generally accepted IT security standards exist; also a large number of measures have been established for the mitigation of IT risks. However, these best practices cannot be applied unaltered in industrial environments. The paper describes the reasons for this and the special challenges of IT risk management in production environments. Furthermore, it provides an overview of existing best practice documents for information security management in industrial environments and shows how well-established procedures for IT risk management can be applied in this area as well. Finally, the example of remote maintenance is used to illustrate the application of these procedures. In this context, best practices for the mitigation of risks associated with remote maintenance are outlined.
- ZeitschriftenartikelNutzer präferieren den Schutz ihrer Daten(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Buck, Christoph; Stadler, Florian; Suckau, Kristin; Eymann, TorstenPersönliche Daten und damit die Privatsphäre der Nutzer werden als das „Öl des 21. Jahrhunderts“ bezeichnet und als neue Güterklasse definiert. Im Zuge der zunehmenden Befriedigung von Alltagsbedürfnissen im Rahmen digitaler Anwendungen, umgesetzt durch Vernetzung und Sensorik, bieten sich anhand von bspw. Smart Mobile Devices und mobilen Applikationen zahlreiche Möglichkeiten der Aufnahme, Speicherung und Verwertung personenbezogener Daten. Diese wertvollen Daten geben Nutzer beim Bezug mobiler Applikationen in vielen Fällen ohne vergleichbare Gegenleistung preis. Zahlreiche Forschungsarbeiten konnten bisher nur eine geringe Zahlungsbereitschaft bei Nutzern für den Erhalt ihrer Privatsphäre identifizieren, was die Autoren des vorliegenden Artikels auf die komplexe Beschaffenheit des Wertes von informationeller Privatsphäre zurückführen. Aus diesem Grund wird nicht der monetäre Gegenwert für den Erhalt der Nutzerinformationen, sondern deren Einstufung in der Präferenzordnung beim Bezug mobiler Applikationen gemessen. Die Ergebnisse der durchgeführten Choice-Based Conjointanalyse zeigen eine deutliche Nutzerpräferenz für den Erhalt ihrer Privatsphäre. Die Einstufung des Erhalts von informationeller Privatsphäre als kaufrelevante Eigenschaft von mobilen Applikationen führt zu zahlreichen Implikationen für Forschung und Praxis.AbstractInformation privacy and personal data in information systems are referred to as the ‚new oil‘ of the 21st century. The mass adoption of smart mobile devices, sensor-enabled smart IoT-devices, and mobile applications provide virtually endless possibilities of gathering users’ personal information. Previous research suggests that users attribute very little monetary value to their information privacy. The current paper defines privacy as a complex and abstract value users are not able to put a monetary price tag on. Therefore, the article provides a choice-based conjoint analysis using privacy as one of the four most imortant attributes of mobile applications. The results of the preference structure oft he users emphasize a high relevance in users’ preference structure when downloading an app. Thus, privacy could used as a part of the value proposition of apps sold to privacy-concerned users.
