Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

3. Risikomanagement als Prozess

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Nachdem in den vorangegangenen Kapiteln grundlegende Elemente, Definitionen und Hilfsmittel für das Risikomanagement (RM) erarbeitet wurden, wird in diesem Kapitel der allgemeine Prozess des Risikomanagements behandelt. Im Sinne einer Integration des Informationssicherheits-, IT-, und Cyber-RM in das Unternehmens-RM sind die Vorgehensweisen für die unterschiedlichen Anwendungen eines RM, insbesondere bezüglich der vielfältigen Risiko-Assessment-Methoden, in diesem Kapitel möglichst allgemein gehalten. Der spezifische Einsatz des Risikomanagement-Prozesses für IT- und Informationssicherheits-Risiken (z. B. im Rahmen eines Informationssicherheits-Management-Systems) ist sodann im Teil III des Buches, mit entsprechenden Beispielen, ausführlich behandelt. Auf die Integration der Geschäftskontinuität und der Cyber-Sicherheit wird im Teil IV des Buches eingegangen.
Fußnoten
1
PDCA = Abkürzung der Phasen „Plan, Do, Check, Act“ eines zirkulären Prozesses.
 
2
Beispiele für die Verwendung des RM-Prozesses in fachspezifischen Anwendungen sind in den Abschn. 9.​3.​1 (Informationssicherheits-Management-System), 10.​1 (IT-Sicherheitskonzept) und 13.​3 (Geschäftskontinuitäts-Management) zu sehen.
 
3
Der Prozess in ISO 31000:2009 (s. Abb. 3.1) wird in diesem Buch mit einem expliziten Subprozess zur Durchführung der wichtigen Akzeptanz- und Iterationsentscheide ergänzt (vgl. auch Prozess in ISO/IEC 27005:2011).
 
4
Der Begriff „Risikoobjekt“ wird in diesem Buch synonym zu „Risikogegenstand“ sowohl für greifbare als auch für abstrakte Güter, Objekte, Systeme und Strukturen verwendet und schliesst den in der englischsprachigen Literatur oft verwendeten Begriff „Asset“ ein. Solche Risikoobjekte können beispielsweise die für das Unternehmen lebenswichtigen Geschäftsprozesse sein.
 
5
Technische Systeme (z. B. IT-Applikationen) erfordern oft andere Assessment-Methoden, als rein organisatorische oder finanzielle Systeme (s. Abschn. 3.5 sowie Abschn. 10.​1 bis Abschn.10.​6).
 
6
Es gilt zu bemerken, dass die Risiko-Politik im Unternehmens-Wettbewerb und der vorherrschenden Risikosituation auch vertrauliche Elemente (z. B. Wettbewerbsziele) enthalten kann, die dann in einem zusätzlichen und entsprechend vertraulich gehandhabten Dokument abgefasst werden.
 
7
Erfolgt das Risikomanagement im Rahmen eines fachspezifischen Management-Systems (z. B. Informationssicherheits-Management-System), dann schreiben die heutigen ISO-Standards für Management-Systeme eine entsprechende fachspezifische Policy (z. B. Informationssicherheits-Policy) vor, welche für das Management-System wesentlichen Elemente einer Risiko-Policy enthält.
 
8
Ist der Risikomanagement-Prozess in einen Management-System-Standard eingebettet, dann sind die diesbezüglichen Vorgaben in den dafür vorgesehenen Klauseln des Standards enthalten.
 
9
Auch als „Asset-Threat-Vulnerability-Methode“ bekannt und findet im Teil D dieses Buches vermehrte Anwendung.
 
10
Die Risikoobjekte (Assets) oder auch Risiko-Gegenstände können beispielsweise Prozesse, Systeme, Systemkomponenten, Informationen, Lokalitäten, Personen oder Projekte sein.
 
11
Die Risiko-Variablen entsprechen den Risikofaktoren (z. B. Bedrohung, Schwachstelle, Wahrscheinlichkeit, Schaden).
 
12
In diesem Risikomodell werden die Bedrohungen und Schwachstellen auf Risikoobjekte (Assets) bezogen und die Schäden von Zielverfehlungen an den Werten dieser Risikoobjekte abgeleitet. Andere Risikomodelle verwenden die Veranschaulichung mit Risikoobjekten nicht, aber verwenden dennoch die Variablen Bedrohung, Schwachstelle, die zu Risikoereignissen führen, bei denen aufgrund von Zielabweichungen (z. B. Vertraulichkeitsverlust) Schaden entsteht.
 
13
Durch die Granularisierung wird ein für die Analyse und Massnahmenbestimmung sinnvoller Objektumfang (Objektgrösse) definiert.
 
14
Für die der „Risiko-Identifikation“ nachfolgenden „Risiko-Analyse“ ist eine geordnete Auflistung der Risikoobjekte (einschliesslich der bereits vorhandenen Massnahmen und Schwachstellen) in einem Objektregister (Asset-Register) nützlich. Auch ist die Visualisierung der Konstellationen und der Abhängigkeiten der Risikoobjekte untereinander mittels entsprechenden Abbildungen zu empfehlen (s. Abb. 3.3).
 
15
Ein für ein risikobehaftetes Objekt relevante schwache oder fehlende Massnahme wird in der Regel als Schwachstelle bezeichnet.
 
