Das Ziel vorliegender Arbeit ist es, den Aufbau und die Durchführung eines IT-Risikomanagements zu beschreiben. Dabei werden Voraussetzungen erläutert, die organisatorische Struktur erklärt und die rechtlichen sowie regulatorischen Anforderungen analysiert. Anhand von "Best Practice"-Ansätzen wird untersucht, inwieweit diese eine Hilfestellung zur Ein- und auch Durchführung eines IT-Risikomanagements bieten. Es wird also versucht ein ganzheitliches Modell zu entwickeln, das dem geneigten Leser einen möglichst breiten und vollständigen Überblick über Rahmenbedingungen, Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems gibt.
Die Arbeit gliedert sich in acht Kapitel. Nach dem einführenden Kapitel eins folgt das Fundament der Arbeit. In Kapitel zwei werden grundlegende Begrifflichkeiten definiert und als Basis für die weitere Betrachtung analysiert. In Kapitel drei werden rechtliche Anforderungen an das Risikomanagement im Allgemeinen und für das IT-Risikomanagement im Speziellen betrachtet. Mithilfe des Kapitels vier wird versucht, aus bestehenden Standards und "Best Practice"-Ansätzen eine Vorgabe für den Aufbau und den Ablauf eines IT-Risikomanagements zu erhalten. Die Kapitel fünf bis sieben widmen sich in aller Ausführlichkeit dem Prozess des IT-Risikomanagements. Dort werden Methoden und Verfahren zur Identifikation, Analyse und Steuerung von Risiken vorgestellt und bewertet. Den Abschluss bildet Kapitel acht mit der Zusammenfassung der Ergebnisse und der Ableitung von Erkenntnissen daraus.
Inhaltsverzeichnis
1 Einleitung und Überblick
1.1 Motivation und Ziel der Arbeit
1.2 Abgrenzung des Themengebietes
1.3 Aufbau der Arbeit
2 Grundlagen
2.1 Überblick
2.2 Risikobegriff
2.3 Risikokategorien und IT-Risiken
2.4 Risikostrategie und Risikokultur
2.5 Risikomanagement
2.6 Risikomanagementsystem
2.7 Prozesse des IT-Risikomanagementsystems
3 Rechtliche und regulatorische Anforderungen
3.1 Anspruchsgruppen (Stakeholder) im IT-Risikomanagement
3.2 Gesetz zur Kontrolle und Transparenz von Unternehmen (KonTraG)
3.3 Anforderungen an die interne Revision
3.4 Weitere Gesetze und regulatorische Anforderungen
4 Rahmenwerke, Best Practice und Standards für das IT-Risikomanagement
4.1 Überblick
4.2 BSI – Standards und IT-Grundschutz-Kataloge
4.3 ITIL (Information Technology Infrastructure Library)
4.4 CObIT (Control Objectives for Information and Related Technology)
4.5 Zusammenfassung
5 Methoden und Techniken zur Risikoidentifikation
5.1 Aufgaben und Elemente der Risikoidentifikation
5.2 Analytische Methoden
5.2.1 Fehlerbaumanalyse
5.2.2 Fehlermöglichkeits- und Einflussanalyse (FMEA)
5.2.3 Fragenkatalog
5.2.4 Bewertung der vorgestellten Analytischen Methoden
5.3 Kreativitätsmethoden
5.3.1 Brainstorming
5.3.2 Synektik
5.3.3 Delphi-Methode
5.3.4 Bewertung der vorgestellten Kreativitätsmethoden
5.4 Kollektionsmethoden
5.4.1 Checkliste
5.4.2 Expertenbefragung
5.4.3 Schadensfall-Datenbank
5.4.4 Bewertung der vorgestellten Kollektionsmethoden
5.5 Zusammenfassung
6 Methoden zur Risikobewertung
6.1 Überblick und Aufbau einer Risikobewertung
6.2 Qualitative Bewertungsansätze
6.3 Quantitative Bewertungsansätze
6.4 Zusammenfassung
7 Strategien zur Steuerung von IT-Risiken und Risikokontrolle
7.1 Risikosteuerung
7.2 Risikostrategien: Vermeiden, Vermindern, Transfer, Übernahme
7.2.1 Vermeiden
7.2.2 Vermindern
7.2.3 Transfer
7.2.4 Übernahme
7.3 Wirtschaftlichkeitsbetrachtungen von IT-Schutzmaßnahmen
7.4 Risikokontrolle
7.5 Zusammenfassung
8 Zusammenfassung und Ausblick
Zielsetzung & Themen
Die vorliegende Forschungsarbeit verfolgt das Ziel, den Aufbau und die Durchführung eines IT-Risikomanagementsystems systematisch zu beschreiben. Dabei werden sowohl die notwendigen Voraussetzungen und organisatorischen Strukturen erörtert als auch rechtliche und regulatorische Anforderungen analysiert, um eine Basis für ein ganzheitliches IT-Risikomanagement-Modell zu schaffen.
