II

Inhaltsverzeichnis

Inhaltsverzeichnis.............................................................................................................   II

Abbildungsverzeichnis.   IV

Tabellenverzeichnis.   IV

Abk  ürzungsverzeichnis  V

1  Einführung  1

1.1  Ausgangslage  1

1.2  Zielsetzung.  2

1.3  Berührungspunkte  3

1.4  Aufbau der Arbeit  3

2  Grundlagen.  5

2.1  Informationstechnologie  5

2.2  IT-Risiko  7

2.3  IT-Risikomanagement.  11

3  Rahmenbedingungen des IT-Risikomanagements.  15

3.1  IT-Risikostrategie  15

3.2  Organisationsmodell des IT-Risikomanagements  18

3.3  IT-Risikokultur  20

3.4  Compliance  23

3.4.1  Unternehmensinterne Compliance  24

3.4.2  Externe Compliance  25

3.5  IT-Standards und Best Practices  27

3.5.1  CobiT.  29

3.5.2  ITIL.  33

3.5.3  BSI - IT-Grundschutz-Kataloge.  36

3.6  Zusammenfassung.  39

4  Operatives IT-Risikomanagement  41

4.1  Risikoidentifikation.  41

4.1.1  Analytische Ansätze  42

4.1.1.1  Fehlerbaumanalyse.  43

4.1.1.2  Fehlermöglichkeits- und Einflussanalyse  43

III

4.1.1.3  Checklisten.  44

4.1.1.4  Schadensfall-Datenbank.  45

4.1.2  Kreativitätstechniken  46

4.1.2.1  Brainstorming.  46

4.1.2.2  Delphi-Methode  47

4.1.2.3  Synektik  47

4.1.3  Zusammenfassung  48

4.2  Risikoanalyse  49

4.2.1  Qualitative Methode  50

4.2.2  Quantitative Methode  52

4.2.3  Risikoportfolio.  53

4.2.4  Value at Risk  54

4.2.5  Zusammenfassung  56

4.3  Risikosteuerung.  56

4.3.1  Vermeidung  58

4.3.2  Verminderung.  59

4.3.3  Begrenzung.  60

4.3.4  Transfer.  61

4.3.5  Akzeptanz  62

4.3.6  Steuerung durch das Risikoportfolio  63

4.3.7  Wirtschaftlichkeitsbetrachtung.  64

4.3.8  Zusammenfassung  66

4.4  Risikoüberwachung.  67

4.5  Zusammenfassung.  69

5  Zusammenfassung und Ausblick  71

Literaturverzeichnis.   74

Internet-Quellen   79

IV

Abbildungsverzeichnis   

Abbildung  1 - Gliederung der Arbeit  

Abbildung  2 - Begriffshierarchie Zeichen-Daten-Information  

Abbildung  3 - Definition IT-Risiko.  

Abbildung  4 - IT-Risikomanagement-Prozess  

Abbildung  5 - Status IT-Risikomanagement-Umsetzung  

Abbildung  6 - Rahmenbedingungen des IT-Risikomanagements.  

Abbildung  7 - Ebenen und Inhalte einer IT-Risikokultur  

Abbildung  8 - Maßnahmen zur Schaffung einer Risikokultur  

Abbildung  9 - Grundlegendes Prinzip von CobiT.  

Abbildung  10 - IT-Risikomanagement Komponenten  

Abbildung  11 - ITIL Prozesse  

Abbildung  12 - Übersicht der BSI-Publikationen  

Abbildung  13 - Integration der Risikoanalyse in den Sicherheitsprozess.  

Abbildung  14 - Operativer Risikomanagement-Prozess  

Abbildung  15 - Risikoportfolio  

Abbildung  16 - Maßnahmen zur Risikosteuerung  

Abbildung  17 - Risikoportfolio und Steuerungsmaßnahmen.  

Abbildung  18 - Verhältnis Kosten / Sicherheitsniveau  

Tabellenverzeichnis   

Tabelle 1  - Risikoneigung bei unternehmerischen Entscheidungen.  

