GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit"

Transkript

1 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz Dorfstraße München Tel. 089 / Fax 089 / mailto:

2 Risikomanagement entlang von Wertschöpfungsketten 1 Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Peter Scholz Ramon Mörl Zusammenfassung In diesem Beitrag wird eine schrittweise Vorgehensweise zum Management von Risiken auf verschiedenen Unternehmensebenen beschrieben und die Schnittstellenproblematik konstruktiv gelöst. Hierbei werden die relevanten Risikobereiche und deren Abhängigkeiten untereinander auf jeder Ebene (beginnend auf der Ebene der Business Landscape) spezifisch erfasst und ebenenübergreifend konsistent aufeinander abgestimmt. Betrachtete Unternehmensebenen entlang der Wertschöpfungskette sind: Business Landscape, Service Landscape, Information Landscape und IT Landscape. Möglicherweise bestehende Kommunikations- u.a. Barrieren zwischen diesen Ebenen können mit diesem Ansatz leicht überwunden werden. Bereits bestehende Informationsquellen wie Inventory und Asset Management oder Informationen aus dem Risikomanagement können dabei in das Verfahren mit einfließen. Das Verfahren ist formal fundiert und stellt daher eine Basis für Planspiele sowie Simulationen dar und eignet sich zum Einsatz in einem Werkzeug, dessen Entwicklung bereits in Planung ist. 1 Motivation und Einleitung Für alle Wirtschaftsjahre, die nach dem 31. Dezember 1998 begonnen haben findet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG [Kon98], Anwendung. Es verpflichtet Vorstände bzw. Geschäftsführer von Aktiengesellschaften bzw. Gesellschaften mit beschränkter Haftung gleichermaßen wie Chefs von Firmen anderer Gesellschaftsformen mit mehr als 50 Mitarbeitern, einem Umsatz von mehr als 6,87 Millionen Euro sowie einer Bilanzsumme von nicht weniger als 3,45 Millionen Euro: (a) ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten und (b) einen Lagebericht zu Risiken der künftigen Geschäftsentwicklung zu erstellen ( 289 HGB). Beides wird von unabhängigen Wirtschaftsprüfern in Form der Jahresabschlussprüfung evaluiert. Vor allem der letzte Punkt ist ohne ein Risikomanagementsystem nicht erfüllbar. Wird diesen Anforderungen nicht nachgekommen, so muss mit dem Versagen des Bestätigungsvermerks durch den Wirtschaftsprüfer gerechnet werden, was zur Folge hat, dass Gewinnausschüttungen oder Kreditaufnahmen bei Banken unmöglich werden und Vorstände bzw. Geschäftsführer ggf. zur persönlichen Haftung herangezogen werden. Zur Umsetzung der Bestimmungen des KonTraG empfiehlt sich die Anwendung des folgen-

3 Risikomanagement entlang von Wertschöpfungsketten 2 den Phasenmodells: 1. Bestimmung der Beobachtungsbereiche: Identifikation der Beobachtungsbereiche innerhalb und außerhalb des Unternehmens 2. Risikoanalyse: Identifikation und Bewertung strategischer Risiken sowie der Geschäftsprozessrisiken etc. Ergebnisse sind Risikokatalog, Risikoinventar und Risikoportfolio 3. Risikoaggregation: Redundanzermittlung, Korrelationsableitung, Risikosystematisierung, Diskussion, Simulation etc. 4. Risikobewältigung: Identifikation und Bewertung bisheriger Maßnahmen, Erarbeitung von Handlungsalternativen usw. 5. Systemarchitektur: Konzeption eines Risikoerfassungs- und -überwachungssystems, Festlegung der Risikopolitik/-kommunikation 6. Systemgestaltung und -implementierung: Entwicklung eines DV-gestützten Risikomanagementsystems unter Beachtung der Systemeigenschaften Flexibilität, Plattformunabhängigkeit, Verfügbarkeit und Offenheit Damit wird klar, dass für die erfolgreiche Umsetzung der Anforderungen des KonTraG ein zielführendes Risikomanagement eine zentrale Rolle einnimmt. 2 Stand der Technik: Risiko und Risikomanagement Ein Risiko ist das potentielle Auftreten eines unerwünschten Ereignisses und dessen Einfluss auf den Erfolg eines Vorhabens im Falle des Auftretens dieses Ereignisses. Für jedes Risiko kann die Ereigniswahrscheinlichkeit und die Schadenshöhe angegeben werden. Häufig quantifiziert man das Risiko selbst als mathematisches Produkt dieser beiden Größen. Risikomanagement ist eine vorbeugende Maßnahme die darauf abzielt, Gefahren rechtzeitig abzuschätzen, um entsprechende Vorkehrungen zur Vermeidung oder Minimierung der erkannten Gefahren zu treffen. Aufgabe des Risikomanagements ist es daher Methoden und Werkzeuge bereitzustellen, die dabei helfen Risiken zu erkennen, zu analysieren und zu minimieren bzw. auszuschließen. Schon durch konsequente, frühe und detaillierte Dokumentation der Komponenten einer IT Landschaft sowie deren Abhängigkeiten untereinander lassen sich Risiken proaktiv erkennen. Proaktives Risikomanagement ist daher von zentraler und ständig wachsender Bedeutung für ein Unternehmen. Hierbei wird im Wesentlichen zwischen strategischen und operativen Risikomanagement unterschieden. Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse des Unternehmens und der Geschäftsabläufe. Es kann in die folgenden drei aufeinanderfolgenden Schritte unterteilt werden [Rom00]: 1. Risikoidentifikation 2. Risikoanalyse/-bewertung 3. Risikosteuerung/-kontrolle Hierbei besteht vor allem im Bereich der Risikoanalyse Verbesserungsbedarf. Meist geschieht eine Quantifizierung eines Risikos lediglich hinsichtlich seines Erwartungswert. Ist eine

