Zusammengenommen lassen sich aus der Diskussion der vier Fallbeispiele Rückschlüsse aus einem fehlenden Austausch zwischen Forschung und Praxis ziehen. Diese sollen Werkzeughersteller motivieren, bereits gut entwickelte Forschungskonzepte in ihre Produkte aufzunehmen. Auch soll das Interesse von Forschern an offenen Problemen in der Praxis geweckt werden.
3.1 Personalorientierte Verwaltungsprozesse
Ein erster Anwendungsfall entstammt dem Projekt PRIME
3. Neben zwei akademischen Forschungsgruppen sind drei Partner aus der Industrie und dem öffentlichen Sektor beteiligt. Neben weiteren Zielen liegt ein Schwerpunkt des Projekts auf der Modellierung von Prozessen in einer Kommune. Da die untersuchten Prozesse recht starr und determiniert sind, erscheint ein imperativer Modellierungsstil angebracht. Daher wird ein BPMN-basiertes Prozessmanagementsystem für die Prozessmodellierung und -ausführung gewählt. Eine Arbeitsgruppe dieses Projekts konzentriert sich besonders auf die Modellierung der organisatorischen Perspektive der betrachteten Prozesse in der untersuchten Kommune. Ein Schwerpunkt hierbei ist, dass Bürgeranfragen schnell und korrekt den zuständigen Ansprechpartnern der öffentlichen Behörde zugeordnet werden.
Bevor wir in die Diskussion dieser Modellierungsaufgabe einsteigen, rekapitulieren wir die Modellierungsprimitive des BPMN-Standards für die organisatorische Perspektive. BPMN bietet zwei Modellierungselemente für die Organisationsperspektive an: Pools und Lanes. Pools stellen globale Teilnehmer eines Prozesses dar. Lanes sind partitionierende Pools und beschreiben Gruppen von Personen, die einige der Aufgaben, d. h. Prozessschritte, ausführen dürfen. Lanes können weiter in Sub-Lanes unterteilt werden, um die potenziellen Prozessbeteiligten genauer zu bestimmen. Wir bezeichnen die in Frage kommenden Personen, die durch eine Lane identifiziert werden, kurz als Gruppe. Es muss erwähnt werden, dass diese modellierten organisatorischen Elemente vom Ausführungssystem eines BPMN-Werkzeugs nicht berücksichtigt werden; sie veranschaulichen lediglich den organisatorischen Aspekt auf Modellierungsebene.
Bei der Untersuchung der Anforderungen an die organisatorische Perspektive der Prozesse der untersuchten Stadtverwaltung werden einige kritische Punkte deutlich:
-
Aufgrund einer ganzen Reihe von gesetzlichen Regelungen sind – was typisch für eine Behörde ist – viele verschiedene Gruppen für die Ausführung der Schritte eines Prozesses verantwortlich. Da jede Gruppe eine zusätzliche Lane benötigt, wächst das Diagramm nicht nur horizontal – entsprechend der Länge eines Prozesses – sondern auch vertikal enorm – entsprechend der großen Anzahl an Gruppen. Insgesamt wächst so ein Prozessdiagramm auf eine Größe an, welche die Lesbarkeit und damit die Verständlichkeit des gesamten Prozessmodells drastisch einschränkt. Beide Aspekte, Lesbarkeit und Verständlichkeit, sind zwei der wesentlichen Anforderungen an ein Modell im Allgemeinen.
-
Die Einführung von Pools und (Sub‑)Lanes in der oben geschilderten Weise geht davon aus, dass Organisationsstrukturen überwiegend bzw. ausschließlich hierarchisch aufgebaut sind. In der untersuchten Behörde gibt es jedoch eine Vielzahl von sogenannten Arbeitsteams, die sich quer über verschiedene hierarchisch angeordnete Abteilungen erstrecken. Diese horizontal ausgerichteten Organisationseinheiten gleichberechtigt mit normalen (Unter‑)Abteilungen als Lanes unter einem Pool (oder übergeordneten Lanes) zu positionieren, verursacht irgendwie Unbehagen, da es sich um eine völlig andere Form der Strukturierung einer Organisation handelt. Außerdem ist die Modellstruktur bei einer solchen Darstellung kaum nachvollziehbar.