Tabelle 2  - Exemplarische Zuständigkeiten im IT-Risikomanagement  

Tabelle 3  - CobiT Kontrollbereiche für das Risikomanagement.  

Tabelle 4  - Beurteilung und Management von IT-Risiken.  

Tabelle 5  - Überblick der Methoden zur Risikoidentifikation  

Tabelle 6  - Risiko-Relevanzskala.  

Tabelle 7  - Zweistufige qualitative Risikobewertung  

AktG Aktiengesetz Basel II Neue Baseler Eigenkapitalvereinbarung BCP Business Continuity Plan BDSG Bundesdatenschutzgesetz BSI Bundesamt für Sicherheit in der Informationstechnik CobiT Control Objectives for Information and Related Technology COSO Committee of Sponsoring Organizations of the Treadway Commission DRP Desaster Recovery Plan FMEA Fehlermöglichkeits- und Einflussanalyse GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GmbH Gesellschaft mit begrenzter Haftung GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme HGB Handelsgesetzbuch IDW Institut der Wirtschaftsprüfer ISACA Information Systems Audit and Control Association ISM Information Security Management ISO International Organization for Standardization IT Informationstechnologie ITIL Information Technology Infrastructure Library ITSCM IT Service Continuity Management KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich MaRisk Mindestanforderungen an das Risikomanagement OGC Office of Government Commerce RACI Responsible, Accountable, Consulted & Informed ROI Return on Investment ROSI Return on Security Investment SOA Sarbanes-Oxley Act TCO Total Cost of Ownership VaR Value at Risk

1

1 Einführung

„Die Teilnahme am »Spiel« der Informationstechnologie beinhaltet bei aller Klugheit das Risiko des Verlusts; der Verzicht auf die Teilnahme hingegen wird wohl in absehbarer Zeit den Verzicht auf Erfolg mit sich bringen.“ 1

1.1 Ausgangslage

Informationstechnologien sind ein fester Bestandteil in den Geschäftsprozessen der modernen Unternehmenswelt und ermöglichen auf Veränderungen und die Komplexität der Märkte schnell und angemessen zu reagieren. Dadurch kann ein Wettbewerbsvorteil gegenüber den Mitbewerbern generiert werden und das Unternehmen seine Marktposition verteidigen oder sogar ausbauen. Durch diesen Beitrag zur Wertschöpfungskette des Unternehmens werden Informationstechnologien als sogenannte Business Enabler gesehen ² .

Nach Angaben des Statistischen Bundesamtes nutzen 97% aller deutschen Unternehmen mit mehr als 20 Mitarbeitern einen Computer und 93% besitzen einen Internetzugang ³ . Weltweit beliefen sich die Umsätze in der Informations-und

Kommunikationstechnologie auf 2.238 Mrd. Euro im Jahr 2008, mit einer jährlichen Steigerungsrate von ca. 6% ⁴ . Aus diesen Zahlen wird die breite Marktdurchdringung der Informationstechnologien, als auch die Relevanz für die moderne Unternehmenswelt ersichtlich.

Die Entwicklung von der reinen Datenverarbeitung hin zu Informationstechnologien und somit zu einem operativen Bereich der Unternehmen eröffnet Chancen, birgt aber auch Risiken. Die Unternehmen sind im zunehmenden Maße abhängig von der Verfügbarkeit, der Integrität und Vertraulichkeit der Systeme bzw. Informationen ⁵ . Diese Gefahren werden zumeist mit Investitionen in technische Sicherheitslösungen und durch den Themenbereich IT-Security, angegangen und betrachtet. Ein ganzheitlicher Ansatz unter Einbeziehung von Wirtschaftlichkeit, Angemessenheit, Sicherheit und

¹ Pohlmann N., Blumberg H. F. (2006), S. 455.

² Vgl. Krcmar (2005), S. 31, S. 317, S. 353.

³ Vgl. Statistisches Bundesamt (2008), S. 11, 20.

⁴ Vgl. BMWI (2008), S. 30.

