GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit

Transkript

1 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz Dorfstraße München Tel. 089 / Fax 089 / mailto: info@sios-gmbh.de

2 Risikomanagement entlang von Wertschöpfungsketten 1 Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Peter Scholz Ramon Mörl Zusammenfassung In diesem Beitrag wird eine schrittweise Vorgehensweise zum Management von Risiken auf verschiedenen Unternehmensebenen beschrieben und die Schnittstellenproblematik konstruktiv gelöst. Hierbei werden die relevanten Risikobereiche und deren Abhängigkeiten untereinander auf jeder Ebene (beginnend auf der Ebene der Business Landscape) spezifisch erfasst und ebenenübergreifend konsistent aufeinander abgestimmt. Betrachtete Unternehmensebenen entlang der Wertschöpfungskette sind: Business Landscape, Service Landscape, Information Landscape und IT Landscape. Möglicherweise bestehende Kommunikations- u.a. Barrieren zwischen diesen Ebenen können mit diesem Ansatz leicht überwunden werden. Bereits bestehende Informationsquellen wie Inventory und Asset Management oder Informationen aus dem Risikomanagement können dabei in das Verfahren mit einfließen. Das Verfahren ist formal fundiert und stellt daher eine Basis für Planspiele sowie Simulationen dar und eignet sich zum Einsatz in einem Werkzeug, dessen Entwicklung bereits in Planung ist. 1 Motivation und Einleitung Für alle Wirtschaftsjahre, die nach dem 31. Dezember 1998 begonnen haben findet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG [Kon98], Anwendung. Es verpflichtet Vorstände bzw. Geschäftsführer von Aktiengesellschaften bzw. Gesellschaften mit beschränkter Haftung gleichermaßen wie Chefs von Firmen anderer Gesellschaftsformen mit mehr als 50 Mitarbeitern, einem Umsatz von mehr als 6,87 Millionen Euro sowie einer Bilanzsumme von nicht weniger als 3,45 Millionen Euro: (a) ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten und (b) einen Lagebericht zu Risiken der künftigen Geschäftsentwicklung zu erstellen ( 289 HGB). Beides wird von unabhängigen Wirtschaftsprüfern in Form der Jahresabschlussprüfung evaluiert. Vor allem der letzte Punkt ist ohne ein Risikomanagementsystem nicht erfüllbar. Wird diesen Anforderungen nicht nachgekommen, so muss mit dem Versagen des Bestätigungsvermerks durch den Wirtschaftsprüfer gerechnet werden, was zur Folge hat, dass Gewinnausschüttungen oder Kreditaufnahmen bei Banken unmöglich werden und Vorstände bzw. Geschäftsführer ggf. zur persönlichen Haftung herangezogen werden. Zur Umsetzung der Bestimmungen des KonTraG empfiehlt sich die Anwendung des folgen-

3 Risikomanagement entlang von Wertschöpfungsketten 2 den Phasenmodells: 1. Bestimmung der Beobachtungsbereiche: Identifikation der Beobachtungsbereiche innerhalb und außerhalb des Unternehmens 2. Risikoanalyse: Identifikation und Bewertung strategischer Risiken sowie der Geschäftsprozessrisiken etc. Ergebnisse sind Risikokatalog, Risikoinventar und Risikoportfolio 3. Risikoaggregation: Redundanzermittlung, Korrelationsableitung, Risikosystematisierung, Diskussion, Simulation etc. 4. Risikobewältigung: Identifikation und Bewertung bisheriger Maßnahmen, Erarbeitung von Handlungsalternativen usw. 5. Systemarchitektur: Konzeption eines Risikoerfassungs- und -überwachungssystems, Festlegung der Risikopolitik/-kommunikation 6. Systemgestaltung und -implementierung: Entwicklung eines DV-gestützten Risikomanagementsystems unter Beachtung der Systemeigenschaften Flexibilität, Plattformunabhängigkeit, Verfügbarkeit und Offenheit Damit wird klar, dass für die erfolgreiche Umsetzung der Anforderungen des KonTraG ein zielführendes Risikomanagement eine zentrale Rolle einnimmt. 2 Stand der Technik: Risiko und Risikomanagement Ein Risiko ist das potentielle Auftreten eines unerwünschten Ereignisses und dessen Einfluss auf den Erfolg eines Vorhabens im Falle des Auftretens dieses Ereignisses. Für jedes Risiko kann die Ereigniswahrscheinlichkeit und die Schadenshöhe angegeben werden. Häufig quantifiziert man das Risiko selbst als mathematisches Produkt dieser beiden Größen. Risikomanagement ist eine vorbeugende Maßnahme die darauf abzielt, Gefahren rechtzeitig abzuschätzen, um entsprechende Vorkehrungen zur Vermeidung oder Minimierung der erkannten Gefahren zu treffen. Aufgabe des Risikomanagements ist es daher Methoden und Werkzeuge bereitzustellen, die dabei helfen Risiken zu erkennen, zu analysieren und zu minimieren bzw. auszuschließen. Schon durch konsequente, frühe und detaillierte Dokumentation der Komponenten einer IT Landschaft sowie deren Abhängigkeiten untereinander lassen sich Risiken proaktiv erkennen. Proaktives Risikomanagement ist daher von zentraler und ständig wachsender Bedeutung für ein Unternehmen. Hierbei wird im Wesentlichen zwischen strategischen und operativen Risikomanagement unterschieden. Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse des Unternehmens und der Geschäftsabläufe. Es kann in die folgenden drei aufeinanderfolgenden Schritte unterteilt werden [Rom00]: 1. Risikoidentifikation 2. Risikoanalyse/-bewertung 3. Risikosteuerung/-kontrolle Hierbei besteht vor allem im Bereich der Risikoanalyse Verbesserungsbedarf. Meist geschieht eine Quantifizierung eines Risikos lediglich hinsichtlich seines Erwartungswert. Ist eine