-
Viele Aufgaben in der öffentlichen Verwaltung erfordern die strikte Einhaltung des Vier-Augen-Prinzips oder ähnlich restriktiver Organisationsregeln. Eigentlich gibt es keine umfassende und eingängige Möglichkeit, solche Sachverhalte durch Pools bzw. Swimlanes zu modellieren d. h. darzustellen. Infolgedessen werden solche Situationen durch umständlich formulierte Pseudogruppen beschrieben und sind somit wenig anschaulich und verständlich.
Was sind die unvermeidlichen Konsequenzen aus den obigen Beobachtungen? Wir halten zwei Schlussfolgerungen für besonders relevant. Erstens wird ein Modell im Allgemeinen als ein Kommunikationsmittel zwischen Domänenexperten und beispielsweise Ingenieuren oder Computerspezialisten angesehen (Bialy et al.
2017). Zusammenfassend muss aber leider festgestellt werden, dass BPMN-basierte Prozessmodelle, die auf einer Swimlane-Notation für organisatorische Belange basieren, diese Anforderung nicht erfüllen. Wenn man bedenkt, dass Domänenexperten die einzigen Beteiligten sind, die die Korrektheit eines Prozessmodells aus pragmatischer Sicht beurteilen können, wird somit ein schwerwiegender Nachteil erkennbar. Zweitens fehlt dem Standard, aber auch den meisten verfügbaren professionellen Werkzeugen Funktionalität, die es ermöglicht, anspruchsvolle organisatorische Sachverhalte wie beispielsweise das Vier-Augen-Prinzip oder flexibel zusammengesetzte Arbeitsgruppen darzustellen.
BPMN ist in erster Linie auf die Modellierung von Geschäftsprozessen fokussiert ist. Es bietet eine standardisierte Darstellung für Prozesse, jedoch neigt es dazu, andere organisatorische Aspekte, wie die Unternehmensstruktur, nur begrenzt zu berücksichtigen. BPMN ist daher eher auf die punktuelle und spezifische Darstellung von Prozessen ausgerichtet, was dazu führen kann, dass eine umfassende und multiperspektivische Sicht auf das Unternehmen vernachlässigt wird. Wenn eine detailliertere Modellierung des Zusammenspiels zwischen Prozessen und organisatorischen Strukturen erforderlich ist, stößt BPMN an seine Grenzen. Hier kommt die Notwendigkeit eines multiperspektivischen Ansatzes ins Spiel. Ein solcher Ansatz ermöglicht es, die verschiedenen Aspekte eines Unternehmens integrativ zu betrachten und somit eine umfassendere Modellierung vorzunehmen. Dies kann durch die Verwendung von spezialisierten Modellierungssprachen und -techniken erfolgen, die auf die jeweiligen Perspektiven zugeschnitten sind (Scheer
2013; Frank
2002).
Es ist durchaus interessant, einen Blick in die Praxis zu werfen und zu untersuchen, wie Praktiker mit den gerade dargestellten Mängeln umgehen. Da Pools und Swimlanes keine Vorschrift für die Implementierung von BPMN-Prozessen sind, sondern nur als
Hilfsmittel bei der Modellierung dienen, werden sie in gewisser Weise missbraucht. Dies geschieht insbesondere dadurch, dass organisatorische Sachverhalte sehr grobkörnig modelliert werden. Dies hat wiederum zur Folge, dass Prozessmodelle von Fachexperten nicht korrekt und vollständig validiert werden können, da sie nicht die später tatsächlich zu realisierenden Prozesse abbilden. Für die Umsetzung anspruchsvoller organisatorischer Aufgaben codieren Prozessimplementierer diese Logik völlig losgelöst von den organisatorischen Einstellungen eines BPMN-Prozessmodells, d. h. von Pools und Swimlanes. In Russell et al. (
2005) wird eine solche Implementierung als
workaround bezeichnet, da sie kein integrierter Bestandteil des Entwurfs einer Prozessmanagementanwendung ist.
