1. Einleitung Diese Präsentation geht es um “IT-Risk Management”. Sie besteht aus 6 Teilen. Am Anfang werden die Bedeutungen und Erklärungen der Begriffe “Risiko”, “Risikokultur” und “Risikokulturwürfel” gegeben. Dann werden einige IT-Risiken und die Informationen über IT-Risk Management angeboten. Zum Schluß befindet sich ein kurzer Kommentar über das Thema.

2. Was bedeutet Risiko?

Unter dem Begriff “Risiko” versteht man die Wahrscheinlichkeit der Entstehung bzw. des Eintritts eines unerwünschten, negativen Ereignisses und der dadurch verursachten Schaden.

3. Risikokultur

Risikokultur ist die Voraussetzung für ein Unternehmen, um bewusst auf mögliche Risiken zu achten und dann entsprechend zu handeln. Auf ihrer Basis können die Risiken vom Management und von Mitarbeitern gut erkannt, analysiert und gesteuert werden.

3.1 Der Risikokulturwürfel

Der Risikokulturwürfel ist ein Modell, durch das die Risikokultur im Unternehmen ganz klar analysiert werden kann. Der Kern der Risikokultur besteht aus drei Dimensionen :

1. Risiken zu identifizieren und als solche anzuerkennen.

2. offen und zielgruppengerecht im gesamten Unternehmen zu kommunizieren.

3. Risiken zu verhindern.

Diese Kernbereiche der Risikokultur spannen einen mehrdimensionalen Raum auf und können anhand der Dimensionen “Identify”, “Communicate”, “Act” in einem Risikokulturwürfel abgebildet werden.

  1

3.1.1 Identifizieren und Anerkennen (Identify and Acknowledge) Ein Unternehmen wird durch den Einsatz von Informationstechnologien internen und externen Risiken ausgesetzt und kann durch diese beeinflusst werden. Die Unternehmensführer müssen sich über diese Risiken bewusst werden und müssen die Mitarbeiter entsprechend schulen und auf individuelle Gefahren im Umgang im IT- Bereich aufmerksam machen.

3.1.2 Kommunizieren (Communicate)

Kommunikation ist ein wichtiger Bestandteil zur Weiterleitung von Informationen und Werten innerhalb eines Unternehmens. Über Kommunikation können so erkannte IT-Risiken in alle Bereiche des Unternehmens getragen werden, dies bildet die Grundlage für ein einheitliches Verständnis und Verhaltens der Mitarbeiter gegenüber dem Risiko.

3.1.3 Handeln und Verhindern (Act)

Die Identifikation und die Kommunikation von Risiken ist erst dann erfolgreich, wenn sich entsprechende Maßnahmen anschließen, die die Risiken verhindern bzw. minimieren und diese so kontrollier- und einschätzbar machen. Diese Maßnahmen können technischer, konzeptioneller oder verhaltensorientierter Art sein. Technische Maßnahmen umfassen die Gesamtheit von Datensicherheit und Datenschutz, wie zum Beispiel durch Verschlüsselungstechniken, die Einrichtung von Passwörtern oder den Aufbau einer physischen Infrastruktur (Firewalls, Backupsysteme).

Konzeptionelle Maßnahmen umfassen die Bereiche der Ausarbeitung und Umsetzung eines unternehmensweiten IT-Risk Management-Prozesses, den Bereich des IT-Projektmanagements oder die Fokussierung strategischer IT-Risiken. Verhaltensorientierte Maßnahmen umfassen die Vermittlung einheitlicher Werte und Verhaltensmuster im Hinblick auf IT-Risiken den Mitarbeitern.

4. IT-Risiken

Mit den sich entwickelnden Technologien steigt die Bedeutung der IT für die Unternehmen. Bei der steigenden Bedeutung der IT wachsen gleichzeitig auch die Risiken und Gefahren, die aus verschiedenen Gründen entstehen.

