Die Statistiken über Computer-Kriminalität und -Missbrauch weisen hohe Inkonsistenzen auf (Kshetri 2010, S. 7–8) . So variieren Statistiken zum Anteil der mit Schadsoftware befallenen Computer stark. Während der Informatiker Vinton G. Cerf, häufig auch als „Vater des Internets“ bezeichnet, den Anteil illegal installierter Bots im Jahr 2007 auf 25% schätzt, spricht der Antivirus-Hersteller Kaspersky Lab im selben Jahr davon, dass jeder zehnte PC Teil eines Botnets wäre (Wikipedia 2011c). Ebenso drastisch unterschiedlich ist das statistische Zahlenwerk bei den erfassten Computer-Straftaten. Während aus der polizeilichen Kriminalstatistik in Deutschland hervorgeht, dass die Straftaten um zwölf Prozent auf rund 84.400 Fälle im Jahr 2010 angestiegen sind (ONLINE et al. 2011), berichtet die Bitkom für denselben Zeitraum von einem Anstieg um 20 Prozent auf 250.000 Fälle (HighText Verlag). Insgesamt findet sich jedoch in den Statistiken ein Trend bestätigt: Der Computer wird immer häufiger als Tatwerkzeug von Kriminellen genutzt.
Dem gegenüber blieb nach Meinung des Autors ein breites gesellschaftliches Bewusstsein für die beschriebenen, ständig zunehmenden IT-Risiken bislang aus. Erst der Hacker-Angrif auf den japanischen Sony-Konzern im April 2011, bei dem 77 Millionen Kundendaten gestohlen wurde, änderte dies etwas nachhaltiger. Seitdem vergeht kaum eine Woche, in der nicht von weiteren Attacken auf namhafte Organisationen und Unternehmen berichtet wird.
Exemplarisch sei an dieser Stelle das Datenleck bei der UNESCO aufgeführt, das hunderttausende Bewerber im Web „entblößte“ sowie das der Rewe Group, bei dem Kundendaten im „mittleren Zehntausender-Bereich“ eingesehen werden konnte. Auch bei deutschen Sicherheitsbehörden, (Bundespolizei, Zoll) wurden sensible Daten von der Hacker Gruppe „no name-crew“ gestohlen, ohne das man letztlich nachvollziehen konnte, welche konkreten Daten abgeflossen waren (Online 2011).

Excerpt

Inhaltsverzeichnis

1 Einführung

1.1 Problemstellung und Motivation

1.2 Zielsetzung

1.3 Grundlegende Definitionen und Abgrenzungen

1.3.1 Informationstechnologie und IT-Systeme in Unternehmen

1.3.2 Risiken und IT-Risiken

1.3.3 Risikomanagement

1.3.4 Kleinst- und Kleinunternehmen

1.4 Aufbau der Arbeit

2 IT-Risiken im Kontext der Anforderungen von Gesetzgebern und Regulatoren

2.1 Rechtliche Fundierung der kaufmännische Sorgfaltspflicht

2.2 Datenschutzgesetze

2.3 Gesetzgebung zum Fernmeldegeheimnis

2.4 Haftungs-, ordnungs- und strafrechtliche Konsequenzen aus der Verfehlung rechtlicher Vorgaben

3 Weitere IT-Risiken für das Unternehmen (Parteieinwirkung)

3.1 IT-Risiken und ihre Dimensionen

3.2 Passive Angriffe

3.3 Aktive Angriffe

3.4 Sonstige Risiken

4 Einrichtung eines IT-Risikomanagements

4.1 Methoden zur Identifikation von IT-Risiken

4.1.1 Überblick über alternative und komplementäre Methoden zur Risikoidentifikation

4.1.2 Generelle Schutzbedarfsermittlung

4.1.3 Grundschutz-Analysemethodik

4.1.3.1 Überblick über den Aufbau des Maßnahmenkatalogs „IT-Grundschutz“ des BSI

4.1.3.2 Umsetzung der Grundschutz-Analysemethodik anhand des IT-Grundschutzes des BSI

4.1.3.2.1 Abbildung des IT-Systems anhand von vorhandenen Bausteinen des Grundschutzkataloges

4.1.3.2.2 Erfassen der Bausteine und deren mögliche Gefahren

4.1.3.2.3 Analyse der Maßnahmenbeschreibungen

4.1.3.2.4 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.1.4 Detaillierte Risikoanalyse

