Zusammenfassung
Seit vielen Jahren werden für Unternehmen insbesondere die optimale Informationsverteilung sowie die Integration der Unternehmensprozesse und der Informations- und Kommunikationstechnologie (IuK, nachfolgend IT genannt) zunehmend zum strategischen Erfolgsfaktor. Die technische Abhängigkeit der Kernprozesse von der IT in der Wertschöpfungskette nimmt rapide zu – und damit auch die IT-bezogenen Risiken. Die IT-Prozesse in einem Unternehmen unterstützen auf der einen Seite die Kernprozesse eines Unternehmens und reduzieren dadurch auch die Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch wiederum ein neues Risikopotenzial. Intelligente Heizkörper, Kühlschränke und Lampen im Smart-Home-Bereich, vernetzte Autos auf der Straße oder die intelligente Fabrik in der Industrie-4.0-Welt: Immer mehr Geräte sind mit Sensoren ausgestattet, sind internetfähig und vernetzt. Während auf der einen Seite die Digitalisierung unaufhaltsam voranschreitet, steigen auf der anderen Seite die Cyber-Risiken hinsichtlich Intensität und Heterogenität. Das Kapitel "Risiko-Management in der Informations- und Kommunikationstechnologie (IuK)" liefert methodische Ansätze und praxisorientierte Umsetzungshinweise zur Identifikation und Bewertung sowie zum wirksamen und präventiven Managen von IT-Risiken.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
An dieser Stelle sei an die diversen Hackerangriffe auf die Netzwerke der Bundesregierung erinnert. So bewegten sich die Hacker mehr als ein Jahr im zentralen Datennetz der Bundesverwaltung (Informationsverbund Berlin-Bonn (IVBB)). Bereits im Jahr 2015 wurde das gesamte Netzwerk des Bundestags mit Schadsoftware infiziert. Die Spur führte nach Russland, zu einem Hackerkollektiv des Militärgeheimdiensts GRU (Glawnoje Raswedywatelnoje Uprawlenije).
- 2.
- 3.
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (2019). Vgl. hierzu auch Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT), in der Fassung vom 14.09.2018.
- 4.
Vgl. Gampe (2018, S. 25). Eine interessante Formulierung, dass das „IT-Risiko […] als das bestehende und künftige Risiko […]“ definiert wird. Man könnte hier auch von einer semantischen Redundanz sprechen.
- 5.
Siehe IT-Grundschutz im Kap. 4: Glossar und Begriffsdefinitionen.
- 6.
Vgl. hierzu vertiefend Gleißner und Romeike (2011, S. 21–26).
- 7.
Vgl. hierzu Kap. 2.
- 8.
Diese Begriffe werden in der Praxis sehr häufig nicht trennscharf verwendet.
- 9.
Vgl. hierzu vertiefend Vgl. hierzu vertiefend Korte und Romeike (2010, S. 35).
- 10.
Vgl. hierzu beispielsweise COSO ERM sowie ISO 31000. COSO ERM 2017 definiert ein Risiko wie folgt: „Risk: The possibility that events will occur and affect the achievement of strategy and business objectives.“ Vgl. Committee of Sponsoring Organizations of the Treadway Commission (2017). Der internationale Standard ISO 31000:2018 definiert Risiko wie folgt: „Risk: effect of uncertainty on objectives. An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities and threats. Objectives can have different aspects and categories, and can be applied at different levels. Risk is usually expressed in terms of risk sources [Ursachen, Anmerkung Autoren], potential events, their consequences [Wirkungen, Anmerkung Autoren] and their likelihood.“ Vgl. International Organization for Standardization (2018).
- 11.
Daher spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch von Gefährdungskatalogen und nicht von Risikokatalogen. Die Gefährdungskataloge sind Teil der IT-Grundschutz-Kataloge und enthalten Beschreibungen möglicher Gefährdungen der Informationstechnik.
- 12.
Vgl. Bundesamt für Sicherheit in der Informationstechnik.
- 13.