⁵ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 13 f.

2

Compliance wird erst in der jüngeren Vergangenheit durch die Einführung des IT-Risikomanagements, verfolgt ⁶ . Dies wurde nötig, da zu der steigenden Komplexität und Abhängigkeit der Prozesse auch gesetzliche Vorgaben (z.B. KonTraG, SOA, Basel II) umgesetzt und eingehalten werden müssen.

Diese Erweiterungen des Aufgabengebietes können von einer herkömmlichen IT-Organisation nicht vollständig bzw. nur unter erheblichem zusätzlichem Aufwand vollständig realisiert werden. Auf der einen Seite besteht ein grundlegendes Problem hinsichtlich des Wissenstandes der IT-Abteilungen im Bereich Risikomanagement. Auf der anderen Seite besitzen die Risikomanagement-Experten nicht das notwendige, tiefgreifende Wissen über die Funktionen der Informations-und Kommunikationssysteme ⁷ .

Als Bindeglied zwischen diesen Funktionen fungiert das IT-Risikomanagement, das sich mit der Gesamtheit der offensichtlichen und verborgenen IT-Risiken auseinandersetzt und diese strukturiert bearbeitet. Es identifiziert, analysiert, steuert und überwacht Risiken, die mit dem Einsatz von Informations-und

Kommunikationssystemen verbunden sind, und versucht somit, die möglichen Schadensauswirkungen für die Unternehmung zu begrenzen, wodurch ein hinreichender Investitionsschutz gewährleistet wird.

1.2 Zielsetzung

Im Verlauf dieser Arbeit werden die Voraussetzungen für den Aufbau als auch die Durchführung eines IT-Risikomanagements beschrieben und erarbeitet. Es wird sowohl auf die organisatorische Eingliederung eingegangen als auch Schnittstellen für die Ergänzung bzw. Abdeckung anderer Risikomanagementbereiche betrachtet. Das Ziel dieser Arbeit ist die Darstellung der Funktionen, Aufgaben und Möglichkeiten, die die Einführung eines IT-Risikomanagements in der Unternehmung mit sich bringen. Dabei soll ein ganzheitliches Modell entwickelt werden, das nicht nur den originären Risikoprozess an sich, sondern auch Rahmenbedingungen, Strategien, Best Practices-Ansätze, aber auch weiche Aspekte, wie z.B. die Unternehmens- oder Fehlerkultur, untersucht.

⁶ Vgl. Junginger M. (2005), S. 179.

⁷ Vgl. ISACA (2006), S. 4.

3

1.3 Berührungspunkte

Innerhalb der Erarbeitung des Modells für das IT-Risikomanagement ergeben sich Berührungspunkte zu anderen Wissenschaftsbereichen. Ein direkter Bezug ist im betrieblichen Risikomanagement zu finden, welches das IT-Risiko innerhalb der operationellen Risiken einordnet. Wie im Verlauf der Arbeit erkennbar wird, kann das betriebliche Risikomanagement eine ganzheitliche Betrachtung der expliziten IT-Risiken mit dessen Mitteln nicht vollständig gewährleisten. Für die Erstellung des strategischen Prozesses ist eine Anlehnung an die betriebswirtschaftlichen Aspekte der Organisation und Unternehmensführung nötig, auf deren Grundlage entsprechende Konzepte empfohlen werden. Mit den Compliance-Anforderungen wird eine Anlehnung an die Rechtswissenschaft genommen und deren Auswirkungen untersucht. Innerhalb des operativen Risikomanagements sind finanzmathematische Methoden aus der Investitions- und Finanzierungslehre die Grundlage für die Berechnung der Risiken. Mit der Untersuchung des IT-Risikos, ergeben sich außerdem Überschneidungen zu den Bereichen der IT-Sicherheit und der Informationstechnologie. Durch den begrenzten Umfang der Arbeit können nicht alle der zuvor beschriebenen Berührungspunkte mit der nötigen Intensität untersucht werden.