  2

Diese Risiken und Gefahren bzw. Bedrohungen können in 5 Hauptarten gegliedert werden: Personalrisiken, technische Risiken, Organisationsrisiken, rechtliche Risiken, höhere Gewalt. *

4.1 Personalrisiken

Diese Risiken entstehen durch die Fehler und Probleme der Mitarbeiter. Ein Fehler eines Mitarbeiters kann zu schlechten Situationen für Unternehmen führen, deswegen sollen der menschliche Einfluss auf die technischen Anwendungen reduziert werden. Andererseits soll es auch berücksichtigt werden, dass die Mitarbeiter wegen Lohn, Arbeitsbedingungen usw. unzufrieden sein können und aus diesen Gründen sich negativ auf das Unternehmen wirken, z.B; die Systeme, Datenbanken kaputtmachen, die Daten mit falschen oder unechten ändern usw.

4.2 Technische Risiken

Unter technischen Risiken versteht man die Risiken, die durch Hard- oder Softwareprobleme, falsche Modellierungen usw. entstehen und zur Systemabstürzung und dadurch zum Datenverlust führen können. Bei Hard- oder Softwareproblemen können die Systeme oder Daten, die das Unternehmen benutzt und braucht, unerreichbar werden. Das kann schlechte Situationen verursachen. Dagegen sollen die Unternehmen die Backupsysteme benutzen, damit sie bei Datenverlusten die Daten zurückbringen können. Die Sicherheitsrisiken gehören auch zu dieser Risikogruppe. Heutzutage sind die Hackers, Viren, Trojaner große Bedrohungen für Computersysteme, dagegen brauchen die Unternehmen Anti-Viren- und Firewallprogramme benutzen und sie immer aktualisieren.

4.3 Organisationsrisiken

Als Organisationsrisiken werden die falschen Budgetplanungen, die Projektfehler, die falschen Quellennutzungen und ungenügende Kommunikation zwischen IT- und anderen Unternehmensbereichen bezeichnet.

4.4 Rechtliche Risiken

Die Firmen können von Dritten IT-Unterstützungsdienst bekommen. Da soll von Firmen berücksichtigt werden, dass die Dritten irgendwann Bankrott gehen können ___________________________________________________ * (TBD Kamu-BİB Kamu Bilişim Platformu VIII, Bilişim Teknolojilerinde Risk Yönetimi, Nisan 2006)

  3

oder zwischen denen und Firmen Meinungsverschiedenheiten entstehen können. Deshalb sollen die Firmen mit den Dritten Verträge vorsichtig schließen, damit sie bei negativen Situationen mit niedrigsten Schaden davon gehen.

4.5 Höhere Gewalt

Krieg, Feuer, Hochwasser, Erdbeben usw. gehören zu dieser Kategorie. Die Serverplattformen und Computersysteme sollen irgendwo gebaut werden, wo die Entstehung der Risiken wie z.B Feuer, Hochwasser fast unmöglich ist. Beim Krieg wäre das ganze Land unter der Bedrohung und Unternehmen könnten bei so einer Situation keine Unterstützung und keinen Dienst für Systeme bzw. Software bekommen, deswegen sollen die Unternehmen gegen diese Situationen Alternativen haben.

5. IT-Risk Management

Die fortschreitende Unterstützung von Geschäftsprozessen durch Informationssysteme ist für die Unternehmen zwar ein Vorteil, aber auch ein Risiko. Die zunehmende Komplexität der Informationssysteme, vielfältige interne und externe Angriffe insbesondere auf deren Verfügbarkeit, Integrität und Vertraulichkeit sowie aktuelle regulatorische Anforderungen bedingen ein umfassendes IT-Risk Management. Die möglichen Risiken zu reduzieren, die im 4. Teil “IT-Risiken” gezählt werden, brauchen die Unternehmen effizientes IT-Risk Management. IT-Risk Management macht es möglich, in einer organisierten Umgebung, Entscheidungen zu treffen über ;

- das kontinuierliche Aufspüren von Risiken;