4 Risikomanagement entlang von Wertschöpfungsketten 3 Quantifizierung nicht möglich, so wird das Risiko rein qualitativ bewertet (z.b. hoch, mittel, gering, unbedeutend). Ziel der Risikoidentifikation und -bewertung (= Risikoanalyse) ist die Erstellung eines Risikoinventars bzw. einer Risk Map oder Risikomatrix. Neben den Einzelrisiken wird in einer Risikomatrix auch die individuelle Akzeptanzlinie abgebildet, d.h. ab welchem Schwellenwert ein Handlungsbedarf ausgelöst wird (siehe auch Abbildung 1). Bei der Ermittlung der Gesamtrisikolage müssen aber auch die Risikointerdependenzen berücksichtigt und aggregiert werden; dies wird jedoch meist vernachlässigt. Insbesondere bei den modernen Produktionsmethoden (Just-in-time, Single-Sourcing etc.) gewinnt die Aggregation der Einzelrisiken an Bedeutung. Eintrittswahrscheinlichkeit (Schadenswahrscheinlichkeit) gering mittel hoch z.b. 67 % z.b. 33 % R1 R5 R2 Risikoschwelle (gem. Erwartungswert) R4 R3 z.b. 10 Mio Euro z.b. 50 Mio Euro R6 Rn Spezifisches Risiko gering mittel katastrophal Ergebniseffekt (Schadenausmaß) Abb. 1: Stand der Technik: Bewertung eines Risikos anhand einer Risikomatrix Eine Risikomatrix erkennt aber keine Abhängigkeiten zwischen Risiken; wichtige Informationen für das Continuity Planning gehen verloren. Undokumentierte Abhängigkeiten innerhalb einer IT-Landschaft führen jedoch zu unkalkulierbaren Risiken. Business Services hängen teilweise von einer Vielzahl an Applikationen, Datenbanken, Servern, Hosts und Netzwerken ab. Einige von diesen werden sogar von externen Firmen wie etwa Internet Service Providern kontrolliert. Sowohl für Business Owner als auch für IT-Manager wird in diesem komplexen Umfeld die Handhabung zunehmend schwieriger. Die zunehmende Zahl von Verantwortlichen auf den unterschiedlichen Unternehmensebenen stellt eine weitere Problematik dar. Außerdem fehlt bisher eine schlanke konstruktive gemeinsame Sprachschnittstelle zwischen IT- Manager und Business Owner. 3 Business Continuity Planning Aktives und passives Risikomanagement in der IT wird derzeit schon von vielen Unternehmen umgesetzt. Wichtige Motivationsfaktoren für die Einführung eines IT- Risikomanagements im Unternehmen stellen, wie bereits oben diskutiert, sowohl rechtliche

