IT-Risiko-Management mit System (eBook)

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Geschäftsführer der IT Risk KM Consulting GmbH sowie Dozent an der Hochschule Luzern - Wirtschaft in den Zertifikats- und Master-Studiengängen (MAS) für Information Security. Die Schwerpunkte seiner Beratertätigkeit liegen in den Bereichen IT-Risiko-Management, Geschäftskontinuitäts- und IT-Notfall-Management sowie dem Informations-Sicherheits-Management.

Vorwort zur 1. und 2. Auflage 6
Vorwort zur 3. Auflage 8
Inhaltsverzeichnis 10
Einführung 17
1.1 Warum beschäftigen wir uns mit Risiken? 17
1.2 Risiken bei unternehmerischen Tätigkeiten 18
1.3 Inhalt und Aufbau dieses Buchs 19
Teil A Grundlagen erarbeiten 21
Elemente für die Durchführung eines RisikoManagements 22
2.1 Fokus und Kontext Risiko-Management 23
2.2 Definition des Begriffs „Risiko“ 24
2.3 Anwendung Risiko-Formeln 28
2.4 Subjektivität bei Einschätzung und Bewertung der Risiken 29
2.5 Hilfsmittel zur Einschätzung und Bewertung der Risiken 30
2.5.1 Risiko-Bewertungs-Matrix 30
2.5.2 Kriterien zur Schadenseinstufung 31
2.5.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio 35
2.5.4 Risiko-Katalog 36
2.5.5 Risiko-Aggregation 37
2.6 Risiko-Organisation, Kategorien und Arten von Risiken 39
2.6.1 Bedrohungslisten 42
2.6.2 Beispiele von Risiko-Arten 42
2.7 Zusammenfassung 44
2.8 Kontrollfragen und Aufgaben 45
Risiko-Management als Prozess 46
3.1 Festlegung Risiko-Management-Kontext 48
3.2 Durchführung der Risiko-Analyse 49
3.2.1 Analyse-Arten 49
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess 52
3.2.3 “Value at Risk” als Risiko-Masszahl 54
3.2.4 Analyse-Methoden 57
3.2.5 Such-Methoden 59
3.2.6 Szenario-Analyse 60
3.3 Durchführung von Teil-Analysen 61
3.3.1 Schwächen-Analyse 61
3.3.2 Impact-Analyse 62
3.4 Risiko-Bewertung 63
3.5 Risiko-Bewältigung 64
3.6 Risiko-Überwachung, Überprüfung und Reporting 66
3.7 Risiko-Kommunikation 67
3.8 Kriterien für Prozesswiederholungen 68
3.9 Anwendungen eines Risiko-Management-Prozesses 68
3.10 Zusammenfassung 69
3.11 Kontrollfragen und Aufgaben 70
Teil B Anforderungen berücksichtigen 72
Risiko-Management, ein Pflichtfach der Unternehmensführung 73
4.1 Risiko-Management integriert in das Führungssystem 73
4.2 Corporate Governance 76
4.3 Anforderungen von Gesetzgebern und Regulatoren 78
4.3.1 Gesetz KonTraG in Deutschland 78
4.3.2 Obligationenrecht in der Schweiz 79
4.3.3 Swiss Code of best Practice for Corporate Governance 81
4.3.4 Basel Capital Accord (Basel II) 82
4.3.5 Sarbanes-Oxley Act (SOX) der USA 90
4.3.6 EuroSOX 93
4.4 Risiko-Management: Anliegen der Kunden und der Öffentlichkeit 94
4.5 Hauptakteure im unternehmensweiten Risiko-Management 95
4.6 Zusammenfassung 98
4.7 Kontrollfragen und Aufgaben 99
Risiko-Management integriert in das ManagementSystem 100
5.1 Integrierter unternehmensweiter Risiko-ManagementProzess 101
5.2 Normatives Management 103
5.2.1 Unternehmens-Politik 103
5.2.2 Unternehmens-Verfassung 104
5.2.3 Unternehmens-Kultur 104
5.2.4 Mission und Strategische Ziele 104
5.2.5 Vision als Input des Strategischen Managements 105
5.3 Strategisches Management 105
5.3.1 Strategische Ziele 107
5.3.2 Strategien 111
