IT-Notfallvorsorge im betrieblichen Risikomanagement

Transkript

1 IT-Notfallvorsorge im betrieblichen Risikomanagement Entwicklung eines Gestaltungsmodells unter Berücksichtigung ökonomischer Aspekte am Beispiel einer TK-Unternehmung Jochen Wiedemann

2 Bibliografische Informationen der Deutschen Nationalbibliothek Die Deutschen Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Wiedemann, Jochen: IT-Notfallvorsorge im betrieblichen Risikomanagement Entwicklung eines Gestaltungsmodells unter Berücksichtigung ökonomischer Aspekte am Beispiel einer TK-Unternehmung Bochum: Institut für Sicherheit im E-Business (ISEB), Bochum 2008 Zugl.: Bochum, Univ., Diss., 2008 ISBN Institut für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum, Bochum 2008 ISEB-Buchreihe Band 2 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB) an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Die vorliegende Arbeit ist am Institut für Sicherheit im E-Business (ISEB) der Ruhr-Universität Bochum mit finanzieller Unterstützung der Horst Görtz Stiftung entstanden und wurde 2008 als Dissertation an der Fakultät für Wirtschaftswissenschaft angenommen.

3 Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Die Themen Sicherheit im E-Business im Speziellen und Informationssicherheit im Allgemeinen entwickeln sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg von Unternehmungen und öffentlichen Institutionen. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E- Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business sowie von Informationssicherheit in Unternehmungen und öffentlichen Institutionen zu erforschen. Im Vordergrund stehen wirtschaftswissenschaftliche Analysen, organisatorische Gestaltungsaufgaben und die Gewährleistung von Datenschutz für die beteiligten Personen, was stets in den interdisziplinären Kontext der Informationssicherheit eingebettet wird. Beispiele sind das Informationsrisiko- und Informationssicherheitsmanagement oder auch Fragestellungen der Informationssicherheit und des Vertrauens im Online-Handel. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen betrieben, zum Beispiel durch gemeinsame Projekte. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Informatiker, Juristen und Soziologen aus Wissenschaft und Praxis. Das ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D Bochum Tel.: +49 (0) Fax: +49 (0)

4

5 Geleitwort Die vorliegende Dissertationsschrift von Herrn Dr. Jochen Wiedemann beschäftigt sich mit dem Thema der IT-Notfallvorsorge im Kontext des betrieblichen Risikomanagements. Ausgehend von seiner beruflichen Tätigkeit bei der Unternehmensberatung Accenture wird im Rahmen der Arbeit ein umfangreiches Gestaltungsmodell konzipiert, das es ermöglicht, geeignete Instrumente zur IT Risikosteuerung unter Berücksichtigung ökonomischer Aspekte auszuwählen. Dabei besticht die Arbeit durch eine ausgezeichnete Struktur und Exzellenz in der Analyse, vergisst aber nicht, Theorie und Praxis prägnant miteinander zu verbinden. Herr Dr. Jochen Wiedemann leitet die Arbeit aus dem Handlungsbedarf in der betrieblichen Praxis ab, den er in den Bereichen Organisation, Risikobewertung, Standard und Methoden identifiziert hat. Hierbei greift Herr Dr. Wiedemann auf seine Erfahrungen aus der Beratungspraxis, auf gängige Industriestandards und wissenschaftliche Arbeiten zurück. Mit der umfangreichen Erarbeitung von Gestaltungselementen begegnet der Autor der besonderen Schwierigkeit einer betriebswirtschaftlichen Analyse von Ursachen und Wirkungen bei umfangreichen IT-Sicherheitsvorfällen. Hierbei ist insbesondere das konzipierte Modell einer ökonomischen Folgeschadenanalyse bei IT-Ausfall aufzuführen, das die Untersuchung finanzieller Schäden im Zeitverlauf ermöglicht. Weiterhin erlaubt die aufbau- und ablauforganisatorische Darstellung eines Vorgehensmodells eine Integration im betrieblichen Kontext zur kontinuierlichen Verbesserung des Reifegrads von IT Notfallvorsorge. Die Arbeit liefert sehr wertvolle Einsichten und verdeutlicht einmal mehr die Notwendigkeit einer ökonomischen Betrachtung von IT-Sicherheit in einem organisatorischen Kontext. Sie leistet damit einen gelungenen Beitrag für die Wirtschaftinformatik und wird zukünftige Arbeiten im Bereich des IT Risikomanagements und speziell der IT Notfallvorsorge sicher positiv beeinflussen. Ich wünsche der Arbeit eine erfolgreiche Aufnahme in Wissenschaft und Praxis. Bochum, Juni 2008 Roland Gabriel