Was könnte eine Lösung für die festgestellten Defizite sein? Aufgrund der langjährigen Erfahrung sowohl im akademischen Bereich als auch in der Industrie stellen wir Folgendes zur Diskussion. Es gibt durchaus praktisch verwendbare Forschungsansätze, die wertvolle Ideen zur Modellierung komplexer und anspruchsvoller organisatorischer Fragestellungen entwickelt haben (Jablonski and Bussler
1996). Andere Ansätze zeigen, wie man ausdrucksmächtige Elemente in die organisatorische Perspektive eines Prozessmodells integrieren kann (Cabanillas et al.
2015). Außerdem zeigt Russell et al. (
2005), dass einige Prozessmanagementsysteme bereits mächtige Modellierungselemente für organisatorische Aspekte anbieten. Allerdings handelt es sich dabei nur um eine kleine Auswahl von Systemen, welche auch nicht sehr verbreitet sind. Eine naheliegende Konsequenz aus diesen Beobachtungen ist, die beispielhaft dargestellten Forschungsideen und Produkteigenschaften in den Standard bzw. in moderne Prozessmanagementsysteme zu übernehmen. Die zitierten Forschungsansätze schlagen beispielsweise Notationen zur Modellierung des Vier-Augen-Prinzips oder beliebiger Organisationsstrukturen jenseits strenger Hierarchien vor. Auch wenn diese Ansätze noch nicht ausgereift sind, so bilden sie doch eine fundierte Basis für den praktischen Einsatz. Zudem zeigen bisherige Umsetzungen mächtiger Organisationsmodelle in früheren Prozessmanagementsystemen deren Machbarkeit. Sollten diese Ansätze aus Wissenschaft und Industrie jedoch noch nicht ausgereift und umfangreich genug sein, könnte dies eine Motivation für die Forschung sein, dieses Forschungsgebiet neu zu überdenken und diese wegweisenden Konzepte und Ideen zu verfeinern und zu erweitern. Auf diese Weise könnte die Notation BPMN erweitert werden, so dass neben der Prozessperspektive auch die Organisationsperspektive umfänglich modelliert werden kann.
3.2 Entscheidungs- und wissensintensive Prozesse
Ein zweites Beispiel stammt aus dem Fertigungsbereich
4. Einer unserer Projektpartner stellt Sondermaschinen her. Dieser Produktionsprozess zeichnet sich durch zwei Dinge aus. Erstens wird jede Maschine in Einzelfertigung hergestellt und ähnelt weitgehend nicht anderen Maschinen. Zweitens muss die Entscheidung, ob und – falls positiv entschieden – wie eine solche Maschine gefertigt wird, jedes Mal mehr oder weniger neu geplant werden. Die Annahme eines Auftrags ist also ein mehrstufiger Entscheidungsprozess, der von verschiedenen Mitarbeitern aus unterschiedlichen Abteilungen des Unternehmens durchgeführt wird. Die Prozessschritte entstammen zwei sich ergänzenden Bereichen: Ein erster Bereich vertritt die finanzielle und budgetäre Seite der Produktion. Es muss herausgefunden werden, ob eine neu zu konstruierende und zu bauende Maschine rentabel produziert werden kann. Eine zweite Gruppe von Schritten ist eher technischer Natur. Je nach herzustellender Maschine muss eine Vielzahl von technischen Prüf- und Planungsschritten durchgeführt werden. Es liegt auf der Hand, dass dabei verschiedene Instrumente sowohl aus dem finanziellen als auch aus dem technischen Bereich eingesetzt werden müssen. Beide Arten von Prozessschritten, technische und finanzielle, beeinflussen sich gegenseitig. Auch die Prozessschritte innerhalb der beiden Bereiche beeinflussen sich gegenseitig. Zusammenfassend ist dieser Fertigungsprozess ein typischer Vertreter eines so genannten deklarativen bzw. deskriptiven Prozesses (Jablonski and Bussler
1994) mit vielfältigen Abhängigkeiten zwischen den Prozessschritten, wobei die Reihenfolge ihrer Ausführung meist nicht vordefiniert ist, sondern durch Ergebnisse von Zwischenschritten und persönliche Entscheidungen von Domänenexperten bestimmt wird. Daher scheint ein deklarativer Prozessmodellierungsansatz für diese Aufgabe prädestiniert zu sein.