4.1.4.1 Abgrenzen des IT-Analysebereichs

4.1.4.2 Identifikation der bedrohten Objekte

4.1.4.3 Wertanalyse

4.1.4.4 Bedrohungsanalyse

4.1.4.5 Schwachstellenanalyse

4.1.4.6 Aufnahme der bestehenden Sicherheitsmaßnahmen

4.1.4.7 Risikobewertung

4.2 Methoden zur Quantifizierung von IT-Risiken

4.2.1 Risikoquantifizierung unter Unsicherheit: Korrekturverfahren

4.2.2 Risikoquantifizierung unter Unsicherheit :Sensitivitätsanalyse

4.3 Maßnahmen zur Steuerung von IT-Risiken

4.3.1 Risikovermeidung

4.3.2 Risikoreduktion

4.3.2.1 Personelle sowie organisatorische Maßnahmen

4.3.2.2 Technische Maßnahmen

4.3.3 Risikodiversifikation

4.3.4 Risikotransfer

4.3.5 Risikoakzeptanz

4.4 Risikokontrolle

4.5 Synthese aus Sicht von Kleinst- und Kleinunternehmen

Zielsetzung & Themen

Diese Arbeit adressiert die wachsende Bedeutung von IT-Risiken für Kleinst- und Kleinunternehmen (KKU). Das primäre Ziel besteht darin, einen systematischen Überblick über relevante IT-Risiken zu geben und einen standardisierten Prozess für ein IT-Risikomanagement zu etablieren, der speziell auf die begrenzten Ressourcen dieser Unternehmensgrößen zugeschnitten ist.

Rechtliche Anforderungen an die IT-Sicherheit und Sorgfaltspflichten.
Systematisierung von IT-Bedrohungen durch den "IT-Risikokubus".
Methoden zur Identifikation und Quantifizierung von IT-Risiken (Grundschutz vs. Risikoanalyse).
Strategien zur Risikosteuerung (Vermeidung, Reduktion, Diversifikation, Transfer, Akzeptanz).
Praxisnaher Leitfaden für ein IT-Risikomanagement in KMU.

Auszug aus dem Buch

1.1 Problemstellung und Motivation

Die Informationstechnologie (IT) gehört zur zentralen Infrastruktur eines Unternehmens. Sie hat sich angesichts der zunehmenden Vernetzung zum zentralen Nervensystem eines jeden Unternehmens entwickelt. Durch die immer höhere Komplexität von Informationssystemen sowie die Ausweitung von Geschäftsprozessen auf das Internet wird die Bedrohungslage von Organisationen darüber hinaus zusätzlich verstärkt. Durch den stetig steigenden Wettbewerbsdruck ist es gleichzeitig kaum einem Unternehmen mehr möglich, sich modernen Informationstechnologien zu verschließen. Mit der damit größer werdenden Bedeutung der IT sowie der nicht geringer werdenden Zahl von Sicherheitslücken, steigen die Risiken (booz&co. 2010, S. 11).

Bei kleinen Unternehmen kommt erschwerend hinzu, dass sie in der Regel über keine eigene oder nur eine schwach besetzte IT-Abteilung verfügen. Das Management der Unternehmens-IT erfolgt also daher meist „nebenbei“ (Meyer et al. 2010, S. 1). Dabei scheint es selbst für Spezialisten schwierig zu sein, stets „up-to-date“ zu bleiben. Selbst wenn diese schwierigen Rahmenbedingungen noch erkannt werden, werden die Schutzbedarfe der eigenen IT-Systeme unterschätzt. Vielmehr hört man Aussagen wie „bei uns ist noch nie etwas passiert“, „so geheim sind unsere Daten nicht“, „unser Netz ist sicher“ oder „unseren Mitarbeiter kann vertrauen“. Diese Einschätzungen erweisen sich jedoch in den meisten Fällen als oberflächlich; denn selbst wenn bisher noch nichts passiert ist, ist IT-Sicherheit kein statischer Zustand, sondern ein ständiger Prozess. (Bundesamt für Sicherheit in der Informationstechnik 2006, S. 6–7).

Vermutlich ist es die verbreitete Ansicht, dass IT-Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen, wie Sicherheitstechnik und hoch qualifiziertem Personal, verbunden ist, die gerade Kleinunternehmen davon abhält, sich mit dem Thema IT-Risikomanagement stärker vertraut zu machen.

Der Autor dieser Arbeit hält ein IT-Risikomanagement auch für kleine Unternehmen für wichtig. Unternehmen sollten stets ihre IT-Risiken kennen und bewerten können. Eine fortlaufende, objektivierte Bewertung dieses Risikos sollte eine ergänzende Steuerungsgröße für die Geschäftsführung schaffen. (KPMG 1998, S. 9–10)

Zusammenfassung der Kapitel

1 Einführung: Die Einleitung beleuchtet die zunehmende Bedrohungslage durch IT-Kriminalität und begründet die Notwendigkeit eines strukturierten Risikomanagements, insbesondere für Kleinst- und Kleinunternehmen.

2 IT-Risiken im Kontext der Anforderungen von Gesetzgebern und Regulatoren: Dieses Kapitel erläutert die vielfältigen rechtlichen Rahmenbedingungen und Pflichten wie die kaufmännische Sorgfaltspflicht und Datenschutzgesetze, deren Verletzung haftungs- und strafrechtliche Folgen haben kann.

3 Weitere IT-Risiken für das Unternehmen (Parteieinwirkung): Es erfolgt eine Systematisierung von IT-Bedrohungen, unterteilt in passive und aktive Angriffe sowie sonstige risikobehaftete Faktoren wie Hardwarefehler.

