GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit"

Transkript

1 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz Dorfstraße München Tel. 089 / Fax 089 / mailto:

2 Risikomanagement entlang von Wertschöpfungsketten 1 Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Peter Scholz Ramon Mörl Zusammenfassung In diesem Beitrag wird eine schrittweise Vorgehensweise zum Management von Risiken auf verschiedenen Unternehmensebenen beschrieben und die Schnittstellenproblematik konstruktiv gelöst. Hierbei werden die relevanten Risikobereiche und deren Abhängigkeiten untereinander auf jeder Ebene (beginnend auf der Ebene der Business Landscape) spezifisch erfasst und ebenenübergreifend konsistent aufeinander abgestimmt. Betrachtete Unternehmensebenen entlang der Wertschöpfungskette sind: Business Landscape, Service Landscape, Information Landscape und IT Landscape. Möglicherweise bestehende Kommunikations- u.a. Barrieren zwischen diesen Ebenen können mit diesem Ansatz leicht überwunden werden. Bereits bestehende Informationsquellen wie Inventory und Asset Management oder Informationen aus dem Risikomanagement können dabei in das Verfahren mit einfließen. Das Verfahren ist formal fundiert und stellt daher eine Basis für Planspiele sowie Simulationen dar und eignet sich zum Einsatz in einem Werkzeug, dessen Entwicklung bereits in Planung ist. 1 Motivation und Einleitung Für alle Wirtschaftsjahre, die nach dem 31. Dezember 1998 begonnen haben findet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG [Kon98], Anwendung. Es verpflichtet Vorstände bzw. Geschäftsführer von Aktiengesellschaften bzw. Gesellschaften mit beschränkter Haftung gleichermaßen wie Chefs von Firmen anderer Gesellschaftsformen mit mehr als 50 Mitarbeitern, einem Umsatz von mehr als 6,87 Millionen Euro sowie einer Bilanzsumme von nicht weniger als 3,45 Millionen Euro: (a) ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten und (b) einen Lagebericht zu Risiken der künftigen Geschäftsentwicklung zu erstellen ( 289 HGB). Beides wird von unabhängigen Wirtschaftsprüfern in Form der Jahresabschlussprüfung evaluiert. Vor allem der letzte Punkt ist ohne ein Risikomanagementsystem nicht erfüllbar. Wird diesen Anforderungen nicht nachgekommen, so muss mit dem Versagen des Bestätigungsvermerks durch den Wirtschaftsprüfer gerechnet werden, was zur Folge hat, dass Gewinnausschüttungen oder Kreditaufnahmen bei Banken unmöglich werden und Vorstände bzw. Geschäftsführer ggf. zur persönlichen Haftung herangezogen werden. Zur Umsetzung der Bestimmungen des KonTraG empfiehlt sich die Anwendung des folgen-

3 Risikomanagement entlang von Wertschöpfungsketten 2 den Phasenmodells: 1. Bestimmung der Beobachtungsbereiche: Identifikation der Beobachtungsbereiche innerhalb und außerhalb des Unternehmens 2. Risikoanalyse: Identifikation und Bewertung strategischer Risiken sowie der Geschäftsprozessrisiken etc. Ergebnisse sind Risikokatalog, Risikoinventar und Risikoportfolio 3. Risikoaggregation: Redundanzermittlung, Korrelationsableitung, Risikosystematisierung, Diskussion, Simulation etc. 4. Risikobewältigung: Identifikation und Bewertung bisheriger Maßnahmen, Erarbeitung von Handlungsalternativen usw. 5. Systemarchitektur: Konzeption eines Risikoerfassungs- und -überwachungssystems, Festlegung der Risikopolitik/-kommunikation 6. Systemgestaltung und -implementierung: Entwicklung eines DV-gestützten Risikomanagementsystems unter Beachtung der Systemeigenschaften Flexibilität, Plattformunabhängigkeit, Verfügbarkeit und Offenheit Damit wird klar, dass für die erfolgreiche Umsetzung der Anforderungen des KonTraG ein zielführendes Risikomanagement eine zentrale Rolle einnimmt. 2 Stand der Technik: Risiko und Risikomanagement Ein Risiko ist das potentielle Auftreten eines unerwünschten Ereignisses und dessen Einfluss auf den Erfolg eines Vorhabens im Falle des Auftretens dieses Ereignisses. Für jedes Risiko kann die Ereigniswahrscheinlichkeit und die Schadenshöhe angegeben werden. Häufig quantifiziert man das Risiko selbst als mathematisches Produkt dieser beiden Größen. Risikomanagement ist eine vorbeugende Maßnahme die darauf abzielt, Gefahren rechtzeitig abzuschätzen, um entsprechende Vorkehrungen zur Vermeidung oder Minimierung der erkannten Gefahren zu treffen. Aufgabe des Risikomanagements ist es daher Methoden und Werkzeuge bereitzustellen, die dabei helfen Risiken zu erkennen, zu analysieren und zu minimieren bzw. auszuschließen. Schon durch konsequente, frühe und detaillierte Dokumentation der Komponenten einer IT Landschaft sowie deren Abhängigkeiten untereinander lassen sich Risiken proaktiv erkennen. Proaktives Risikomanagement ist daher von zentraler und ständig wachsender Bedeutung für ein Unternehmen. Hierbei wird im Wesentlichen zwischen strategischen und operativen Risikomanagement unterschieden. Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse des Unternehmens und der Geschäftsabläufe. Es kann in die folgenden drei aufeinanderfolgenden Schritte unterteilt werden [Rom00]: 1. Risikoidentifikation 2. Risikoanalyse/-bewertung 3. Risikosteuerung/-kontrolle Hierbei besteht vor allem im Bereich der Risikoanalyse Verbesserungsbedarf. Meist geschieht eine Quantifizierung eines Risikos lediglich hinsichtlich seines Erwartungswert. Ist eine