5 Risikomanagement entlang von Wertschöpfungsketten 4 Rahmenbedingungen wie Basel II, KonTraG [Kon98], TransPuG [Tra02] als auch ureigenste Interessen des Managements selbst (z.b. persönliche Haftung) dar. IT-Risikomanagement wird derzeit hauptsächlich von IT-Spezialisten ausgeführt und orientiert sich daher zu stark auf IT-Elemente und zuwenig auf Business Services und die Wertschöpfung. Manager orientieren sich andererseits bei ihren Investitionen entlang der Wertschöpfungskette des Unternehmens. Business Continuity Planning (BCP) und Risikomanagement werden deshalb derzeit in Unternehmen auf verschiedenen Ebenen unabhängig voneinander betrachtet. Diese Ebenen sind hinsichtlich der IT beispielsweise: 1. Business Landscape: Die Unternehmensleitung spezifiziert ihre Anforderungen an die Business Services entlang der Wertschöpfungskette des Unternehmens. 2. Service Landscape: Das Business Management spezifiziert als Owner eines Business Services seine Anforderungen bzgl. Verfügbarkeit an seinen Business Service. 3. Information Landscape: das IT-Management spezifiziert seine Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Services bzw. IT-Applikationen. 4. IT-Landscape: IT-Spezialisten spezifizieren ihre Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Systeme bzw. IT-Ressourcen, wie beispielsweise Rechnersysteme, Netze, Netzknoten und Infrastruktur. 5. IT-Dienstleister im Falle von IT-Outsourcing: Benötigt klare Schnittstellen für die Service Level Agreements (SLA). Präventiv wirkende Sicherheitsmaßnahmen, ergänzt durch den Abschluss von Versicherungen, sind keine ausreichende Vorsorge gegen Schadensereignisse mit katastrophalen Folgewirkungen (K-Fälle). Die Unterbrechung oder der Ausfall von kritischen Geschäftsprozessen und zentralen Funktionen kann gravierende Auswirkungen haben (Primär- und Sekundärschäden), von Umsatzeinbußen über den Verlust von Marktanteilen bis hin zur Existenzgefährdung. Durch Business Continuity Planning werden die Folgeschäden und Restrisiken einem definierten planbaren Prozess unterworfen, mit dem Ziel sie auf ein tragbares Maß zu reduzieren. Business Continuity Planning ist ein Bestandteil des Risk Management Prozesses. Eine mögliche Definition ist der [ISO17799] zu entnehmen. Unser Ansatz liefert einen Beitrag zu fast allen Prozessschritten des BCP: 1. Verstehen der Risiken hinsichtlich deren Eintrittswahrscheinlichkeit sowie Schadensausmaß, sowie die Identifikation und Priorisierung kritischer Geschäftsprozesse 2. Verstehen der Auswirkungen potentieller Unterbrechungen auf das Geschäft 3. Formulieren und Dokumentieren einer Business Continuity Strategie, die mit den Geschäftszielen und -prioritäten einhergeht, sowie eines darauf aufbauenden Business Continuity Plans 4. Regelmäßiges Testen und Verbessern dieser Pläne sowie der entsprechenden Prozesse 5. Sicherstellen, dass das Management der Business Continuity in die Unternehmensprozesse bzw. -struktur fest eingebunden wird Das Besondere an der hier vorgestellten Vorgehensweise ist es, Kostenaspekte und Planspiele zu Kosten/Nutzensituationen technisch unterstützt durchzuführen; sie öffnet damit den El-

6 Risikomanagement entlang von Wertschöpfungsketten 5 fenbeinturm für die eigentlichen Geschäftsinteressen des Unternehmens. IT Continuity Planning ist eine Untermenge der IT-Sicherheit und befasst sich vornehmlich mit Aspekten der Verfügbarkeit. Ziel einer solchen Planung sind Maßnahmen zur Minimierung der Risiken, die sich auf die Fortführung des Geschäftsbetriebs auswirken. Hierfür werden kritische Geschäftsprozesse ermittelt, die dazu benötigten Anwendungen und Informationen bestimmt, die hierfür benötigten Systemkomponenten bestimmt, Abhängigkeiten der Systemkomponenten untersucht und Maßnahmen der Verfügbarkeit geplant. 4 Herausforderungen Bisher werden BCP, IT-Continuity Planning, Risikomanagement sowie IT- Risikomanagement relativ unabhängig voneinander betrachtet und waren nur lose mit den zentralen Geschäftsinteressen und der Wertschöpfungskette eines Unternehmens gekoppelt. Wir schlagen vor, diese zu verbinden und ein ebenenübergreifendes, integriertes Risikomanagement im Unternehmen durchzuführen. Hierzu müssen zunächst die zahlreichen Kommunikationsschwierigkeiten zwischen den verschiedenen Unternehmensebenen überwunden werden. Risiken müssen einerseits offen angesprochen werden, andererseits soll aber die Vertraulichkeit gewahrt bleiben. Gesucht sind daher passende Schnittstellen. Eine der wesentlichen Herausforderungen hierbei ist, dass alle wesentlichen Risiken erkannt werden, ernst genommen werden und eine Lösung zu deren Vermeidung, Minimierung etc. gefunden wird, ohne dass eine Partei überflüssige oder sogar geheime Geschäftsdetails preisgeben muss. Durch die Beteiligung von verantwortlichen Personen und Personengruppen unterschiedlicher Unternehmensebenen ergeben sich folgende weitere Herausforderungen: Die am RM beteiligten Personen aus unterschiedlichen Unternehmensbereichen verwenden eine unterschiedliche Terminologie, haben unterschiedliche Ziele und definieren die auf ihrer Ebene entstehenden Risiken unabhängig voneinander und ggf. inkompatibel zueinander. Risikointerdependenzen (= Abhängigkeiten zwischen Risiken) und Aggregation von Risiken müssen transparent und vergleichbar gemacht werden. In diesem Beitrag schildern wir ein Konzept für ein hierarchisches d.h. nahtlos über alle Unternehmensebenen hinweg greifendes Risikomanagement, das sich entlang der Wertschöpfungskette des Unternehmens orientiert. Zu einer möglichst effizienten Umsetzung ist bereits die Realisierung eines entsprechenden Werkzeuges durch die itwatch GmbH geplant. Wir gehen bei unseren Überlegungen davon aus, dass im Unternehmen in der IT folgende Punkte bedient werden und zeigen den Mehrwert unserer Vorgehensweise für diese Disziplinen auf: Notfall- und Katastrophenplan, Inventory, Asset Management, Netzwerkmanagement, Projektmanagement mit Risikobewertung, Risikomanagement sowie Sicherheitsmanagement. Dies wird aber bisher in Unternehmen aufgrund fehlender gemeinsamer Grundlagen bzw. Schnittstellen jedoch separat durchgeführt, und so entsteht ein Bruch zwischen Businessfunktion und IT-Funktion. Abbildung 2 fasst die Situation am Beispiel des Risikomanagements zusammen.

