Praxisorientiertes IT-Risikomanagement (eBook)

Konzeption, Implementierung und Überprüfung
eBook Download: EPUB
2019 | 2. Auflage
452 Seiten
dpunkt (Verlag)
978-3-96088-743-0 (ISBN)

Lese- und Medienproben

Praxisorientiertes IT-Risikomanagement -  Matthias Knoll
Systemvoraussetzungen
46,90 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
IT wird immer öfter zum Enabler für neue Geschäftsmodelle. Diese Entwicklung eröffnet einerseits eine Vielzahl neuer Chancen, bringt andererseits aber auch neuartige Risiken mit sich, da die Abhängigkeit von der IT steigt und die Komplexität zunimmt. Damit Chancen optimal genutzt werden können, ist ein integriertes IT-Risikomanagement notwendig. Es führt alle Fachdisziplinen, die bereits Risiken im IT-Kontext betrachten und behandeln, für eine bestmögliche Risikobeherrschung mit der IT zusammen. Das Buch beschreibt praxisorientiert und systematisch die Grundlagen sowie Organisationsstrukturen und Elemente des IT-Risikomanagementprozesses. Dabei werden gängige Methoden und Dokumente sowie der Einsatz von Werkzeugen anhand von zahlreichen Beispielen aus der Praxis erläutert. Ein Schwerpunkt liegt auf der schrittweisen Einführung und konsequenten Umsetzung des IT-Risikomanagements in IT-Projekten und im Betrieb in allen Organisationen, gleich welcher Größenordnung. Darüber hinaus gibt der Autor Antworten auf aktuelle Fragen zum Umgang mit Risiken aus Virtualisierung, Cloud Computing oder dem Einsatz von Geräten fu?r das Internet der Dinge. Handlungsempfehlungen, Praxishinweise, Checklisten und Vorlagen geben Anregungen, wie IT-Risikomanagement operativ umgesetzt werden kann. Der Anhang des Buches enthält u.a. eine Übersicht u?ber Normen, Standards und weitere Vorgaben fu?r das IT-Risikomanagement sowie ein Glossar. Die 2. Auflage wurde komplett überarbeitet und um Themen wie DevOps/DevSec, Schatten-IT, Industrie 4.0 und datenbasierte Geschäftsmodelle erweitert.

Prof. Dr. Matthias Knoll, CISA, ist Professor für Betriebswirtschaftslehre an der Hochschule Darmstadt. Sein Spezialgebiet ist die betriebliche Informationsverarbeitung mit den Schwerpunkten GRC-Management, IT-Prüfung und IT-Controlling. Er studierte an der Universität Stuttgart technisch orientierte Betriebswirtschaftslehre mit den Schwerpunkten Organisation, Wirtschaftsinformatik und Nachrichtentechnik. Im Jahr 2000 promovierte er über die Fragestellung der Abbildung und Steuerung organisationsübergreifender Geschäftsprozesse mit objektorientierten CSCW-Systemen. Es folgte bis zur Berufung an die Hochschule Darmstadt eine sechsjährige Tätigkeit im BI-Umfeld in der IT-Abteilung eines großen Finanzdienstleisters in Baden-Württemberg.

Prof. Dr. Matthias Knoll, CISA, ist Professor für Betriebswirtschaftslehre an der Hochschule Darmstadt. Sein Spezialgebiet ist die betriebliche Informationsverarbeitung mit den Schwerpunkten GRC-Management, IT-Prüfung und IT-Controlling. Er studierte an der Universität Stuttgart technisch orientierte Betriebswirtschaftslehre mit den Schwerpunkten Organisation, Wirtschaftsinformatik und Nachrichtentechnik. Im Jahr 2000 promovierte er über die Fragestellung der Abbildung und Steuerung organisationsübergreifender Geschäftsprozesse mit objektorientierten CSCW-Systemen. Es folgte bis zur Berufung an die Hochschule Darmstadt eine sechsjährige Tätigkeit im BI-Umfeld in der IT-Abteilung eines großen Finanzdienstleisters in Baden-Württemberg.

2Der Begriff Risiko


Ziel dieses Kapitels

Dieses Kapitel führt in den Begriff Risiko im Kontext des Lebenszyklus eines Informationssystems (Abb. 1–1) ein. Im Einzelnen werden die folgenden Fragen geklärt:

  • Was ist ein Risiko, was ist ein IT- und ein Informationssicherheitsrisiko, wie lassen sich solche Risiken systematisieren und klassifizieren?
  • Was sind Cyberrisiken, IT-Sicherheitsrisiken und Informationsrisiken?
  • Warum werden Ursachen und Auswirkungen separat betrachtet?
  • Was sind Bedrohungen und Schwachstellen? Warum wird hier unterschieden?
  • Welche Rolle spielt die Zeit im Kontext von Risiken?
  • Was sind Risikobewusstsein, Risikokultur, Risikoappetit und Risikopolitik?
  • Wie sieht eine Risikorichtlinie aus und wofür wird sie benötigt?