4 Risikomanagement entlang von Wertschöpfungsketten 3 Quantifizierung nicht möglich, so wird das Risiko rein qualitativ bewertet (z.b. hoch, mittel, gering, unbedeutend). Ziel der Risikoidentifikation und -bewertung (= Risikoanalyse) ist die Erstellung eines Risikoinventars bzw. einer Risk Map oder Risikomatrix. Neben den Einzelrisiken wird in einer Risikomatrix auch die individuelle Akzeptanzlinie abgebildet, d.h. ab welchem Schwellenwert ein Handlungsbedarf ausgelöst wird (siehe auch Abbildung 1). Bei der Ermittlung der Gesamtrisikolage müssen aber auch die Risikointerdependenzen berücksichtigt und aggregiert werden; dies wird jedoch meist vernachlässigt. Insbesondere bei den modernen Produktionsmethoden (Just-in-time, Single-Sourcing etc.) gewinnt die Aggregation der Einzelrisiken an Bedeutung. Eintrittswahrscheinlichkeit (Schadenswahrscheinlichkeit) gering mittel hoch z.b. 67 % z.b. 33 % R1 R5 R2 Risikoschwelle (gem. Erwartungswert) R4 R3 z.b. 10 Mio Euro z.b. 50 Mio Euro R6 Rn Spezifisches Risiko gering mittel katastrophal Ergebniseffekt (Schadenausmaß) Abb. 1: Stand der Technik: Bewertung eines Risikos anhand einer Risikomatrix Eine Risikomatrix erkennt aber keine Abhängigkeiten zwischen Risiken; wichtige Informationen für das Continuity Planning gehen verloren. Undokumentierte Abhängigkeiten innerhalb einer IT-Landschaft führen jedoch zu unkalkulierbaren Risiken. Business Services hängen teilweise von einer Vielzahl an Applikationen, Datenbanken, Servern, Hosts und Netzwerken ab. Einige von diesen werden sogar von externen Firmen wie etwa Internet Service Providern kontrolliert. Sowohl für Business Owner als auch für IT-Manager wird in diesem komplexen Umfeld die Handhabung zunehmend schwieriger. Die zunehmende Zahl von Verantwortlichen auf den unterschiedlichen Unternehmensebenen stellt eine weitere Problematik dar. Außerdem fehlt bisher eine schlanke konstruktive gemeinsame Sprachschnittstelle zwischen IT- Manager und Business Owner. 3 Business Continuity Planning Aktives und passives Risikomanagement in der IT wird derzeit schon von vielen Unternehmen umgesetzt. Wichtige Motivationsfaktoren für die Einführung eines IT- Risikomanagements im Unternehmen stellen, wie bereits oben diskutiert, sowohl rechtliche

5 Risikomanagement entlang von Wertschöpfungsketten 4 Rahmenbedingungen wie Basel II, KonTraG [Kon98], TransPuG [Tra02] als auch ureigenste Interessen des Managements selbst (z.b. persönliche Haftung) dar. IT-Risikomanagement wird derzeit hauptsächlich von IT-Spezialisten ausgeführt und orientiert sich daher zu stark auf IT-Elemente und zuwenig auf Business Services und die Wertschöpfung. Manager orientieren sich andererseits bei ihren Investitionen entlang der Wertschöpfungskette des Unternehmens. Business Continuity Planning (BCP) und Risikomanagement werden deshalb derzeit in Unternehmen auf verschiedenen Ebenen unabhängig voneinander betrachtet. Diese Ebenen sind hinsichtlich der IT beispielsweise: 1. Business Landscape: Die Unternehmensleitung spezifiziert ihre Anforderungen an die Business Services entlang der Wertschöpfungskette des Unternehmens. 2. Service Landscape: Das Business Management spezifiziert als Owner eines Business Services seine Anforderungen bzgl. Verfügbarkeit an seinen Business Service. 3. Information Landscape: das IT-Management spezifiziert seine Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Services bzw. IT-Applikationen. 4. IT-Landscape: IT-Spezialisten spezifizieren ihre Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Systeme bzw. IT-Ressourcen, wie beispielsweise Rechnersysteme, Netze, Netzknoten und Infrastruktur. 5. IT-Dienstleister im Falle von IT-Outsourcing: Benötigt klare Schnittstellen für die Service Level Agreements (SLA). Präventiv wirkende Sicherheitsmaßnahmen, ergänzt durch den Abschluss von Versicherungen, sind keine ausreichende Vorsorge gegen Schadensereignisse mit katastrophalen Folgewirkungen (K-Fälle). Die Unterbrechung oder der Ausfall von kritischen Geschäftsprozessen und zentralen Funktionen kann gravierende Auswirkungen haben (Primär- und Sekundärschäden), von Umsatzeinbußen über den Verlust von Marktanteilen bis hin zur Existenzgefährdung. Durch Business Continuity Planning werden die Folgeschäden und Restrisiken einem definierten planbaren Prozess unterworfen, mit dem Ziel sie auf ein tragbares Maß zu reduzieren. Business Continuity Planning ist ein Bestandteil des Risk Management Prozesses. Eine mögliche Definition ist der [ISO17799] zu entnehmen. Unser Ansatz liefert einen Beitrag zu fast allen Prozessschritten des BCP: 1. Verstehen der Risiken hinsichtlich deren Eintrittswahrscheinlichkeit sowie Schadensausmaß, sowie die Identifikation und Priorisierung kritischer Geschäftsprozesse 2. Verstehen der Auswirkungen potentieller Unterbrechungen auf das Geschäft 3. Formulieren und Dokumentieren einer Business Continuity Strategie, die mit den Geschäftszielen und -prioritäten einhergeht, sowie eines darauf aufbauenden Business Continuity Plans 4. Regelmäßiges Testen und Verbessern dieser Pläne sowie der entsprechenden Prozesse 5. Sicherstellen, dass das Management der Business Continuity in die Unternehmensprozesse bzw. -struktur fest eingebunden wird Das Besondere an der hier vorgestellten Vorgehensweise ist es, Kostenaspekte und Planspiele zu Kosten/Nutzensituationen technisch unterstützt durchzuführen; sie öffnet damit den El-

