Informationstechnologien sind ein fester Bestandteil in den Geschäftsprozessen der modernen Unternehmenswelt und ermöglichen auf Veränderungen und die Komplexität der Märkte schnell und angemessen zu reagieren. Dadurch kann ein Wettbewerbsvorteil gegenüber den Mitbewerbern generiert werden und das Unternehmen seine Marktposition verteidigen oder sogar ausbauen. Durch diesen Beitrag zur Wertschöpfungskette des Unternehmens werden Informationstechnologien als sogenannte Business Enabler gesehen. Nach Angaben des Statistischen Bundesamtes nutzen 97% aller deutschen Unternehmen mit mehr als 20 Mitarbeitern einen Computer und 93% besitzen einen Internetzugang. Weltweit beliefen sich die Umsätze in der Informations- und Kommunikationstechnologie auf 2.238 Mrd. Euro im Jahr 2008, mit einer jährlichen Steigerungsrate von ca. 6%. Aus diesen Zahlen wird die breite Marktdurchdringung der Informationstechnologien, als auch die Relevanz für die moderne Unternehmenswelt ersichtlich. Die Entwicklung von der reinen Datenverarbeitung hin zu Informationstechnologien und somit zu einem operativen Bereich der Unternehmen eröffnet Chancen, birgt aber auch Risiken. Die Unternehmen sind im zunehmenden Maße abhängig von der Verfügbarkeit, der Integrität und Vertraulichkeit der Systeme bzw. Informationen.
Inhaltsverzeichnis
1 Einführung
1.1 Ausgangslage
1.2 Zielsetzung
1.3 Berührungspunkte
1.4 Aufbau der Arbeit
2 Grundlagen
2.1 Informationstechnologie
2.2 IT-Risiko
2.3 IT-Risikomanagement
3 Rahmenbedingungen des IT-Risikomanagements
3.1 IT-Risikostrategie
3.2 Organisationsmodell des IT-Risikomanagements
3.3 IT-Risikokultur
3.4 Compliance
3.4.1 Unternehmensinterne Compliance
3.4.2 Externe Compliance
3.5 IT-Standards und Best Practices
3.5.1 CobiT
3.5.2 ITIL
3.5.3 BSI – IT-Grundschutz-Kataloge
3.6 Zusammenfassung
4 Operatives IT-Risikomanagement
4.1 Risikoidentifikation
4.1.1 Analytische Ansätze
4.1.1.1 Fehlerbaumanalyse
4.1.1.2 Fehlermöglichkeits- und Einflussanalyse
4.1.1.3 Checklisten
4.1.1.4 Schadensfall-Datenbank
4.1.2 Kreativitätstechniken
4.1.2.1 Brainstorming
4.1.2.2 Delphi-Methode
4.1.2.3 Synektik
4.1.3 Zusammenfassung
4.2 Risikoanalyse
4.2.1 Qualitative Methode
4.2.2 Quantitative Methode
4.2.3 Risikoportfolio
4.2.4 Value at Risk
4.2.5 Zusammenfassung
4.3 Risikosteuerung
4.3.1 Vermeidung
4.3.2 Verminderung
4.3.3 Begrenzung
4.3.4 Transfer
4.3.5 Akzeptanz
4.3.6 Steuerung durch das Risikoportfolio
4.3.7 Wirtschaftlichkeitsbetrachtung
4.3.8 Zusammenfassung
4.4 Risikoüberwachung
4.5 Zusammenfassung
5 Zusammenfassung und Ausblick
Zielsetzung & Themen
Die vorliegende Arbeit zielt darauf ab, ein ganzheitliches Modell für den Aufbau und die Durchführung eines IT-Risikomanagements zu entwickeln, das über rein technische Aspekte hinausgeht und auch strategische sowie organisatorische Rahmenbedingungen integriert.
- Grundlagen des IT-Risikomanagements und Definition der Kernbegriffe
- Einfluss strategischer Rahmenbedingungen und Compliance-Anforderungen
- Rolle der Risikokultur im Unternehmen
- Analyse und Vergleich etablierter IT-Standards (CobiT, ITIL, BSI)
- Methoden für den operativen Risikozyklus (Identifikation, Analyse, Steuerung, Überwachung)
Auszug aus dem Buch
4.1.1.1 Fehlerbaumanalyse
Die Ermittlung der Zuverlässigkeit oder Ausfallwahrscheinlichkeit eines komplexen Systems oder Prozesses, kann mit Hilfe der Fehlerbaumanalyse vorgenommen werden. Diese deduktive Vorgehensweise geht von einer Störung aus und ermittelt in einem Top-Down-Verfahren Möglichkeiten, die zu diesem Störereignis führen können. Ausgehend von einer möglichst detaillierten Beschreibung der Primärstörung, erfolgt die Analyse möglicher Sekundärstörungen, die die Beeinträchtigung des Gesamtsystems verursacht haben. Dieser Prozess wird so oft wiederholt, bis keine weitere Differenzierung der Störungsvariablen mehr durchgeführt werden kann. Als Artefakt dieser Analyse entsteht eine grafische Abbildung der Störquellen, die zur Primärstörung geführt haben.