16
Risiko-Definition in ISO 31000.
 
17
Der Begriff Schwachstelle (engl. Vulnerability) wird im weiteren Verlauf des Buches gegenüber dem Begriff „Schwäche“ bevorzugt verwendet.
 
18
Als Beispiel für numerisch berechnete und ausgewiesene Schwachstellen kann das „Common Vulnerability Scoring System“ genannt werden [Firs16].
 
19
Verschiedene gesetzliche oder regulative Vorgaben verlangen eine mit Unterschrift des zuständigen Managements bestätigte Risikobeurteilung.
 
20
Alternativ werden die Begriffe „Top-down“ und „Bottom-up“ auch bei der Analyse eines Gesamtrisikos aus Unternehmenssicht angewandt, wobei beim Top-Down-Verfahren verschiedene Ergebniszahlen des Unternehmens (z. B. die Brutto-Rendite) im Hinblick auf ihre Volatilität zur Ermittlung eines Gesamtrisikos untersucht werden; hingegen werden beim Bottom-up-Verfahren die Risiko-Kategorien, Geschäftsbereiche und Prozesse ursächlich erfasst, analysiert und die entsprechenden Einzelrisiken zu einem Gesamtrisiko aggregiert. Eine weitere Verwendung der Begriffe besteht bei der organisatorischen Durchführung des Risikomanagements, indem mit „Top-down-Vorgehen“ ein durch die Unternehmensleitung zentralistisch durchgeführtes Risikomanagement bezeichnet wird, hingegen das „Bottom-up-Vorgehen“ ein stark dezentral von den operativen Einheiten durchgeführtes Risikomanagement bedeutet (vgl. [Paul08], S. 294–296).
 
21
Das Gesamtsystem kann beispielsweise auch die Gesamt-Risikoposition eines Unternehmens mit seinen risikoträchtigen Gütern (Assets) sein.
 
22
Das „Top-Ereignis“ könnte auch eine resultierende „Gesamt-Situation“ sein.
 
23
Der Standard ISO/IEC 31010:2009 befindet sich derzeit in Überarbeitung.
 
Literatur
[Asnz04]
Zurück zum Zitat Australian/New Zealand Standard: Risk Managemement, AS/NZS 4360:2004. Sydney: Standards Australia International Ltd, 2004. Australian/New Zealand Standard: Risk Managemement, AS/NZS 4360:2004. Sydney: Standards Australia International Ltd, 2004.
[Horw04]
Zurück zum Zitat Horvath & Partners AG (Hrsg.): Balanced Scorecard umsetzen. Stuttgart: Schäffer-Poeschel, 2004. Horvath & Partners AG (Hrsg.): Balanced Scorecard umsetzen. Stuttgart: Schäffer-Poeschel, 2004.
[Isoa09]
Zurück zum Zitat ISO/IEC 31010:2009: Risk management – Risk Assessment techniques. International Organization for Standardization, 2009. ISO/IEC 31010:2009: Risk management – Risk Assessment techniques. International Organization for Standardization, 2009.
[Isor09]
Zurück zum Zitat ISO 31000:2009: Risk management – Principles and guidelines. International Organization for Standardization, 2009. ISO 31000:2009: Risk management – Principles and guidelines. International Organization for Standardization, 2009.
[Isor11]
Zurück zum Zitat ISO/IEC 27005:2011: Information security management systems – Information security risk management. International Organization for Standardization, 2011. ISO/IEC 27005:2011: Information security management systems – Information security risk management. International Organization for Standardization, 2011.
[Isov09]
Zurück zum Zitat ISO/IEC Guide 73:2009: Risk management – Vocabulary. International Organization for Standardization, 2009. ISO/IEC Guide 73:2009: Risk management – Vocabulary. International Organization for Standardization, 2009.
[Leve95]
Zurück zum Zitat Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995. Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995.
[Paul08]
Zurück zum Zitat Pauli, Marcus: „Risikomanagement Informationssystem (RMIS) - Basis eines modernen Risikomanagements.“ In Risikomanagement in der Unternehmensführung. Hrsg. Rainer Kalwait et al. Weinheim: WILEY-VCH Verlag GmbH &Co. KGaA, 2008. Pauli, Marcus: „Risikomanagement Informationssystem (RMIS) - Basis eines modernen Risikomanagements.“ In Risikomanagement in der Unternehmensführung. Hrsg. Rainer Kalwait et al. Weinheim: WILEY-VCH Verlag GmbH &Co. KGaA, 2008.
[Piaz02]
Zurück zum Zitat Piaz, Jean-Marc: Operational Risk Management bei Banken. Zürich: Versus Verlags AG, 2002. Piaz, Jean-Marc: Operational Risk Management bei Banken. Zürich: Versus Verlags AG, 2002.
[Rome13]
Zurück zum Zitat Romeike, Frank und Peter Hager: Erfolgsfaktor Risikomanagement 3.0. Wiesbaden: Gabler, 2013. Romeike, Frank und Peter Hager: Erfolgsfaktor Risikomanagement 3.0. Wiesbaden: Gabler, 2013.
Metadaten
Titel
Risikomanagement als Prozess
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_3

Premium Partner