10. Methoden und Werkzeuge für das Informations-Risikomanagement

Das Buch soll in erster Linie die Risiken und speziell die Informationssicherheits-, IT und Cyber-Risiken aus der Perspektive des Unternehmens und seiner Governance behandeln. Wie die individuellen Anforderungen für die einzelnen Risikobereiche sind auch die Methoden und Hilfsmittel verschieden. Deshalb werden in diesem Kapitel einige ausgesuchte Methoden behandelt, die an verschiedenen Stellen des Risikomanagement-Prozesses zur systematischen Bearbeitung der Aufgaben eingesetzt werden können. So wird beispielsweise die praktische Umsetzung des gesamten Risikomanagement-Prozesses anhand des Aufbaus und der Erstellung eines Sicherheitskonzepts für ein IT-System oder für einen anderen Teilbereich der IT gezeigt. Eine andere Möglichkeit, wie ein Informationssicherheits-Prozess mittels einer entsprechenden Software durchgeführt werden kann, ist an der sogenannten CRAMM-Methode veranschaulicht. Für die Lösung einzelner Probleme des Informations-Risikomanagements, wie die der Risiko-Identifikation oder Risiko-Analyse, bestehen verschiedene Vorgehensweisen (z. B. Bottom-up und Top-down-Methoden oder Vorwärts- und Rückwärts-Suchmethoden). Solche Methoden werden in diesem Buch-Kapitel beispielhaft an den Methoden „Fehlermöglichkeits- und Einfluss-Analyse“ (FMEA), „Fehlerbaum-Analyse“ (FTA) sowie „Ereignisbaum-Analyse“ (ETA) in ihren wesentlichen Eigenschaften werden. Neben den in diesem Kapitel ausführlich behandelten Methoden und Werkzeugen, können für den konkreten Anwendungsfall viele weitere in Frage kommen. Für deren Beschreibung, Auswahl und Einsatzweise sei an dieser Stelle auf die zu diesem Thema weitergehende Literatur ([Knol14], S. 155–202) hingewiesen.