5.4 Strategie-Umsetzung 111
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC) 111
5.4.2 Unternehmensübergreifende BSC 116
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie 116
5.4.4 IT-Indikatoren in der Balanced Scorecard 118
5.4.5 Operatives Management (Gewinn-Management) 122
5.4.6 Policies und Pläne 122
5.4.7 Risikopolitische Grundsätze 124
5.5 Zusammenfassung 125
5.6 Kontrollfragen und Aufgaben 126
Teil C IT-Risiken erkennen und bewältigen 127
Informations- und IT-Risiken 128
6.1 Veranschaulichung der Risikozusammenhänge am Modell 128
6.2 Informationen — die risikoträchtigen Güter 130
6.3 System-Ziele für den Schutz von Informationen 132
6.4 Informations-Sicherheit versus IT-Sicherheit 135
6.5 IT-Risiko-Management, Informations-Sicherheit und Grundschutz 136
6.6 Zusammenfassung 137
6.7 Kontrollfragen und Aufgaben 137
Informations-Sicherheit und Corporate Governance 138
7.1 Management von IT-Risiken und Informations-Sicherheit 138
7.1.1 IT-Governance und Informations-Sicherheit-Governance 139
7.1.2 Informations-Sicherheit-Governance 141
7.2 Organisatorische Funktionen für Informations-Risiken 145
7.2.1 Chief Information Officer (CIO) 146
7.2.2 Chief (Information) Security Officer 146
7.2.3 IT-Owner und IT-Administratoren 148
7.2.4 Information Security Steering Committee 149
7.2.5 Checks and Balances durch Organisations-Struktur 149
7.3 Zusammenfassung 152
7.4 Kontrollfragen und Aufgaben 153
IT-Risiko-Management in der Führungs-Pyramide 154
8.1 Ebenen der IT-Risiko-Management-Führungspyramide 155
8.1.1 Risikound Sicherheits-Politik auf der Unternehmens-Ebene 155
8.1.2 Informations-Sicherheits-Politik und ISMS-Politik 156
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen 158
8.1.4 IT-Sicherheits-Architektur und -Standards 160
8.1.5 IT-Sicherheitskonzepte 163
8.2 Zusammenfassung 164
8.3 Kontrollfragen und Aufgaben 166
IT-Risiko-Management mit Standard-Regelwerken 167
9.1 Bedeutung der Standard-Regelwerke 167
9.2 Übersicht über wichtige Regelwerke 169
9.3 Risiko-Management mit der Standard-Reihe ISO/IEC 2700x 174
9.3.1 Informations-Sicherheits-Management nach ISO/IEC 27001 175
9.3.2 Code of Practice ISO/IEC 27002 182
9.3.3 Informations-Risiko-Management mit ISO/IEC 27005 186
9.4 IT-Risiko-Management mit CobiT 189
9.5 BSI-Standards und Grundschutzkataloge 196
9.6 Zusammenfassung 199
9.7 Kontrollfragen und Aufgaben 200
Methoden und Werkzeuge zum IT-RisikoManagement 201
10.1 IT-Risiko-Management mit Sicherheitskonzepten 201
10.1.1 Kapitel „Ausgangslage“ 205
10.1.2 Kapitel „Systembeschreibung und Schutzobjekte“ 206
10.1.3 Kapitel „Risiko-Analyse“ 208
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse 211
10.1.5 Kapitel „Anforderungen an die Sicherheitsmassnahmen“ 213
10.1.6 Kapitel „Beschreibung der Sicherheitsmassnahmen“ 214
10.1.7 Kapitel „Umsetzung der Sicherheitsmassnahmen“ 215
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel 217
10.2 Die CRAMM-Methode 218
10.3 Fehlermöglichkeitsund Einfluss-Analyse 224
10.4 Fehlerbaum-Analyse 226
10.5 Ereignisbaum-Analyse 231
10.6 Zusammenfassung 232
10.7 Kontrollfragen und Aufgaben 235
Kosten/Nutzen-Relationen der Risikobewältigung 239
11.1 Formel für Return on Security Investments (ROSI) 241
