IT-Risikomanagement

Herr Holger Seibold, Dipl. Betriebswirt und stv. Direktor, IT-Risikomanager bei der LBBW ist für die Konzeption und Einführung eines Risikomanagementsystems im Bereich IT/Organisation inkl. eines unternehmensweiten IT-Krisenmanagements verantwortlich.

'1;Inhaltsverzeichnis;6
2;Vorwort;10
3;Einleitung;12
4;1 Definition von IT-Risikomanagement;16
4.1;1.1 Grundlegende Definitionen;18
4.1.1;1.1.1 Risiko;18
4.1.2;1.1.2 Operationelle Risiken;20
4.1.3;1.1.3 IT-Risiko;22
4.1.4;1.1.4 Risikomanagement;22
4.1.5;1.1.5 Risikoszenario;23
4.1.6;1.1.6 Risikopotenzial;24
4.1.7;1.1.7 Gefahr;24
4.1.8;1.1.8 Schaden;24
4.1.9;1.1.9 IT-Notfall/Krisenfall;25
4.2;1.2 Kategorisierung von Risiken;26
4.2.1;1.2.1 Ursachen-/Wirkungsprinzip;26
4.2.2;1.2.2 Zeiträume;30
4.2.3;1.2.3 Risikoeigenschaften;32
4.2.4;1.2.4 Spezielle Kategorisierung von IT-Risiken;37
4.3;1.3 Generische Risikostrategien;41
4.3.1;1.3.1 Risikovermeidung;41
4.3.2;1.3.2 Risikoreduzierung;42
4.3.3;1.3.3 Risikodiversifikation/-konzentration;42
4.3.4;1.3.4 Risikoübertragung;43
4.3.5;1.3.5 Risikotransformation;43
4.3.6;1.3.6 Risikoakzeptanz;44
4.4;1.4 Themenabgrenzung;44
4.4.1;1.4.1 IT-Security;44
4.4.2;1.4.2 Service Level Management;45
4.4.3;1.4.3 Qualitätsmanagement;46
4.4.4;1.4.4 IT-/Projektcontrolling;47
4.4.5;1.4.5 Management operationeller Risiken im Unternehmen;48
4.4.6;1.4.6 Interne Revision;49
4.4.7;1.4.7 Geschäftsrisiko und Ineffizienz;50
4.5;1.5 Exemplarische Schadensfälle;51
4.5.1;1.5.1 IT-Katastrophe bei der Danske Bank;51
4.5.2;1.5.2 Gepäcktransportsystem-Desaster am Denver International Airport;53
4.5.3;1.5.3 Unterschlagungen bei Charter plc.;54
4.5.4;1.5.4 Keylogger-Attacke auf die Sumitomo Mitsui Bank;55
5;2 IT-Risikotransparenz;58
5.1;2.1 Kulturelle Voraussetzungen;58
5.1.1;2.1.1 Risikokultur;59
5.1.2;2.1.2 Fehlerkultur;62
5.1.3;2.1.3 Wissensmanagement;62
5.2;2.2 Identifizierung von IT-Risiken;67
5.2.1;2.2.1 Self-Assessment;67
5.2.2;2.2.2 Prozessanalysen;70
5.2.3;2.2.3 IT-Systemanalyse;74
5.2.4;2.2.4 Schadensfälle analysieren;74
5.2.5;2.2.5 Erfahrungsaustausch;78
5.2.6;2.2.6 Prüfungen;81
5.2.7;2.2.7 Allgemeine Bedrohungs-/Risikokataloge;82
5.2.8;2.2.8 Kreativitäts- und Bewertungstechniken;82
5.3;2.3 Risikoszenarien erarbeiten;83
5.3.1;2.3.1 Risikoszenarien definieren;84
5.3.2;2.3.2 Risikoszenarien klassifizieren;87
5.3.3;2.3.3 Risikoszenarien operationalisieren;90
5.3.4;2.3.4 Risikoszenarien qualitätssichern;96
5.3.5;2.3.5 Risikoportfolio erstellen (Riskmap);97
5.4;2.4 Bewerten von Risiken;98
5.4.1;2.4.1 Grundlegende Bewertungstechniken;99
5.4.2;2.4.2 Kausal-Analysen;106
5.4.3;2.4.3 Quantitative Ansätze;110
5.4.4;2.4.4 Detaillierte Systemrisikoanalyse;113
5.4.5;2.4.5 Einzelsystem-Restrisikoanalyse (ESRRA);117
5.4.6;2.4.6 Projektrisikoanalyse;126
5.5;2.5 Risikoindikatoren identifizieren;131
5.5.1;2.5.1 Eigenschaften von Risikoindikatoren;134
5.5.2;2.5.2 Risikoindikatorarten;137
5.5.3;2.5.3 Grenzwertdefinitionen;139
5.5.4;2.5.4 IT-Risikoindikatoren operationalisieren/aggregieren;140
5.6;2.6 Exkurs: Exemplarische Definition eines Risikoindikators;141
6;3 IT-Risikosteuerung;146
6.1;3.1 IT-Risk-Policy;146
6.1.1;3.1.1 Definition und Ziele des IT-Risikomanagements;146
6.1.2;3.1.2 Organisatorische Eingliederung des ITRisikomanagements;147
6.1.3;3.1.3 Risikoeinteilungen/-strukturen;149
6.1.4;3.1.4 IT-Risikostrategie;150
6.1.5;3.1.5 Methoden des IT-Risikomanagements;157
6.2;3.2 Managementtechniken;158
6.2.1;3.2.1 IT-Risikoportfoliosteuerung;159
6.2.2;3.2.2 Balanced Scorecard;164
6.3;3.3 Risikoreduzierungsmaßnahmen;173
6.3.1;3.3.1 IT-Architektur;174
6.3.2;3.3.2 IT-Security;177
6.3.3;3.3.3 IT-Controlling;178
6.3.4;3.3.4 IT-Projektmanagement;180
6.3.5;3.3.5 HR-Management;185
6.3.6;3.3.6 Qualitätsmanagement;188
6.3.7;3.3.7 Anwendungsentwicklung;190
6.3.8;3.3.8 RZ-Betrieb;193
6.3.9;3.3.9 Standards und Best Practices;195
6.3.10;3.3.10 Schadensmanagement;210
6.3.11;3.3.11 Outsourcing;212
6.4;3.4 Risikoprognosen;217
6.4.1;3.4.1 Elemente von Zeitreihen;217
6.4.2;3.4.2 Wirtschaftlichkeitsberechnungen für Risikoreduzierungsmaßnahmen;218
6.4.3;3.4.3 Risikoportfolioänderungen;224
6.5;3.5 Reporting der IT-Risiken;225
6.5.1;3.5.1 Rep