1.4 Aufbau der Arbeit

Die Untersuchung gliedert sich in fünf Kapitel, die in folgender Abbildung dargestellt und anschließend kurz beschrieben werden:

Kapitel 1 führt in die Thematik ein, erläutert die Zielsetzung und stellt die Berührungspunkte zu anderen Forschungsbereichen dar. In Kapitel 2 werden die Grundlagen analysiert und eindeutige Definitionen und Modelle erarbeitet, die als Basis für den weiteren Verlauf der Arbeit gelten. Die Rahmenbedingungen, die auf ein IT-Risikomanagement wirken, werden in Kapitel 3 identifiziert und erläutert. Innerhalb der einzelnen Abschnitte wird ein entsprechendes Modell erarbeitet, das für den Einsatz in der betrieblichen Praxis ausgelegt ist. Im Verlauf von Kapitel 4 werden die operativen Aufgaben innerhalb der Ablauforganisation des IT-Risikomanagements durch den sogenannten Risikozyklus beschrieben. Die einzelnen Abschnitte hierunter stellen die Methoden und Abläufe innerhalb dieses Modells dar. Kapitel 5 fasst die in dieser Arbeit gewonnenen Erkenntnisse zusammen und schließt mit einem Ausblick.

5

2 Grundlagen

Im Folgenden werden einige, im Rahmen dieser Arbeit verwendeten, grundlegenden Begriffe definiert. Dies ist erforderlich, da im wissenschaftlichen Diskurs hierfür keine einheitlichen Begriffsbestimmungen oder Definitionen existieren.

2.1 Informationstechnologie

Zum Begriff Informationstechnologie (IT) bzw. Informationstechnik ⁸ finden sich in der Literatur zahlreiche Definitionen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt unter dem Begriff Informationstechnik alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen ⁹ , während das Institut der Wirtschaftsprüfer (IDW) in seiner Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), darunter die im Unternehmen, im Rahmen der elektronischen Datenverarbeitung, verwendete Hard- und Software versteht ¹⁰ . Daneben wird der Begriff Informationstechnik oft synonym mit Informationsverarbeitung verwendet. Hansen/Neumann beziehen hier alle Aktionen ein, die die Erfassung, Verarbeitung und Speicherung sowie Übertragung oder Transformation von Daten betreffen ¹¹ . Eine umfassendere Auslegung des Begriffs erfolgt durch Rechenberg/Pomberger, die hierunter alle „… Geräte und Systeme, die auf Elementen, Erkenntnissen und Ergebnissen von Technischer, Praktischer und Angewandter Informatik …“ subsumieren ¹² .

Im Rahmen der nachfolgenden Ausführungen zum IT-Risikomanagement wird der Begriff Informationstechnologie weit gefasst und sowohl die Hard- als auch die Softwarekomponenten einbezogen, die zur Eingabe (Erfassung), elektronischer Verarbeitung und Ausgabe (Speicherung, Übertragung, Druck) der Daten erforderlich sind.

⁸ Vgl. Krcmar H. (2005), S. 28.

⁹ Vgl. BSIG (2003), § 2 Abs. 1.

¹⁰ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (2002), Tz 2.

¹¹ Vgl. Hansen H. R., Neumann G. (2005), S. 8 f.

¹² Vgl. Rechenberg P., Pomberger G. (2006), S. 1147.

6

In diesem Zusammenhang bedarf es ebenfalls einer Klärung des Begriffs der Information. Im allgemeinen Sprachgebrauch werden hierunter zumeist zusammengefasste, aufbereitete Kenntnisse bzw. Wissen verstanden ¹³ . Dies können Nachrichten, Mitteilungen, Daten oder auch Messwerte sein, die für den Einzelnen einen jeweils divergierenden Wert darstellen. Bei einer differenzierten Betrachtung ist zu erkennen, dass sich die Informationen aus Zeichen und Daten zusammensetzen, Wissen aber einen noch höheren Stellenwert hat ¹⁴ . Die Beziehungen zwischen den Begriffshierarchien Zeichen, Daten und Informationen lassen sich an folgendem Beispiel darstellen:

Die einzelnen Zeichen aus dem gesammelten Zeichenvorrat werden durch ein gemeinsames Zeichensystem (Syntax, z.B. Alphabet) zu Daten. Diese werden wiederum mit einem zusätzlichen Kontext versehen und zu einer Information umgewandelt. Im oben dargestellten Beispiel wird deutlich, dass aus den einzelnen Zeichen „0“, „6“ und „4“ durch Zuordnung und Anreicherung mit einem zusätzlichen Kontext, die Information darüber entsteht, dass 1 US-Dollar einen Gegenwert von 0,64 Euro hat ¹⁵ . Werden diese Informationen wiederum weiter vernetzt, entsteht Wissen.

¹³ Vgl. Brockhaus (2002), o.S.

¹⁴ Vgl. Linde F. (2005), S. 12.

¹⁵ Vgl. Krcmar H. (2005), S. 15.

7

2.2 IT-Risiko

In Theorie und Praxis lässt sich keine eindeutige Definition des sich über Jahre entwickelten Begriffs Risiko ausmachen. Dieser findet sich daher in der Literatur in verschiedenen Facetten.

Ursprünglich aus dem frühitalienischen „risicare“ (wagen) ¹⁶ , gehören zur europäischen Begriffsbildung im Wortfeld des Risikos zusätzlich die Ausdrücke Angst und Abenteuer ¹⁷ . Der Duden umschreibt das Wort Risiko als „… möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind; mit einem Vorhaben, Unternehmen o.Ä. verbundenes Wagnis“ ¹⁸ . Woll sieht zusätzlich die Gewinnchance als positive Seite des Risikos. Demnach werden die Risikomaße als Abweichungen vom Erwartungswert (Standardabweichung, Varianz) oder als die Relation der Standardabweichung mit dem Erwartungswert (Variationskoeffizient) gesehen ¹⁹ . Diese Definition, als positive oder negative Abweichung einer Größe vom tatsächlichen Ergebnis, wird in der Theorie als zweiseitige Risikodefinition bezeichnet, wohingegen eine ausschließlich negative Abweichung, die mit einem Verlust bzw. Nachteil behaftet ist, als eine einseitige Risikodefinition gesehen wird ²⁰ . Aus dem Wortlaut und dem Sinnzusammenhang sowie der Begründung des Gesetzgebers, folgt auch der Risikobegriff des § 91 Abs. 2 AktG dieser einseitigen negativen Auslegung ²¹ .

Eine einheitliche Definition des Begriffs IT-Risiko findet sich in der Wissenschaft ebenfalls nicht. Krcmar etwa spricht hierbei von einer negativen Einwirkung auf die Unterstützungs- und Enablerfunktion des Informationsmanagements u.a. aufgrund von Informationspathologien, Prozessdisfunktionalitäten oder einer unzureichenden Verfügbarkeit der Informations- und Kommunikationstechnik ²² . Das BSI sieht als Risiken die Bedrohungen in Verbindung mit den Schwachstellen, die beim Einsatz von Informations- und Kommunikationssystemen auftreten und sich negativ auf die

¹⁶ Vgl. Ehrmann H. (2005), S. 29.

¹⁷ Vgl. Keller H. E. (2004), S. 61 f.

¹⁸ Dudenredaktion (2006), S. 1400.

¹⁹ Vgl. Woll A. (2008), S. 672.

²⁰ Vgl. Merbecks A., Stegmann U., Frommeyer J. (2004), S. 24.

²¹ Vgl. Hüffer U. (2008), § 91 Abs. 2 Rz. 6.

²² Vgl. Krcmar H. (2005), S. 440.

8

Schutzziele auswirken können ²³ . Der im Rahmen dieser Arbeit verwendete Begriff des IT-Risikos wird daher wie folgt festgelegt und abgegrenzt: Ein IT-Risiko definiert sich aus der Gefahr einer Verletzung der Schutzziele durch Bedrohungen, die eine Schwachstelle innerhalb der Informations- und Kommunikationssysteme ausnützen.