11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen 243
11.3 Ermittlung der Kosten der bewältigten Risiken 246
11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen 247
11.4.1 Grundzüge von Val IT 249
11.4.2 Grundzüge von Risk IT 251
11.5 Fazit zu Ansätzen der Sicherheits-Nutzen-Bestimmung 254
11.6 Zusammenfassung 254
11.7 Kontrollfragen und Aufgaben 257
Teil D Unternehmens-Prozesse meistern 258
Risiko-Management-Prozesse im Unternehmen 259
12.1 Verzahnung der RM-Prozesse im Unternehmen 259
12.1.1 Risiko-Konsolidierung 261
12.1.2 Subsidiäre RM-Prozesse 262
12.1.3 IT-RM und Rollenkonzepte im Gesamt-RM 264
12.2 Risiko-Management im Strategie-Prozess 266
12.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess 267
12.2.2 Periodisches Risiko-Reporting 270
12.3 Zusammenfassung 270
12.4 Kontrollfragen und Aufgaben 271
Geschäftskontinuitäts-Management und IT-NotfallPlanung 273
13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität 274
13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan) 275
13.1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan) 277
13.1.3 Ausweichplan (Disaster Recovery Plan) 277
13.1.4 IT-Notfall-Plan (IT Contingency Plan) 278
13.1.5 Vulnerabilityund Incident Response Plan 278
13.2 Business Continuity Mangement im Risk Management 279
13.2.1 Start Gechäftskontinuitäts-Prozess 281
13.2.2 Kontinuitäts-Analyse 282
13.2.3 Massnahmen-Strategien 285
13.2.4 Notfall-Reaktionen und Pläne 287
13.2.4.1 Krisenmanagement 287
13.2.4.2 Kriterien für Plan-Aktivierungen 291
13.2.4.3 Ressourcen und externe Abhängigkeiten 292
13.2.4.4 Plan-Zusammenstellung 293
13.2.4.5 Kommunikationskonzept 294
13.2.5 Tests, Übungen und Plan-Unterhalt 295
13.2.5.1 Tests 295
13.2.5.2 Übungsvorbereitungen und -Durchführungen 296
13.2.6 Kontinuitäts-Überwachung, -Überprüfung und -Reporting 298
13.3 IT-Notfall-Plan, Vulnerabilityund Incident-Management 299
13.3.1 Organisation eines Vulnerabilityund Incident-Managements 302
13.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess 304
13.4 Zusammenfassung 305
13.5 Kontrollfragen und Aufgaben 307
Risiko-Management im Lifecycle von Informationen und Systemen 309
14.1 Schutz von Informationen im Lifecycle 309
14.1.1 Einstufung der Informations-Risiken 309
14.1.2 Massnahmen für die einzelnen Schutzphasen 310
14.2 Risiko-Management im Lifecycle von IT-Systemen 311
14.3 Synchronisation RM mit System-Lifecycle 313
14.4 Zusammenfassung 315
14.5 Kontrollfragen und Aufgaben 316
Risiko-Management in Outsourcing-Prozessen 318
15.1 IT-Risiko-Management im Outsourcing-Vertrag 319
15.1.1 Sicherheitskonzept im Sourcing-Lifecycle 320
15.1.2 Sicherheitskonzept beim Dienstleister 324
15.2 Zusammenfassung 326
15.3 Kontrollfragen 327
Anhang 328
A.1 Beispiele von Risiko-Arten 329
A.2 Muster Ausführungsbestimmung für Informationsschutz 333
A.3 Formulare zur Einschätzung von IT-Risiken 337
A.4 Beispiele zur Aggregation von operationellen Risiken 341
A.4.1 Beispiel der Bildung eines VAR durch Vollenumeration 341
A.4.2 Beispiele für Verteilung von Verlusthöhen und Verlustanzahl 343
A.4.3 Aggregation mittels Monte-Carlo Methode 344
Literatur 345
Abkürzungsverzeichnis 351
Stichwortverzeichnis 353