7 Risikomanagement Risikomanagement entlang von Wertschöpfungsketten 6 RM Risiken Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 2: Stand der Technik: separates Risikomanagement verschiedener Unternehmensebenen RM Risiken 5 Risikomanagement entlang von Wertschöpfungsketten Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 3: Innovation: Risikomanagement entlang von Wertschöpfungsketten Unser Ansatz greift bereits bei der Risikoidentifikation. Die erste Stufe der Risikoidentifikation beginnt mit der betriebsspezifischen Erfassung aller auf die Unternehmensziele wirkenden Risiken (Risiko-Brainstorming). Dabei werden im Stand der Technik quasi in einem Rundumschlag alle nur erdenklichen Risiken erfasst. Bei dieser Vorgehensweise muss damit gerechnet werden, dass ein Großteil der auf diese Weise erfassten Risiken keinen oder einen nur unwesentlichen Einfluss auf die für das Kerngeschäft relevanten Wertschöpfungsketten hat. Um die Ressourcen optimal einzusetzen, schlagen wir hier ein Verfahren vor, das sich auf solche Risiken beschränkt, die eine potentielle Gefährdung von Wertschöpfungsketten darstellen und ermöglichen es die Gefährdung technisch gestützt zu quantifizieren. Bereits ganz

8 Risikomanagement entlang von Wertschöpfungsketten 7 am Anfang des Prozesses zum Risikomanagement beschränkt sich unsere Methode daher auf das Wesentliche und erzielt somit eine effiziente Vorgehensweise (vergleiche Abbildung 3). Wir gehen dabei (entlang der Wertschöpfungskette und top-down) wie folgt vor: 1. Identifikation der für das Unternehmen wesentlichen Wertschöpfungsketten in der Unternehmensleitung. Alle anderen Business Funktionen werden im ersten Schritt nicht weiter verfolgt. Zunächst werden die relevanten Glieder der Wertschöpfungskette in der Business Landscape als Risikoknoten (RiskNode) betrachtet. Durch diese Beschränkung kann eine erhebliche Kostenreduktion erzielt werden. 2. Modellierung der RiskNodes. Für jeden dieser RiskNodes werden dann in einem nächsten Schritt u.a. folgende Daten eingetragen: - Owner mit seinen organisatorischen Angaben Adresse, Handy für SMS Alerting usw. - Soll-Verfügbarkeit = Verfügbarkeitsanforderung, z.b. 99 % Verfügbarkeit - Ist-Verfügbarkeit = geschätzter Wert oder Wert aus Monitoring-System - Plan-Verfügbarkeit = Verfügbarkeitsangabe für Planspiel jeder Plan hat einen eigenen eindeutigen Namen und kann jeweils separat von anderen Plänen nach Kosten/Nutzen verfolgt werden - Für einen eindeutig benannten Plan können an einem RiskNode modifizierte Werte eingetragen werden, welche auch die Kosten und den Nutzen dieser Modifikation quantifizieren Darüber hinaus kann später statistisch die absolute Ist-Verfügbarkeit an einem in ein RiskChart eingebundenen RiskNode (automatisch) vom System berechnet werden. 3. Es wird weiterhin für jeden RiskNode angegeben, von welchen anderen RiskNodes er abhängt und welche weiteren RiskNodes er beeinflusst. Diese Abhängigkeiten können aus einer kleinen übersichtlichen Menge von bereits vorkonfigurierten möglichen Abhängigkeiten ausgewählt werden. Es entsteht ein sogenanntes RiskChart. 4. Ist das RiskChart innerhalb einer Unternehmensebene modelliert, so kann dann für jeden RiskNode weiter spezifiziert werden, durch welches RiskChart (Teil einer Landscape) aus nachgelagerten Ebenen er hierarchisch dekomponiert wird. Man verfeinert also die Landscape einer Ebene, und eine Modulstruktur (Modulhierarchie mit Abhängigkeiten) entsteht allerdings nur für die in der Wertschöpfung wesentlichen E- lemente. Bei dieser Verfeinerung ist zu beachten, dass jedes verfeinernde RiskChart der Ebene n+1 mindestens die Verfügbarkeitsanforderung des ursprünglichen RiskNodes der Ebene n erfüllt. Auf jeder Ebene können darüber hinaus spezifische Zusatzinformationen angegeben werden. Sind die wesentlichen Wertschöpfungsketten von der Business Landscape bis zur IT- Landscape wie eben beschrieben modelliert, so gehen wir weiter wie folgt (entlang der Wertschöpfungskette und nun bottom-up) vor: 5. Auf der Ebene der IT-Landscape können für jeden RiskNode nun zusätzlich die Risiken angegeben werden, denen er möglicherweise ausgesetzt ist. Jedes Risiko wird