6

7 Vorwort IT-Notfallvorsorge im betrieblichen Risikomanagement und die damit einhergehende Auswahl geeigneter Strategien zur IT-Risikosteuerung gewinnt für Unternehmungen zunehmend an Bedeutung. Ausgehend von meiner beruflichen Tätigkeit bei der Unternehmensberatung Accenture hat sich der Wunsch ergeben, die daraus gewonnenen Erfahrungen und Erkenntnisse im Rahmen einer wissenschaftlichen Arbeit aufzugreifen und zu vertiefen. Die erfolgreiche Realisierung meiner Arbeit ist dabei auf meinen Doktorvater Herrn Professor Dr. Roland Gabriel zurückzuführen. Für die engagierte Unterstützung und die wissenschaftlichen Diskussionen, die zum Gelingen meiner Dissertation beigetragen haben, möchte ich Ihnen, Herr Gabriel, meinen herzlichsten Dank aussprechen. Ein weiterer Dank gebührt auch Ihnen, Frau Professor Dr. Brigitte Werners, für die Übernahme des Zweitgutachtens. Weiteren umfassenden Betrag zum Gelingen meiner Arbeit leisteten meine Kollegen am Lehrstuhl für Wirtschaftsinformatik, die mir als externen Doktorand jederzeit große Hilfestellung entgegengebracht haben. Stellvertretend möchte ich hierfür Herrn Diplom-Ökonom Sebastian Sowa vom Institut für Sicherheit im E- Business (ISEB) und meinem Büronachbarn Diplom-Ökonom Alexander Pastwa herzlichst danken. Wichtige Grundlage des Promotionsvorhabens bilden außerdem meine Kollegen bei Accenture, die meine berufliche Entwicklung gefördert und begleitet haben. Im Besonderen möchte ich Herrn Dr. Andreas Knäbchen sowie meinen ehemaligen Kollegen Herrn Dr. Thomas Barnekow nennen, die mir in den letzten Jahren ein großes Vorbild waren. Euch beiden herzlichen Dank für die inspirierenden und konstruktiven Diskussionen in beruflicher sowie privater Hinsicht. Schließend gilt mein besonderer Dank meiner Familie für die uneingeschränkte Unterstützung während der gesamten Zeit der Anfertigung meiner Arbeit. Speziell möchte ich Dir danken, liebe Eva, für die Geduld und Ausdauer in den letzten Monaten, gerade im Hinblick auf die Geburt unserer Tochter Ella, die pünktlich drei Tage nach der Schlussbesprechung der Dissertation am 3. Mai 2008 ihre kleine Nasenspitze ins Licht der Welt gestreckt hat. Krefeld, Juli 2008 Jochen Wiedemann

8

9 IT-Notfallvorsorge im betrieblichen Risikomanagement Entwicklung eines Gestaltungsmodells unter Berücksichtigung ökonomischer Aspekte am Beispiel einer TK-Unternehmung INAUGURALDISSERTATION zur Erlangung der Würde eines Doktors der Wirtschaftswissenschaft der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum vorgelegt von Diplom-Informatiker Jochen Wiedemann aus Krefeld 2008

10 Dekan: Erstgutachter: Zweitgutachterin: Herr Prof. Dr. Stephan Paul Herr Prof. Dr. Roland Gabriel Frau Prof. Dr. Brigitte Werners Tag der mündlichen Prüfung: 16. April 2008