"Bereits das Inhaltsverzeichnis liest sich gut strukturiert, und die nachfolgenden Kapitel geben eine Rundumsicht über das Risikomanagement in der Informationstechnologie. Der Autor bezieht sich auf gängige Modelle des Risikomanagements, die sowohl in Banken als auch in anderen Bereichen Anwendung finden. Methoden und Ziele des RM werden schlüssig dargestellt; das Buch kann für Praktiker empfohlen werden. Auch für Theoretiker aus dem klassischen RM finden sich immer wieder sinnvolle Ergänzungen, die spezifische Sachverhalte aus der IT beleuchten. Obwohl die Struktur des Buchs in Teilen an eine akademisch geprägte Grundlage erinnert, wird das Lesen nicht langweilig. [...] 'IT-Risikomanagement' ist ein sehr empfehlenswerter Einstieg in die Materie. Es wäre zu hoffen, daß das Buch auch dazu beiträgt, die Fachdisziplinen 'IT' und 'Risikomanagement' zusammenzuführen." Rolf von Roessing, Rezension bei www.amazon.de (Zugriff: 11.10.2006) http://www.amazon.de/-Risikomanagement-Holger-Seibold/dp/3486580094/sr=8-9/qid=1160554751/ref=sr_1_9/028-3803700-7300510?ie=UTF8&s=books aus: Risiko Manager (17/2006, S. 16), Rezensent: Frank Romeike "Das Buch liefert insgesamt eine praxisorientierte und leicht verständliche Einführung in das IT-Riskomanagement. Es bietet insbesondere den IT-Verantwortlichen (und vor allem auch den IT-Security-Profis) einen prall gefüllten Werkzeugkasten mit Methoden aus der Welt des IT-Risikomanagements."

