IT-Risiko-Management mit System (eBook)

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent an der Hochschule für Wirtschaft HSW Luzern in den Master-Studiengängen "MAS Information Security" und "MAS Risk Management".

Vorwort 6
Inhaltsverzeichnis 8
1 Einführung 14
1.1 Warum beschäftigen wir uns mit Risiken? 14
1.2 Risiken bei unternehmerischen Tätigkeiten 15
1.3 Inhalt und Aufbau dieses Buchs 16
Teil A Grundlagen erarbeiten 19
2 Elemente für die Durchführung eines Risiko- Managements 20
2.1 Fokus und Kontext Risiko-Management 21
2.2 Definition des Begriffs „Risiko“ 22
2.3 Anwendung der Risiko-Formel 25
2.4 Subjektivität bei der Risiko-Einschätzung 26
2.5 Hilfsmittel zur Risiko-Einschätzung 26
2.5.1 Risiko-Matrix 26
2.5.2 Schadenseinstufung 28
2.5.3 Risiko-Karte und Risiko-Portfolio 30
2.5.4 Risiko-Katalog 31
2.5.5 Risiko-Aggregierung 32
2.6 Risiko-Kategorien, Risiko-Arten und Top-Down-Vorgehen 33
2.6.1 Bedrohungslisten 34
2.6.2 Beispiele von Risiko-Arten 35
2.7 Zusammenfassung 37
2.8 Kontrollfragen und Aufgaben 38
3 Risiko-Management als Prozess 40
3.1 Festlegung Risiko-Management-Kontext 42
3.2 Durchführung der Risiko-Analyse 43
3.2.1 Analyse-Arten 43
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess 45
3.2.3 Value at Risk-Methode 47
3.2.4 Analyse-Methoden 49
3.2.5 Such-Methoden 51
3.2.6 Szenarien-Analyse 52
3.3 Durchführung von Teil-Analysen 52
3.3.1 Schwächen-Analyse 52
3.3.2 Impact-Analyse 53
3.4 Risiko-Bewertung 54
3.5 Risiko-Bewältigung 55
3.6 Risiko-Kontrolle und -Reporting 57
3.7 Risiko-Kommunikation 58
3.8 Anwendungen eines Risiko-Management-Prozesses 58
3.9 Zusammenfassung 59
3.10 Kontrollfragen und Aufgaben 60
Teil B Anforderungen berücksichtigen 62
4 Risiko-Management, ein Pflichtfach der Unternehmensführung 64
4.1 Corporate Governance 65
4.2 Anforderungen von Gesetzgebern und Regulatoren 67
4.2.1 Gesetz KonTraG in Deutschland 67
4.2.2 Obligationenrecht in der Schweiz 68
4.2.3 Swiss Code of best Practice for Corporate Governance 69
4.2.4 Basel Capital Accord (Basel II) 70
4.2.5 Sarbanes-Oxley Act (SOX) der USA 73
4.3 Risiko-Management: Anliegen der Kunden und Öffentlichkeit 75
4.4 Hauptakteure im unternehmensweiten Risiko-Management 76
4.5 Zusammenfassung 79
4.6 Kontrollfragen und Aufgaben 80
5 Risiko-Management integriert in das Management- System 82
5.1 Integrativer Risiko-Management-Prozess 83
5.2 Normatives Management 85
5.2.1 Unternehmenspolitik 85
5.2.2 Unternehmensverfassung 85
5.2.3 Unternehmenskultur 86
5.2.4 Mission und Strategische Ziele 86
5.2.5 Vision als Input des Strategischen Managements 87
5.3 Strategisches Management 87
5.3.1 Strategische Ziele 89
5.3.2 Strategien 93
5.4 Strategie-Umsetzung 93
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC) 93
5.4.2 Unternehmensübergreifende BSC 98
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie 98
5.4.4 IT-Indikatoren in der Balanced Score Card 100
5.4.5 Operatives Management (Gewinn-Management) 104
5.4.6 Policies und Pläne 104
5.4.7 Risikopolitische Grundsätze 106
5.5 Zusammenfassung 107
5.6 Kontrollfragen und Aufgaben 108
Teil C IT-Risiken erkennen und bewältigen 110
6 Informations- und IT-Risiken 112
6.1 Veranschaulichung der Risikozusammenhänge am Modell 112
6.2 Informationen — die risikoträchtigen Güter 114
6.3 Systemziele für den Schutz von Informationen 116
6.4 Informations-Sicherheit versus IT-Sicherheit 118
6.5 IT-Risikomanagement, IT-Sicherheit und Grundschutz 119
6.6 Zusammenfassung 120
6.7 Kontrollfragen und Aufgaben 121
7 Informations-Sicherheit und Corporate Governance 122
7.1 Management von IT-Risiken und Informations-Sicherheit 122
7.1.1 IT-Governance und Informations-Sicherheit-Governance 123
7.1.2 Leitfaden für Informations-Sicherheit-Governance 124
7.2 Organisatorische Funktionen für Informations-Risiken 128
7.2.1 Chief Information Officer (CIO) 129
7.2.2 Chief (Information) Security Officer 129
7.2.3 Checks and Balances durch Organisations-Struktur 131