11 I Inhaltsverzeichnis ABBILDUNGSVERZEICHNIS...VII TABELLENVERZEICHNIS... XI ABKÜRZUNGSVERZEICHNIS... XV 1 EINFÜHRUNG AUSGANGSSITUATION UND PROBLEMSTELLUNG ZIELSETZUNG BERÜHRUNGSPUNKTE DER ARBEIT GANG DER UNTERSUCHUNG GRUNDLAGEN DES BETRIEBLICHEN RISIKOMANAGEMENTS UND EINORDNUNG DER IT-NOTFALLVORSORGE WERTORIENTIERTES BETRIEBLICHES RISIKOMANAGEMENT Begrifflichkeiten des betrieblichen Risikomanagements Die Risikodefinition als Ausgangspunkt Definitionsansätze zum betrieblichen Risikomanagement Ziele und Komponenten des betrieblichen Risikomanagements Aktivitäten innerhalb des Risikomanagement- Prozesses Organisatorische Aspekte im Risikomanagement Wertorientierung im Risikomanagement und deren Bedeutung für die vorliegende Arbeit EINORDNUNG DER IT-NOTFALLVORSORGE IT-Risikomanagement als Komponente des betrieblichen Risikomanagements IT-Notfallvorsorge als Komponente des IT-Risikomanagements IT-SICHERHEITSZIELE UND DEREN URSACHE-WIRKUNGSKETTEN...40

12 II 2.4 ZUSAMMENFASSUNG UND EINORDNUNG DES UNTERSUCHUNGSGEGENSTANDS DER ARBEIT IN DAS BETRIEBLICHE RISIKOMANAGEMENT ANALYSE DES HANDLUNGSBEDARFS BEI DER GESTALTUNG VON IT-NOTFALLVORSORGE ORGANISATORISCHE SCHWACHSTELLEN Aufbau- und ablauforganisatorische Untersuchungsziele Aufbauorganisatorische Schwachstellen Ablauforganisatorische Schwachstellen BESONDERHEITEN BETRIEBLICHER IT-SYSTEME EINSCHRÄNKUNGEN DER METHODISCHEN ANSÄTZE Einschränkungen bei der IT-Risikobewertung Einführende Darstellung und Bewertung der Ansätze Bewertung der Eintrittswahrscheinlichkeit Bewertung der ökonomischen Auswirkung bei IT-Ausfall Einschränkungen offizieller Standards Bewertungskriterien Darstellung und Bewertung des Prozesses IT Service Continuity Management innerhalb von ITIL Darstellung und Bewertung der Vorgaben unter DS 4 Ensure Continuous Service innerhalb CObIT Darstellung und Bewertung des Bausteins Notfallvorsorge innerhalb der IT-Grundschutz-Kataloge Zusammenfassung der Bewertung ANALYSE UNTERSCHIEDLICHER ANSÄTZE ZU WIRTSCHAFTLICHKEITSBETRACHTUNGEN Bewertungskriterien Darstellung und Bewertung der Ansätze im Bereich der IT-Sicherheit Darstellung der Ansätze im Bereich IT-Sicherheit Zusammenfassende Bewertung der Ansätze...79

13 III Darstellung und Bewertung des konkreten von Rössing Ansatzes für eine Wirtschaftlichkeitsbetrachtung bei der Gestaltung von IT-Notfallvorsorge Darstellung des Ansatzes Bewertung des Ansatzes ZUSAMMENFASSUNG DES HANDLUNGSBEDARFS ABLEITUNG VON GESTALTUNGSELEMENTEN ZUR VORBEREITUNG DES GESTALTUNGSMODELLS FÜR DIE IT-NOTFALLVORSORGE AM BEISPIEL EINER TK-UNTERNEHMUNG EINE TK-UNTERNEHMUNG ALS BEISPIELHAFTES UNTERSUCHUNGSOBJEKT Einführung in das Leistungsangebot sowie die Markt- und Wettbewerbssituation von TK-Unternehmungen Einordnung und Bedeutung der IT einer TK-Unternehmung im Kontext der Notfallvorsorge Geschäftsprozesse einer beispielhaften TK-Unternehmung UNTERSUCHUNGSRAHMEN DER GESCHÄFTSPROZESSE IM KONTEXT DER IT-NOTFALLVORSORGE Gegenstand und Struktur der Analyse anhand des beispielhaften Hauptprozesses Auftragsabwicklung Endkundengeschäft Leitfragen zur Untersuchung der Geschäftsprozesse und deren Beantwortung am Beispiel des Teilprozesses der Auftragsannahme Unterstützung durch IT Unterstützung durch Personal Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern Umsatzabhängigkeit Kritische Würdigung des Untersuchungsrahmens INTERNE UND EXTERNE EINFLUSSFAKTOREN DER GESTALTUNG EINER IT-NOTFALLVORSORGE Unternehmungsinterne und -externe Einflussfaktoren Konkretisierung besonders relevanter Einflussfaktoren am Beispiel einer TK-Unternehmung...118