Aus dieser einseitigen negativen Risikodefinition folgt, dass es sich bei einem Risiko um eine Gefahr oder einen möglichen Schaden handelt. Der tatsächliche Eintritt des Schadens ist davon abzugrenzen. Das Risiko bzw. der erwartete Schaden berechnet sich aus der Schadenshöhe multipliziert mit der Eintrittswahrscheinlichkeit ²⁴ .

Aus der Grafik wird ersichtlich, dass permanent eine Vielzahl von Bedrohungen auf die Informations- und Kommunikationssysteme einwirken. Im Wesentlichen finden sich fünf Kategorien von Bedrohungen ²⁵ , die sowohl innerhalb des Unternehmens auftreten, aber auch externer Natur sein können ²⁶ .

²³ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 51.

²⁴ Vgl. Wolke T. (2008), S. 14.

²⁵ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 329 ff.; Eckert C. (2006), S. 14 f.

²⁶ Vgl. Hechenblaikner A. (2006), S. 19.

9

• Höhere Gewalt: Hierunter fallen u.a. durch Elementarereignisse verursachte Bedrohungen wie z.B. Blitz, Feuer, Wasser und Sturm. Weitere externe Bedrohungen können durch Großveranstaltungen (z.B. Demonstrationen) oder auch durch technische Katastrophen im Umfeld des Unternehmens entstehen. Interne Ursachen wie z.B. Personalausfall, Ausfall eines IT-Systems oder unzulässige Temperatur, Staub und Verschmutzung können ebenfalls zu Bedrohungen führen ²⁷ .

• Organisatorische Mängel: Diese internen Defizite lassen sich im Wesentlichen als Bedrohungen aus mangelhaft implementierten oder ausgeführten IT-Prozessen erklären, z.B. unzureichende Kontrollen der IT-Sicherheitsmaßnahmen, unbefugte Zutritte zu schutzbedürftigen Räumen, ungeregelte Weitergabe von Datenträgern, fehlende oder unvollständige Dokumentation sowie unzureichende Sensibilisierung für die IT-Sicherheit ²⁸ .

• Menschliche Fehlhandlungen: Betrachtet werden innerhalb dieser Kategorie ausschließlich Bedrohungen, die aus unbewussten Handlungen interner als auch externer Personen resultieren. Als Beispiele menschlichen Fehlverhaltens können die fahrlässige Zerstörung von Gerät oder Daten, die Nichtbeachtung von IT-Sicherheitsmaßnahmen oder -vorschriften und die fehlerhafte Nutzung und Administration der IT-Systeme genannt werden ²⁹ .

• Technisches Versagen: Diese Kernbedrohung auf die Informations- und Kommunikationssysteme kann sowohl intern als auch extern verursacht sein. Die externen, wie z.B. Stromausfälle oder Leitungsprobleme, stellen hierbei die kleinere Gruppe der Gefährdungen. Wesentlich häufiger treten interne Bedrohungen, wie z.B. der Ausfall vorhandener Sicherheitseinrichtungen, defekte Datenträger, Verlust von Daten einer Datenbank, Bedrohungen aus der Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen oder aus Softwareschwachstellen, auf ³⁰ .

• Vorsätzliche Handlungen: Im Gegensatz zu den „fahrlässigen“ Gefährdungen aus menschlichem Fehlverhalten werden unter diesem Punkt die vorsätzlichen

²⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 329 ff.

²⁸ Vgl. ebd., S. 347 ff.

²⁹ Vgl. ebd., S. 530 ff.

³⁰ Vgl. ebd., S. 646 ff.

10

Handlungen interner als auch externer Personen kategorisiert. Zu Beeinträchtigungen bei den Informations- und Kommunikationssysteme können die Manipulation bzw. Zerstörung von IT-Geräten, Zubehör, Informationen oder Software, Diebstahl, Vandalismus, die unzulässige Ermittlung von Sicherheitscodes oder der Missbrauch von Benutzer- als auch Administratorrechten, führen ³¹ .