7.3 Zusammenfassung 133
7.4 Kontrollfragen und Aufgaben 134
8 IT-Risiko-Management in der Führungs-Pyramide 136
8.1 Ebenen der IT-Risiko-Management-Führungspyramide 137
8.1.1 Risiko- und Sicherheitspolitik auf der Unternehmens-Ebene 137
8.1.2 Informations-Sicherheitspolitik 138
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen 140
8.1.4 IT-Sicherheitsarchitektur und -Standards 142
8.1.5 IT-Sicherheitskonzepte 145
8.2 Zusammenfassung 146
8.3 Kontrollfragen und Aufgaben 147
9 IT-Risiko-Management mit Standard-Regelwerken 148
9.1 Bedeutung der Standard-Regelwerke 148
9.2 Wichtige Regelwerke der Informations-Sicherheit 150
9.2.1 IT-Risiko-Bewältigung mit ISO/IEC 17799 und ISO/IEC 27001 154
9.2.2 IT-Risiko-Bewältigung mit CobiT 157
9.3 Zusammenfassung 162
9.4 Kontrollfragen und Aufgaben 163
10 Methoden und Werkzeuge zum IT-Risiko- Management 164
10.1 IT-Risikomanagement mit Sicherheitskonzepten 164
10.1.1 Ausgangslage 168
10.1.2 Systembeschreibung und Schutzobjekte 169
10.1.3 Risiko-Analyse 171
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse 174
10.1.5 Anforderungen an die Sicherheitsmassnahmen 175
10.1.6 Beschreibung der Sicherheitsmassnahmen 177
10.1.7 Umsetzung der Sicherheitsmassnahmen 177
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel 179
10.2 Die CRAMM-Methode 180
10.3 Fehlermöglichkeits- und Einflussanalyse 186
10.4 Fehlerbaumanalyse 189
10.5 Ereignisbaum-Analyse 193
10.6 Zusammenfassung 195
10.7 Kontrollfragen und Aufgaben 197
Teil D Unternehmens- Prozesse meistern 202
11 Risiko-Management-Prozesse im Unternehmen 204
11.1 Verzahnung der RM-Prozesse im Unternehmen 204
11.1.1 Risiko-Konsolidierung 206
11.1.2 Subsidiäre RM-Prozesse 207
11.1.3 IT-RM im Gesamt-RM 208
11.2 Risiko-Management im Strategie-Prozess 210
11.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess 211
11.2.2 Periodisches Risiko-Reporting 214
11.3 Zusammenfassung 214
11.4 Kontrollfragen und Aufgaben 215
12 Geschäftskontinuitäts-Planung und IT-Notfall- Planung 218
12.1 Einzelpläne zur Unterstützung der Geschäft-Kontinuität 219
12.1.1 Geschäftskontiuitäts-Plan (Business Continuity Plan) 219
12.1.2 Geschäftswiedererlangungs-Plan (Business Recovery Plan) 220
12.1.3 Betriebskontinuitäts-Plan (Continuity of Operations Plan) 220
12.1.4 Notfall-Plan (Disaster Recovery Plan) 220
12.1.5 IT-Notfall-Plan (IT Contingency Plan) 221
12.1.6 Vulnerability- und Incident Response Plan 221
12.2 Geschäftskontinuitäts-Planung 222
12.2.1 Start Geschäftskontinuitäts-Plan 223
12.2.2 Bedrohungs- und Verletzlichkeits-Analyse 224
12.2.3 Geschäfts-Impact-Analyse 224
12.2.4 Problemerfassung und Lagebeurteilung 225
12.2.5 Kriterien für Plan-Aktivierungen 226
12.2.6 Ressourcen und externe Abhängigkeiten 228
12.2.7 Zusammenstellung Kontinuitäts-Plan 228
12.2.8 Kommunikationskonzept 230
12.2.9 Tests, Übungen und Plan-Unterhalt 231
12.3 IT-Notfall-Plan, Vulnerability- und Incident-Management 233
12.3.1 Organisation eines Vulnerability- und Incident-Managements 235
12.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess 238
12.4 Zusammenfassung 239
12.5 Kontrollfragen und Aufgaben 241
13 Risiko-Management im Lifecycle von Informationen und Systemen 242
13.1 Schutz von Informationen im Lifecycle 242
13.1.1 Einstufung der Informations-Risiken 242
13.1.2 Massnahmen für die einzelnen Schutzphasen 243
13.2 Risiko-Management im Lifecycle von IT-Systemen 244
13.3 Synchronisation RM mit System-Lifecycle 246
13.4 Zusammenfassung 248
13.5 Kontrollfragen und Aufgaben 249
14 Sourcing-Prozesse 252
14.1 IT-Risiko-Management im Outsourcing-Vertrag 253
14.1.1 Sicherheitskonzept im Outsourcing-Lifecycle 255
14.1.2 Sicherheitskonzept im Insourcing-Lifecycle 258
14.2 Zusammenfassung 260
14.3 Kontrollfragen 261
Anhang 263
A.1 Beispiele von Risiko-Arten 264
A.2 Muster Ausführungsbestimmung für Informationsschutz 268
A.3 Formulare zur Einschätzung von IT-Risiken 272
Literatur 276
Abkürzungsverzeichnis 280
Stichwortverzeichnis 282
Geleitwort 294