14 IV 4.4 MODELL ZUR FOLGESCHADENANALYSE FÜR DIE BEWERTUNG DER ÖKONOMISCHEN AUSWIRKUNG BEI IT-AUSFALL Methodik des Modells zur Folgeschadenanalyse Strukturierung von Schadensphasen Stufe 1: Ableitung von Schadensdimensionen Stufe 2: Aufstellung eines Bewertungsmodells Stufe 3: Durchführung der Bewertung Schadensdimension Mehrarbeit Schadensdimension Zusatzpersonal Schadensdimension Verlust eines einzelnen Umsatzes Schadensdimension Verlust von Nutzungsentgelten Schadensdimension Kundenverlust Zusammenfassende Betrachtung der Schadensdimensionen Würdigung des Modells zur Folgeschadenanalyse UNTERSUCHUNG UND BEWERTUNG MÖGLICHER NOTFALLSZENARIEN Aggregation von Notfallszenarien anhand der Gefährdungskataloge innerhalb des IT-Grundschutzes Weitere Strukturierung der Notfallszenarien nach Art der Auswirkung Ableitung möglicher Klassen von Notfalldauern Zusammenfassende Bewertung und Besonderheiten der identifizierten Notfallszenarien MAßNAHMEN DER IT-RISIKOSTEUERUNG UND DEREN BEWERTUNG Aktive IT-Risikosteuerung Risikovermeidung Risikominderung Risikobegrenzung...167

15 V Passive IT-Risikosteuerung Risikoversicherung Risikotragung Risikoakzeptanz Überblicksdarstellung der Handlungsmöglichkeiten Kritische Würdigung der Maßnahmen der IT-Risikosteuerung ZUSAMMENFASSUNG DER ABLEITUNG DER GESTALTUNGSELEMENTE SYNTHESE DER GESTALTUNGSELEMENTE IN EINEM GESTALTUNGSMODELL FÜR IT-NOTFALLVORSORGE DAS GESTALTUNGSMODELL IM ÜBERBLICK Ziele und Entwurfsprinzipien des Gestaltungsmodells Einbettung in die vorliegende Untersuchung Prämissen für die Konzeption des Gestaltungsmodells Ablauf- und aufbauorganisatorische Komponenten des Gestaltungsmodells DIE ABLAUFORGANISATORISCHE KOMPONENTE DES GESTALTUNGSMODELLS Gestaltungsablauf und Anwendung von Time-Boxing Darstellung der wesentlichen Aktivitäten im Gestaltungsmodell Time-Boxing innerhalb des iterativen Vorgehens Inhaltliche Konzeption der Teil-Aktivitäten Vorgelagerte Ableitung von Steuerungsregeln zur Lösungsbestimmung Identifikation von Muss-Projekten Betrachtung der Risikoneigung der Unternehmung Abwägung unterschiedlicher Umsetzungszeitpunkte Berücksichtigung externer Sichtbarkeit...207

16 VI Beschreibung der Ergebnisse der Teil-Aktivitäten und zugehörige Arbeitsrichtlinien Initiierung Voranalyse Detailbetrachtung Lösungsbestimmung DIE AUFBAUORGANISATORISCHE KOMPONENTE DES GESTALTUNGSMODELLS Vorgelagerte Strukturierung möglicher Ausprägungen der Verantwortlichkeiten Akteure im Gestaltungsmodell für IT-Notfallvorsorge und deren Verantwortlichkeiten Vorgelagerte Beschreibung allgemeiner Akteure Konkretisierung möglicher Verantwortlichkeiten des ablauforganisatorischen Gestaltungsmodells Gestaltungsansätze der organisatorischen Eingliederung Dezentrale Eingliederung in Linienfunktionen Zentraler Aufbau einer Stabsabteilung Diskussion der Gestaltungsansätze im Überblick KRITISCHE WÜRDIGUNG DES GESTALTUNGSMODELLS BEWERTUNG DES GESTALTUNGSMODELLS AM BEISPIEL EINER TK-UNTERNEHMUNG ZUSAMMENFASSUNG DES GESTALTUNGSMODELLS ABSCHLIEßENDE ZUSAMMENFASSUNG UND AUSBLICK LITERATURVERZEICHNIS...XVII

