Management operationaler IT- und Prozess-Risiken (eBook)

Karlheinz Thies, geb. 1952, studierte Informatik an der Fachhochschule in Dortmund. Danach war er in unterschiedlichen Firmen als Projektmitarbeiter, Projektleiter, Teamleiter und Geschäftsführer tätig, wobei seine Aufgaben immer bereichsübergreifend waren oder sogar das Gesamtunternehmen betraf. Im Rahmen seiner Tätigkeit bei einer Großbank beschäftigte er sich seit 1994 mit dem Themen IT-, RZ-Sicherheit und Notfallplanung. Er übernahm im „Y2K-Projekt" das Thema „Notfall- und Kontinuitätsplanung" für den Rollover. Danach hatte er die Projektleitung für das Projekt „Notfall- und Kontinuitätsmanagement". In diesem Projekt wurden Methoden und Verfahren entwickelt und in der Praxis angewandt, wobei die Risikoanalyse operationaler IT-Risiken und die Vorgehensweise bei Notfall- und Katastrophenübungen zu erwähnen sind. Fusionsbedingt änderte sich der Schwerpunkt der Projektarbeit 2002 mehr in die Richtung technischer IT- Sicherheit, wobei hier entsprechende IT-Policies entwickelt und in Kraft gesetzt wurden. Danach wechselte Herr Thies zu einer neu gegründeten Wertpapierabwicklungsbank, wo er die Aufgabe eines Teamleiters „Sicherheit Gesamtbank" übernahm. Seit 2003 ist Herr Thies als Unternehmensberater tätig und hat seit 2004 eine stetige Lehrtätigkeit an zwei Fachhochschulen übernommen, wo er Vorlesungen über Projekt- und Qualitätsmanagement hält.