In der Literatur und in der Praxis sind eine Reihe von Ansätzen zur deklarativen Prozessmodellierung vorgeschlagen worden. Declare (Pesic et al.
2007) und MP-Declare (Schönig et al.
2016; Ackermann et al.
2018) werden seit Jahren in der Wissenschaft erforscht. CMMN wurde von der Object Management Group als Standard für deklarative Prozessmodellierungssprachen definiert. Mehrere Anbieter bieten praktische Werkzeuge für die Modellierung deklarativer Prozesse nach diesem Standard an (z. B. Camunda
5). DMN
6, ebenfalls ein Standard der Object Management Group, ergänzt CMMN, wenn es um die Spezifikation von entscheidungsbasierten Aufgaben geht.
Aufgrund der Bekanntheit des Ansatzes haben wir zunächst versucht, das industrielle Szenario mit (MP-)Declare zu modellieren. Da jedoch die beteiligten Fachleute von Anfang an enorme Probleme hatten, die Semantik dieser Sprache zu verstehen – insbesondere aufgrund des Fehlens einer grafischen Notation – haben wir sie im Projekt nicht weiter verwendet. Auch die Verwendung von DCR-Graphen (Hildebrandt et al.
2013) oder der textuellen Notation DPIL (Zeising et al.
2014) konnte die Akzeptanz des deklarativen Modellierungsansatzes nicht erhöhen. Insbesondere die vielen verschiedenen Beziehungen zwischen Prozessschritten mit unterschiedlicher Semantik haben zu erheblichen Verständnisproblemen geführt.
Schließlich haben wir vorgeschlagen, eine Mischung aus CMMN und DMN für die Modellierung des komplexen Anwendungsszenarios zu verwenden. Unsere Erfahrungen mit dem Einsatz dieser Technologien sind ambivalent. Die folgende Diskussion gliedert sich in zwei Teile: Der erste Teil befasst sich mit der funktionalen und verhaltensbezogenen Perspektive eines Prozessmodells, während der zweite Teil Daten, die organisatorischen und die operativen Fragmente einer Prozessbeschreibung behandelt.
-
Die Praktiker kommen mit der Darstellung von Aufgaben innerhalb eines CMMN-Cases recht gut zurecht. Auch verstehen sie, wie Aufgaben innerhalb eines Falles miteinander verbunden sind und wie Entscheidungen durch die DMN-Sprache modelliert werden. Dennoch fühlen sie sich mit den vielen verschiedenen Symbolen und Begriffen (z. B. Stage, Sentries, Milestones, Tags) überfordert.
-
Im Gegensatz zu den recht positiven Erfahrungen bezüglich der Modellierung der funktionalen und verhaltensbezogenen Perspektive haben die Anwender enorme Probleme mit der organisatorischen, operativen und der Datenperspektive. Ähnlich wie bei den Erfahrungen mit BPMN-Prozessmodellen (Abschn.
3.1) besteht in der Fachpraxis ein starker Bedarf an leistungsfähigen Prozessmodellierungselementen für diese Perspektiven. So ist es z. B. von großer Bedeutung zu beschreiben, welche Organisationseinheiten und Bearbeiter für die einzelnen Aufgaben zuständig sind. Darüber hinaus müssen insbesondere für den technischen Teil des Gesamtprozesses Werkzeuge, Dienste und Systeme spezifiziert werden können, die für die Durchführung der verschiedenen Aufgaben erforderlich sind.