4 Risikomanagement entlang von Wertschöpfungsketten 3 Quantifizierung nicht möglich, so wird das Risiko rein qualitativ bewertet (z.b. hoch, mittel, gering, unbedeutend). Ziel der Risikoidentifikation und -bewertung (= Risikoanalyse) ist die Erstellung eines Risikoinventars bzw. einer Risk Map oder Risikomatrix. Neben den Einzelrisiken wird in einer Risikomatrix auch die individuelle Akzeptanzlinie abgebildet, d.h. ab welchem Schwellenwert ein Handlungsbedarf ausgelöst wird (siehe auch Abbildung 1). Bei der Ermittlung der Gesamtrisikolage müssen aber auch die Risikointerdependenzen berücksichtigt und aggregiert werden; dies wird jedoch meist vernachlässigt. Insbesondere bei den modernen Produktionsmethoden (Just-in-time, Single-Sourcing etc.) gewinnt die Aggregation der Einzelrisiken an Bedeutung. Eintrittswahrscheinlichkeit (Schadenswahrscheinlichkeit) gering mittel hoch z.b. 67 % z.b. 33 % R1 R5 R2 Risikoschwelle (gem. Erwartungswert) R4 R3 z.b. 10 Mio Euro z.b. 50 Mio Euro R6 Rn Spezifisches Risiko gering mittel katastrophal Ergebniseffekt (Schadenausmaß) Abb. 1: Stand der Technik: Bewertung eines Risikos anhand einer Risikomatrix Eine Risikomatrix erkennt aber keine Abhängigkeiten zwischen Risiken; wichtige Informationen für das Continuity Planning gehen verloren. Undokumentierte Abhängigkeiten innerhalb einer IT-Landschaft führen jedoch zu unkalkulierbaren Risiken. Business Services hängen teilweise von einer Vielzahl an Applikationen, Datenbanken, Servern, Hosts und Netzwerken ab. Einige von diesen werden sogar von externen Firmen wie etwa Internet Service Providern kontrolliert. Sowohl für Business Owner als auch für IT-Manager wird in diesem komplexen Umfeld die Handhabung zunehmend schwieriger. Die zunehmende Zahl von Verantwortlichen auf den unterschiedlichen Unternehmensebenen stellt eine weitere Problematik dar. Außerdem fehlt bisher eine schlanke konstruktive gemeinsame Sprachschnittstelle zwischen IT- Manager und Business Owner. 3 Business Continuity Planning Aktives und passives Risikomanagement in der IT wird derzeit schon von vielen Unternehmen umgesetzt. Wichtige Motivationsfaktoren für die Einführung eines IT- Risikomanagements im Unternehmen stellen, wie bereits oben diskutiert, sowohl rechtliche