- ZeitschriftenartikelRezension „Fit für die Prüfung: Wirtschaftsinformatik“(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
- ZeitschriftenartikelInformationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Decker, Karsten M.Informationssicherheit ist kein IT-Problem und kann nicht auf die IT-Abteilung reduziert werden. Eine wirksame Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit muss in der ganzen Organisation verankert werden. Um dieser Herausforderung effizient zu begegnen, ist ein risikobasiertes Vorgehen erforderlich. Dazu muss zunächst der organisatorische Kontext bestimmt werden. Bei der Durchführung des Risikomanagementprozesses ist die Qualität der Risikoidentizfierung ausschlaggebend. Risiken, die hier nicht identifiziert werden, fehlen in der nachfolgenden Risikoanalyse und -bewertung und somit auch bei der Risikohehandlung. Für die methodische Risikoidentifizierung existieren verschiedene Ansätze, von denen zwei vorgestellt werden: der vorwiegend wirkungsorientierte Ereignis-basierte Ansatz und der ursachenorientierte auf Werten, Bedrohungen und Schwachstellen basierte Ansatz. Damit die Umsetzung der Risikoidentifizierung in der Praxis gelingt, müssen verschiedene Voraussetzungen erfüllt sein. Ausschlaggebend ist, dass die oberste Leitung ihre Führungsrolle umfassend und wirksam wahrnimmt. Die zentrale Herausforderung ist, den Umfang der Risikoidentifizierung handhabbar zu halten. Dazu haben sich in der Praxis die Vorgehensweisen der Fokussierung und Vergröberung bewährt. Unabhängig vom gewählten Ansatz zur Risikoidentifizierung ist auf jeden Fall ein fundiertes Beurteilungsvermögen unerlässlich. Mittels des Prozesses der fortlaufenden Verbesserung kann schliesslich ein anfänglich grobes, aber eindeutiges Bild der Informationssicherheitsrisiken Schritt für Schritt verfeinert und den aktuellen Anforderungen und Bedrohungen angepasst werden.AbstractInformation security is not an IT problem and cannot be reduced to the IT department. Effective protection of confidentiality, integrity and availability must be anchored throughout the organization. To address this challenge efficiently, a risk-based approach is required. To this end, the organizational context must first be determined. When applying the risk management process, the quality of risk identification is crucial. Risks that are not identified here are missing in the subsequent risk analysis and risk evaluation and thus also in risk treatment. There are various approaches for methodological risk identification, two of which are presented: the predominantly effect-oriented event-based approach, and the cause-oriented approach based on the consideration of assets, threats and vulnerabilities. In order to implement risk identification in practice, various prerequisites must be fulfilled. It is crucial that top management takes its leadership role comprehensively and effectively. The key challenge is to keep the scope of risk identification manageable. To this end, the approaches of focusing and coarsening have proved successful in practice. Irrespective of the chosen approach to risk identification, a profound assessment capacity is essential. By means of the process of continual improvement, an initially high level but clear picture of the information security risks can be refined step by step and adapted to the current requirements and threats.
- ZeitschriftenartikelIT-Risikomanagement(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
- ZeitschriftenartikelIT-Risikomanagement im Zeitalter der Digitalisierung(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, MatthiasDas Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit IT und erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Risiken. Denn die Digitalisierung schafft, etwa über die Einführung neuer Produkte und Geschäftsmodelle, eine Vielzahl neuer Möglichkeiten zur Sammlung und Verwendung eigener und fremder Daten, zur Überwachung oder zum (Cyber‑)Angriff auf Unternehmen sowie Privathaushalte. Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion.Als eine wichtige Grundvoraussetzung gilt das Bewusstsein für Risiken. Denn nur wenn wir gemeinsam die Situation richtig einschätzen, kann die passende Behandlungsstrategie gefunden werden. Hierfür ist das Verständnis für Ursache-Wirkungsketten hinter Risiken ein weiterer wichtiger Baustein. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer IT-Lösungen richtig erkannt und eingeschätzt werden. Ein systematischer, wiederholt ausgeführter Risikomanagement-Prozeses unterstützt und koordiniert dabei alle Bemühungen zur Risikobeherrschung. Erst auf diesem Fundament schließlich können weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden.AbstractIn the age of digital transformation IT gains more and more importance in our life and work, and therefore requires increased interdisciplinary focus on new and upcoming risks. More than ever new products and business models are combined with a high potential to collect and process own and external data, to observe and to attack companies as well as households. This article introduces the basics of it risk management, addresses current topics and drafts ideas for further discussion.One basic prerequisite for good risk management is awareness. Only proper and collective attention for risks allows adequate risk assessment and treatment. Another important element in risk management is understanding cause effect chains. Especially non-technical vulnerabilities need to be accurately assessed since they have high relevance. A continuous risk management process is necessary to prevent negligence of important issues and to promote control of risks. These instruments aid further considerations about target-oriented and cool-headed debates about risks in the digital age.
- ZeitschriftenartikelRezension „Unternehmenseigene Ermittlungen“(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias