Skip to main content
main-content

Über dieses Buch

Die Unternehmen sehen sich neuerdings zunehmend einem ganzen Bündel verschiedenartiger operationeHer Risiken sowie Markt- und Finanzrisiken gegenüber. Eine wichtige Kategorie der operationeBen Risiken sind die IT-Risiken, dies vor allem deshalb, weil die meisten Unternehmen immer stärker von der Informationstechnologie abhängig sind (z.B. Spitäler, Banken, Presse). Die Anforderungen an die "Corporate Covernance" des Unternehmens legen den obersten Aufsichts-und Führungsgre­ mien funktionstüchtige Prozesse für ein gesamtheitliebes und integratives Risiko-Management nahe. Das IT-Risiko­ Management ist ein Baustein im Gesamtrisiko-Prozess eines Un­ ternehmens. Die Verantwortlichen der Informations-Technologie (IT) eines Unternehmens müssen die Sicherheit der Informatio­ nen und der IT -Systeme vermehrt an den Risiken orientieren, da eingetretene Schadensereignisse nicht nur stark zu Buche schla­ gen, sondern sogar den Bestand eines Unternehmens gefährden. Da die Sicherheitsmassnahmen einen beträchtlichen Teil des IT­ Budgets ausmachen, müssen die IT-Verantwortlichen vermehrt den Nutzen solcher Sicherheits-Aufwendungen rechtfertigen. Für unnötigen Überschutz ist in der Regel kein Budget vorhanden. Zur Rechtfertigung der Kosten für die Sicherheitsmassnahmen müssen diese den vorhanden Risiken systematisch gegenüberge­ stellt werden können. Folgerichtig werden in diesem Buch der gesamte Risiko­ Management-Prozess in einem Unternehmen aufgezeigt und in diesem Rahmen die Methoden und Werkzeuge des IT-Risiko­ Managements behandelt. Eine vom Gesamtrisiko-Prozess eines Unternehmens isolierte Behandlung des IT-Risiko-Managements könnte der Sache nicht gerecht werden und wäre in der Umset­ zung längerfristig zum Scheitern verurteilt. Das Buch vermittelt, dass IT-Risiko-Management nicht alleinige Aufgabe und Verantwortlichkeit einer IT-Abteilung sein kann, sondern dass es im Rahmen der Unternehmens-Strategie- und Risiko-Management-Prozesses durch die Führung des Unterneh­ mens geprägt und getragen werden muss.

Inhaltsverzeichnis

Frontmatter

Einführung

1. Einführung

Zusammenfassung
„Erstens kommt es anders und zweitens als man denkt“. Dieses allseits bekannte Prinzip wird im vorliegenden Buch nicht widerlegt. Doch warum beschäftigen wir uns denn überhaupt mit Risiken? Diese Frage und wie wir uns mit den Risiken allgemein und mit den IT-Risiken im Besonderen auseinandersetzen können, sollte spätestens nach dem Lesen dieses Buches beantwortet werden konnen.
Hans-Peter Königs

Grundlagen erarbeiten

Frontmatter

2. Elemente für die Durchführung eines Risiko-Managements

Zusammenfassung
Die Beschäftigung mit den Risiken dient ihrer Erkennung und Bewertung sowie der Erarbeitung von Massnahmen und deren Umsetzung. Durch die Massnahmen sollen die Risiken auf akzeptable „Restrisiken“ reduziert werden.
Hans-Peter Königs

3. Risiko-Management als Prozess

Zusammenfassung
Nachdem in den vorangegangenen Ausführungen wesentliche Elemente, Definitionen und Hilfsmittel für das Risiko-Management erarbeitet wurden, können wir uns nun dem allgemeinen Prozess des Risiko-Mangements widmen. Dieser allgemeine Prozess (s. Abbildung 3.1) kann praktisch bei alien betrieblichen Risiko-Management-Problemen angewendet werden.
Hans-Peter Königs

Anforderungen berücksichtigen

Frontmatter

4. Risiko-Management, ein Pflichtfach der Unternehmensführung

Zusammenfassung
Das Risiko-Management in einem Unternehmen und das in diesem Buch im Detail behandelte IT-Risiko-Management können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen. Somit wird hier durchwegs ein ganzheitlicher integrierter Management-Ansatz verfolgt.
Hans-Peter Königs

5. Risiko-Management integriert in das Management-System

Zusammenfassung
Die Risiken, die wir in diesem Buch behandeln, wirken in der einen oder anderen Weise dem Erreichen von Unternehmens-Zielen und dem Erhalten von Unternehmens-Werten entgegen. Dies gilt auch für die IT-Risiken. Ein effektives Risiko-Management muss deshalb im Management-System des Unternehmens verankert sein, gilt es doch die Chancen und die Risiken in einem ausgewogenen und für die Lebensfähigkeit des Unternehmens richtigen Verhältnis wahrzunehmen. Den Prozess eines solchen ganzheitlichen Risiko-Managements bezeichnen wir als „Integrativen Risiko-Management-Prozess“.
Hans-Peter Königs