9 Risikomanagement entlang von Wertschöpfungsketten 8 spezifiziert durch seine Beschreibung, seine Eintrittswahrscheinlichkeit, sowie durch sein Schadensausmaß. Hierbei ist zu beachten, dass das Gesamtrisikopotential eines RiskNodes, die an ihn gestellte Verfügbarkeitsanforderung nicht unterschreiten darf. Verfolgt man nun die Auswirkungen der Risiken bottom-up bis schließlich zur Ebene der Business Landscape, so stellt man fest, dass die Verfügbarkeitsanforderungen für alle RiskNodes auf jeder Ebene auf natürliche Weise eingehalten werden. Wird bei der automatisierten bottom-up Analyse der Risiken ein Delta festgestellt, welches einen vorgegebenen Schwellwert überschreitet, kann ein automatisches Alerting (an die Mail Adresse des RiskNode-Owners) initiiert werden. Die Vorteile unserer integrierten Vorgehensweise lauten wie folgt: - Konzentration des Risikomanagements auf Wertschöpfungsbereiche mit hoher Wertigkeit (vgl. Verfügbarkeitsanforderung) - Überbrückung der Sprach-, Kommunikations- etc. Barrieren zwischen den Unternehmensebenen; aber dennoch gemeinsame Nutzung/Pflege (Wiederverwendung) von Landscapes auf verschiedenen Ebenen so kann z.b. die Policy, dass nur ein RiskNode Owner modifizierendes Recht auf seinen RiskNode hat und ein Manager nur die RiskNodes seiner Management-Ebene sehen kann bereits in einfacher Weise die Vertraulichkeitsanforderungen vieler Unternehmen erfüllen - Schrittweises (ebenenweises) Vorgehen führt zu einer inkrementellen (und mathematisch korrekten) Verfeinerung der Verfügbarkeitsanforderungen; entsprechende Berechnungstemplates existieren - Planspiele zur Simulation einer veränderten Risikosituation können per Knopfdruck automatisch durchgeführt werden - Automatische Benachrichtigungsfunktionen (Alerting) für alle Unternehmensebenen im Falle riskanter Verfügbarkeitsschwankungen können etabliert werden - Top-down Propagierung der Verfügbarkeitsanforderungen kann (formal) der Bottom-up Propagierung der Risiken gegenübergestellt werden - Die Arbeitsgruppe zur Verbesserung der Verfügbarkeit eines Business Services kann direkt durch die RiskNode-Owner zusammengestellt werden 5.1 RiskNodes Es werden z.b. diejenigen Komponenten der technischen, informationstechnischen und baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen (ebenfalls als RiskNodes modelliert) und zentralen Funktionen abhängig ist. Diese Art der Modulbildung kann bzgl. der Informationstechnologie (IT) auf jeder Unternehmensebene getroffen werden, also insbesondere auf Ebene der Geschäftsprozesse, der IT-Services sowie der Ressourcen. Bei diesen Komponenten kann es sich beispielsweise um die Steuerung eines Produktionsabschnittes, einen Webserver, einen Datenbankserver, den Hauptverteiler der Telekommunikation, die Stromeinspeisung, ein automatisiertes