2.1Der Risikobegriff


Die betriebswirtschaftliche Literatur kennt zahlreiche Definitionen und unterschiedliche Auffassungen des Begriffs Risiko (bspw. [Königs 2017], S. 11 f., [Gabler 2019], [RiskNet 2019]). Im ISO Guide 73:2009 und weiteren, speziellen Normen, die Auswirkungen auf die IT haben, etwa beim Einsatz von IT in der Medizintechnik (ISO 14971:2007), wird Risiko als »effect of uncertainty on objectives« bzw. als »the combination of the consequences of an event and the associated likelihood« (oder entsprechend als »combination of the probability of occurrence of harm and the severity of that harm«) definiert. ISO 31000:2018 definiert entsprechend »Risk is usually expressed in terms of risk sources (Abschnitt 3.4 der Norm), potential events (Abschnitt 3.5 der Norm), their consequences (Abschnitt 3.6 der Norm) and their likelihood (Abschnitt 3.7 der Norm).« Unsicherheit entsteht dabei durch fehlende Informationen, mangelndes Verständnis oder fehlendes Wissen.

Auch das BSI definiert in seinem Glossar den Begriff allgemein [BSI 2019]. IDW PS 981 sieht in Risiken mögliche künftige Entwicklungen oder Ereignisse, die zu negativen oder positiven Zielabweichungen führen können [IDW 2017a]. ISACA betont in seiner Definition insbesondere die notwendige Trennung zwischen Risiko, Bedrohung (Abschnitt 2.1.1) und Schwachstelle (Abschnitt 2.1.2). Risiken beziehen sich demnach auf »the likelihood (or frequency) and magnitude of loss that exists from a combination of asset(s), threat(s) and control conditions« [ISACA 2019].

Ein gemeinsames Element in allen Definitionen ist die unternehmensspezifisch mehr oder weniger stark ausgeprägte Unfähigkeit, das zu steuern, was in Zukunft eintreten wird. Entsprechend lassen sich die Definitionen folgendermaßen zusammenfassen:

Definition

Das Risiko

Das Risiko ist ein Maß für Wagnis und Unsicherheit. Es beschreibt die Möglichkeit, als Konsequenz eines bestimmten Verhaltens oder Geschehens durch ein (plötzlich auftretendes) zukünftiges ungewisses Ereignis einen (monetären) Gewinn oder Nutzen (Chance) zu erzielen oder aber einen (monetären) Schaden (Verlust, Misserfolg) zu erleiden bzw. einen erwarteten Vorteil nicht nutzen zu können. Inwieweit im Unternehmen etwas als Schaden oder Nutzen verstanden wird, hängt von den Wertvorstellungen der Risikoverantwortlichen ab.

Möglich sind also positive wie negative Entwicklungen, wenngleich in der (deutschsprachigen) Praxis weniger der Aspekt »Chance« als vielmehr eine eher negative Sicht (Gefahr) vorherrscht.

Ein Risiko wird formal als Kombination (nicht als arithmetisches Produkt!) aus der – empirisch bestimmten – relativen Häufigkeit eines Ereignisses oder – objektiv – seiner Eintrittswahrscheinlichkeit und seiner Auswirkungen beschrieben.

Als Netto-Risiko bezeichnet man ein Risiko, dessen Eintrittswahrscheinlichkeit und/oder Auswirkung durch geeignete Maßnahmen bereits verringert worden ist.

In der Regel werden unter Risiken Netto-Risiken verstanden, da unbehandelte Risiken (Brutto-Risiken) lediglich bei vollkommen neuartigen Risiken und erstmalig bei ihrer Identifikation auftreten. Für sie muss, insbesondere, wenn Eintrittswahrscheinlichkeiten und/oder Auswirkungen hoch sind, umgehend eine Strategie zur Behandlung entwickelt werden. Brutto-Risiken sind daher häufig »Pseudorisiken« [Hunziker 2018b].

Vielfach werden weitere Risikobegriffe verwendet, die sich auch auf die IT übertragen lassen (vgl. Abschnitt 2.1.6).

Kann die Eintrittswahrscheinlichkeit für ein Risiko nicht quantitativ (mit Werten zwischen 0 und 1 bzw. den entsprechenden Prozentwerten) angegeben werden, wird eine qualitative Charakterisierung (bspw. in den Kategorien bestandsgefährdend/existenzbedrohend, sehr hoch, hoch, mittel, gering) verwendet.

Vielfach wird das Risiko auch als arithmetisches Produkt aus Eintrittswahrscheinlichkeit eines Ereignisses und seiner Auswirkungen definiert. Normen sprechen jedoch (siehe obige Definitionen) von einer Kombination. Eine solche Risikoermittlung kann daher unzulässig oder zumindest nicht aussagekräftig genug sein. Die häufig geäußerte Kritik an dieser Definition und Vorgehensweise ist, dass eine rein arithmetische Betrachtung des Produktes aus Eintrittswahrscheinlichkeit und Schadenshöhe mögliche Vorteile und Chancen, etwa aus dem Einsatz neuer, risikoreicher Technologien, unberücksichtigt lässt. Zudem unterschlägt sie den Umstand, dass sich Risiken selten als Punktwerte, sondern – realistischer – als Bandbreiten beschreiben lassen und daher über einen solchen Rechenweg nur selten angemessen abgebildet werden.

