Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top
Published in:
Einführung Read chapter Read first chapter

2017 | OriginalPaper | Chapter

3. Risikomanagement als Prozess

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

Log in

Activate our intelligent search to find suitable subject content or patents.

search-config
loading …

Überblick

Nachdem in den vorangegangenen Kapiteln grundlegende Elemente, Definitionen und Hilfsmittel für das Risikomanagement (RM) erarbeitet wurden, wird in diesem Kapitel der allgemeine Prozess des Risikomanagements behandelt. Im Sinne einer Integration des Informationssicherheits-, IT-, und Cyber-RM in das Unternehmens-RM sind die Vorgehensweisen für die unterschiedlichen Anwendungen eines RM, insbesondere bezüglich der vielfältigen Risiko-Assessment-Methoden, in diesem Kapitel möglichst allgemein gehalten. Der spezifische Einsatz des Risikomanagement-Prozesses für IT- und Informationssicherheits-Risiken (z. B. im Rahmen eines Informationssicherheits-Management-Systems) ist sodann im Teil III des Buches, mit entsprechenden Beispielen, ausführlich behandelt. Auf die Integration der Geschäftskontinuität und der Cyber-Sicherheit wird im Teil IV des Buches eingegangen.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

inform now
previous chapter Beschäftigung mit Risiken und Risikomanagement
next chapter Risikomanagement, ein Pflichtfach der Unternehmensführung
Footnotes
1
PDCA = Abkürzung der Phasen „Plan, Do, Check, Act“ eines zirkulären Prozesses.
 
2
Beispiele für die Verwendung des RM-Prozesses in fachspezifischen Anwendungen sind in den Abschn. 9.​3.​1 (Informationssicherheits-Management-System), 10.​1 (IT-Sicherheitskonzept) und 13.​3 (Geschäftskontinuitäts-Management) zu sehen.
 
3
Der Prozess in ISO 31000:2009 (s. Abb. 3.1) wird in diesem Buch mit einem expliziten Subprozess zur Durchführung der wichtigen Akzeptanz- und Iterationsentscheide ergänzt (vgl. auch Prozess in ISO/IEC 27005:2011).
 
4
Der Begriff „Risikoobjekt“ wird in diesem Buch synonym zu „Risikogegenstand“ sowohl für greifbare als auch für abstrakte Güter, Objekte, Systeme und Strukturen verwendet und schliesst den in der englischsprachigen Literatur oft verwendeten Begriff „Asset“ ein. Solche Risikoobjekte können beispielsweise die für das Unternehmen lebenswichtigen Geschäftsprozesse sein.
 
5
Technische Systeme (z. B. IT-Applikationen) erfordern oft andere Assessment-Methoden, als rein organisatorische oder finanzielle Systeme (s. Abschn. 3.5 sowie Abschn. 10.​1 bis Abschn.10.​6).
 
6
Es gilt zu bemerken, dass die Risiko-Politik im Unternehmens-Wettbewerb und der vorherrschenden Risikosituation auch vertrauliche Elemente (z. B. Wettbewerbsziele) enthalten kann, die dann in einem zusätzlichen und entsprechend vertraulich gehandhabten Dokument abgefasst werden.
 
7
Erfolgt das Risikomanagement im Rahmen eines fachspezifischen Management-Systems (z. B. Informationssicherheits-Management-System), dann schreiben die heutigen ISO-Standards für Management-Systeme eine entsprechende fachspezifische Policy (z. B. Informationssicherheits-Policy) vor, welche für das Management-System wesentlichen Elemente einer Risiko-Policy enthält.
 
8
Ist der Risikomanagement-Prozess in einen Management-System-Standard eingebettet, dann sind die diesbezüglichen Vorgaben in den dafür vorgesehenen Klauseln des Standards enthalten.
 
9
Auch als „Asset-Threat-Vulnerability-Methode“ bekannt und findet im Teil D dieses Buches vermehrte Anwendung.
 
10
Die Risikoobjekte (Assets) oder auch Risiko-Gegenstände können beispielsweise Prozesse, Systeme, Systemkomponenten, Informationen, Lokalitäten, Personen oder Projekte sein.
 
11
Die Risiko-Variablen entsprechen den Risikofaktoren (z. B. Bedrohung, Schwachstelle, Wahrscheinlichkeit, Schaden).
 
12
In diesem Risikomodell werden die Bedrohungen und Schwachstellen auf Risikoobjekte (Assets) bezogen und die Schäden von Zielverfehlungen an den Werten dieser Risikoobjekte abgeleitet. Andere Risikomodelle verwenden die Veranschaulichung mit Risikoobjekten nicht, aber verwenden dennoch die Variablen Bedrohung, Schwachstelle, die zu Risikoereignissen führen, bei denen aufgrund von Zielabweichungen (z. B. Vertraulichkeitsverlust) Schaden entsteht.
 