6 Risikomanagement entlang von Wertschöpfungsketten 5 fenbeinturm für die eigentlichen Geschäftsinteressen des Unternehmens. IT Continuity Planning ist eine Untermenge der IT-Sicherheit und befasst sich vornehmlich mit Aspekten der Verfügbarkeit. Ziel einer solchen Planung sind Maßnahmen zur Minimierung der Risiken, die sich auf die Fortführung des Geschäftsbetriebs auswirken. Hierfür werden kritische Geschäftsprozesse ermittelt, die dazu benötigten Anwendungen und Informationen bestimmt, die hierfür benötigten Systemkomponenten bestimmt, Abhängigkeiten der Systemkomponenten untersucht und Maßnahmen der Verfügbarkeit geplant. 4 Herausforderungen Bisher werden BCP, IT-Continuity Planning, Risikomanagement sowie IT- Risikomanagement relativ unabhängig voneinander betrachtet und waren nur lose mit den zentralen Geschäftsinteressen und der Wertschöpfungskette eines Unternehmens gekoppelt. Wir schlagen vor, diese zu verbinden und ein ebenenübergreifendes, integriertes Risikomanagement im Unternehmen durchzuführen. Hierzu müssen zunächst die zahlreichen Kommunikationsschwierigkeiten zwischen den verschiedenen Unternehmensebenen überwunden werden. Risiken müssen einerseits offen angesprochen werden, andererseits soll aber die Vertraulichkeit gewahrt bleiben. Gesucht sind daher passende Schnittstellen. Eine der wesentlichen Herausforderungen hierbei ist, dass alle wesentlichen Risiken erkannt werden, ernst genommen werden und eine Lösung zu deren Vermeidung, Minimierung etc. gefunden wird, ohne dass eine Partei überflüssige oder sogar geheime Geschäftsdetails preisgeben muss. Durch die Beteiligung von verantwortlichen Personen und Personengruppen unterschiedlicher Unternehmensebenen ergeben sich folgende weitere Herausforderungen: Die am RM beteiligten Personen aus unterschiedlichen Unternehmensbereichen verwenden eine unterschiedliche Terminologie, haben unterschiedliche Ziele und definieren die auf ihrer Ebene entstehenden Risiken unabhängig voneinander und ggf. inkompatibel zueinander. Risikointerdependenzen (= Abhängigkeiten zwischen Risiken) und Aggregation von Risiken müssen transparent und vergleichbar gemacht werden. In diesem Beitrag schildern wir ein Konzept für ein hierarchisches d.h. nahtlos über alle Unternehmensebenen hinweg greifendes Risikomanagement, das sich entlang der Wertschöpfungskette des Unternehmens orientiert. Zu einer möglichst effizienten Umsetzung ist bereits die Realisierung eines entsprechenden Werkzeuges durch die itwatch GmbH geplant. Wir gehen bei unseren Überlegungen davon aus, dass im Unternehmen in der IT folgende Punkte bedient werden und zeigen den Mehrwert unserer Vorgehensweise für diese Disziplinen auf: Notfall- und Katastrophenplan, Inventory, Asset Management, Netzwerkmanagement, Projektmanagement mit Risikobewertung, Risikomanagement sowie Sicherheitsmanagement. Dies wird aber bisher in Unternehmen aufgrund fehlender gemeinsamer Grundlagen bzw. Schnittstellen jedoch separat durchgeführt, und so entsteht ein Bruch zwischen Businessfunktion und IT-Funktion. Abbildung 2 fasst die Situation am Beispiel des Risikomanagements zusammen.

7 Risikomanagement Risikomanagement entlang von Wertschöpfungsketten 6 RM Risiken Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 2: Stand der Technik: separates Risikomanagement verschiedener Unternehmensebenen RM Risiken 5 Risikomanagement entlang von Wertschöpfungsketten Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 3: Innovation: Risikomanagement entlang von Wertschöpfungsketten Unser Ansatz greift bereits bei der Risikoidentifikation. Die erste Stufe der Risikoidentifikation beginnt mit der betriebsspezifischen Erfassung aller auf die Unternehmensziele wirkenden Risiken (Risiko-Brainstorming). Dabei werden im Stand der Technik quasi in einem Rundumschlag alle nur erdenklichen Risiken erfasst. Bei dieser Vorgehensweise muss damit gerechnet werden, dass ein Großteil der auf diese Weise erfassten Risiken keinen oder einen nur unwesentlichen Einfluss auf die für das Kerngeschäft relevanten Wertschöpfungsketten hat. Um die Ressourcen optimal einzusetzen, schlagen wir hier ein Verfahren vor, das sich auf solche Risiken beschränkt, die eine potentielle Gefährdung von Wertschöpfungsketten darstellen und ermöglichen es die Gefährdung technisch gestützt zu quantifizieren. Bereits ganz

8 Risikomanagement entlang von Wertschöpfungsketten 7 am Anfang des Prozesses zum Risikomanagement beschränkt sich unsere Methode daher auf das Wesentliche und erzielt somit eine effiziente Vorgehensweise (vergleiche Abbildung 3). Wir gehen dabei (entlang der Wertschöpfungskette und top-down) wie folgt vor: 1. Identifikation der für das Unternehmen wesentlichen Wertschöpfungsketten in der Unternehmensleitung. Alle anderen Business Funktionen werden im ersten Schritt nicht weiter verfolgt. Zunächst werden die relevanten Glieder der Wertschöpfungskette in der Business Landscape als Risikoknoten (RiskNode) betrachtet. Durch diese Beschränkung kann eine erhebliche Kostenreduktion erzielt werden. 2. Modellierung der RiskNodes. Für jeden dieser RiskNodes werden dann in einem nächsten Schritt u.a. folgende Daten eingetragen: - Owner mit seinen organisatorischen Angaben Adresse, Handy für SMS Alerting usw. - Soll-Verfügbarkeit = Verfügbarkeitsanforderung, z.b. 99 % Verfügbarkeit - Ist-Verfügbarkeit = geschätzter Wert oder Wert aus Monitoring-System - Plan-Verfügbarkeit = Verfügbarkeitsangabe für Planspiel jeder Plan hat einen eigenen eindeutigen Namen und kann jeweils separat von anderen Plänen nach Kosten/Nutzen verfolgt werden - Für einen eindeutig benannten Plan können an einem RiskNode modifizierte Werte eingetragen werden, welche auch die Kosten und den Nutzen dieser Modifikation quantifizieren Darüber hinaus kann später statistisch die absolute Ist-Verfügbarkeit an einem in ein RiskChart eingebundenen RiskNode (automatisch) vom System berechnet werden. 3. Es wird weiterhin für jeden RiskNode angegeben, von welchen anderen RiskNodes er abhängt und welche weiteren RiskNodes er beeinflusst. Diese Abhängigkeiten können aus einer kleinen übersichtlichen Menge von bereits vorkonfigurierten möglichen Abhängigkeiten ausgewählt werden. Es entsteht ein sogenanntes RiskChart. 4. Ist das RiskChart innerhalb einer Unternehmensebene modelliert, so kann dann für jeden RiskNode weiter spezifiziert werden, durch welches RiskChart (Teil einer Landscape) aus nachgelagerten Ebenen er hierarchisch dekomponiert wird. Man verfeinert also die Landscape einer Ebene, und eine Modulstruktur (Modulhierarchie mit Abhängigkeiten) entsteht allerdings nur für die in der Wertschöpfung wesentlichen E- lemente. Bei dieser Verfeinerung ist zu beachten, dass jedes verfeinernde RiskChart der Ebene n+1 mindestens die Verfügbarkeitsanforderung des ursprünglichen RiskNodes der Ebene n erfüllt. Auf jeder Ebene können darüber hinaus spezifische Zusatzinformationen angegeben werden. Sind die wesentlichen Wertschöpfungsketten von der Business Landscape bis zur IT- Landscape wie eben beschrieben modelliert, so gehen wir weiter wie folgt (entlang der Wertschöpfungskette und nun bottom-up) vor: 5. Auf der Ebene der IT-Landscape können für jeden RiskNode nun zusätzlich die Risiken angegeben werden, denen er möglicherweise ausgesetzt ist. Jedes Risiko wird

9 Risikomanagement entlang von Wertschöpfungsketten 8 spezifiziert durch seine Beschreibung, seine Eintrittswahrscheinlichkeit, sowie durch sein Schadensausmaß. Hierbei ist zu beachten, dass das Gesamtrisikopotential eines RiskNodes, die an ihn gestellte Verfügbarkeitsanforderung nicht unterschreiten darf. Verfolgt man nun die Auswirkungen der Risiken bottom-up bis schließlich zur Ebene der Business Landscape, so stellt man fest, dass die Verfügbarkeitsanforderungen für alle RiskNodes auf jeder Ebene auf natürliche Weise eingehalten werden. Wird bei der automatisierten bottom-up Analyse der Risiken ein Delta festgestellt, welches einen vorgegebenen Schwellwert überschreitet, kann ein automatisches Alerting (an die Mail Adresse des RiskNode-Owners) initiiert werden. Die Vorteile unserer integrierten Vorgehensweise lauten wie folgt: - Konzentration des Risikomanagements auf Wertschöpfungsbereiche mit hoher Wertigkeit (vgl. Verfügbarkeitsanforderung) - Überbrückung der Sprach-, Kommunikations- etc. Barrieren zwischen den Unternehmensebenen; aber dennoch gemeinsame Nutzung/Pflege (Wiederverwendung) von Landscapes auf verschiedenen Ebenen so kann z.b. die Policy, dass nur ein RiskNode Owner modifizierendes Recht auf seinen RiskNode hat und ein Manager nur die RiskNodes seiner Management-Ebene sehen kann bereits in einfacher Weise die Vertraulichkeitsanforderungen vieler Unternehmen erfüllen - Schrittweises (ebenenweises) Vorgehen führt zu einer inkrementellen (und mathematisch korrekten) Verfeinerung der Verfügbarkeitsanforderungen; entsprechende Berechnungstemplates existieren - Planspiele zur Simulation einer veränderten Risikosituation können per Knopfdruck automatisch durchgeführt werden - Automatische Benachrichtigungsfunktionen (Alerting) für alle Unternehmensebenen im Falle riskanter Verfügbarkeitsschwankungen können etabliert werden - Top-down Propagierung der Verfügbarkeitsanforderungen kann (formal) der Bottom-up Propagierung der Risiken gegenübergestellt werden - Die Arbeitsgruppe zur Verbesserung der Verfügbarkeit eines Business Services kann direkt durch die RiskNode-Owner zusammengestellt werden 5.1 RiskNodes Es werden z.b. diejenigen Komponenten der technischen, informationstechnischen und baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen (ebenfalls als RiskNodes modelliert) und zentralen Funktionen abhängig ist. Diese Art der Modulbildung kann bzgl. der Informationstechnologie (IT) auf jeder Unternehmensebene getroffen werden, also insbesondere auf Ebene der Geschäftsprozesse, der IT-Services sowie der Ressourcen. Bei diesen Komponenten kann es sich beispielsweise um die Steuerung eines Produktionsabschnittes, einen Webserver, einen Datenbankserver, den Hauptverteiler der Telekommunikation, die Stromeinspeisung, ein automatisiertes

10 Risikomanagement entlang von Wertschöpfungsketten 9 Kleinteilelager, einen Tresorraum und vieles andere mehr handeln. Zu klären ist weiterhin, welche Interdependenzen zwischen diesen Modulen der Infrastruktur bestehen und welche Schadensszenarien daraus abgeleitet werden können. Beispiele von RiskNodes auf verschiedenen Unternehmensebenen sind: - Business Landscape: Kreditvergabe Geschäftskunden, Inkasso, usw. - Service Landscape: E-Banking, Applikation Girokontenbewegungen etc. - Information Landscape: Kundendaten - IT Landscape: Datenbankserver, Applikationsserver, Webserver usw. Für jeden RiskNode können neben seinem Namen und einer kurzen Beschreibung auch Werte für seine Soll-, Ist- und Plan-Verfügbarkeit und weitere strukturierte Zusatzinformationen (Owner, Nutzen, Kosten usw.) angegeben werden (siehe Abbildung 4): SOLL-Verfügbarkeit IST-Verfügbarkeit PLAN-Verfügbarkeit RiskNode (Modul) M i V i,soll V i,ist V i,plan + ggf. Zusatzinformationen Abb. 4: Die grafische Darstellung eines RiskNodes - Soll-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht werden soll. Dies stellt eine Verfügbarkeitsanforderung dar, welche im Wesentlichen top-down vererbt wird. - Ist-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht wird, ggf. nochmals unterteilt in einen vom Hersteller genannten oder geschätzten Wert und einen durch Monitoring oder statistisch errechneten Wert fällt eine Hardware aus, so kann die Ist-Verfügbarkeit auf 0 gesetzt werden und die Neuberechnung der daraus resultierenden abhängigen Verfügbarkeiten zu einem automatischen Alerting führen. - Plan-Verfügbarkeit: ein oder mehrere theoretisch angenommene oder bottom-up berechnete Verfügbarkeitswerte zur Verwendung in Planspielen. - Zusatzinformation: Beschreibung des RiskNodes in Abhängigkeit von der Unternehmensebene zu der er gehört. Trotz der einheitlichen Darstellungsweise finden sich alle Verantwortlichen in ihrer Sprachwelt wieder. Abbildung 5 zeigt als Beispiel eines einfachen RiskNodes einen Druckservice mit einer Ist-Verfügbarkeit von 90%. Weitere Informationen wurden hier (noch) nicht eingetragen. Druckservice V i,soll V i,ist = 0,9 V i,plan Tel: +49 (0) SioS GmbH, München