Angriffspunkte dieser Bedrohungen sind, wie aus Abbildung 3 ersichtlich, die möglichen Schwachstellen im Bereich der Informations- und Kommunikationssysteme, die innerhalb der Komponenten Hardware, Software, Netze und Daten zu finden sind ³² . Pohlmann/Blumberg sehen diese im mangelnden physikalischen Schutz der Systeme, in Implementierungsfehlern und unzureichender Authentifizierung, im mangelnden Sicherheitsbewusstsein, aber auch in einer ungenügenden Ausbildung des IT Personals ³³ . Ergänzend führt Eckert unsichere Kommunikationsverbindungen und Softwarefehler an ³⁴ , die hauptsächlich von externen Bedrohungen ausgenutzt werden, um Schutzziele zu verletzen.

Als Schutzziel (vgl. Abbildung 3) wird ein erwünschter Zustand sicherer Systeme und Daten verstanden ³⁵ . Dieser lässt sich anhand der drei Grundanforderungen ³⁶ an die Informations- und Kommunikationssysteme wie folgt beschreiben: • Vertraulichkeit: Dieses Schutzziel ist erfüllt, wenn kein unautorisierter Informationsgewinn aus dem IT-System möglich ist ³⁷ . Die Bewahrung der Informationsvertraulichkeit (Schutz der Nachrichteninhalte vor allen Instanzen außer dem Kommunikationspartner), Unbeobachtbarkeit der Kommunikation (z.B. Beobachtung durch unbeteiligte Dritte) als auch die Wahrung der Anonymität der Kommunikationspartner (Ermittlung der teilnehmenden Partner nicht durch Außenstehende möglich) wird implizit damit verbunden ³⁸ .

³¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 737 ff.

³² Vgl. Hechenblaikner A. (2006), S. 18.

³³ Vgl. Pohlmann N., Blumberg H. F. (2006), S. 158 f.

³⁴ Vgl. Eckert C. (2006), S. 14.

³⁵ Vgl. ebd. S. 6.

³⁶ Vgl. Hechenblaikner A. (2006), S. 22 f.

³⁷ Vgl. Eckert C. (2006), S. 8.

³⁸ Vgl. Federrath H., Pfitzmann A. (2000), S. 708.

11

• Integrität: Durch die Feststellung der Integrität ist gewährleistet, dass die Informations- und Kommunikationssysteme nicht unautorisiert editiert werden können. Dies schließt sowohl die vorsätzliche Manipulation, als auch die versehentliche Veränderung mit ein. Dabei kann es sich auch um technische Probleme, wie z.B. Übertragungsfehler innerhalb des Netzwerkes, handeln ³⁹ .

• Verfügbarkeit: Die Verfügbarkeit der Informations-und

Kommunikationssysteme ist sichergestellt, wenn diese in der jeweiligen Funktion zeitlich uneingeschränkt zur Nutzung bereit stehen und folglich der für die Aufrechterhaltung des Geschäftsbetriebs nötigen Bereitschaft entsprechen. 40

Die Definition des Begriffes IT-Risiko ist somit innerhalb dieser Arbeit festgelegt und wird anhand der oben beschriebenen Kategorien und Modelle verwendet.

2.3 IT-Risikomanagement

Die Bedeutung des Komposita IT-Risikomanagement ist durch die vorhergehenden Definitionen der Begriffe IT bzw. IT-Risiko teilweise erschlossen. Der Begriff Management stammt ursprünglich vom lateinischen „manus“ (Hand) ⁴¹ . Erstmals wurde der Begriff in seiner derzeitigen Verwendung (Leitung, Führung eines Unternehmens) für das „an der Hand führen von Pferden“ in den Reitschulen des 16. Jahrhunderts benutzt.