13
Durch die Granularisierung wird ein für die Analyse und Massnahmenbestimmung sinnvoller Objektumfang (Objektgrösse) definiert.
 
14
Für die der „Risiko-Identifikation“ nachfolgenden „Risiko-Analyse“ ist eine geordnete Auflistung der Risikoobjekte (einschliesslich der bereits vorhandenen Massnahmen und Schwachstellen) in einem Objektregister (Asset-Register) nützlich. Auch ist die Visualisierung der Konstellationen und der Abhängigkeiten der Risikoobjekte untereinander mittels entsprechenden Abbildungen zu empfehlen (s. Abb. 3.3).
 
15
Ein für ein risikobehaftetes Objekt relevante schwache oder fehlende Massnahme wird in der Regel als Schwachstelle bezeichnet.
 
16
Risiko-Definition in ISO 31000.
 
17
Der Begriff Schwachstelle (engl. Vulnerability) wird im weiteren Verlauf des Buches gegenüber dem Begriff „Schwäche“ bevorzugt verwendet.
 
18
Als Beispiel für numerisch berechnete und ausgewiesene Schwachstellen kann das „Common Vulnerability Scoring System“ genannt werden [Firs16].
 
19
Verschiedene gesetzliche oder regulative Vorgaben verlangen eine mit Unterschrift des zuständigen Managements bestätigte Risikobeurteilung.
 
20
Alternativ werden die Begriffe „Top-down“ und „Bottom-up“ auch bei der Analyse eines Gesamtrisikos aus Unternehmenssicht angewandt, wobei beim Top-Down-Verfahren verschiedene Ergebniszahlen des Unternehmens (z. B. die Brutto-Rendite) im Hinblick auf ihre Volatilität zur Ermittlung eines Gesamtrisikos untersucht werden; hingegen werden beim Bottom-up-Verfahren die Risiko-Kategorien, Geschäftsbereiche und Prozesse ursächlich erfasst, analysiert und die entsprechenden Einzelrisiken zu einem Gesamtrisiko aggregiert. Eine weitere Verwendung der Begriffe besteht bei der organisatorischen Durchführung des Risikomanagements, indem mit „Top-down-Vorgehen“ ein durch die Unternehmensleitung zentralistisch durchgeführtes Risikomanagement bezeichnet wird, hingegen das „Bottom-up-Vorgehen“ ein stark dezentral von den operativen Einheiten durchgeführtes Risikomanagement bedeutet (vgl. [Paul08], S. 294–296).
 
21
Das Gesamtsystem kann beispielsweise auch die Gesamt-Risikoposition eines Unternehmens mit seinen risikoträchtigen Gütern (Assets) sein.
 
22
Das „Top-Ereignis“ könnte auch eine resultierende „Gesamt-Situation“ sein.
 
23
Der Standard ISO/IEC 31010:2009 befindet sich derzeit in Überarbeitung.
 
Literature
[Asnz04]
Australian/New Zealand Standard: Risk Managemement, AS/NZS 4360:2004. Sydney: Standards Australia International Ltd, 2004.
[Firs16]
[Horw04]
Horvath & Partners AG (Hrsg.): Balanced Scorecard umsetzen. Stuttgart: Schäffer-Poeschel, 2004.
[Isoa09]
ISO/IEC 31010:2009: Risk management – Risk Assessment techniques. International Organization for Standardization, 2009.
[Isor09]
ISO 31000:2009: Risk management – Principles and guidelines. International Organization for Standardization, 2009.
[Isor11]
ISO/IEC 27005:2011: Information security management systems – Information security risk management. International Organization for Standardization, 2011.
[Isov09]
ISO/IEC Guide 73:2009: Risk management – Vocabulary. International Organization for Standardization, 2009.
[Leve95]
Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995.
[Paul08]
Pauli, Marcus: „Risikomanagement Informationssystem (RMIS) - Basis eines modernen Risikomanagements.“ In Risikomanagement in der Unternehmensführung. Hrsg. Rainer Kalwait et al. Weinheim: WILEY-VCH Verlag GmbH &Co. KGaA, 2008.
[Piaz02]
Piaz, Jean-Marc: Operational Risk Management bei Banken. Zürich: Versus Verlags AG, 2002.
[Rome13]
Romeike, Frank und Peter Hager: Erfolgsfaktor Risikomanagement 3.0. Wiesbaden: Gabler, 2013.
Metadata
Title
Risikomanagement als Prozess
Author
Hans-Peter Königs
Copyright Year
2017
Book
IT-Risikomanagement mit System

Print ISBN: 978-3-658-12003-0

Electronic ISBN: 978-3-658-12004-7

Copyright Year: 2017

DOI
https://doi.org/10.1007/978-3-658-12004-7_3

Premium Partner

    Image Credits