Für das Verfahren sprechen die exakte Ursachenforschung und die Identifizierung bestehender Interdependenzen der Risiken untereinander. Diese Methode sollte innerhalb der IT-Abteilungen realisiert werden, da das System oder der Prozess in deren jeweiligen Verantwortungsbereich liegt. Die Zerlegung in die einzelnen Komponenten ist aufgrund des Fachwissens eine lösbare Aufgabe.
Zusammenfassung der Kapitel
1 Einführung: Hinführung zur Thematik der IT-Risiken im modernen Geschäftskontext und Erläuterung der Zielsetzung sowie des Aufbaus der Arbeit.
2 Grundlagen: Definition grundlegender Begriffe wie Informationstechnologie, IT-Risiko und IT-Risikomanagement zur Schaffung einer gemeinsamen Basis.
3 Rahmenbedingungen des IT-Risikomanagements: Untersuchung strategischer Einflussfaktoren, organisatorischer Strukturen, Compliance-Vorgaben und relevante IT-Standards.
4 Operatives IT-Risikomanagement: Detaillierte Darstellung des operativen Risikozyklus bestehend aus Identifikation, Analyse, Steuerung und Überwachung der Risiken.
5 Zusammenfassung und Ausblick: Resümee der erarbeiteten Modelle sowie ein Ausblick auf die zukünftige Bedeutung und Herausforderungen des IT-Risikomanagements.
Schlüsselwörter
IT-Risikomanagement, Risikostrategie, Risikoidentifikation, Risikoanalyse, Risikosteuerung, Compliance, CobiT, ITIL, BSI-Grundschutz, Risikokultur, Fehlerbaumanalyse, Value at Risk, IT-Sicherheit, Risikoportfolio, Schadensfall-Datenbank
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt den systematischen Aufbau und die Implementierung eines IT-Risikomanagements in Unternehmen.
Was sind die zentralen Themenfelder?
Zu den Kernbereichen zählen die strategische Einbettung, organisatorische Anforderungen, die Rolle der Risikokultur sowie Methoden zur operativen Handhabung von IT-Risiken.
Was ist das primäre Ziel der Arbeit?
Ziel ist die Entwicklung eines ganzheitlichen Modells, das Unternehmen bei der Identifikation, Analyse und Steuerung ihrer IT-Risiken unterstützt.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit stützt sich auf eine tiefgehende Analyse bestehender Fachliteratur, Standards und Best-Practice-Ansätze wie CobiT, ITIL und BSI-Grundschutz.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die strategischen Rahmenbedingungen (Kapitel 3) und den operativen Prozess des Risikomanagements (Kapitel 4), einschließlich spezifischer Analysemethoden.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird durch Begriffe wie IT-Risikomanagement, Compliance, Risikozyklus, methodische Risikoanalyse und Best Practices maßgeblich charakterisiert.
Wie unterscheidet sich die Fehlerbaumanalyse von der FMEA?
Die Fehlerbaumanalyse ist ein deduktiver Top-Down-Ansatz, der bei einem Störereignis beginnt, während die FMEA als systematischer Bottom-Up-Ansatz von einem intakten System ausgeht und einzelne Komponenten untersucht.
Warum spielt die Unternehmenskultur eine wichtige Rolle?
Eine gelebte Risikokultur sorgt dafür, dass Risikobewusstsein bei den Mitarbeitern verankert wird und Risikomanagement nicht nur als isolierte Pflichtaufgabe, sondern als integraler Bestandteil der Unternehmenskultur betrachtet wird.
Welche Bedeutung haben IT-Standards wie CobiT oder ITIL?
Diese Standards bieten Best-Practice-Referenzmodelle, die bei der Strukturierung von Prozessen und der Erfüllung von Compliance-Anforderungen helfen, auch wenn sie keine starren, fertigen Risikomanagement-Lösungen für jeden Einzelfall vorgeben.
- Quote paper
- Oliver Wagner (Author), 2009, Roadmap zur Implementierung und Realisierung eines IT Risikomanagements, Munich, GRIN Verlag, https://www.grin.com/document/134571