IT-Risiken erkennen und bewältigen

Frontmatter

6. Informations- und IT-Risiken

Zusammenfassung
Bevor wir in die Einzelheiten der IT-Risiken eintauchen, besinnen wir uns auf die im ersten Teil dieses Buches getroffenen Grundlagendefinitionen.
Hans-Peter Königs

7. Informations-Sicherheit und Corporate-Governance

Zusammenfassung
Zum IT-Risiko-Management gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.
Hans-Peter Königs

8. IT-Risiko-Management in der Führungs-Pyramide

Zusammenfassung
Die Steuerung des IT-Risiko-Managements in einem Unternehmen lässt sich anhand einer Pyramide darstellen. Die Pyramide symbolisiert dabei, die von oben nach unten zunehmende Verfeinerung der zu steuernden und kontrollierenden Objekte. Auf verschiedenen Ebenen der Pyramide sind sodann die Führungs-Instrumente mit ihrer jeweiligen Führungs- und Kontrollinstanz angeordnet (Abbildung 8.1).
Hans-Peter Königs

9. IT-Risiko-Management mit Standard-Regelwerken

Zusammenfassung
In diesem Kapitel wird die Bedeutung der Standard-Regelwerke in der Informations-Sicherheit behandelt und gezeigt, wie solche Regelwerke dem IT-Risiko-Management dienen. Einige der heute für die Informations-Sicherheit wichtigsten werden übersichtsweise mit ihrem Ursprung und Einsatzzweck sowie mit einigen wichtigen Merkmalen vorgestellt. Viele dieser Regelwerke weisen für ihren Anwendungszweck Überschneidungen untereinander auf. Dennoch verfiigt jedes Regelwerk über bestimmte bevorzugte Gesichtszüge [Grue04]. Auch bestehen Unterschiede in der Anwendungsbreite und Unterstützungstiefe. Exemplarisch werden die beiden Regelwerke ISO/IEC 17799 und CobiT, was ihren strukturellen Aufbau betrifft, genauer erklärt.
Hans-Peter Königs

10. Methoden und Werkzeuge zum IT-Risikomanagement

Zusammenfassung
Das Buch soil in erster Linie die Risiken und speziell die IT-Risiken aus der Perspektive des Unternehmens und der Governance behandeln. Deshalb sind in diesem Kapitel lediglich einige ausgesuchte Methoden und Werkzeuge behandelt, die im Rahmen des IT-Risiko-Managements eingesetzt werden; sie stehen somit für eine ganze Anzahl heute praktizierter Methoden und erhältlichen Werkzeugen. Bei der Behandlung in diesem Kapitel werden die Methoden und Werkzeuge jeweils an den Grundprinzipien eines Risiko-Management-Prozesses, wie er im Kapitel 3 sukzessive aufgebaut wurde, reflektiert. Die Integration dieser Sub-Prozesse in die Unternehmensprozesse erfolgt im Teil D dieses Buches.
Hans-Peter Königs

Unternehmens-Prozesse meistern

Frontmatter

11. Risiko-Management-Prozesse im Unternehmen

Zusammenfassung
Im Teil B dieses Buches haben wir die Anforderungen an ein RM im Unternehmen aufgezeigt. Aus diesen Anforderungen ging hervor, dass das RM auf höchster Unternehmensebene zur Frühwarnung und Steuerung der Risiken im Gesamtunternehmen für eine gute Corporate Governance unerlässlich ist. Die Einblicke in das Führungssystem zeigten, dass das Risiko-Management Einfluss auf die Strategiefindung im Unternehmen haben muss. Um den Erfordernissen einer risikoabhängigen Strategiefindung bezüglich Strategien und Massnahmen gerecht zu werden, ist sogar die Integration des RM in den Führungs- und Strategieprozess des Unternehmens zu empfehlen.
Hans-Peter Königs

12. Geschäftskontinuitäts-Planung und IT-Notfallplanung

Zusammenfassung
Aus der ganzheitlichen Sicht der Unternehmens-Risiken, aus der dieses Buch geschrieben ist, kommt der Geschäftskontinuität (Business Continuity) eine hohe Bedeutung zu. In vielen Unternehmen ist die Geschäftskontinuität in einem solchen Mass von den IT-Systemen und Ressourcen abhängig, dass bei Ausfällen der IT auch die gesamten Geschäftsprozesse zum Erliegen kommen.
Hans-Peter Königs

13. Risiko-Management im Lifecycle von Informationen und Systemen

Zusammenfassung
Die mit der Informations-Sicherheit und IT-RM-Prozessen zu schützenden Güter sind die Informationen und ihre technologischen Gefässe, namentlich die IT-Systeme. Zu diesen Gefässen zahlen wir die Codierungen der Informationen in Informationen und Prozeduren (z.B. Programme) sowie die IT-Prozesse, die Hardware und die technischen Kommunikations-Einrichtungen.
Hans-Peter Königs

14. Sourcing-Prozesse

Zusammenfassung
Viele Unternehmen prüfen die Möglichkeiten, einige ihrer aufwendigen Prozesse zu outsourcen.
Hans-Peter Königs

Backmatter

Weitere Informationen