11 Risikomanagement entlang von Wertschöpfungsketten 10 Abb. 5: Beispiel (RiskNode): Druckservice 5.2 RiskCharts: mathematische Grundlagen Ein RiskChart beschreibt die Abhängigkeiten zwischen RiskNodes und kann mathematisch als gerichteter Graph G=(V,E) modelliert werden, der die Abhängigkeiten verschiedener RiskNodes untereinander formal beschreibt, wobei V die disjunkte Vereinigung der Menge der RiskNodes V 1 und der Menge der Verknüpfungssymbole/-operatoren V 2 = {, } darstellt. Zwei Knoten i und j aus V sind durch eine Kante (i,j) E verbunden genau dann wenn der RiskNode j vom RiskNode i abhängig ist oder einer der beiden Knoten ein Verknüpfungssymbol darstellt. Seriell: M i V i M j V j M i Parallel- V i M k M j V j Beispi el: Performanc ecluster V k M i Parallel- V i M k M j V j Beispi el: Verfügbarkei tscluster V k Abb. 6: Die grafische Darstellung der Verknüpfungsoperatoren bzw. Abhängigkeiten Um RiskNodes zu RiskCharts zu komponieren, gibt es folgende Möglichkeiten (vergleiche auch Abbildung 6): - Die serielle Komposition: Abhängigkeit des Knotens vom Vorgängerknoten (z.b. ebrokerage von Berechnung des aktuellen DAX in Echtzeit) - Die parallele -Verknüpfung: Gleichzeitige Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. Printserver von Datenbank- und Applikationsserver) - Die parallele -Verknüpfung: Alternative Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. redundanter Cold/Hot-Standby) Als Beispiel wollen wir den Druckservice (Service Landscape) aus Abbildung 5 aufgreifen und untersuchen, wie er auf der Ebene der IT-Landscape modelliert werden könnte (siehe Abbildung 7):

12 Risikomanagement entlang von Wertschöpfungsketten 11 Druckservice (mit einzelnen IST-Verfügbarkeiten) DB-Server Strom- Versorg. 97 % DB-Server (Hot-Standby) Druckserver Absolute IST- Verfügbarkeit: 99 % 97 % 94 %??? % Applikationss. 95 % Abb. 7: Beispiel (RiskChart): Druckservice Bei dieser Art von hierarchischer Dekomposition kann ein RiskChart auch als neues Modul und damit wieder als RiskNode einer höheren Ebene betrachtet werden. Hier drängt sich folgende Fragestellung auf: Kann die ursprünglich (vergleiche Abbildung 5) geforderte Ist-Verfügbarkeit des Druckservice von 90% von diesem RiskChart erreicht werden? Um diese Frage zu lösen, müssen folgende Überlegungen angestellt werden. Bisher wurden für jeden RiskNode Werte für Soll-, Ist- und Plan-Verfügbarkeit angegeben, dabei wurde der RiskNode isoliert betrachtet. Mathematisch gesehen hat man hierbei lediglich zunächst bedingte Verfügbarkeiten angegeben. Da ein RiskChart eine Komposition vieler RiskNodes zu einem Netzplan (voneinander abhängiger RiskNodes) darstellt, können analog absoluter Wahrscheinlichkeiten die (absoluten) Verfügbarkeiten an jedem Punkt des Netzes berechnet werden. Hierzu geben wir von der Kompositionsart abhängige Formel-Templates zur Berechnung der tatsächlichen, d.h. absoluten Verfügbarkeit P V (M j ) eines RiskNodes M j an (siehe Abbildung 8): M i V i M j V j Seriell: P V (M j) = P V (M i ) V j M i V i M k Parallel, -Verknüpfung: M j V j Beispiel: Performancecluster V k P V (M k ) = P V (M i ) P V (M j ) V k M i V i M j V j Beispiel: Verfügbarkeitscluster M k V k Parallel, -Verknüpfung: P V (M k ) = (1 (1 P V (M i )) (1 P V ( M j ))) V k Abb. 8: Formel-Templates zur Berechnung der absoluten Verfügbarkeit