- das Determinieren von wichtigen Fehlerquellen;

- die zu benützenden Strategien, um Risiken zu verringern. * , deswegen ist IT-Risk Management ganz wichtig für die Unternehmen. Die Informationssysteme sollen in bestimmten Perioden kontrolliert und bearbeitet werden, damit die Risiken einfach minimiert werden können. Dafür gibt es ein Modell “CobiT”, das auf der ganzen Welt gültig ist. CobiT ist ein Mittel, um die Unternehmensziele durch die Unterstützung der IT erreichen zu können. Um die Risiken zu reduzieren, gibt es auch verschiedene Standards und Gesetze wie z.B Basel II, Sarbanes Oxley usw.

___________________________________________________ * (SEI, Spring 2001; Kulik, June 2000)

  4

5.1 IT-Risk Management-Prozess Der IT-Risk Management-Prozess besteht aus folgenden Aufgaben :

1. Planen

2. Identifizieren

3. Bewerten

4. Beantworten

5. Überprüfen

5.1.1 Planen

Beim Planen werden die Ziele und Reichweite des Prozesses durch eine IT-Risk Management-Linie festgestellt. Die Details des Prozesses werden beschrieben und Verantwortlichkeiten, Berichtformate, Zeitplan, Budget und Vorgaben für Audits festgelegt.

5.1.2 Identifizieren

Alle Risiken zu ermitteln, die einen Einfluß auf das Geschäft haben, ist das erste Ziel des Risk Managements. Im IT-Risk Management wird erst eine Risikoliste erstellt wie z.B Datenverlust, Stromausfall, Bedrohung durch Hacker usw. und dann wird ein detallierter Risikobogen erstellt.

5.1.3 Bewerten

In dieser Phase wird die Wichtigkeit jedes Risikos festgestellt. Man benutzt Bewertungstechnik, also die Eintrittswahrscheinlichkeit und das Schadenausmaß geschätzt wird.

5.1.4 Beantworten

In dieser Phase entscheidet man, wie auf die Risiken reagiert werden. Zum Beispiel können die Risiken bis zu einer festgelegten Schmerzgrenze akzeptiert werden oder sie können durch Abschluss von Versicherungen und Verträgen transferriert werden. Es ist auch möglich, einen risikoärmeren Weg zu wählen und dadurch die Risiken zu vermeiden. Und eine klassische Lösung dagegen ist, Maßnahmen zu treffen.

5.1.5 Überprüfen

Das Ziel von Überprüfen bzw. der Überwachung ist die Eintrittswahrscheinlichkeit zu vermindern und im Eintretensfall zu reagieren.

  5

6. Die Vorteile von IT-Risk Management & Schlußbemerkung

IT-Risk Management hat verschiedene Vorteile für die Unternehmen. Einige

davon sind :

1. Erhöhung der Produktivität;

2. weniger Überraschungen;

3. bessere Erreichung von Kundenverpflichtungen;

4. Manager können sich auf die Aspekte mit gröβtem Einfluss auf das

Projekt konzentrieren;

5. das Projekt kann schneller realisiert werden, wodurch die Kosten

sinken. *

Schließlich kann gesagt werden, dass IT-Risk Management heutzutage eine

große, steigende Bedeutung für die Unternehmen hat, weil es einen bestimmten Einfluß

auf den Unternehmenserfolg nimmt. IT-Risk Management brauchen die Unternehmen,

um die Risiken feststellen, analysieren, minimieren, vermeiden und dagegen

Maßnahmen treffen zu können, damit sie vor Gefahren / Schäden bewahrt werden.

___________________________________________________

* (SEI, Spring 2001; Kulik, June 2000)

  6

Quellen :

http://tbd.wmv.gen.tr

http://www.denetimnet.com http://www.winfobase.de http://www.wikipedia.de http://www.versicherungsnetz.de http://www.bauser-enterprises.com http://srvmatthes6.in.tum.de http://www.dke.univie.ac.at http://www.passau.ihk.de

  7