17 VII Abbildungsverzeichnis Abbildung 1.1: Abbildung 1.2: Abbildung 2.1: Abbildung 2.2: Abbildung 2.3: Abbildung 2.4: Abbildung 2.5: Abbildung 2.6: Abbildung 2.7: Ausblick auf die drei wichtigsten Einflussfaktoren des IT- Budgets in den Jahren 2006 bis 2011 (Quelle: Takahashi (2006), S. 4)...4 Untersuchungsdesign und Gliederungsstruktur...10 Dimensionen des Risikobegriffs nach Ausgangsfaktoren (Quelle: In Anlehnung an Jonen (2006), S. 16ff.)...14 Aufteilung des betrieblichen Risikomanagements in Teilziele...18 Risikogruppen nach Basel II (Quelle: In Anlehnung an KPMG (2003b), S. 6)...21 Risikogruppen bei der Deutschen Telekom (Quelle: In Anlehnung an DTAG (2006), S. 103ff.)...22 Risikomanagement-Teilprozesse und Aktivitäten (Quelle: In Anlehnung an KPMG (2003b), S. 18ff.)...23 Maßnahmen zur Risikosteuerung (Quelle: In Anlehnung an Wolf (2003), S. 60)...25 Identifikationsmöglichen für Risiken und deren Steuerung...28 Abbildung 2.8: Organisationsmodell für Risikomanagement...31 Abbildung 2.9: Auswirkungen auf den Unternehmungswert...34 Abbildung 3.1: Abbildung 3.2: Abbildung 3.3: Abbildung 3.4: Abbildung 3.5: Abbildung 3.6: Prozess für IT Service (Business) Continuity Management (Quelle: In Anlehnung an OCG (2001), Abschnitt 7.3)...62 ITIL Management-Struktur für IT SCM (Quelle: OCG (2001), Abschnitt 7.4)...64 CObIT-Management Prozess (Quelle: In Anlehnung an ITGI (2005), S. 24)...67 Schadenskurve S (Quelle: In Anlehnung an von Rössing (2005b), S. 97ff.)...83 Investitionskurve I (Quelle: In Anlehnung an von Rössing (2005b), S. 146)...84 Zusammenführung von Schadenskurve S und Investitionskurve I (Quelle: In Anlehnung an von Rössing (2005b), S. 149f.)...85

18 VIII Abbildung 4.1: Umsatzerlöse auf dem deutschen TK-Markt (Quelle: Bundesnetzagentur (2006), S. 65)...94 Abbildung 4.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66) Abbildung 4.3: Allgemeine Abhängigkeiten eines Geschäftsprozesses Abbildung 4.4: Abbildung 4.5: Abbildung 4.6: Abbildung 4.7: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8) Abhängigkeiten zum Geschäftsprozess im Kontext der Untersuchung Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge Methodik des Modells zur Folgeschadenanalyse Abbildung 4.8: Schadensphasen im Zeitverlauf Abbildung 4.9: Abbildung 4.10: Abbildung 4.11: Abbildung 4.12: Abbildung 4.13: Abbildung 4.14: Abbildung 4.15: Systematik von Schadensdimensionen in den Kategorien Umsatzverlust und Kostensteigerung Kumulierter Folgeschaden zur Schadensdimension Mehrarbeit Kumulierter Folgeschaden zur Schadensdimension Zusatzpersonal Kumulierter Folgeschaden zur Schadensdimension Verlust eines einzelnes Umsatzes Kumulierter Folgeschaden zur Schadensdimension Verlust von Nutzungsentgelten Kumulierter Folgeschaden zur Schadensdimension Kundenverlust Notfallszenarien G 1 Höhere Gewalt Abbildung 4.16: Notfallszenarien G 3 Menschliche Fehlhandlungen Abbildung 4.17: Abbildung 4.18: Abbildung 4.19: Abbildung 4.20: Abbildung 4.21: Abbildung 4.22: Abbildung 5.1: Notfallszenarien G 4 Technisches Versagen Notfallszenarien G 5 Vorsätzliche Handlungen Kriterien zur weiteren Strukturierung der Notfallszenarien Klassen von Notfalldauern Stellhebel zur Risikominderung Einordnung der Maßnahmen in Matrix der Risikosteuerungsoptionen Einbettung des Gestaltungsmodells in die vorliegende Arbeit...188

19 IX Abbildung 5.2: Komponenten des Gestaltungsmodells Abbildung 5.3: Aktivitäten des Gestaltungsmodells Abbildung 5.4: Abbildung 5.5: Abbildung 5.6: Abbildung 5.7: Abbildung 5.8: Iteratives Vorgehen Magisches Dreieck im Projektmanagement im Kontext des Time-Boxing (Quelle: In Anlehnung an ILTIS (2007), S. 1) Aktivitäten und Teil-Aktivitäten innerhalb der Ablauforganisation IT-Lebenszyklus (Quelle: In Anlehnung an Königs (2005), S. 231) Schematische Strukturierung von Aktivitäten in Teilaktivitäten...209

20 X

21 XI Tabellenverzeichnis Tabelle 2.1: Tabelle 2.2: Tabelle 3.1: Tabelle 3.2: Tabelle 3.3: Tabelle 3.4: Tabelle 3.5: Qualitative Beschreibung möglicher Risikoausmaße (Quelle: In Anlehnung an Fiege (2005), S. 49)...24 Ursachen und mögliche Folgen bei der Verletzung von IT-Sicherheitszielen...42 Beispiel einer zweistufigen qualitativen Risikobewertung...53 Studien zur ökonomischen Auswirkung bei IT-Ausfall (Schaden pro Tag)...58 Aktuelle Studien zur ökonomischen Auswirkung bei IT-Ausfall (Quelle: In Anlehnung an Kark (2007b), S. 1)...59 Abbildung von Stage 2 aus IT SCM auf Risikomanagement-Prozess...62 Verantwortlichkeiten für DS 4 Ensure Continuous Service (Quelle: ITGI (2005), S. 117)...68 Tabelle 3.6: Maßnahmeempfehlungen aus dem Baustein B 1.3 (Quelle: BSI (2007a), Baustein B. 1.3 Notfallvorsorge)...70 Tabelle 3.7: Tabelle 3.8: Tabelle 4.1: Tabelle 4.2: Abbildung der IT-Risikosteuerung auf die Maßnahmen im Baustein B 1.3 Notfallvorsorge...72 Überblick der Ansätze zu Wirtschaftlichkeitsbetrachtungen...76 Klassifikationsschema für IT-Abhängigkeit (Quelle: In Anlehnung an Haase (2007), S. 14) Teilprozesse bei Hauptprozess 1.3 Auftragsabwicklung Endkundengeschäft (Quelle: IPRI (2006), S. 31) Tabelle 4.3: Leitfragen Unterstützung durch IT Tabelle 4.4: Leitfragen Unterstützung durch Personal Tabelle 4.5: Tabelle 4.6: Tabelle 4.7: Tabelle 4.8: Leitfragen Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern Leitfragen Umsatzabhängigkeit Überblick der Schadensphasen Systematik allgemeiner Schadensdimensionen und Bewertung je Schadensphase...128

22 XII Tabelle 4.9: Tabelle 4.10: Abhängigkeiten der Schadensdimensionen im Bereich Kostensteigerung Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste Tabelle 4.11: Daten zur Schadensdimension Mehrarbeit Tabelle 4.12: Tabelle 4.13: Tabelle 4.14: Tabelle 4.15: Tabelle 4.16: Daten zur Schadensdimension Zusatzpersonal Daten zur Schadensdimension Verlust eines einzelnen Umsatzes Daten zur Schadensdimension Verlust von Nutzungsentgelten Daten zur Schadensdimension Kundenverlust Folgeschäden pro Tag je Ausfall und je Schadensdimension in Tausend Euro Tabelle 4.17: Gefährdungskataloge Tabelle 4.18: Tabelle 4.19: Tabelle 4.20: Tabelle 4.21: Notfallszenarien und deren nicht physische bzw. physische Wirkung Qualitative Einschätzung der Notfalldauern Qualitative Einschätzung der Eintrittswahrscheinlichkeit Beispielhafte Maßnahmen zur Risikovermeidung Tabelle 4.22: Überblick der Handlungsalternativen Tabelle 5.1: Tabelle 5.2: Tabelle 5.3: Tabelle 5.4: Identifizierter Handlungsbedarf aus Kapitel 3 im Bereich Organisation und Prämissen für die Konzeption des Gestaltungsmodells Identifizierter Handlungsbedarf aus Kapitel 3 im Bereich Risikobewertung und Prämissen für die Konzeption des Gestaltungsmodells Identifizierter Handlungsbedarf aus Kapitel 3 im Bereich Standards und Prämissen für die Konzeption des Gestaltungsmodells Identifizierter Handlungsbedarf aus Kapitel 3 im Bereich Methoden und Prämissen für die Konzeption des Gestaltungsmodells Tabelle 5.5: Überblick der Ergebnisse der Initiierung Tabelle 5.6: Überblick der Ergebnisse der Voranalyse Tabelle 5.7: Überblick der Ergebnisse der Detailbetrachtung Tabelle 5.8: Überblick der Ergebnisse der Lösungsbestimmung...215

23 XIII Tabelle 5.9: Tabelle 5.10: Tabelle 5.11: Tabelle 5.12: Tabelle 5.13: Tabelle 5.14: Ausprägungen der Verantwortlichkeit nach EBZID bzw. RACI (Quelle: In Anlehnung an Smith/Erwin (2007), S. 5) Koordinierende Stelle für Notfallvorsorge (Quelle: In Anlehnung an CI/KPMG (2006), S. 10) Akteure nach ITIL und deren Aufgaben (Quelle: In Anlehnung an OCG (2001), Abschnitt 7.4.2) Übersicht der Akteure im Bereich IT-Notfallvorsorge nach CObIT (Quelle: In Anlehnung an ITGI (2005), S. 117) Akteure bei der Gestaltung von IT-Notfallvorsorge im Kontext des betrieblichen Risikomanagements Verantwortlichkeiten auf Ebene des Gestaltungsmodells Tabelle 5.15: Verantwortlichkeiten auf Ebene der Aktivitäten Tabelle 5.16: Tabelle 5.17: Tabelle 5.18: Verantwortlichkeiten auf Ebene der Teil-Aktivität (illustrativ für die Aktivität der Initiierung) Verknüpfung der Notfallvorsorge mit anderen Akteuren (Quelle: In Anlehnung an CI/KPMG (2006), S. 12ff.) Vergleich von Stabsabteilung und dezentraler Eingliederung...237

24 XIV

25 XV Abkürzungsverzeichnis AGB AHP AKNZ AktG ALE ARPU BaFin BAISeM BCM BCP BIA BITKOM BMWA BNA BSI CCTA CEDIM CFROI CLV CObIT CoCo COSO CRAMM CRM DCF DOO DR DSL DTAG DV Allgemeine Geschäftsbedingungen Analytical Hierarchy Process Akademie für Krisenmanagement, Notfallplanung und Zivilschutz Aktiengesetz Annual Loss Expectancy Annual Return Per User Bundesanstalt für Finanzdienstleistungsaufsicht Business Aligned Information Security Management Business Continuity Management Business Continuity Planning Business Impact Analysis Bundesverband Informationswirtschaft, Telekommunikation und neue Medien Bundesministerium für Wirtschaft und Arbeit Bundesnetzagentur Bundesamt für Sicherheit in der Informationstechnik Central Computer and Telecommunications Agency Center for Disaster Management and Risk Reduction Technology Cash Flow Return of Investment Customer Lifetime Value Control Objectives for Information and related Technology Control Committee Committee of Sponsoring Organizations of the Treadway Commission CCTA Risk Analysis and Management Method Customer Relationship Management Discounted Cash Flow Degraded Operations Objective Disaster Recovery Digital Subscriber Line Deutsche Telekom AG Datenverarbeitung

26 XVI EBZID EDV ERM EVA EVT FIPS FMEA FSA HAZOP HP IDS IP IPRI ISEB ISO IT IT SCM ITGI ITIL IT-SHB IuK KonTraG KVP MaRisk MECE MORR MTBF MTTF MTTR NFS NGN NRO OCG RACI ROC Entscheiden, Beteiligen, Zuständig sein, Informieren, Durchführen Elektronische Datenverarbeitung Enterprise Risk Management Economic Value Add Extreme Value Theory Federal Information Processing Standard Failure Mode and Effects Analysis Financial Services Authority Hazard and Operability Study Hewlett Packard Intrusion Detection System Internet Protocol International Performance Research Institute Institut für Sicherheit im E-Business International Organization for Standardization Informationstechnologie IT Service Continuity Management IT Governance Institute IT Infrastructure Library IT-Sicherheitshandbuch Information und Kommunikation Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Kontinuierlicher Verbesserungsprozess Mindestanforderung für die Umsetzung von Risikomanagement Mutually Exclusive and Collectively Exhaustive Manufacturing Operations Recovery Resumption Mean Time Between Failure Mean Time To Fail Mean Time To Repair Notfallszenario Next Generation Network Network Recovery Objective Office of Government Commerce Responsible, Accountable, Consulted, Informed Regulation on Organisation and Control

27 XVII ROI ROSI RPO RSZ RTO SFB SFK SLA SOX TAL TCO TKG TÜV USV VoIP Return of Investment Return of Security Investment Recovery Point Objective Risiko, Sicherheit, Zuverlässigkeit Recovery Time Objective Sonderforschungsbereich Störfallkommission Service Level Agreement Sarbanes-Oxeley Teilnehmeranschlussleitung Total Cost of Ownership Telekommunikationsgesetz Technischer Überwachungsverein Unterbrechungsfreie Stromversorgung Voice over IP

28

29 1 1 Einführung 1.1 Ausgangssituation und Problemstellung Die Bank of New York hat nach den Terroranschlägen vom 11. September 2001 durch Ausfall der IT-Systeme und Unterbrechung von Geschäftsprozessen einen Schaden von 242 Millionen Dollar vor Steuern hinnehmen müssen. 1 Dieses Beispiel verdeutlicht die hohe ökonomische Auswirkung bei signifikanten Schadensereignissen bzw. dem Eintritt wesentlicher Risiken. 2 Neben den angesprochenen Terrorrisiken können jedoch auch natürliche Ereignisse (z. B. Naturkatastrophen) oder menschliche vorsätzliche oder nicht vorsätzliche Fehlhandlungen 3 eine Störung der Wertschöpfungsaktivitäten mit wesentlicher Auswirkung herbeiführen. 4 Deshalb ist eine betriebliche Notfallvorsorge wichtig, die geschäftskritische Risiken mit hoher Auswirkung und geringer Eintrittswahrscheinlichkeit identifiziert, bewertet und steuert, um den Schaden für die Unternehmung zu begrenzen. Insbesondere eine ungenügende Risikosteuerung im Kontext der betrieblichen Informationstechnologie 5 (IT) kann nach IT-Ausfall erhebliche direkte und indirekte ökonomische Schäden nach sich ziehen. 6 Dies 1 Vgl. de Fontnouvelle et al. (2006), S Für weitere aktuelle Beispiele aus der Tagespresse vgl. Spiegel (2007) für einen Bericht zum Ausfall der elektronischen Handelsplattform XETRA sowie Welt (2007) zur Darstellung eines Vorfalls des Verfügbarkeitsverlusts von Telekom-Leitungen. 3 Nach einer Untersuchung der Rückversicherung Swiss Re stieg zwischen 1970 und 2000 sowohl die Anzahl der Naturkatastrophen als auch die Zahl der von Menschen verursachten Desaster dramatisch an. Merbecks et al. (2004), S Für eine ausführliche Darstellung von Fallstudien zu unterschiedlichen Katastrophenereignissen mit Auswirkung auf Finanzdienstleister vgl. BIS (2005), S. 19ff.; für weitere Fallstudien vgl. Hiles/Barnes (1999), S. 295ff.; für eine Fallsammlung zu (betriebswirtschaftlichen) Schäden im Bereich IT-Sicherheit vgl. BSI (2000), S. 61ff.; für einen Großschadenbericht Schaden/Unfall über versicherte Marktschäden, die größer sind als 25 Millionen Euro und einen Bezug zum deutschen Versicherungsmarkt haben vgl. GenRe (2006), S. 2ff. 5 Für eine Definition der Informationstechnologie in einer Unternehmung vgl. Kapitel Für eine beispielhafte Klasseneinteilung betrieblicher computergestützter Anwendungssysteme vgl. Gabriel/Röhrs (2003), S. 17.