Skip to main content
SpringerLink
Log in

Risiko-Management in der Informations- und Kommunikationstechnologie (IuK)

  • Chapter
  • First Online:
Erfolgsfaktor Risiko-Management 4.0

  • 21k Accesses

Zusammenfassung

Seit vielen Jahren werden für Unternehmen insbesondere die optimale Informationsverteilung sowie die Integration der Unternehmensprozesse und der Informations- und Kommunikationstechnologie (IuK, nachfolgend IT genannt) zunehmend zum strategischen Erfolgsfaktor. Die technische Abhängigkeit der Kernprozesse von der IT in der Wertschöpfungskette nimmt rapide zu – und damit auch die IT-bezogenen Risiken. Die IT-Prozesse in einem Unternehmen unterstützen auf der einen Seite die Kernprozesse eines Unternehmens und reduzieren dadurch auch die Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch wiederum ein neues Risikopotenzial. Intelligente Heizkörper, Kühlschränke und Lampen im Smart-Home-Bereich, vernetzte Autos auf der Straße oder die intelligente Fabrik in der Industrie-4.0-Welt: Immer mehr Geräte sind mit Sensoren ausgestattet, sind internetfähig und vernetzt. Während auf der einen Seite die Digitalisierung unaufhaltsam voranschreitet, steigen auf der anderen Seite die Cyber-Risiken hinsichtlich Intensität und Heterogenität. Das Kapitel "Risiko-Management in der Informations- und Kommunikationstechnologie (IuK)" liefert methodische Ansätze und praxisorientierte Umsetzungshinweise zur Identifikation und Bewertung sowie zum wirksamen und präventiven Managen von IT-Risiken.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 49.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever
Hardcover Book
USD 64.99
Price excludes VAT (USA)
  • Durable hardcover edition
  • Dispatched in 3 to 5 business days
  • Free shipping worldwide - see info

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    An dieser Stelle sei an die diversen Hackerangriffe auf die Netzwerke der Bundesregierung erinnert. So bewegten sich die Hacker mehr als ein Jahr im zentralen Datennetz der Bundesverwaltung (Informationsverbund Berlin-Bonn (IVBB)). Bereits im Jahr 2015 wurde das gesamte Netzwerk des Bundestags mit Schadsoftware infiziert. Die Spur führte nach Russland, zu einem Hackerkollektiv des Militärgeheimdiensts GRU (Glawnoje Raswedywatelnoje Uprawlenije).

  2. 2.

    Details vgl. Kap. 6 sowie Kap. 7.

  3. 3.

    Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (2019). Vgl. hierzu auch Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT), in der Fassung vom 14.09.2018.

  4. 4.

    Vgl. Gampe (2018, S. 25). Eine interessante Formulierung, dass das „IT-Risiko […] als das bestehende und künftige Risiko […]“ definiert wird. Man könnte hier auch von einer semantischen Redundanz sprechen.

  5. 5.

    Siehe IT-Grundschutz im Kap. 4: Glossar und Begriffsdefinitionen.

  6. 6.

    Vgl. hierzu vertiefend Gleißner und Romeike (2011, S. 21–26).

  7. 7.

    Vgl. hierzu Kap. 2.

  8. 8.

    Diese Begriffe werden in der Praxis sehr häufig nicht trennscharf verwendet.

  9. 9.

    Vgl. hierzu vertiefend Vgl. hierzu vertiefend Korte und Romeike (2010, S. 35).

  10. 10.

    Vgl. hierzu beispielsweise COSO ERM sowie ISO 31000. COSO ERM 2017 definiert ein Risiko wie folgt: „Risk: The possibility that events will occur and affect the achievement of strategy and business objectives.“ Vgl. Committee of Sponsoring Organizations of the Treadway Commission (2017). Der internationale Standard ISO 31000:2018 definiert Risiko wie folgt: „Risk: effect of uncertainty on objectives. An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities and threats. Objectives can have different aspects and categories, and can be applied at different levels. Risk is usually expressed in terms of risk sources [Ursachen, Anmerkung Autoren], potential events, their consequences [Wirkungen, Anmerkung Autoren] and their likelihood.“ Vgl. International Organization for Standardization (2018).