7 Informations-Sicherheit und Corporate Governance (S. 109-110)

Zum IT-Risiko-Management gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen. Im Teil B dieses Buches haben wir bereits die Anforderungen eines Unternehmens-Risiko-Managements aus der Sicht der Corporate- Covernance behandelt. Bevor wir uns nun den Inhalten, Methoden und Verfahren des IT-Risiko-Managements widmen, halten wir fest, wo das für ein Unternehmen immer wichtiger werdende IT-Risiko-Management im Verhältnis zur Disziplin „ITSicherheit" zu positionieren ist. Weiter werden die für ein IT-Risiko-Management wesentlichen Aspekte der IT-Governance und Informations-Sicherheits- Governance aufgezeigt. Management von IT-Risiken und Informations-Sicherheit Aus der Sicht „IT-Sicherheit" gilt es festzuhalten, dass hundertprozentige Sicherheit nicht möglich ist.

Um über die Höhe der Sicherheit überhaupt eine Aussage machen zu können, kommt das Risiko als ein Mass für die „Unsicherheit" zur Anwendung. Aussagen über das Mass der nicht erreichten Sicherheit machen zu können, wird umso wichtiger, wenn es darum geht, die Kosten von Massnahmen gegen ihren Nutzen, sprich Risiko- Verminderung, abzuwägen. Werden Budgets für Sicherheitsmassnahmen bei der Geschäftsleitung eines Unternehmens beantragt, dann sind die Massnahmenkosten vermehrt mit dem zu erzielenden Nutzen zu begründen. Bei der Nutzen-Argumentation genügt meist eine Erläuterung der vorhandenen Bedrohungen nicht, sondern es müssen anhand von Szenarien die eingeschätzten und nach unternehmesspezifischen Kriterien bewerteten Risiken aufgezeigt werden können.

Der Prozess der IT-Sicherheit im Unternehmen wird damit zum Risiko-Management-Prozess und beginnt bei der Identifikation und Einschätzung der für das Unternehmen relevanten Risiken. Auch der Umgang mit IT-Risiken, z.B. wie hohe Restrisiken toleriert und inwieweit und in welcher Art die Massnahmen ergriffen werden, fallen in die Prozess-Schritte „Risiko-Bewertung" und der Definition von „Bewältigungsstrategien" (s. Kapitel 3). In der Realität hat also die Disziplin „Informations-Sicherheit" nicht die Aufgabe „Sicherheit per se" zu erzeugen, sondern die zum Teil wechselnden Risikosituationen im Zusammenhang mit Informationen in einem ständigen Prozess festzustellen und den Umständen entsprechend angemessen zu bewältigen. Aus den strategischen Optionen „Risiken verhindern", „- reduzieren", „-transferieren" oder „- selbst tragen" wird klar, dass das ITRisiko- Management, wie auch jedes andere Risiko-Management, in einem Unternehmen nicht die alleinige Aufgabe einer Fachabteilung sein kann, sondern eine strategische Aufgabe des Unternehmens ist.

IT-Risiko-Management ist somit ein integraler Teil guter Corporate Governance und Management-Praxis und leitet sich von den Wertvorstellungen, der Politik, den Strategien und Zielen des Unternehmens ab. Dies schliesst nicht aus, dass IT-Risiko- Management unmittelbar an den einzelnen Objekten (z.B. an den Informationenbeständen, Systemen, Handlings, Prozessen, Projekten), durchgeführt werden muss und dort Teil der Disziplin „IT-Sicherheit" ist. Doch kann die Frage über das notwendige Mass an Sicherheit letztlich nur über das eingeschätzte und im Kontext bewertete Risiko beantwortet werden. Die Leistung der „IT-Sicherheit" äussert sich daher vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten ITRisiko- Management, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. IT-Governance und Informations-Sicherheit-Governance Das IT-Governance Institut, gegründet durch die „Information and Systems Audit and Control Association" (ISACA) widmet sich der IT-Governance, indem es Richtlinien, Frameworks und Berichte erstellt sowie Befragungen zum aktuellen Stand der ITGovernance durchführt.