13 Risikomanagement entlang von Wertschöpfungsketten 12 Damit können wir nun die obige Fragestellung wie folgt lösen bzw. berechnen (siehe Abbildung 9): DB-Server 97,02 % 99 % Strom- 99 % Versorg. 99 % 98 % DB-Server (Hot-Standby) 97 % 96,03 % 99,88 % Druckserver 93,94 % 94 % 88,30% 99 % Applikationsserver 94,05 % 95 % IST-Verfügbarkeit des Applikationsservers ohne Umgebungsbetrachtung Errechnete IST-Verfügbarkeit aller benötigten Services bis zu dieser Stelle Abb. 9: Beispiel: absolute bzw. tatsächliche Verfügbarkeit des Druckservice Mit Hilfe des eben skizzierten Beispiels wird klar, dass ein mathematisch fundierter, aber dennoch leicht verständlicher top-down Verfeinerungsbegriff entwickelt werden muss, der sicherstellt, dass der Druckservice auf der Ebene der IT Landscape mindestens die selben Verfügbarkeitswerte für die Soll-/Ist-/Plan-Verfügbarkeiten erreichen muss, wie sein Pendant auf der nächsthöheren Unternehmensebene, nämlich der Ebene der Service Landscape. 5.3 Verfeinerung von RiskNodes zu RiskCharts Ein RiskChart G = (V, E) verfeinert einen RiskNode M j genau dann wenn gilt: P V (M f ) P V (M j ) wobei f V den finalen RiskNode in G darstellt. Ein finaler Knoten ist eine Senke, also ein Knoten ohne Nachfolger. Es ist sicherzustellen, dass in jedem RiskChart genau ein solcher Knoten existiert, der gegebenenfalls künstlich erzeugt werden muss. Umgangsprachlich formuliert bedeutet obiges Prädikat, dass die absolute Verfügbarkeit des verfeinerten RiskCharts G jederzeit mindestens die ursprünglich spezifizierte Verfügbarkeit des RiskNodes M j erreichen muss. Erreicht sie diesen Wert, wird von einer korrekten Verfeinerung gesprochen. Erreicht sie diesen Wert nicht, so ist ein einfacher Indikator gefunden, der Handlungsbedarf signalisiert. Das RiskChart in Abbildung 9 wäre also nur dann eine korrekte Verfeinerung des ursprünglichen RiskNodes aus Abbildung 5, falls für den Druckservice lediglich eine Ist-Verfügbarkeit von 88,3% oder weniger spezifiziert gewesen wäre.

14 Risikomanagement entlang von Wertschöpfungsketten 13 Dieser Verfeinerungsbegriff besitzt die beiden wesentlichen Eigenschaften der (a) Kompositionalität und (b) Transitivität. Sie stellen sicher, dass (a) eine lokale Verfeinerung ebenfalls global betrachtet eine Verfeinerung der gesamten Risikolandschaft darstellt und (b) eine schrittweise Anwendung vieler Verfeinerungsschritte über viele Unternehmensebenen hinweg möglich ist. Die schrittweise Verfeinerung liefert als Resultat eine Hierarchie von RiskCharts, welche die Verfügbarkeit jeder Unternehmensebene widerspiegelt (siehe Abbildung 10). Ebene 1 Ebene 2 wird verfeinert zu Ebene 3 wird verfeinert zu 5.4 Planspiele Abb. 10: Verfeinerung über mehrere Unternehmensebenen hinweg Auf Basis des eben gewonnenen Verfeinerungsbegriffs können nun ebenenübergreifende Planspiele zur Risikoanalyse durchgeführt werden. Da die Beziehungen nicht nur zwischen RiskNodes einer Ebene, sondern auch und gerade zwischen unterschiedlichen (Verfeinerungs-/Unternehmens-) Ebenen angegeben wurden, sind Simulationen von ebenenüberspannenden Auswirkungen leicht möglich. Beispielsweise könnte folgendes Planspiel durchgeführt werden. Angenommen, die Verfügbarkeit des RiskNodes Applikationsserver in Abbildung 9 könnte durch eine Investition von Euro von 95% auf 99,5% erhöht werden. Es stellt sich nun die Frage, wie groß der Einfluss dieser Verbesserung auf den Druckservice ist? Wird mehr als eine Verbesserung durchgeführt, so wird sowohl der Gesamteinfluss bewertet, als auch die Kosten der Gesamtinvestition summiert. Im Allgemeinen kann die Auswirkung einer Verbesserung im Rahmen eines Planspiels sowohl auf die höheren, als auch die tieferen Unternehmensebenen automatisch berechnet werden.

15 Risikomanagement entlang von Wertschöpfungsketten Automatisches Alerting Ein Werkzeug zur Umsetzung unserer Vorgehensweise ist derzeit geplant. Dieses Werkzeug soll flexible Schnittstellen erhalten, die es ermöglichen, Daten aus einem Monitoring-System zu verarbeiten. So können beispielsweise im Falle eines Totalausfalls eines Servers nicht nur wie im aktuellen Stand der Technik die direkt für den Server verantwortlichen Personen benachrichtigt werden, sondern auf Wunsch kann auch ein automatisches Alerting aller Betroffenen auf allen Unternehmensebenen angestoßen werden. Dies kann zum Beispiel in Form einer automatisch generierten an diesen Personenkreis geschehen. 6 Zusammenfassung und Ausblick In diesem Beitrag haben wir gezeigt, wie die Analyse von Verfügbarkeiten und deren Abhängigkeiten innerhalb einer Unternehmensebene mit Hilfe von RiskCharts möglich ist. Weiterhin haben wir einen mathematisch korrekten und zugleich leicht verständlichen Verfeinerungsbegriff definiert. Die Verfeinerung von RiskNodes einer Ebene führt zu einem RiskChart der nächsten Ebene. Risikomanagement entlang von Wertschöpfungsketten wird auf diese Weise möglich und Kommunikationsbarrieren zwischen den Ebenen entfallen. Business Continuity wird schließlich nicht nur möglich, sondern auch planbar. Durch unseren Ansatz ergeben sich folgende Vorteile: - Risikoaggregationen und -interdependenzen werden sichtbar und dadurch verfolgbar und steuerbar. - Das Risiko-Verständnis von Managern und Spezialisten aller Unternehmensebenen wird vereinheitlicht. Risikokausalitäten werden transparent. - Planspiele und automatische Risikowarnungen sind möglich. - Sowohl top-down als auch bottom-up Analysen der Risikolandschaft wird möglich: top-down von der Unternehmensleitung zu den Spezialisten und bottom-up zur direkten Rückkopplung des aktuellen Standes an das Business Management ohne Nachfragen bei Spezialisten. Dadurch wird eine umfassende Analyse des gesamten Risikopotentials gewährleistet. Das formale Modell bildet die Basis für einen Werkzeugeinsatz. Der Ansatz ist einsetzbar für alle Phasen des Risikomanagements, also das strategische und operative Risikomanagement, die Risikoanalyse (Risikoidentifikation; Risikobewertung) sowie die Risikokontrolle und Risikosteuerung. Uninteressante Pfade im RiskNode können abgeschnitten werden und Schieflagen in der Wahrnehmung der Wichtigkeit von Geschäfts-(teil-)Prozessen werden aufgezeigt und können gelöst werden In Zukunft wollen wir auch RiskNodes mit zeitabhängigen Verfügbarkeitswerten betrachten. So kann dem Umstand Rechnung getragen werden, dass Verfügbarkeiten meist jahres- oder tagesabhängig schwanken können. Hier können saisonale Schwanken wie z.b. Hochwassergefahr genauso modelliert werden wie die Unterschiede zwischen 5 8- und Verfügbarkeiten. Darüber hinaus kann das Verfahren von der Verfügbarkeit der IT auf die Themenkomplexe