  11. 11.

    Daher spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch von Gefährdungskatalogen und nicht von Risikokatalogen. Die Gefährdungskataloge sind Teil der IT-Grundschutz-Kataloge und enthalten Beschreibungen möglicher Gefährdungen der Informationstechnik.

  12. 12.

    Vgl. Bundesamt für Sicherheit in der Informationstechnik.

  13. 13.

    Als typische Kennzahlen der Verfügbarkeit sind in der Praxis gebräuchlich: Maximale Dauer eines einzelnen Ausfalls (Verfügbarkeit: Ausfallzeit im Jahresdurchschnitt, auch Verfügbarkeitsklasse), Zuverlässigkeit (Fähigkeit, über einen gegebenen Zeitraum hinweg unter bestimmten Bedingungen korrekt zu arbeiten), Fehlersicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit (verallgemeinernd: Benutzbarkeit überhaupt), Reaktionszeit (wie lange dauert es, bis das System eine spezielle Aktion ausgeführt hat), Mean Time to Repair (MTTR, mittlere Dauer der Wiederherstellung nach einem Ausfall), Mean Time between Failure (MTBF, mittlere Betriebszeit zwischen zwei auftretenden Fehlern ohne Reparaturzeit), Mean Time to Failure (MTTF, siehe MTBF, wird jedoch bei Systemen/Komponenten verwendet, die nicht repariert, sondern ausgetauscht werden).

  14. 14.

    Informationssicherheit ist weiter definiert als IT-Sicherheit. Ziel der Informationssicherheit ist es, sowohl die Informationen selbst als auch die Daten, Systeme, Prozesse und die Infrastruktur, welche die Informationen enthalten, verarbeitet, speichern oder liefern, zu schützen. Im Folgenden verstehen wir die beiden Begriffe als Synonyme und betrachten immer die gesamte Informationssicherheit.

  15. 15.

    In der Praxis orientiert sich die Informationssicherheit häufig an der ISO Standard-Reihe 2700x.

  16. 16.

    Gutzwiller (1999, S. 1194).

  17. 17.

    Vgl. Romeike (2003, S. 194).

  18. 18.

    Vgl. Königs (2017, S. 413).

  19. 19.

    In Anlehnung an Königs (2017, S. 413).

  20. 20.

    EBIT = earnings before interest and taxes. EBIT ist eine betriebswirtschaftliche Kennzahl und kann wörtlich als „Gewinn vor Zinsen und Steuern“ übersetzt werden.

  21. 21.

    Vgl. Romeike (2006, S. 446 ff.).

  22. 22.

    Die zunehmende Bedeutung des Risikoaggregation wird durch die Überarbeitung des IDW Prüfungsstandards „Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB“ (IDW EPS 340 n.F.) bestätigt. Der Standard legt dar, dass bestandsgefährdende Entwicklungen vor allem auch aus dem Zusammenwirken mehrerer Risiken resultieren können. Diese führen möglicherweise bei einer isolierten Betrachtung zu keiner Bestandsgefährdung. Daher ist zwingend eine Aggregation relevanter Risiken erforderlich, um zu beurteilen, ob eine bestandsgefährdende Entwicklung vorliegt.

  23. 23.

    Hierfür eignet sich die sog. Compoundverteilung in der Praxis. Diese bildet als kombinierte Verteilungsfunktionen Häufigkeiten/Eintrittswahrscheinlichkeiten sowie Schadensszenarien in einer kombinierten Verteilungsfunktion ab. Vgl. hierzu vertiefend Kap. 6 sowie Kap. 12.

  24. 24.

    Vgl. hierzu vertiefend Kap. 6, Kap. 9, Kap. 12 sowie die einleitenden Kap. 2 und Kap. 3.

  25. 25.

    Zur Vertiefung kann die folgende Literatur empfohlen werden: Werners und Klempt (2005) sowie Eckert (2013) sowie Königs (2013) sowie Müller (2008).

  26. 26.

    ISACA ist ein unabhängiger und globaler Berufsverband für IT-Revisoren, Wirtschaftsprüfer sowie Experten der Informationssicherheit und IT-Governance.