10 Risikomanagement entlang von Wertschöpfungsketten 9 Kleinteilelager, einen Tresorraum und vieles andere mehr handeln. Zu klären ist weiterhin, welche Interdependenzen zwischen diesen Modulen der Infrastruktur bestehen und welche Schadensszenarien daraus abgeleitet werden können. Beispiele von RiskNodes auf verschiedenen Unternehmensebenen sind: - Business Landscape: Kreditvergabe Geschäftskunden, Inkasso, usw. - Service Landscape: E-Banking, Applikation Girokontenbewegungen etc. - Information Landscape: Kundendaten - IT Landscape: Datenbankserver, Applikationsserver, Webserver usw. Für jeden RiskNode können neben seinem Namen und einer kurzen Beschreibung auch Werte für seine Soll-, Ist- und Plan-Verfügbarkeit und weitere strukturierte Zusatzinformationen (Owner, Nutzen, Kosten usw.) angegeben werden (siehe Abbildung 4): SOLL-Verfügbarkeit IST-Verfügbarkeit PLAN-Verfügbarkeit RiskNode (Modul) M i V i,soll V i,ist V i,plan + ggf. Zusatzinformationen Abb. 4: Die grafische Darstellung eines RiskNodes - Soll-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht werden soll. Dies stellt eine Verfügbarkeitsanforderung dar, welche im Wesentlichen top-down vererbt wird. - Ist-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht wird, ggf. nochmals unterteilt in einen vom Hersteller genannten oder geschätzten Wert und einen durch Monitoring oder statistisch errechneten Wert fällt eine Hardware aus, so kann die Ist-Verfügbarkeit auf 0 gesetzt werden und die Neuberechnung der daraus resultierenden abhängigen Verfügbarkeiten zu einem automatischen Alerting führen. - Plan-Verfügbarkeit: ein oder mehrere theoretisch angenommene oder bottom-up berechnete Verfügbarkeitswerte zur Verwendung in Planspielen. - Zusatzinformation: Beschreibung des RiskNodes in Abhängigkeit von der Unternehmensebene zu der er gehört. Trotz der einheitlichen Darstellungsweise finden sich alle Verantwortlichen in ihrer Sprachwelt wieder. Abbildung 5 zeigt als Beispiel eines einfachen RiskNodes einen Druckservice mit einer Ist-Verfügbarkeit von 90%. Weitere Informationen wurden hier (noch) nicht eingetragen. Druckservice V i,soll V i,ist = 0,9 V i,plan Tel: +49 (0) SioS GmbH, München

11 Risikomanagement entlang von Wertschöpfungsketten 10 Abb. 5: Beispiel (RiskNode): Druckservice 5.2 RiskCharts: mathematische Grundlagen Ein RiskChart beschreibt die Abhängigkeiten zwischen RiskNodes und kann mathematisch als gerichteter Graph G=(V,E) modelliert werden, der die Abhängigkeiten verschiedener RiskNodes untereinander formal beschreibt, wobei V die disjunkte Vereinigung der Menge der RiskNodes V 1 und der Menge der Verknüpfungssymbole/-operatoren V 2 = {, } darstellt. Zwei Knoten i und j aus V sind durch eine Kante (i,j) E verbunden genau dann wenn der RiskNode j vom RiskNode i abhängig ist oder einer der beiden Knoten ein Verknüpfungssymbol darstellt. Seriell: M i V i M j V j M i Parallel- V i M k M j V j Beispi el: Performanc ecluster V k M i Parallel- V i M k M j V j Beispi el: Verfügbarkei tscluster V k Abb. 6: Die grafische Darstellung der Verknüpfungsoperatoren bzw. Abhängigkeiten Um RiskNodes zu RiskCharts zu komponieren, gibt es folgende Möglichkeiten (vergleiche auch Abbildung 6): - Die serielle Komposition: Abhängigkeit des Knotens vom Vorgängerknoten (z.b. ebrokerage von Berechnung des aktuellen DAX in Echtzeit) - Die parallele -Verknüpfung: Gleichzeitige Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. Printserver von Datenbank- und Applikationsserver) - Die parallele -Verknüpfung: Alternative Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. redundanter Cold/Hot-Standby) Als Beispiel wollen wir den Druckservice (Service Landscape) aus Abbildung 5 aufgreifen und untersuchen, wie er auf der Ebene der IT-Landscape modelliert werden könnte (siehe Abbildung 7):

12 Risikomanagement entlang von Wertschöpfungsketten 11 Druckservice (mit einzelnen IST-Verfügbarkeiten) DB-Server Strom- Versorg. 97 % DB-Server (Hot-Standby) Druckserver Absolute IST- Verfügbarkeit: 99 % 97 % 94 %??? % Applikationss. 95 % Abb. 7: Beispiel (RiskChart): Druckservice Bei dieser Art von hierarchischer Dekomposition kann ein RiskChart auch als neues Modul und damit wieder als RiskNode einer höheren Ebene betrachtet werden. Hier drängt sich folgende Fragestellung auf: Kann die ursprünglich (vergleiche Abbildung 5) geforderte Ist-Verfügbarkeit des Druckservice von 90% von diesem RiskChart erreicht werden? Um diese Frage zu lösen, müssen folgende Überlegungen angestellt werden. Bisher wurden für jeden RiskNode Werte für Soll-, Ist- und Plan-Verfügbarkeit angegeben, dabei wurde der RiskNode isoliert betrachtet. Mathematisch gesehen hat man hierbei lediglich zunächst bedingte Verfügbarkeiten angegeben. Da ein RiskChart eine Komposition vieler RiskNodes zu einem Netzplan (voneinander abhängiger RiskNodes) darstellt, können analog absoluter Wahrscheinlichkeiten die (absoluten) Verfügbarkeiten an jedem Punkt des Netzes berechnet werden. Hierzu geben wir von der Kompositionsart abhängige Formel-Templates zur Berechnung der tatsächlichen, d.h. absoluten Verfügbarkeit P V (M j ) eines RiskNodes M j an (siehe Abbildung 8): M i V i M j V j Seriell: P V (M j) = P V (M i ) V j M i V i M k Parallel, -Verknüpfung: M j V j Beispiel: Performancecluster V k P V (M k ) = P V (M i ) P V (M j ) V k M i V i M j V j Beispiel: Verfügbarkeitscluster M k V k Parallel, -Verknüpfung: P V (M k ) = (1 (1 P V (M i )) (1 P V ( M j ))) V k Abb. 8: Formel-Templates zur Berechnung der absoluten Verfügbarkeit