16 Risikomanagement entlang von Wertschöpfungsketten 15 Verfügbarkeit von Skills bzw. Know-how bzw. Personal sowie Vertraulichkeit und Integrität der IT erweitert werden. Literatur [ISO17799] Internationaler Standard ISO/IEC17799:2000(E): Information technology code of practice for information security management, erste Ausgabe, Dezember [Kon98] Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Bundesgesetzblatt, Teil I (G5702), Nummer 24, Bonn, 30. April [Rom00] Frank Romeike: IT-Risiken und Grenzen traditioneller Risikofinanzierungsprodukte in: Zeitschrift für Versicherungswesen, Jahrgang 51, Heft 17 vom 1. September 2000, Seiten [Tra02] Transparenz- und Publizitätsgesetz (TransPuG) Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität, Bundesgesetzblatt Teil I, Nummer 50, Seiten 2681 ff., Berlin, 25. Juli 2002.

Risikomanagement entlang von Wertschöpfungsketten

Risikomanagement entlang von Wertschöpfungsketten Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz, für die SioS GmbH Management Summary Management Summary In diesem

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201. Ausfallwahrscheinlichkeit: Die Ausfallwahrscheinlichkeit Probability of Default (PD) gibt die prozentuale Wahrscheinlichkeit für die Nichterfüllung innerhalb eines Jahr an. Beispiele: Forderungsausfälle,

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Teil - I Gesetzliche Anforderungen an IT-Sicherheit

Teil - I Gesetzliche Anforderungen an IT-Sicherheit Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Service Level Management: Qualität für IT-Services. Management Summary.

Service Level Management: Qualität für IT-Services. Management Summary. Service Level Management: Qualität für IT-Services. Management Summary. Nach vorne planen: Nachhaltigkeit als Unternehmensziel. Konsequent realisiertes Service Level Management wirkt sich in allen Bereichen

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Methodische, softwaregestützte Risikobeurteilung

Methodische, softwaregestützte Risikobeurteilung Methodische, softwaregestützte Risikobeurteilung Ziel der Risikobeurteilung ist es, die von einem Produkt ausgehenden Gefährdungspotenziale möglichst vollständig zu erfassen und Schutzmaßnahmen gegen sie

Mehr

Einführung Risk Management Konzept

Einführung Risk Management Konzept Einführung Risk Management Konzept 1. Risiko unser ständiger Begleiter Das Risk Management ist ein wichtiges Führungsinstrument für das Erreichen der Zielsetzungen und für den Schutz der Mitarbeitenden,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

IT Wirtschaftlichkeit. Themenenabend 01.09.2009 der Gesellschaft für Informatik, Regionalgruppe Köln

IT Wirtschaftlichkeit. Themenenabend 01.09.2009 der Gesellschaft für Informatik, Regionalgruppe Köln IT Wirtschaftlichkeit Themenenabend 01.09.2009 der Gesellschaft für Informatik, Regionalgruppe Köln Wirtschaftlichkeit IT / Olaf Sprenger / IT Controlling T-Mobile Deutschland 01.09.2009 Agenda Herausforderungen

Mehr

Controlling im Mittelstand

Controlling im Mittelstand Controlling im Mittelstand Mag. Johann Madreiter nachhaltigmehrwert e.u. Unternehmensberatung und Training 2 Controlling im Mittelstand Controlling im Mittelstand und Kleinunternehmen? Ein auf die Unternehmensgröße

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Die Zukunft gestalten! Rettungsdienst und die Einführung von ganzheitlichen Risikomanagementsystemen bei Non-Profit-Organisationen

Die Zukunft gestalten! Rettungsdienst und die Einführung von ganzheitlichen Risikomanagementsystemen bei Non-Profit-Organisationen Risikomanagement Die Zukunft gestalten! Rettungsdienst und die Einführung von ganzheitlichen Risikomanagementsystemen bei Non-Profit-Organisationen Dr. Klaus Bockslaff Hohenroda, den 17. November 2006

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Risikomanagement - agieren statt reagieren. Risk Management Center, St. Gallen

Risikomanagement - agieren statt reagieren. Risk Management Center, St. Gallen Risikomanagement - agieren statt reagieren Risk Management Center, St. Gallen Risikomanagement und das Ausland Sarbanes-Oxley Act of 2002 Enterprise Risk Management - Integrated Framework issued in 2004

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement 6.1 Fehlerbaum Aufgabe: Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Risikomanagement IT-vernetzter Medizinprodukte

Risikomanagement IT-vernetzter Medizinprodukte Risikomanagement IT-vernetzter Medizinprodukte gem. ISO/IEC 80001-1 20.03.2014 Stefan Möller TÜV TRUST IT GmbH Motivation und Bedrohungslage Die IT-Vernetzung von Medizinprodukten* im Informationsverbund

Mehr

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008 Auf die Schwachstellen kommt es an! 11. Februar 2008 Was ist Risikomanagement? Gefahr, dass Ziele nicht erreicht werden können Im Alltag Gesundheit Finanzielle Sicherheit Familie Beispiele für Maßnahmen

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Oracle Scorecard & Strategy Management

Oracle Scorecard & Strategy Management Oracle Scorecard & Strategy Management Björn Ständer ORACLE Deutschland B.V. & Co. KG München Schlüsselworte: Oracle Scorecard & Strategy Management; OSSM; Scorecard; Business Intelligence; BI; Performance

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth Vortrag Systembasiertes Risiko-Controlling für den Mittelstand Dr. Klaus Blättchen Geschäftsführer syscon Copyright - syscon Unternehmensberatung GmbH syscon

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken Katholische Stiftungsfachhochschule München, Abteilung München Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken Eingereicht als Diplom- und Prüfungsarbeit