Da der prinzipielle Ansatz der deklarativen Prozessmodellierung durchaus akzeptabel zu sein scheint, ist es bedauerlich, dass er keine „Marktreife“ erreicht hat. Wir führen dies auf die überfrachtete Notation dieser Sprachen und die fehlenden Modellierungsmöglichkeiten für die organisatorische, operative und datenbezogene Perspektive zurück. Camunda
7 stimmt mit dieser Beobachtung überein, wobei im zitierten Block vor allem die ungewöhnliche Art der Modellierung als Grund für die Ablehnung von CMMN genannt wird. Ähnlich den Erfahrungen von Camunda mussten wir auch in unserem Projekt auf eine
normale BPMN-Modellierung für die obigen Szenarien übergehen, obwohl dabei völlig unübersichtliche Prozessmodelle entstanden, da die oben genannten komplexen Entscheidungsprozesse modelliert werden mussten. Die Verwendung von DMN-Tabellen bildet nur einen kleinen Teil der benötigten Aspekte ab. DMN-Tabellen vereinfachen vielschichtige Entscheidungspunkte, bilden jedoch kein Verhalten, keine Organisationsbeziehungen und Beziehungen bzw. zeitliche Abhängigkeiten zwischen Prozessschritten ab und sind daher als ganzheitliche Prozessmodellierungssprache nicht verwendbar.
3.3 Außendienst und ortsbezogene Prozesse
Außendienstprozesse sind ein wesentlicher Bestandteil vieler Branchen, darunter Telekommunikation, Fertigung, Handwerk, Versorgungsunternehmen und Gesundheitswesen. Sie umfassen verschiedene Aktivitäten wie Installation, Wartung, Reparatur und Inspektion, die von Außendiensttechnikern beim Kunden vor Ort durchgeführt werden. Trotz ihrer entscheidenden Rolle bei der Sicherstellung einer qualitativ hochwertigen Leistungserbringung und der Kundenzufriedenheit werden Außendienstprozesse im Vergleich zu anderen Arten von Prozessen bislang nur wenig untersucht.
Die zunehmende Komplexität von Außendienstprozessen, die durch den raschen technologischen Fortschritt und aufgrund wachsender Kundenerwartungen bedingt ist, motiviert eine systematische und umfassende Modellierung und Implementierung dieser Prozesse. Außendiensttätigkeiten sind ressourcenintensiv und verursachen Kosten für Personal, Transport und Ausrüstung. Das Aufkommen neuer Technologien wie das Internet der Dinge (IoT) und Augmented Reality (AR) hat den technischen Kontext eines Außendienstes verändert. Die Integration dieser Technologien in die Prozesse des Außendienstes erfordert ein tieferes Verständnis der betrieblichen Perspektiven. Eine alternde Belegschaft und ein Mangel an qualifizierten Technikern stellen die Außendienstbranche ebenfalls vor Herausforderungen. Ein umfassendes Geschäftsprozessmodell für Außendienstaktivitäten hilft Unternehmen, ihre Mitarbeiter besser zu steuern, indem sie Bereiche für Schulungen identifizieren, die Ressourcenzuweisung verbessern und somit die Gesamtproduktivität steigern. In Anbetracht dieser Faktoren besteht ein dringender Bedarf an einem systematischen Ansatz zur Modellierung der betrieblichen Perspektive für Prozesse des Außendienstes.
Ein interessanter Prozess im Rahmen von Außendienstaktivitäten ist Untersuchungsgegenstand im praxisorientierten Forschungsprojekt TRADEmark
8 mit drei Partnern aus dem Handwerk neben wissenschaftlichen Projektpartnern. Ziel des Projekts ist die systematische digitale Unterstützung von Außendienstprozessen in Handwerksbetrieben auf der Basis prozessorientierter Informationssysteme. Eine systematische Erfassung und Modellierung der betrieblichen Prozesse der beteiligten Unternehmen ist die Grundlage für die Implementierung eines BPMS für den Außendienst.