Als typische Kennzahlen der Verfügbarkeit sind in der Praxis gebräuchlich: Maximale Dauer eines einzelnen Ausfalls (Verfügbarkeit: Ausfallzeit im Jahresdurchschnitt, auch Verfügbarkeitsklasse), Zuverlässigkeit (Fähigkeit, über einen gegebenen Zeitraum hinweg unter bestimmten Bedingungen korrekt zu arbeiten), Fehlersicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit (verallgemeinernd: Benutzbarkeit überhaupt), Reaktionszeit (wie lange dauert es, bis das System eine spezielle Aktion ausgeführt hat), Mean Time to Repair (MTTR, mittlere Dauer der Wiederherstellung nach einem Ausfall), Mean Time between Failure (MTBF, mittlere Betriebszeit zwischen zwei auftretenden Fehlern ohne Reparaturzeit), Mean Time to Failure (MTTF, siehe MTBF, wird jedoch bei Systemen/Komponenten verwendet, die nicht repariert, sondern ausgetauscht werden).
- 14.
Informationssicherheit ist weiter definiert als IT-Sicherheit. Ziel der Informationssicherheit ist es, sowohl die Informationen selbst als auch die Daten, Systeme, Prozesse und die Infrastruktur, welche die Informationen enthalten, verarbeitet, speichern oder liefern, zu schützen. Im Folgenden verstehen wir die beiden Begriffe als Synonyme und betrachten immer die gesamte Informationssicherheit.
- 15.
In der Praxis orientiert sich die Informationssicherheit häufig an der ISO Standard-Reihe 2700x.
- 16.
Gutzwiller (1999, S. 1194).
- 17.
Vgl. Romeike (2003, S. 194).
- 18.
Vgl. Königs (2017, S. 413).
- 19.
In Anlehnung an Königs (2017, S. 413).
- 20.
EBIT = earnings before interest and taxes. EBIT ist eine betriebswirtschaftliche Kennzahl und kann wörtlich als „Gewinn vor Zinsen und Steuern“ übersetzt werden.
- 21.
Vgl. Romeike (2006, S. 446 ff.).
- 22.
Die zunehmende Bedeutung des Risikoaggregation wird durch die Überarbeitung des IDW Prüfungsstandards „Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB“ (IDW EPS 340 n.F.) bestätigt. Der Standard legt dar, dass bestandsgefährdende Entwicklungen vor allem auch aus dem Zusammenwirken mehrerer Risiken resultieren können. Diese führen möglicherweise bei einer isolierten Betrachtung zu keiner Bestandsgefährdung. Daher ist zwingend eine Aggregation relevanter Risiken erforderlich, um zu beurteilen, ob eine bestandsgefährdende Entwicklung vorliegt.
- 23.
- 24.
- 25.
- 26.
ISACA ist ein unabhängiger und globaler Berufsverband für IT-Revisoren, Wirtschaftsprüfer sowie Experten der Informationssicherheit und IT-Governance.
- 27.
Vgl. www.isaca.org/COBIT. Die aktuelle Version 5.0 kann auf der Internetseite der „Information Systems Audit and Control Association“ (ISACA) heruntergeladen werden. COBIT 5.0 wurde April 2012 veröffentlicht.
- 28.
Die COSO (Committee of Sponsoring Organizations of the Treadway Commission, gegründet 1985) veröffentlichte als ergänzende Erweiterung des COSO-Modells im Jahr 2004 erstmalig das COSO ERM-Framework (Enterprise Risk Management), auch als COSO II bezeichnet. Das im Juni 2017 überarbeitete Rahmenwerk („Enterprise Risk Management – Integrating with Strategy and Performance“) verdeutlicht, wie wichtig es ist, Risikomanagement in die strategische Planung einzubinden und in der Unternehmensorganisation zu verankern. Einige wesentliche Modifikationen im 2017er Standard sind: 1. Die Unterstützung des Strategiefindungsprozesses, um alternative Strategien zu beurteilen; 2. Stärkere Verbindung von Ergebnissteuerung und Risikomanagement durch eine verbesserte Zieldefinition und mehr Transparenz im Hinblick auf den Einfluss von Risiken auf das Ergebnis; 3. Betonung der Strategie/Werte und Vision des Unternehmens; 4. Der sog. „COSO-Würfel“ wird abgelöst; 5. Die Rolle des Boards (Vorstand und Aufsichtsrat) wird durch eine eigene Komponente „Exercise Board Risk Oversight“ gewürdigt und in weiterer Folge die Rolle des Prüfungsausschusses im Hinblick auf die Überwachung der Risikoposition betont.
- 29.
Weitere Informationen finden Sie hier: www.commoncriteriaportal.org. Die CC Version 3.1 (Release 5) wurde bereits im September 2006 von der Staatengemeinschaft im internationalen Common Criteria Anerkennungsabkommen verabschiedet und wurde gemäß BSI-Zertifizierungsverordnung im Bundesanzeiger vom 23.02.2007 offiziell bekannt gegeben.