  27. 27.

    Vgl. www.isaca.org/COBIT. Die aktuelle Version 5.0 kann auf der Internetseite der „Information Systems Audit and Control Association“ (ISACA) heruntergeladen werden. COBIT 5.0 wurde April 2012 veröffentlicht.

  28. 28.

    Die COSO (Committee of Sponsoring Organizations of the Treadway Commission, gegründet 1985) veröffentlichte als ergänzende Erweiterung des COSO-Modells im Jahr 2004 erstmalig das COSO ERM-Framework (Enterprise Risk Management), auch als COSO II bezeichnet. Das im Juni 2017 überarbeitete Rahmenwerk („Enterprise Risk Management – Integrating with Strategy and Performance“) verdeutlicht, wie wichtig es ist, Risikomanagement in die strategische Planung einzubinden und in der Unternehmensorganisation zu verankern. Einige wesentliche Modifikationen im 2017er Standard sind: 1. Die Unterstützung des Strategiefindungsprozesses, um alternative Strategien zu beurteilen; 2. Stärkere Verbindung von Ergebnissteuerung und Risikomanagement durch eine verbesserte Zieldefinition und mehr Transparenz im Hinblick auf den Einfluss von Risiken auf das Ergebnis; 3. Betonung der Strategie/Werte und Vision des Unternehmens; 4. Der sog. „COSO-Würfel“ wird abgelöst; 5. Die Rolle des Boards (Vorstand und Aufsichtsrat) wird durch eine eigene Komponente „Exercise Board Risk Oversight“ gewürdigt und in weiterer Folge die Rolle des Prüfungsausschusses im Hinblick auf die Überwachung der Risikoposition betont.

  29. 29.

    Weitere Informationen finden Sie hier: www.commoncriteriaportal.org. Die CC Version 3.1 (Release 5) wurde bereits im September 2006 von der Staatengemeinschaft im internationalen Common Criteria Anerkennungsabkommen verabschiedet und wurde gemäß BSI-Zertifizierungsverordnung im Bundesanzeiger vom 23.02.2007 offiziell bekannt gegeben.

  30. 30.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde im Jahr 1991 gegründet und ist eine in der Bundesstadt Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern (BMI), die für Fragen der IT-Sicherheit zuständig ist. Das BSI ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.

  31. 31.

    Weitere Informationen zu BSI-Standards unter www.bsi.bund.de/.

  32. 32.

    Die IT-Grundschutz-Kataloge sind mit der 15. Ergänzungslieferung letztmalig im Jahr 2016 erschienen. Seit 2018 gibt es das IT-Grundschutz-Kompendium als Nachfolgewerk der IT-Grundschutz-Kataloge. Vor dem Jahr 2005 waren die „IT-Grundschutz-Kataloge“Das im „IT-Grundschutzhandbuch“ heißt seit der Version 2005 „IT-Grundschutz-Kataloge“. Die IT-Grundschutz-Kataloge beinhalten die Baustein-, Maßnahmen- und Gefährdungskatalogezusammengefasst.

  33. 33.

    Die „IT Infrastructure Library“ (ITIL) hat sich in den letzten Jahrzehnten als weltweit akzeptierter Defacto-Standard für Gestaltung, Implementierung und Management wesentlicher Steuerungsprozesse in der Informationstechnik etabliert. Vgl. www.itil-officialsite.com/. Am 18. Februar 2019 wurde mit dem Buch ITIL Foundation das erste Buch der ITIL 4 Edition veröffentlicht.

  34. 34.

    Am 31. Oktober 2019 wurde die zweite, überarbeitete Version der ISO 22301:2019 veröffentlicht. Die ISO 22301 ist Teil einer kompletten Serie an Standards zu BCM, u.a. ISO 22313:2013, ISO/TS 22317:2015, ISO/TS 22318:2015, ISO/TS 22330:2018, ISO/TS 22331:2018, ISO/IEC/TS 17021-6:2014

  35. 35.

    Weitere Informationen unter www.bsi.bund.de.