4 Einrichtung eines IT-Risikomanagements: Das Hauptkapitel beschreibt den gesamten Regelprozess des Risikomanagements, von der Identifikation über die Quantifizierung bis hin zu konkreten Steuerungsmaßnahmen und der abschließenden Risikokontrolle.

Schlüsselwörter

IT-Risikomanagement, IT-Sicherheit, Kleinstunternehmen, Kleinunternehmen, Risikokubus, IT-Grundschutz, Risikoidentifikation, Risikoquantifizierung, Risikosteuerung, Datenschutz, Sorgfaltspflicht, IT-Outsourcing, Bedrohungsanalyse, Schadenshöhe, Eintrittswahrscheinlichkeit.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit befasst sich mit der Etablierung eines IT-Risikomanagements, wobei ein besonderer Fokus auf die spezifischen Bedürfnisse und begrenzten Ressourcen von Kleinst- und Kleinunternehmen gelegt wird.

Was sind die zentralen Themenfelder?

Zentral sind die rechtlichen Rahmenbedingungen der IT-Sicherheit, die systematische Identifikation von IT-Bedrohungen und die Implementierung von Prozessen zur Steuerung dieser Risiken.

Was ist das primäre Ziel oder die Forschungsfrage?

Das Ziel ist es, einen systematischen Überblick über IT-Risiken zu geben und einen methodischen Leitfaden zu entwickeln, der Kleinst- und Kleinunternehmen hilft, ihre IT-Risiken effektiv zu bewerten und zu steuern.

Welche wissenschaftliche Methode wird verwendet?

Es wird eine theoretisch-idealtypische Analyse des IT-Risikomanagement-Regelprozesses (Identifizieren, Beurteilen, Steuern, Überwachen) durchgeführt, ergänzt durch die Anwendung anerkannter Standards wie dem BSI-IT-Grundschutz.

Was wird im Hauptteil behandelt?

Im Hauptteil werden Methoden zur Risikoidentifikation (Grundschutz vs. detaillierte Risikoanalyse), Möglichkeiten zur Quantifizierung von Risiken trotz Unsicherheit sowie verschiedene Strategien der Risikosteuerung detailliert dargelegt.

Welche Schlüsselwörter charakterisieren die Arbeit?

Wichtige Begriffe sind IT-Risikomanagement, Kleinstunternehmen, IT-Grundschutz, Risikoidentifikation, Risikosteuerung und IT-Sicherheit.

Warum unterschätzen kleine Unternehmen oft ihre IT-Risiken?

Oft herrscht der Irrglaube vor, dass IT-Sicherheit nur Großunternehmen betrifft, dass keine IT-Abteilung nötig sei oder dass bisher ja auch "nichts passiert ist", was die Notwendigkeit kontinuierlicher Prozesse verschleiert.

Welche Rolle spielt die gesetzliche Sorgfaltspflicht?

Sie bildet die rechtliche Basis; Unternehmen sind verpflichtet, Sorgfalt walten zu lassen, um Schäden abzuwenden, andernfalls drohen rechtliche Konsequenzen für die Geschäftsführung und die Mitarbeiter.

Wie kann das Risiko quantifiziert werden?

Durch die Kombination von Eintrittswahrscheinlichkeit und Schadenshöhe, wobei bei Unsicherheiten Korrekturverfahren oder Sensitivitätsanalysen angewandt werden.

Welche Steuerungsstrategien gibt es für IT-Risiken?

Man unterscheidet primär zwischen Risikovermeidung, Risikoreduktion, Risikodiversifikation, Risikotransfer (z. B. durch Versicherungen) und Risikoakzeptanz.

Excerpt out of 100 pages - scroll top

Details

Title: IT-Risikomanagement insbesondere unter den Gesichtspunkten von Kleinst- und Kleinunternehmen
College: University of Applied Sciences Jena
Grade: 1,3
Author: Reiner Löffler (Author)
Publication Year: 2012
Pages: 100
Catalog Number: V230409
ISBN (eBook): 9783656464761
Language: German
Tags: IT-Sicherheit IT-Risiko Risikomanagement Bundesdatenschutzgesetzt TKG Geheimnisträger passive Angriffe aktive Angriffe IT-Versicherungen Grundschutzkatalog ITIL IDS Firewall Verschlüsselung Smart Card Token Kryptographie Würmer Viren SpyWare IT-Security Virenschutz unified threat management Spähprogram NSA Schadsoftware IT-Straftaten Brute Force
Product Safety: GRIN Publishing GmbH

Quote paper: Reiner Löffler (Author), 2012, IT-Risikomanagement insbesondere unter den Gesichtspunkten von Kleinst- und Kleinunternehmen, Munich, GRIN Verlag, https://www.grin.com/document/230409

IT-Risikomanagement insbesondere unter den Gesichtspunkten von Kleinst- und Kleinunternehmen