- 30.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde im Jahr 1991 gegründet und ist eine in der Bundesstadt Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern (BMI), die für Fragen der IT-Sicherheit zuständig ist. Das BSI ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.
- 31.
Weitere Informationen zu BSI-Standards unter www.bsi.bund.de/.
- 32.
Die IT-Grundschutz-Kataloge sind mit der 15. Ergänzungslieferung letztmalig im Jahr 2016 erschienen. Seit 2018 gibt es das IT-Grundschutz-Kompendium als Nachfolgewerk der IT-Grundschutz-Kataloge. Vor dem Jahr 2005 waren die „IT-Grundschutz-Kataloge“Das im „IT-Grundschutzhandbuch“ heißt seit der Version 2005 „IT-Grundschutz-Kataloge“. Die IT-Grundschutz-Kataloge beinhalten die Baustein-, Maßnahmen- und Gefährdungskatalogezusammengefasst.
- 33.
Die „IT Infrastructure Library“ (ITIL) hat sich in den letzten Jahrzehnten als weltweit akzeptierter Defacto-Standard für Gestaltung, Implementierung und Management wesentlicher Steuerungsprozesse in der Informationstechnik etabliert. Vgl. www.itil-officialsite.com/. Am 18. Februar 2019 wurde mit dem Buch ITIL Foundation das erste Buch der ITIL 4 Edition veröffentlicht.
- 34.
Am 31. Oktober 2019 wurde die zweite, überarbeitete Version der ISO 22301:2019 veröffentlicht. Die ISO 22301 ist Teil einer kompletten Serie an Standards zu BCM, u.a. ISO 22313:2013, ISO/TS 22317:2015, ISO/TS 22318:2015, ISO/TS 22330:2018, ISO/TS 22331:2018, ISO/IEC/TS 17021-6:2014
- 35.
Weitere Informationen unter www.bsi.bund.de.
Literatur
Ahrendts, F./Marton, A.: IT-Risikomanagement leben! Wirkungsvolle Umsetzung für Projekte in der Softwareentwicklung, Berlin/Heidelberg 2008.
Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo), in der Fassung vom 25.01.2017, geändert am 02.03.2018.
Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT), in der Fassung vom 20.03.2019.
Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT), in der Fassung vom 14.09.2018.
Boehmer, W.: Überlebenswahrscheinlichkeit eines Unternehmens bei Anwendung eines BCMS gemäß BS 25999, Wie wahrscheinlich übersteht ein Unternehmen eine Katastrophe?, in: Risk, Compliance & Audit (RCA), 2/2009, Seite 23–30.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kompendium Edition 2019, Stand: 2019.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bonn 2017a.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-2: IT-Grundschutz-Methodik, Bonn 2017b.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 200-3: Risikomanagement, Bonn 2017c.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI-Standard 100–4: Notfallmanagement, Bonn 2008.
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kompendium, BSI, jährlich neu, https://www.bsi.bund.de/grundschutz
Calder, A.: Information Security Based on ISO 27001/ISO 27002: A Management Guide, Zaltbommel 2009.
Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management, Aligning Risk with Strategy and Performance, 2017.
Eckert, C.: IT-Sicherheit. Konzepte – Verfahren – Protokolle, 8. Auflage, München 2013.
Gampe, J.: IT-Sicherheit – Aufsicht konkretisiert IT-Anforderungen an die Versicherungswirtschaft, in: BaFin (Hrsg.): BaFin Journal, April 2018, S. 24–28.
Gleissner, W.: Grundlagen des Risikomanagements im Unternehmen, München 2008.
Gleissner, W./Romeike, F.: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung, Freiburg im Breisgau 2005.
Gleißner, W./Romeike, F.: Die größte anzunehmende Dummheit im Risikomanagement – Berechnung der Summe von Schadenserwartungswerten als Maß für den Gesamtrisikoumfang, in: Risk, Compliance & Audit (RC&A), 01/2011, S. 21–26.
Gutzwiller, C. R.: IT-Risikomanagement und IT-Audit – Ein neues Konzept für die Bewirtschaftung von IT-Risiken. In: Der Schweizer Treuhänder, Heft 12 (1999), S. 1191–1198.
International Organization for Standardization (Hrsg.): ISO/IEC 27000:2016, Information technology – Security techniques – Information Security management systems – Overview and vocabulary, ISO/IEC JTC 1/SC 27, 2016.