13 Risikomanagement entlang von Wertschöpfungsketten 12 Damit können wir nun die obige Fragestellung wie folgt lösen bzw. berechnen (siehe Abbildung 9): DB-Server 97,02 % 99 % Strom- 99 % Versorg. 99 % 98 % DB-Server (Hot-Standby) 97 % 96,03 % 99,88 % Druckserver 93,94 % 94 % 88,30% 99 % Applikationsserver 94,05 % 95 % IST-Verfügbarkeit des Applikationsservers ohne Umgebungsbetrachtung Errechnete IST-Verfügbarkeit aller benötigten Services bis zu dieser Stelle Abb. 9: Beispiel: absolute bzw. tatsächliche Verfügbarkeit des Druckservice Mit Hilfe des eben skizzierten Beispiels wird klar, dass ein mathematisch fundierter, aber dennoch leicht verständlicher top-down Verfeinerungsbegriff entwickelt werden muss, der sicherstellt, dass der Druckservice auf der Ebene der IT Landscape mindestens die selben Verfügbarkeitswerte für die Soll-/Ist-/Plan-Verfügbarkeiten erreichen muss, wie sein Pendant auf der nächsthöheren Unternehmensebene, nämlich der Ebene der Service Landscape. 5.3 Verfeinerung von RiskNodes zu RiskCharts Ein RiskChart G = (V, E) verfeinert einen RiskNode M j genau dann wenn gilt: P V (M f ) P V (M j ) wobei f V den finalen RiskNode in G darstellt. Ein finaler Knoten ist eine Senke, also ein Knoten ohne Nachfolger. Es ist sicherzustellen, dass in jedem RiskChart genau ein solcher Knoten existiert, der gegebenenfalls künstlich erzeugt werden muss. Umgangsprachlich formuliert bedeutet obiges Prädikat, dass die absolute Verfügbarkeit des verfeinerten RiskCharts G jederzeit mindestens die ursprünglich spezifizierte Verfügbarkeit des RiskNodes M j erreichen muss. Erreicht sie diesen Wert, wird von einer korrekten Verfeinerung gesprochen. Erreicht sie diesen Wert nicht, so ist ein einfacher Indikator gefunden, der Handlungsbedarf signalisiert. Das RiskChart in Abbildung 9 wäre also nur dann eine korrekte Verfeinerung des ursprünglichen RiskNodes aus Abbildung 5, falls für den Druckservice lediglich eine Ist-Verfügbarkeit von 88,3% oder weniger spezifiziert gewesen wäre.

14 Risikomanagement entlang von Wertschöpfungsketten 13 Dieser Verfeinerungsbegriff besitzt die beiden wesentlichen Eigenschaften der (a) Kompositionalität und (b) Transitivität. Sie stellen sicher, dass (a) eine lokale Verfeinerung ebenfalls global betrachtet eine Verfeinerung der gesamten Risikolandschaft darstellt und (b) eine schrittweise Anwendung vieler Verfeinerungsschritte über viele Unternehmensebenen hinweg möglich ist. Die schrittweise Verfeinerung liefert als Resultat eine Hierarchie von RiskCharts, welche die Verfügbarkeit jeder Unternehmensebene widerspiegelt (siehe Abbildung 10). Ebene 1 Ebene 2 wird verfeinert zu Ebene 3 wird verfeinert zu 5.4 Planspiele Abb. 10: Verfeinerung über mehrere Unternehmensebenen hinweg Auf Basis des eben gewonnenen Verfeinerungsbegriffs können nun ebenenübergreifende Planspiele zur Risikoanalyse durchgeführt werden. Da die Beziehungen nicht nur zwischen RiskNodes einer Ebene, sondern auch und gerade zwischen unterschiedlichen (Verfeinerungs-/Unternehmens-) Ebenen angegeben wurden, sind Simulationen von ebenenüberspannenden Auswirkungen leicht möglich. Beispielsweise könnte folgendes Planspiel durchgeführt werden. Angenommen, die Verfügbarkeit des RiskNodes Applikationsserver in Abbildung 9 könnte durch eine Investition von Euro von 95% auf 99,5% erhöht werden. Es stellt sich nun die Frage, wie groß der Einfluss dieser Verbesserung auf den Druckservice ist? Wird mehr als eine Verbesserung durchgeführt, so wird sowohl der Gesamteinfluss bewertet, als auch die Kosten der Gesamtinvestition summiert. Im Allgemeinen kann die Auswirkung einer Verbesserung im Rahmen eines Planspiels sowohl auf die höheren, als auch die tieferen Unternehmensebenen automatisch berechnet werden.