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

RISK is our Business. 23.01.2014 Test

RISK is our Business. 23.01.2014 Test RISK is our Business 23.01.2014 Test 1 Sicherheit ist ein Grundbedürfnis Sicherheit kann allerdings nicht isoliert betrachtet werden. Die Basis, um Sicherheit schaffen zu können, ist das Verständnis für

Mehr

Schlüsselfragen für ein wirksames Risikomanagementsystem

Schlüsselfragen für ein wirksames Risikomanagementsystem Risikomanagement im Krankenhaus - Möglichkeiten und Grenzen einer Systemunterstützung Kai Stübane, Vice President Sales, GRC, SAP Deutschland AG & Co. KG Ralf Erdmann, Senior-Riskmanager, Dr. Schmitt GmbH

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Cloud Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Auswirkungen und Aspekte von Cloud-Lösungen verstehen Cloud-Lösungen bieten Unternehmen die Möglichkeit,

Mehr

Risikomanagement: Aufgabensammlung I

Risikomanagement: Aufgabensammlung I Thema Dokumentart Risikomanagement: Aufgabensammlung I Lösungen Theorie im Buch "Integrale Betriebswirtschaftslehre" Teil: E2 Risikomanagement Risikomanagement: Aufgabensammlung I Aufgabe 1 1.1 Definieren

Mehr

Dienstleistungsportfolio

Dienstleistungsportfolio Dienstleistungsportfolio Die klassischen Grenzen zwischen einzelnen Ingenieur- und Informatikbereichen werden immer mehr aufgehoben. Im Vordergrund steht ein durchgängiger effizienter Entwicklungsprozess.

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Professionelles Projektmanagement in der Praxis

Professionelles Projektmanagement in der Praxis Professionelles Projektmanagement in der Praxis Veranstaltung 3 Teil 3 (23.05.2005): Projektrisikomanagement SS 2005 1 Agenda Alle Projekte beinhalten Risiken Definition des Risikobegriffes Kategorien

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

EINE INFORMATIONSBASIS FÜR ZEITOPTIMIERTES INCIDENT MANAGEMENT

EINE INFORMATIONSBASIS FÜR ZEITOPTIMIERTES INCIDENT MANAGEMENT Dorfstraße 13 81247 München Tel. 089 / 89 16 00 50 Fax 089 / 814 53 54 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit www.sios-gmbh.de info@sios-gmbh.de EINE INFOATIONSBASIS FÜR ZEITOPTIMIERTES

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

1 Einleitung. 1.1 Motivation

1 Einleitung. 1.1 Motivation 1 Einleitung 1.1 Motivation Eine zunehmende Globalisierung in Verbindung mit der Verbreitung des elektronischen Handels, stets kürzer werdende Produktlebenszyklen und eine hohe Variantenvielfalt konstituieren

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Schweizer Bank Schweizer Bank Schweizer Bank Unternehmensrisiken steuern (Frankfurter Allgemeine) René F. Manser und Agatha Kalhoff Chancen und Risiken sind zwei Seiten derselben Medaille vor allem

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Implementierung eines steuerlichen Risikomanagementsystems

Implementierung eines steuerlichen Risikomanagementsystems Nora Mundschenk Implementierung eines steuerlichen Risikomanagementsystems Eine Analyse in ausgewählten Unternehmen und die Entwicklung eines Instruments zur Bewertung steuerlicher Risiken Verlag Dr. Kovac

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG Der Risiko-Check IT Risiken systematisch identifizieren und bewerten Stuttgart, 26.02.2010 Seite 1 AXA Versicherung AG Inhalt 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen 2. Der Risiko-Check

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Quick Check Maintenance

Quick Check Maintenance Potentiale zur Optimierung der Instandhaltung SIXSIGMA GmbH Theodor-Heuss-Ring 23 50668 Köln Tel. +49.221.77109.560 Six Sigma GmbH Seite 1 Fax +49.221.77109.31 Zusammenfassung Innerhalb weniger Tage werden

Mehr

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Risikomanagement. Was ist Risikomanagement und welche Bedeutung findet es in Unternehmen? Handelskammer Hamburg 2. April 2009.

Risikomanagement. Was ist Risikomanagement und welche Bedeutung findet es in Unternehmen? Handelskammer Hamburg 2. April 2009. Risikomanagement. Was ist welche Bedeutung findet es in Unternehmen? Handelskammer Hamburg 2. April 2009 Christoph Gebler www.glp-gmbh.com 1 Risikolandschaft - Beispiele Strategische Chancen und Risiken:

Mehr

Risiko: Inventur, Felder, Bewertung, Priorisierung, Strategien

Risiko: Inventur, Felder, Bewertung, Priorisierung, Strategien Risiko: Inventur, Felder, Bewertung, Priorisierung, Strategien Rainer Inzelmann Wirtschaftsprüfer Steuerberater rainer.inzelmann@schomerus.de Hamburger Treuhand Gesellschaft Schomerus & Partner Wirtschaftsprüfungsgesellschaft

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Risikomanagement. Lernziele des Kapitels Risikomanagement. Sie können

Risikomanagement. Lernziele des Kapitels Risikomanagement. Sie können management Lernziele des Kapitels management Sie können mindestens fünf Lieferobjekte aufführen, die eine Beziehung zum management aufweisen und diese Beziehung erläutern. die Entwicklung von potenziellen

Mehr

Umgang mit versicherbaren Risiken: Insurance Risk Management

Umgang mit versicherbaren Risiken: Insurance Risk Management Umgang mit versicherbaren Risiken: Insurance Risk Management WOZU INSURANCE RISK MANAGEMENT? In unserer dynamischen, globalisierten Welt ändern sich die Rahmenbedingungen des Wirtschaftens ständig. Mit

Mehr

Risikomanagement nach ISO 31000 und ONR 49000

Risikomanagement nach ISO 31000 und ONR 49000 Risikomanagement nach ISO 31000 und ONR 49000 STATUS UND ENTWICKLUNGSTRENDS BRUNO BRÜHWILER, PRÄSIDENT NETZWERK RISIKOMANAGEMENT 14.08.2014 1 Risikomanagement - Normen 1970 USA Versicherung (Risikoanalyse)

Mehr

Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend?

Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend? Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend? RCRC Universität Münster Effizientes Risikomanagement in KMU 2 Kontakt RCRC Universität Münster Bastian Neyer, M.Sc. WWU

Mehr