Für die Erstellung verständlicher und technisch umsetzbarer Prozessmodelle wird ein BPMN-basierter Modellierungsansatz gewählt. In Diskussionen und Workshops mit den Projektpartnern kristallisiert sich insbesondere eine starke Fokussierung auf zwei Perspektiven der Prozessmodellierung heraus, die in bestehenden Ansätzen bisher wenig oder gar nicht berücksichtigt wurden: (i) die operationale Perspektive, d. h. (manuell zu benutzende) Werkzeuge, die für eine bestimmte Aufgabe eingesetzt werden, und (ii) die ortsbezogene Perspektive, d. h. die Berücksichtigung der Verortung von Entitäten durch den Kontrollfluss innerhalb eines Prozesses und bei der Aufgabenzuweisung.
Bei der Untersuchung der Anforderungen an die betriebliche und standortbezogene Perspektive von Prozessen in Handwerksbetrieben zeigen sich einige kritische Punkte:
-
Außendienstprozesse werden geprägt durch einen starken Fokus auf Werkzeuge, die für bestimmte Aufgaben eingesetzt werden (z. B. Bohrer, Spezialzangen). Für die beteiligten Unternehmen besteht die Herausforderung darin, Aufgaben mit bestimmten Werkzeugen zu verknüpfen, um den Handwerkern, die für die Ausführung der Prozessschritte ausgewählt werden, entsprechende Empfehlungen geben zu können. BPMN bietet keine Möglichkeiten, diese Anforderungen in ein Prozessmodell einzubringen. BPMN unterscheidet hinsichtlich der operativen Perspektive nur zwischen verschiedenen Aufgabentypen, z. B. Service Task, Human Task. Hilfsmittel oder konkrete Werkzeuge können nicht deklariert werden. Die technischen Möglichkeiten des IoT bieten die Chance, solche Hilfsmittel digital zu identifizieren, z. B. mit Hilfe von RFID-Sensoren. Eine Brücke zwischen IoT-Middleware und Prozessmanagementsystem könnte daher Daten zwischen den Systemen austauschen und so automatisch zwischen ungeeigneten und passenden Werkzeugen unterscheiden.
-
Mobile und ortsverteilte Prozesse umfassen typischerweise mehrere Prozessteilnehmer, die an verschiedenen Orten an aufeinander folgenden Aufgaben arbeiten (z. B. ein Handwerksbetrieb mit mehreren Handwerkern, welche auf verschiedenen Baustellen arbeiten). Wir betrachten beispielhaft einen mobilen verteilten Prozess, bei dem Handwerker zu Kunden fahren, um defekte Heizungen zu ersetzen. Hier sollten standortbezogene Daten genutzt werden, um z. B. den Reparaturauftrag und die dazugehörigen Aufgaben demjenigen Handwerker zuzuweisen, der sich am nächsten zum Standort des Kunden befindet. Die meisten Forschungen im Bereich BPM haben sich jedoch nur mit Aspekten der Ortskenntnis befasst, wie z. B. Prozessanpassung, Prozessmodellierung und Mining (Dörndorfer and Seel
2018; Behkamal et al.
2022), oder mit Managementaspekten kontextbezogener Prozesse (Hallerbach et al.
2008; Rosemann et al.
2008). Die Implementierung eines lauffähigen Systems auf der Basis von Standardnotationen wie BPMN zur Erfassung und Verarbeitung von Standortdaten ist nicht bekannt. Insbesondere die Zuordnung von konkreten Nutzern zu Aufgaben in BPMN auf Basis von Standortdaten ist nach Kenntnis der Autoren ebenfalls noch ein offenes Forschungsthema (Poss and Schönig
2023) und wurde in einer eigenen Arbeit (Poss et al.