15 Risikomanagement entlang von Wertschöpfungsketten Automatisches Alerting Ein Werkzeug zur Umsetzung unserer Vorgehensweise ist derzeit geplant. Dieses Werkzeug soll flexible Schnittstellen erhalten, die es ermöglichen, Daten aus einem Monitoring-System zu verarbeiten. So können beispielsweise im Falle eines Totalausfalls eines Servers nicht nur wie im aktuellen Stand der Technik die direkt für den Server verantwortlichen Personen benachrichtigt werden, sondern auf Wunsch kann auch ein automatisches Alerting aller Betroffenen auf allen Unternehmensebenen angestoßen werden. Dies kann zum Beispiel in Form einer automatisch generierten an diesen Personenkreis geschehen. 6 Zusammenfassung und Ausblick In diesem Beitrag haben wir gezeigt, wie die Analyse von Verfügbarkeiten und deren Abhängigkeiten innerhalb einer Unternehmensebene mit Hilfe von RiskCharts möglich ist. Weiterhin haben wir einen mathematisch korrekten und zugleich leicht verständlichen Verfeinerungsbegriff definiert. Die Verfeinerung von RiskNodes einer Ebene führt zu einem RiskChart der nächsten Ebene. Risikomanagement entlang von Wertschöpfungsketten wird auf diese Weise möglich und Kommunikationsbarrieren zwischen den Ebenen entfallen. Business Continuity wird schließlich nicht nur möglich, sondern auch planbar. Durch unseren Ansatz ergeben sich folgende Vorteile: - Risikoaggregationen und -interdependenzen werden sichtbar und dadurch verfolgbar und steuerbar. - Das Risiko-Verständnis von Managern und Spezialisten aller Unternehmensebenen wird vereinheitlicht. Risikokausalitäten werden transparent. - Planspiele und automatische Risikowarnungen sind möglich. - Sowohl top-down als auch bottom-up Analysen der Risikolandschaft wird möglich: top-down von der Unternehmensleitung zu den Spezialisten und bottom-up zur direkten Rückkopplung des aktuellen Standes an das Business Management ohne Nachfragen bei Spezialisten. Dadurch wird eine umfassende Analyse des gesamten Risikopotentials gewährleistet. Das formale Modell bildet die Basis für einen Werkzeugeinsatz. Der Ansatz ist einsetzbar für alle Phasen des Risikomanagements, also das strategische und operative Risikomanagement, die Risikoanalyse (Risikoidentifikation; Risikobewertung) sowie die Risikokontrolle und Risikosteuerung. Uninteressante Pfade im RiskNode können abgeschnitten werden und Schieflagen in der Wahrnehmung der Wichtigkeit von Geschäfts-(teil-)Prozessen werden aufgezeigt und können gelöst werden In Zukunft wollen wir auch RiskNodes mit zeitabhängigen Verfügbarkeitswerten betrachten. So kann dem Umstand Rechnung getragen werden, dass Verfügbarkeiten meist jahres- oder tagesabhängig schwanken können. Hier können saisonale Schwanken wie z.b. Hochwassergefahr genauso modelliert werden wie die Unterschiede zwischen 5 8- und Verfügbarkeiten. Darüber hinaus kann das Verfahren von der Verfügbarkeit der IT auf die Themenkomplexe

16 Risikomanagement entlang von Wertschöpfungsketten 15 Verfügbarkeit von Skills bzw. Know-how bzw. Personal sowie Vertraulichkeit und Integrität der IT erweitert werden. Literatur [ISO17799] Internationaler Standard ISO/IEC17799:2000(E): Information technology code of practice for information security management, erste Ausgabe, Dezember [Kon98] Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Bundesgesetzblatt, Teil I (G5702), Nummer 24, Bonn, 30. April [Rom00] Frank Romeike: IT-Risiken und Grenzen traditioneller Risikofinanzierungsprodukte in: Zeitschrift für Versicherungswesen, Jahrgang 51, Heft 17 vom 1. September 2000, Seiten [Tra02] Transparenz- und Publizitätsgesetz (TransPuG) Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität, Bundesgesetzblatt Teil I, Nummer 50, Seiten 2681 ff., Berlin, 25. Juli 2002.