Zusammengesetzt kann das Risikomanagement frei als „Führen der potenziellen Erwartungsabweichung“ ausgelegt werden ⁴² . In diesem Kontext wird der Begriff des Risikomanagements als Einführung geeigneter organisatorischer Maßnahmen und Methoden zur Identifizierung, Analyse, Steuerung und Überwachung, der Risiken, die die Unternehmung in ihrer Zielerreichung und ihren Erwartungen bedroht, verstanden ⁴³ . Die Bezeichnung Risikomanagement stammt in seinen Ursprüngen aus den USA und wurde dort in den 60er Jahren von der Versicherungswirtschaft eingeführt. In der Anfangsphase bezog sich das Konzept auf die bestmögliche Anpassung des

³⁹ Vgl. Hechenblaikner A. (2006), S. 23; Pohlmann N., Blumberg H. F. (2006), S. 82.

⁴⁰ Vgl. Koch R. (2005), S. 117; Pohlmann N., Blumberg H. F. (2006), S. 81.

⁴¹ Vgl. Dudenredaktion (2007), S. 843.

⁴² Vgl. Campenhausen v. C. (2006), S. 27.

⁴³ Vgl. Reichmann T. (2006), S. 625.

12

betrieblichen Versicherungsschutzes d.h. den Umfang des Versicherungsschutzes und die Höhe der zu den zahlenden Prämien zu optimieren ⁴⁴ . Von daher waren in den Risiken nur Verlustgefahren, aber keine Gewinnschancen beinhaltet. Die Aufgabenbereiche des Risikomanagements entwickelten sich weiter, sodass auch weitere Unternehmensbereiche abgedeckt wurden, wie z.B. durch das Finanzielle-, Projekt-, Technische-, Strategische- und IT-Risikomanagement ⁴⁵ . Mit ein Grund hierfür war die steigende Anzahl an Unternehmensinsolvenzen, die in fast 75% aller Fälle durch Managementfehler in diesen Bereichen verursacht wurde ⁴⁶ , und die hieraus resultierenden gesetzlichen Änderungen und Ergänzungen (z.B. KonTraG, Basel II, SOA), die explizit ein derartiges Kontrollsystem fordern. Nach Wildemann umfasst das Risikomanagement die systematische Identifikation, Analyse, Steuerung und Überwachung von Risiken, die die Existenz eines Unternehmens bedrohen. Das Unternehmen soll mit Hilfe eines funktionierenden Risikomanagementsystems wesentliche Risiken, die den gewünschten Erfolg gefährden, erkennen und bewältigen können. Dafür muss jedoch ein entsprechender management-und mitarbeitergetriebener Prozess - unterstützt und getragen durch die Unternehmensführung - definiert und implementiert werden ⁴⁷ . Der Baseler Ausschuss für Bankenaufsicht definiert als operationelle Risiken, zu denen die IT-Risiken gerechnet werden, die „... Gefahr von Verlusten, die infolge einer Unzulänglichkeit oder des Versagens von internen Verfahren, Menschen oder Systemen oder infolge externer Ereignisse …“ entstehen ⁴⁸ .

Bei der Einführung eines IT-Risikomanagements spielen grundsätzlich ökonomische Gründe und die Vorgaben u.a. von Gesetzgebern und Standardsettern eine herausragende Rolle ⁴⁹ . Als konkrete Ziele können die Konformität mit den gesetzlichen Anforderungen, die frühzeitige Erkennung bestandsgefährdender Entwicklungen, die Antizipation von Plan-Ist-Abweichungen, die Senkung der Risikokosten oder die Verbesserung der Bonität/ des Ratings genannt werden ⁵⁰ . Dabei betont Mikus die

⁴⁴ Vgl. Mikus B. (2001), S. 10.

⁴⁵ Vgl. Exner-Merkelt K. (2008), o.S.

⁴⁶ Vgl. Gietl G., Lobinger W. (2006), S. 7.

⁴⁷ Vgl. Wildemann H. (2006), S. 28 f.

⁴⁸ Baseler Ausschuss für Bankenaufsicht (2004), S. Tz. 644.

⁴⁹ Vgl. Junginger M. (2005), S. 109.

⁵⁰ Vgl. Ernst & Young (2008), S. 9.