2023) kürzlich eingeführt. Auch hier gilt, dass Echtzeit-Standortdaten von IoT-Geräten, die durch Prozessmanagement-Technologie genutzt werden, Unternehmen helfen, effizientere, effektivere und nachhaltigere Prozesse zu implementieren.
Welche Schlussfolgerungen können wir aus den oben geschilderten Erfahrungen ziehen? Es zeigt sich, dass wichtige Aspekte räumlich verteilter Prozesse in Sprachen zur Prozessmodellierung bisher nur unzureichend berücksichtigt wurden. Es fehlt an praktischen Notationen für ortsbezogene Kontexte wie beispielsweise die ortsbezogene Aufgabenzuweisung. Auch wenn die Forschung das breite Spektrum der Möglichkeiten des IoT für BPM erkannt hat, fehlen sowohl Modellierungselemente als auch Systemunterstützung für die Verknüpfung von Non-IT-Tools und Prozessmanagement. Aus unserer Sicht empfiehlt es sich darüber hinaus, für die praxisorientierte Prozessmodellierung eine aussagekräftige operative Perspektive in bestehende Modellierungssprachen zu integrieren.
3.4 Produktionsprozesse und Industrial IoT Security Management
Produktions- oder Fertigungsprozesse bilden den Kern verschiedener Branchen und umfassen eine Vielzahl von Aktivitäten wie Materialhandhabung, Montage, Bearbeitung, Qualitätskontrolle und Verpackung. Diese Prozesse sind unerlässlich für die Herstellung von Waren und Dienstleistungen, die den Kundenanforderungen entsprechen und gleichzeitig betriebliche Effizienz und Kosteneffizienz gewährleisten. In den letzten Jahren hat sich die Fertigungslandschaft aufgrund der Globalisierung, des technologischen Fortschritts und der steigenden Kundenanforderungen stark verändert, so dass ein effizientes Management dieser Prozesse wichtiger denn je ist.
Der Einsatz von Prozessmanagement in der Fertigung kann Unternehmen zahlreiche Vorteile bieten und ihre Wettbewerbsfähigkeit und Produktivität steigern und gleichzeitig einen erhöhten Sicherheitsstandard gewähren. BPM ermöglicht es Unternehmen, Fertigungsprozesse zu analysieren und zu visualisieren und ermöglicht somit, Ineffizienzen, Engpässe und Sicherheitsprobleme zu erkennen. Darüber hinaus gelten in der verarbeitenden Industrie oft strenge gesetzliche Vorschriften und Branchenstandards wie ISO 9001 oder Six Sigma. BPM unterstützt Unternehmen bei der Einhaltung solcher Vorschriften, indem Prozesse dokumentiert, Rollen und Verantwortlichkeiten definiert und standardisierte Verfahren eingeführt werden.