Literatur

  • Ahrendts, F./Marton, A.: IT-Risikomanagement leben! Wirkungsvolle Umsetzung für Projekte in der Softwareentwicklung, Berlin/Heidelberg 2008.

    Google Scholar 

  • Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo), in der Fassung vom 25.01.2017, geändert am 02.03.2018.

    Google Scholar 

  • Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT), in der Fassung vom 20.03.2019.

    Google Scholar 

  • Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT), in der Fassung vom 14.09.2018.

    Google Scholar 

  • Boehmer, W.: Überlebenswahrscheinlichkeit eines Unternehmens bei Anwendung eines BCMS gemäß BS 25999, Wie wahrscheinlich übersteht ein Unternehmen eine Katastrophe?, in: Risk, Compliance & Audit (RCA), 2/2009, Seite 23–30.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kompendium Edition 2019, Stand: 2019.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bonn 2017a.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-2: IT-Grundschutz-Methodik, Bonn 2017b.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-3: Risikomanagement, Bonn 2017c.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 100–4: Notfallmanagement, Bonn 2008.

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kompendium, BSI, jährlich neu, https://www.bsi.bund.de/grundschutz

  • Calder, A.: Information Security Based on ISO 27001/ISO 27002: A Management Guide, Zaltbommel 2009.

    Google Scholar 

  • Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management, Aligning Risk with Strategy and Performance, 2017.

    Google Scholar 

  • Eckert, C.: IT-Sicherheit. Konzepte – Verfahren – Protokolle, 8. Auflage, München 2013.

    Google Scholar 

  • Gampe, J.: IT-Sicherheit – Aufsicht konkretisiert IT-Anforderungen an die Versicherungswirtschaft, in: BaFin (Hrsg.): BaFin Journal, April 2018, S. 24–28.

    Google Scholar 

  • Gleissner, W.: Grundlagen des Risikomanagements im Unternehmen, München 2008.

    Google Scholar 

  • Gleissner, W./Romeike, F.: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung, Freiburg im Breisgau 2005.

    Google Scholar 

  • Gleißner, W./Romeike, F.: Die größte anzunehmende Dummheit im Risikomanagement – Berechnung der Summe von Schadenserwartungswerten als Maß für den Gesamtrisikoumfang, in: Risk, Compliance & Audit (RC&A), 01/2011, S. 21–26.

    Google Scholar 

  • Gutzwiller, C. R.: IT-Risikomanagement und IT-Audit – Ein neues Konzept für die Bewirtschaftung von IT-Risiken. In: Der Schweizer Treuhänder, Heft 12 (1999), S. 1191–1198.

    Google Scholar 

  • International Organization for Standardization (Hrsg.): ISO/IEC 27000:2016, Information technology – Security techniques – Information Security management systems – Overview and vocabulary, ISO/IEC JTC 1/SC 27, 2016.

    Google Scholar 

  • International Organization for Standardization (Hrsg.): ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements, ISO/IEC JTC 1/SC 27, 2013.

    Google Scholar 

  • International Organization for Standardization (Hrsg.): ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information security controls, ISO/IEC JTC 1/SC 27, 2013.

    Google Scholar 

  • International Organization for Standardization (Hrsg.): ISO/IEC 27005:2018, Information technology – Security techniques – Information security risk management, ISO/IEC JTC 1/SC 27, 2018.

    Google Scholar 

  • International Organizationfor Standardization (Hrsg.): ISO/IEC 27006:2015, Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems, ISO/IEC JTC 1/SC 27, 2015

    Google Scholar 

  • International Organizationfor Standardization (Hrsg.): ISO/IEC 31000:2018, Risk management – Principles and guidelines, ISO/TC 262, 2009.

    Google Scholar 

  • International Organizationfor Standardization (ISO: ISO 31000:2018, Risk management — Guidelines, Vernier, Geneva 2018.“

    Google Scholar 

  • Kersten, H./Reuter, J./Schröder, K.-W.: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung, Wiesbaden 2008.

    Google Scholar 

  • Königs, H.-P.: IT-Risikomanagement mit System, 4. Auflage, Wiesbaden 2013.