Vorwort 6
Inhalt 8
Einführung 13
IT-Sicherheitspolicy 14
2.1 Einordnung der IT-Sicherheitspolicy 14
2.2 Definition des Geltungsbereichs 14
2.3 Sicherheitsgrundsätze 15
2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel 15
2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung 15
2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein 16
2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten 16
2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards 17
2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes 17
2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur 18
2.4 Verantwortlichkeiten 18
2.4.1 Geschäftsführung und Management 18
2.4.2 Sicherheitsorganisation 19
2.4.3 Mitarbeiter 21
2.5 Umsetzung 21
2.5.1 Sicherheitsarchitektur 21
2.5.2 Aufgabengebiete 23
2.5.3 Kontrolle 23
Operationale Risiken 25
3.1 Grundbetrachtung der operationalen Risiken 25
3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen? 25
3.1.2 Übersicht Risiken 26
3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben 28
3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB) 28
Aufbau eines Managements operationaler IT- Risiken 31
4.1 IT-Risikobetrachtung über ein Schichtenmodell 31
4.2 Welche Sicherheit ist angemessen? 32
4.3 Grobe Vorgehensweise für ein Risikomanagement 33
4.3.1 Das „operationale Risiko“ 33
4.3.2 Aktualisierung der Werte des operationalen Risikos 33
4.3.3 Rollierender Report „Operationales Risiko“ 34
4.4 Rahmen für Risikoeinschätzung operationaler Risiken 34
4.4.1 Definitionen 34
4.4.2 Schutzbedürftigkeitsskalen 36
4.4.3 Feststellung des Schutzbedarfs 40
4.4.4 Qualitative Risikoeinschätzung einzelner Produkte 40
4.4.5 Quantitative Risikoeinschätzung eines Produktes 44
4.4.6 Steuerung der operationalen Risiken 45
4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene 46
4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio 47
4.4.9 Risikobewältigungsstrategien 48
4.5 Risikomanagement operationaler Risiken 48
Strukturierte Risikoanalyse 50
5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA 50
5.1.1 Übersicht 50
5.1.2 Kurzbeschreibung der Methode 51
5.1.3 Begriffsbestimmung 52
5.1.4 Anwendung der Methode FMEA 53
5.2 Strukturierte Risikoanalyse (smart scan) 61
5.2.1 Generelle Vorgehensweise 61
5.2.2 Übersicht über die Klassifizierung und Einschätzung 62
5.2.3 Feststellung des Schutzbedarfs 63
5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen 63
5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur 65
5.2.6 Ermittlung des Gesamtschutzbedarfs 67
5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur 68
5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen 70
5.2.9 Feststellung der Risikovorsorge 72
5.2.10 Feststellung des Risikos 73
5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA 73
5.2.12 Überführung der Bewertung in die FMEA 74
Das IT-Security & Contingency Management
6.1 Warum IT-Security & Contingency Management?
6.2 Risiken im Fokus des IT-Security & Contingency Managements
6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements
6.3.1 Zuständigkeiten 77
6.3.2 Aufbauorganisation 78
6.3.3 Teamleitung IT-Security & Contingency Management
6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur
6.3.5 Rolle: Contingency Management Fachbereichsbetreuung 79
6.3.6 Rolle: IT-Risikosteuerung 80
6.3.7 Schnittstellen zu anderen Bereichen 80
6.3.8 Besondere Aufgaben 83
6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements
IT-Krisenorganisation 90
7.1 Aufbauorganisation des IT-Krisenmanagements 90
7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe 90
7.2.1 Operativer Krisenstab 91
7.2.2 Strategischer Krisenstab 92
7.3 Verhältnis zwischen den beiden Krisenstäben 92
7.4 Zusammenkunft des Krisenstabs (Kommandozentrale) 92
7.5 Auslöser für die Aktivierung des Krisenstabs 93
7.6 Arbeitsaufnahme des operativen Krisenstabs 96
7.6.1 Bilden von Arbeitsgruppen 97
7.6.2 Unterlagen für den Krisenstab 99
7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen 103
7.7.1 Brand 103
7.7.2 Wassereinbruch 104
7.7.3 Stromausfall 104
7.7.4 Ausfall der Klimaanlage 104
7.7.5 Flugzeugabsturz 104
7.7.6 Geiselnahme 104
7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden 104
7.7.8 Ausfall des Host, des Rechenzentrums 105
7.7.9 Verstrahlung, Kontamination, Pandemie 105
7.7.10 Sabotage 106
7.7.11 Spionage 106
Präventiv-, Notfall-, K-Fall-Planung 107
8.1 Präventiv- und Ausfallvermeidungsmaßnahmen 107
8.1.1 Generelle Vorgehensweise 107
8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern 108
8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern 108
8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen 109
8.1.5 Praktische Umsetzung und Anwendung 109
8.1.6 Bestehende Grundsicherheit in technischen Räumen 109
8.1.7 Maßnahmen in der Projektarbeit 110
8.1.8 Maßnahmen in der Linienaufgabe 110
8.1.9 Verfügbarkeitsklasse 110
8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen 112
8.1.11 Versicherung 112
8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen 112
8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen 114
8.2 Notfall- und Kontinuitätspläne 115
8.2.1 Inhalte des Notfallhandbuches 115
8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang) 115
8.2.3 Ziele des Notfallhandbuches 116
8.2.4 Praktische Anwendung und Umsetzung 116
8.2.5 Notfall- und K-Fall-Übungen 120
8.2.6 Notfallübungen 122
8.2.7 K-Fall-Übungen 129
Anhang 136
A.1 Begriffsdefinitionen Sicherheit 136
A.2 Checkliste: Organisation der IT-Sicherheit 138
A.3 Checklisten für innere Sicherheit 139
A.4 Checklisten für äußere Sicherheit 139
A.5 Checkliste Mitarbeiter 140
A.6 Checkliste Datensicherung 140
A.7 Checkliste Risikoanalyse und Sicherheitsziele 141
A.8 Mustervorlage E-Mail-Richtlinien 141
I. Gegenstand und Geltungsbereich 141
II. Verhaltensgrundsätze 142
III. Einwilligung und Vertretungsregelung 143
IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail 143
A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements 144
Abkürzungsverzeichnis 145
Abbildungsverzeichnis 147
Tabellenverzeichnis 149
Literatur- und Quellenverweise 151
Index 153