Betrachten wir den Sicherheitsaspekt speziell in Fertigungsunternehmen genauer. Der folgende Anwendungsfall aus dem Projekt INSIST
9 mit Partnern aus der produzierenden Industrie befasst sich mit diesem Aspekt. Ziel des Projektes ist u. a. die prozessorientierte Erfassung der am Prozess beteiligten Entitäten, d. h. Maschinen, Komponenten und Menschen, sowie deren Sicherheitsanforderungen. Das Industrial IoT (IIoT), also die Integration von IoT-Technologien in Produktionsumgebungen, bietet zwar neue Chancen, hat aber auch seine Schattenseiten. Die Konnektivität und IT-Integration industrieller Komponenten schafft neue Möglichkeiten für Angreifer, Prozesse zu infiltrieren, zu stören oder böswillig zu verändern. Aufgrund der neuen Möglichkeiten und der damit verbundenen Gefahren erfordert Cybersicherheit in IIoT-Umgebungen besondere Aufmerksamkeit. Es gibt Bestrebungen der EU, die Umsetzung von Sicherheitsmaßnahmen, wie z. B. IEC62443, EU-weit als Standard zu etablieren. Um die Sicherheit in industriellen Prozessen von vornherein berücksichtigen zu können, ist ein umfassender Modellierungsansatz notwendig, der auch die Sicherheitsanforderungen in IIoT-Prozessen abdeckt. Dabei ist es für ein sinnvolles und nachhaltiges Sicherheitsmanagement entscheidend, die Unternehmensressourcen, ihre betrieblichen Abläufe und ihren Informationsbedarf zu kennen und zu definieren. Darauf aufbauend können Risiken identifiziert, Schutzmaßnahmen ergriffen und Sicherheitsvorfälle überwacht werden. Vor diesem Hintergrund bietet die Disziplin des BPM zahlreiche etablierte Methoden, Konzepte und Technologien zur systematischen Modellierung betrieblicher IIoT-Prozesse, die auch zur Verbesserung der Sicherheit genutzt werden können. Während die Integration von IoT- und BPM-Technologie im Allgemeinen bereits erforscht ist, stellt die Verknüpfung von BPM mit Sicherheitsaspekten eine bisher ungenutzte Quelle zur Verbesserung der Cybersicherheit in produzierenden Unternehmen dar.
Ausgehend von diesen Überlegungen und den Anforderungen ergeben sich folgende Probleme bei der Modellierung sicherheitsrelevanter Aspekte:
-
Eine formal definierte Notation wie BPMN kann eine Grundlage für die Umsetzung eines BPM-basierten Security-by-Design-Ansatzes bieten. Da jedoch die IIoT-Sicherheitsanforderungen aus dem IEC-62443-Standard noch nicht von dieser Notation unterstützt werden, fehlt eine Methode, diese Sicherheitsanforderungen und mögliche Schutzmaßnahmen entsprechend darzustellen. Während für Sicherheitsaspekte im klassischen IT-Bereich bereits einige Beschreibungssprachen existieren, fehlt noch ein spezialisierter Ansatz für das IIoT mit seinen einzigartigen Anforderungen der industriellen Betriebstechnik (Hornsteiner et al.
2022).
-
Die wachsende Bedeutung von IIoT ist bereits erkannt worden und damit auch das Fehlen einer Modellierungssprache zur Darstellung IIoT-bewusster Prozesse (Meyer et al.
2015). Das umfangreiche EU-geförderte Forschungsprojekt
Internet of Things Architecture (IoT-A)10 entwickelte dazu eine umfassende BPMN-Erweiterung, die Sensoren, IIoT-spezifische Aufgaben und Cloud-Geräte abdeckt (Meyer et al.
2013,
2015). Für unser Projekt wollen wir diese Forschungsergebnisse nutzen, um die Fertigungsprozesse der beteiligten Praxispartner zu modellieren. Die entwickelten Forschungsergebnisse und Artefakte werden jedoch weder auf den Webseiten der Projekte noch auf öffentlichen Webseiten der EU veröffentlicht. Auch sehen wir keine Bestrebungen, die Ergebnisse dieses umfangreichsten Projekts in einen Standard oder ein Werkzeug zu übernehmen.
Aus den Erfahrungen, die in diesem Projekt gesammelt worden sind, können wir sehr ähnliche Schlussfolgerungen ziehen, wie sie zuvor diskutiert wurden. Aufgrund der zunehmenden Verschmelzung von IT und Betriebstechnik besteht ein dringender Bedarf an Prozessmanagement für den IIoT-Sektor. Hier konzentrieren wir uns auf die Sicherheitsperspektive, die heutzutage einer der wichtigsten Aspekte des Softwaremanagements ist. Es ist jedoch zu wenig Aufwand zu beobachten, um diesen Aspekt so zu entwickeln, dass er bequem in Prozessmanagementsystemen genutzt werden kann. Der in Hornsteiner and Schönig (
2023) entwickelte Ansatz stellt eine erste Möglichkeit dar, BPMN als Sicherheitsmanagement-Tool im IIoT zu nutzen.