    Google Scholar 

  • Königs, H.-P.: IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken, 5., überarbeitete und erweiterte Auflage, Springer Vieweg Verlag, Wiesbaden 2017.

    Google Scholar 

  • Korte, T./Romeike, F.: MaRisk VA erfolgreich umsetzen: Praxisleitfaden für das Risikomanagement in Versicherungen, 2., komplett überarbeitete Auflage, Erich Schmidt Verlag, Berlin 2010.

    Google Scholar 

  • Müller, K.-R.: IT-Sicherheit mit System. Sicherheitspyramide – Sicherheits-, Kontinuitäts- und Risikomanagement – Normen und Practices – SOA und Softwareentwicklung, 3. Auflage, Wiesbaden 2008.

    Google Scholar 

  • Romeike, F.: Integration von IT Risiken in das proaktive Risk Management, in: DuD Datenschutz und Datensicherheit, 27. Jahrgang, Heft 4, April 2003, S. 193–199.

    Google Scholar 

  • Romeike, F.: Lexikon Risikomanagement, Weinheim 2004.

    Google Scholar 

  • Romeike, F.: Frühaufklärungssysteme als wesentliche Komponente eines proaktiven Risikomanagements, in: Controlling, Heft 4–5/2005 (April/Mai), S. 271–279.

    Google Scholar 

  • Romeike, F.: Integriertes Risiko-Controlling und -Management im global operierenden Konzern, in: Schierenbeck, H. (Hrsg.): Risk Controlling in der Praxis, Zürich 2006, S. 429–463.

    Google Scholar 

  • Romeike, F.: Was steckt hinter der ISO 22301:2012?, in: Risk, Compliance & Audit (RC&A), Ausgabe 3/2012, S. 15–16.

    Google Scholar 

  • Romeike, F.: Risikomanagement, Springer Verlag, Wiesbaden 2018.

    Book  Google Scholar 

  • Romeike, F.: Bow-Tie-Analyse, in: GRC aktuell, Ausgabe Februar 2019, 01/2019, S. 39–44.

    Google Scholar 

  • Salvati, D.: Management of Information Security Risks, Dissertation ETH, Zürich 2009.

    Google Scholar 

  • Seibold, H.: IT-Risikomanagement, München 2006.

    Google Scholar 

  • Völker, J.: BS 7799: Von „Best Practice“ zum Standard, Secorvo White Paper, Karlsruhe 2005.

    Google Scholar 

  • von Rössing, R.: Betriebliches Kontinuitätsmanagement, Bonn 2005.

    Google Scholar 

  • Werners, B./Klempt, Ph.: Standards und Kriterienwerke zur Zertifizierung von IT-Sicherheit, Arbeitsbericht Nr. 9 des Instituts für Sicherheit im E-Business, Bochum 2005.

    Google Scholar 

  • Wieczorek, M./Naujoks, U./Bartlett, B. (Hrsg.): Business Continuity. Notfallplanung für Geschäftsprozesse, Berlin u. a. 2002.

    Google Scholar 

  • Witt, B.: IT-Sicherheit kompakt und verständlich. Eine praxisorientierte Einführung, Wiesbaden 2006.

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. RiskNET GmbH, Brannenburg, Deutschland

    Frank Romeike

  2. RiskAcademy, RiskNET, Köln, Deutschland

    Peter Hager

Authors
  1. Frank Romeike
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Peter Hager
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2020 Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature

About this chapter

Check for updates. Verify currency and authenticity via CrossMark

Cite this chapter

Romeike, F., Hager, P. (2020). Risiko-Management in der Informations- und Kommunikationstechnologie (IuK). In: Erfolgsfaktor Risiko-Management 4.0. Springer Gabler, Wiesbaden. https://doi.org/10.1007/978-3-658-29446-5_11

Download citation

  • DOI: https://doi.org/10.1007/978-3-658-29446-5_11

  • Published:

  • Publisher Name: Springer Gabler, Wiesbaden

  • Print ISBN: 978-3-658-29445-8

  • Online ISBN: 978-3-658-29446-5

  • eBook Packages: Business and Economics (German Language)

Publish with us

Policies and ethics

Search

Navigation