International Organization for Standardization (Hrsg.): ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements, ISO/IEC JTC 1/SC 27, 2013.
International Organization for Standardization (Hrsg.): ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information security controls, ISO/IEC JTC 1/SC 27, 2013.
International Organization for Standardization (Hrsg.): ISO/IEC 27005:2018, Information technology – Security techniques – Information security risk management, ISO/IEC JTC 1/SC 27, 2018.
International Organizationfor Standardization (Hrsg.): ISO/IEC 27006:2015, Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems, ISO/IEC JTC 1/SC 27, 2015
International Organizationfor Standardization (Hrsg.): ISO/IEC 31000:2018, Risk management – Principles and guidelines, ISO/TC 262, 2009.
International Organizationfor Standardization (ISO: ISO 31000:2018, Risk management — Guidelines, Vernier, Geneva 2018.“
Kersten, H./Reuter, J./Schröder, K.-W.: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung, Wiesbaden 2008.
Königs, H.-P.: IT-Risikomanagement mit System, 4. Auflage, Wiesbaden 2013.
Königs, H.-P.: IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken, 5., überarbeitete und erweiterte Auflage, Springer Vieweg Verlag, Wiesbaden 2017.
Korte, T./Romeike, F.: MaRisk VA erfolgreich umsetzen: Praxisleitfaden für das Risikomanagement in Versicherungen, 2., komplett überarbeitete Auflage, Erich Schmidt Verlag, Berlin 2010.
Müller, K.-R.: IT-Sicherheit mit System. Sicherheitspyramide – Sicherheits-, Kontinuitäts- und Risikomanagement – Normen und Practices – SOA und Softwareentwicklung, 3. Auflage, Wiesbaden 2008.
Romeike, F.: Integration von IT Risiken in das proaktive Risk Management, in: DuD Datenschutz und Datensicherheit, 27. Jahrgang, Heft 4, April 2003, S. 193–199.
Romeike, F.: Lexikon Risikomanagement, Weinheim 2004.
Romeike, F.: Frühaufklärungssysteme als wesentliche Komponente eines proaktiven Risikomanagements, in: Controlling, Heft 4–5/2005 (April/Mai), S. 271–279.
Romeike, F.: Integriertes Risiko-Controlling und -Management im global operierenden Konzern, in: Schierenbeck, H. (Hrsg.): Risk Controlling in der Praxis, Zürich 2006, S. 429–463.
Romeike, F.: Was steckt hinter der ISO 22301:2012?, in: Risk, Compliance & Audit (RC&A), Ausgabe 3/2012, S. 15–16.
Romeike, F.: Risikomanagement, Springer Verlag, Wiesbaden 2018.
Romeike, F.: Bow-Tie-Analyse, in: GRC aktuell, Ausgabe Februar 2019, 01/2019, S. 39–44.
Salvati, D.: Management of Information Security Risks, Dissertation ETH, Zürich 2009.
Seibold, H.: IT-Risikomanagement, München 2006.
Völker, J.: BS 7799: Von „Best Practice“ zum Standard, Secorvo White Paper, Karlsruhe 2005.
von Rössing, R.: Betriebliches Kontinuitätsmanagement, Bonn 2005.
Werners, B./Klempt, Ph.: Standards und Kriterienwerke zur Zertifizierung von IT-Sicherheit, Arbeitsbericht Nr. 9 des Instituts für Sicherheit im E-Business, Bochum 2005.
Wieczorek, M./Naujoks, U./Bartlett, B. (Hrsg.): Business Continuity. Notfallplanung für Geschäftsprozesse, Berlin u. a. 2002.
Witt, B.: IT-Sicherheit kompakt und verständlich. Eine praxisorientierte Einführung, Wiesbaden 2006.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2020 Der/die Herausgeber bzw. der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Romeike, F., Hager, P. (2020). Risiko-Management in der Informations- und Kommunikationstechnologie (IuK). In: Erfolgsfaktor Risiko-Management 4.0. Springer Gabler, Wiesbaden. https://doi.org/10.1007/978-3-658-29446-5_11
Download citation
DOI: https://doi.org/10.1007/978-3-658-29446-5_11
Published:
Publisher Name: Springer Gabler, Wiesbaden
Print ISBN: 978-3-658-29445-8
Online ISBN: 978-3-658-29446-5
eBook Packages: Business and Economics (German Language)