3.1.4 IT-Risikostrategie (S. 139) Für die Erarbeitung einer IT-Risikostrategie ist eine Klärung der grundsätzlichen Einstellung zum Risiko notwendig. Diese muss in die Risikostrategie des Unternehmens miteingebunden sein. Die Unternehmensrisikostrategie muss unter Berücksichtigung der Risikotragfähigkeit, den technisch-organisatorischen Voraussetzungen und sonstigen relevanten Unternehmenseinflüssen erfolgen.125 Es muss im Unternehmen geklärt sein bzw. werden, was für ein Risikomanagement- Stil (siehe 2.1.1) bevorzugt wird. Wie viel Risiko möchte ein Unternehmen eingehen, um bestimmte Chancen für sich zu eröffnen? Die Risikostrategie gilt es so zu formulieren, dass für alle Beteiligten ein klares Bild der Risikoaffinität des Unternehmens entsteht. Diese bildet die Basis zur Formulierung konkreter Strategieausprägungen. Für jegliche Strategieüberlegungen wird voraussichtlich mit Prämissen gearbeitet werden müssen. Diese Prämissen sind in der IT-Risikostrategie zu benennen und deren Verwendung ist zu begründen.

Oftmals wird bei der Darstellung einer Risikostrategie in einem Risikoportfolio lediglich darauf verwiesen, dass in der Riskmap eine individuelle Risikotoleranzlinie definiert werden muss. Nachfolgend soll diese Vorgehensweise konkretisiert werden. Sie stellt eine Möglichkeit dar, sich dieser Aufgabenstellung zu nähern und kann in ihren Ausprägungen den jeweiligen Gegebenheiten angepasst werden. Es wird nicht eine einzelne Risikotoleranzlinie, sondern ganze Risikotoleranzbereiche verwendet.

Die Risikotoleranzlinien/-toleranzbereiche müssen sich an der Risikotragfähigkeit des Unternehmens orientieren. Basierend auf dieser Risikotragfähigkeit ist zu klären, ab welchem Auswirkungsmaß der hochkritische Bereich für das Unternehmen beginnt. Darunter können weitere Abstufungen vorgenommen werden. Nachfolgend wird davon ausgegangen, dass es weitere Abstufungen, den kritischen und den unkritischen Bereich, gibt. Da das Rechnungswesen zumeist jahresorientiert implementiert ist, wird die Risikotragfähigkeit auf einem jährlichen Risikovolumen basierend angegeben und fließt in die Klassenskalierung des Auswirkungsmaßes mit ein (siehe 1.2.3). Die Schlussfolgerung aus der Kombination des maximalen Einzelrisikos mit dem jährlichen Risikovolumen ergibt:

- Der hochkritische Risikobereich (roter Bereich) des Unternehmens liegt in dem Bereich, in dem ein einzelner Schadensfall oder die Summe der zu erwartenden Schadensfälle p.a. (Risikovolumen) die Risikotragfähigkeit des Unternehmens erreicht/überschreitet.

- Der kritische Risikobereich (gelber Bereich) des Unternehmens liegt in dem Bereich, in dem ein einzelner Schadensfall oder die Summe der zu erwartenden Schadensfälle p.a. (Risikovolumen) die Risikotragfähigkeit des Unternehmens strapaziert.

Die Betragsdefinitionen der einzelnen Risikobereiche können unabhängig von den gebildeten Risikoklassen erfolgen. Wird auf eine Risikoklasseneinteilung verzichtet, kann die Risikotoleranzlinie als Graf einer Funktion, z.B. Eintrittswahrscheinlichkeit - Auswirkungsmaß, abgebildet werden. Grafisch wird dieser Sachverhalt in Abb. 3.2 skizziert.

Sofern bei der Risikoklassendefinition der Empfehlung gefolgt wurde, dass die höchste Risikoklasse ein existenzgefährdendes Ausmaß für das Unternehmen darstellt, kann die Risikoklassendefinition des Auswirkungsmaßes zugleich die Basis für die Risikotoleranzlinie bilden.

Bei der exemplarischen Risikoklasseneinteilung (siehe 1.2.3) würde die Klasse "katastrophales Risiko" im roten Bereich liegen. Der gelbe Bereich