Es ist aus diesem Grund hilfreich, eine gewisse Unschärfe in der Bestimmung zuzulassen, Bereiche zu definieren und eine Festlegung auf exakte Werte nur dann vorzunehmen, wenn gesicherte Erkenntnisse vorliegen, die eine belastbare Berechnung erlauben (vgl. auch Abschnitt 2.1.5).

Auswirkungen von Risiken lassen sich in Geldeinheiten (bspw. Schadenskosten), als Zeitangabe (bspw. Dauer einer Störung oder eines Ausfalls) oder als Anzahl (bspw. betroffene IT-Systeme, Anwendungen, Personen) angeben. In anderen Fällen (bspw. Reputationsverlust) oder wenn unterschiedliche Arten von Schäden zusammenfassend dargestellt werden sollen, kann ein einheitenloser Punktwert (Score) verwendet werden.

Risiken können das Unternehmen als Ganzes oder in Teilen betreffen und im Zeitablauf unterschiedlich relevant sein.

Definition

Je nach Menge und Qualität der vorliegenden Informationen über Risiken wird unterschieden in:

  • »Unknown Unknowns«
    vollständig unbekannte und damit für Unternehmen extrem gefährliche Risiken. Sie werden vom Risikomanagement (vgl. Kap. 3) nicht erfasst. Oberstes Ziel ist es daher, alle Risiken zu kennen.
  • »Known Unknowns«
    bekannte, aber noch nicht bewertete/eingeschätzte Risiken
  • »Known Knowns«
    bekannte und bewertete/eingeschätzte Risiken, die behandelt werden

Im Außenverhältnis trägt die Unternehmensleitung stets die gesamte Verantwortung für Risiken.

Mit zunehmender Digitalisierung von Wirtschaft und Gesellschaft sind alle Informationssysteme mit allen ihren Elementen (vgl. Abb. 1–1) einer zunehmenden Vielfalt von Risiken ausgesetzt. Informationssysteme eines Unternehmens werden deshalb als schützenswerte IT-Ressource (IT Asset, IT-Vermögenswert) bezeichnet.

Ein Risiko im Kontext der Entwicklung, des Betriebs oder der Nutzung eines Informationssystems stellt eine Teilmenge aller in einem Unternehmen identifizierten Risiken dar und ist deshalb dem Grundsatz nach nicht anders definiert.

COBIT 5 for Risk definiert »IT risk as business risk, specifically the business risk associated with the use, ownership, operation, involvement, influcence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the business. IT risk can occur with both uncertain frequency and impact and creates challenges in meeting strategic goals and objectives.« In vergleichbarer Weise wird im ISACA-Glossary »IT Risk« als »the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise« definiert.

Aufbauend auf diesen Definitionen, der Definition in ISO 31000: 2018 und dem Verständnis von Risiken in ISO/IEC 27000:2018 lässt sich entsprechend zusammenfassen:

Definition

Ein Risiko im Kontext von Informationssystemen konkretisiert über die obige Definition hinausgehend, mit welcher Wahrscheinlichkeit ein Ereignis mit IT-Bezug zu negativen materiellen und/oder immateriellen Auswirkungen auf die Geschäftstätigkeit des Unternehmens und seiner Partnern führt. Häufig sind mit entsprechenden Ereignissen interne oder externe Bedrohungen aufgrund von Schwachstellen des Informationssystems verbunden. Sie können dabei kurz-, mittel-...

Erscheint lt. Verlag 18.9.2019
Verlagsort Heidelberg
Sprache deutsch
Themenwelt Wirtschaft Betriebswirtschaft / Management Unternehmensführung / Management
Schlagworte DevSec • Enterprise Risk Management • ERM • GRC-Management • Informationsmanagement • IT-Controlling • IT-Prüfung • IT-Risiko • IT-Sicherheit • IT-Sicherheitsmanagement • IT-Sicherheitsrisiken • Projektmanagement • Prüfung und Revision • Wirtschaftsinformatik
ISBN-10 3-96088-743-4 / 3960887434
ISBN-13 978-3-96088-743-0 / 9783960887430
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 5,4 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Planung und Durchführung von Audits nach ISO 9001:2015

von Gerhard Gietl; Werner Lobinger

eBook Download (2022)
Carl Hanser Verlag GmbH & Co. KG
69,99
Praxishandbuch betriebswirtschaftlicher Grundlagen für …

von Andreas Frodl

eBook Download (2024)
Springer Fachmedien Wiesbaden (Verlag)
49,99