- Grundlagen des IT-Risikomanagements (Begriffe, Prozesse, Strategien)
- Rechtliche Anforderungen (z.B. KonTraG, Interne Revision)
- Analyse von IT-Standards und Rahmenwerken (BSI, ITIL, CObIT)
- Methoden und Techniken zur Identifikation und Bewertung von IT-Risiken
- Strategien zur Steuerung von IT-Risiken und Risikokontrolle
Auszug aus dem Buch
5.2.1 Fehlerbaumanalyse
Die Fehlerbaumanalyse ist eine Top-Down Methode. Dabei wird ein Ereignis vorgegeben, das nicht erwünscht ist. In Form einer Baumstruktur werden nun alle Möglichkeiten untersucht, die zu diesem primären Störereignis führen können. Es werden dabei alle sekundären Störereignisse aufgeführt. Dieser Prozess wird wiederholt und dabei werden alle sekundären Störereignisse als primäre Störereignisse aufgefasst und es erfolgt eine weitergehende Zerlegung. Aus dieser Modellierung entsteht eine grafische Abbildung der Störereignisse, die zur Top-Störung führen. Das Verfahren wird solange wiederholt, bis sich keine weitere Differenzierung bezüglich neuer Störereignisse möglich ist. Die Herausforderung bei dieser Methode besteht in der korrekten Wahl des initialen Störereignisses. Ist dieses zu allgemein gehalten, kann die Fehlerbaumanalyse schnell sehr komplex werden. Wird das Ereignis hingegen zu speziell gewählt, können wichtige Fehlerquellen übersehen werden.
Die Realisierung dieser Methode kann innerhalb der IT-Abteilung vollzogen werden. Aufgrund des in der IT-Abteilung vorhandenen Fachwissens ist die Zerlegung von IT-spezifischen Störereignissen durchführbar.
Zusammenfassung der Kapitel
1 Einleitung und Überblick: Einführung in die Relevanz der IT im Unternehmen und Definition der Zielsetzung und des Aufbaus der Arbeit.
2 Grundlagen: Definition wesentlicher Risikobegriffe, Kategorien von IT-Risiken sowie Vorstellung des IT-Risikomanagementprozesses.
3 Rechtliche und regulatorische Anforderungen: Analyse gesetzlicher Anforderungen wie dem KonTraG und Aufgaben der internen Revision im IT-Risikomanagement.
4 Rahmenwerke, Best Practice und Standards für das IT-Risikomanagement: Bewertung internationaler und nationaler Standards (BSI, ITIL, CObIT) hinsichtlich ihrer Anwendbarkeit für ein Risikomanagementsystem.
5 Methoden und Techniken zur Risikoidentifikation: Detaillierte Darstellung analytischer, kreativer und kollektiver Methoden zur Aufdeckung von IT-Risiken.
6 Methoden zur Risikobewertung: Vorstellung qualitativer und quantitativer Ansätze zur Bewertung der identifizierten Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schadenshöhe.
7 Strategien zur Steuerung von IT-Risiken und Risikokontrolle: Erörterung der Risikostrategien (Vermeiden, Vermindern, Transfer, Übernahme) sowie Verfahren der Wirtschaftlichkeitsbetrachtung und Kontrolle.
8 Zusammenfassung und Ausblick: Resümee der Arbeit und Ausblick auf zukünftige Herausforderungen im IT-Sicherheitsumfeld.
Schlüsselwörter
IT-Risikomanagement, Risikomanagementsystem, Risikoidentifikation, Risikobewertung, Risikosteuerung, KonTraG, IT-Grundschutz, ITIL, CObIT, FMEA, Fehlerbaumanalyse, Value-at-Risk, Risikokultur, Risikostrategie, Risikokontrolle
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der theoretischen und praktischen Fundierung von IT-Risikomanagementsystemen in Unternehmen.
Was sind die zentralen Themenfelder?
Die Arbeit behandelt die Risikoidentifikation, die Risikobewertung, Risikostrategien sowie die rechtlichen und organisatorischen Rahmenbedingungen.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist die Beschreibung des Aufbaus und der Durchführung eines ganzheitlichen IT-Risikomanagements sowie die Untersuchung bestehender Standards als Hilfestellung.
Welche wissenschaftlichen Methoden werden verwendet?
Die Autorin analysiert existierende Best-Practice-Ansätze und Standards (wie BSI, ITIL, CObIT) und bewertet deren Tauglichkeit für den Aufbau eines Risikomanagementsystems.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Bereiche Grundlagen, rechtliche Anforderungen, Analyse von Rahmenwerken sowie die detaillierte Vorstellung und Bewertung von Identifikations- und Steuerungsmethoden.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind IT-Risikomanagement, Risikoklassen, Risikoidentifikation, Risikobewertung und die verschiedenen IT-Governance-Frameworks.
Wie unterscheidet sich die Fehlerbaumanalyse von der FMEA?
Die Fehlerbaumanalyse ist eine Top-Down-Methode, die von einem unerwünschten Ereignis ausgeht, während die FMEA ein Bottom-Up-Ansatz ist, der bei den einzelnen Systemkomponenten ansetzt, um potenzielle Fehlerquellen zu identifizieren.
Warum ist das Risikoportfolio für das Management von Bedeutung?
Es erlaubt eine grafische Verknüpfung von Eintrittswahrscheinlichkeit und Schadenshöhe, woraus sich ein direkter Handlungsbedarf für die Unternehmensführung ableiten lässt.
Welche Rolle spielt die Wirtschaftlichkeitsbetrachtung bei IT-Schutzmaßnahmen?
Sie adressiert das Dilemma, dass Kosten für Sicherheitsmaßnahmen sofort anfallen, der Nutzen aber nur im Falle des verhinderten Risikoeintritts direkt sichtbar wird.
- Citar trabajo
- Christoph Mütschard (Autor), 2018, IT-Risikomanagement. Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems, Múnich, GRIN Verlag, https://www.grin.com/document/958643