5 Risikomanagement entlang von Wertschöpfungsketten 4 Rahmenbedingungen wie Basel II, KonTraG [Kon98], TransPuG [Tra02] als auch ureigenste Interessen des Managements selbst (z.b. persönliche Haftung) dar. IT-Risikomanagement wird derzeit hauptsächlich von IT-Spezialisten ausgeführt und orientiert sich daher zu stark auf IT-Elemente und zuwenig auf Business Services und die Wertschöpfung. Manager orientieren sich andererseits bei ihren Investitionen entlang der Wertschöpfungskette des Unternehmens. Business Continuity Planning (BCP) und Risikomanagement werden deshalb derzeit in Unternehmen auf verschiedenen Ebenen unabhängig voneinander betrachtet. Diese Ebenen sind hinsichtlich der IT beispielsweise: 1. Business Landscape: Die Unternehmensleitung spezifiziert ihre Anforderungen an die Business Services entlang der Wertschöpfungskette des Unternehmens. 2. Service Landscape: Das Business Management spezifiziert als Owner eines Business Services seine Anforderungen bzgl. Verfügbarkeit an seinen Business Service. 3. Information Landscape: das IT-Management spezifiziert seine Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Services bzw. IT-Applikationen. 4. IT-Landscape: IT-Spezialisten spezifizieren ihre Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Systeme bzw. IT-Ressourcen, wie beispielsweise Rechnersysteme, Netze, Netzknoten und Infrastruktur. 5. IT-Dienstleister im Falle von IT-Outsourcing: Benötigt klare Schnittstellen für die Service Level Agreements (SLA). Präventiv wirkende Sicherheitsmaßnahmen, ergänzt durch den Abschluss von Versicherungen, sind keine ausreichende Vorsorge gegen Schadensereignisse mit katastrophalen Folgewirkungen (K-Fälle). Die Unterbrechung oder der Ausfall von kritischen Geschäftsprozessen und zentralen Funktionen kann gravierende Auswirkungen haben (Primär- und Sekundärschäden), von Umsatzeinbußen über den Verlust von Marktanteilen bis hin zur Existenzgefährdung. Durch Business Continuity Planning werden die Folgeschäden und Restrisiken einem definierten planbaren Prozess unterworfen, mit dem Ziel sie auf ein tragbares Maß zu reduzieren. Business Continuity Planning ist ein Bestandteil des Risk Management Prozesses. Eine mögliche Definition ist der [ISO17799] zu entnehmen. Unser Ansatz liefert einen Beitrag zu fast allen Prozessschritten des BCP: 1. Verstehen der Risiken hinsichtlich deren Eintrittswahrscheinlichkeit sowie Schadensausmaß, sowie die Identifikation und Priorisierung kritischer Geschäftsprozesse 2. Verstehen der Auswirkungen potentieller Unterbrechungen auf das Geschäft 3. Formulieren und Dokumentieren einer Business Continuity Strategie, die mit den Geschäftszielen und -prioritäten einhergeht, sowie eines darauf aufbauenden Business Continuity Plans 4. Regelmäßiges Testen und Verbessern dieser Pläne sowie der entsprechenden Prozesse 5. Sicherstellen, dass das Management der Business Continuity in die Unternehmensprozesse bzw. -struktur fest eingebunden wird Das Besondere an der hier vorgestellten Vorgehensweise ist es, Kostenaspekte und Planspiele zu Kosten/Nutzensituationen technisch unterstützt durchzuführen; sie öffnet damit den El-

6 Risikomanagement entlang von Wertschöpfungsketten 5 fenbeinturm für die eigentlichen Geschäftsinteressen des Unternehmens. IT Continuity Planning ist eine Untermenge der IT-Sicherheit und befasst sich vornehmlich mit Aspekten der Verfügbarkeit. Ziel einer solchen Planung sind Maßnahmen zur Minimierung der Risiken, die sich auf die Fortführung des Geschäftsbetriebs auswirken. Hierfür werden kritische Geschäftsprozesse ermittelt, die dazu benötigten Anwendungen und Informationen bestimmt, die hierfür benötigten Systemkomponenten bestimmt, Abhängigkeiten der Systemkomponenten untersucht und Maßnahmen der Verfügbarkeit geplant. 4 Herausforderungen Bisher werden BCP, IT-Continuity Planning, Risikomanagement sowie IT- Risikomanagement relativ unabhängig voneinander betrachtet und waren nur lose mit den zentralen Geschäftsinteressen und der Wertschöpfungskette eines Unternehmens gekoppelt. Wir schlagen vor, diese zu verbinden und ein ebenenübergreifendes, integriertes Risikomanagement im Unternehmen durchzuführen. Hierzu müssen zunächst die zahlreichen Kommunikationsschwierigkeiten zwischen den verschiedenen Unternehmensebenen überwunden werden. Risiken müssen einerseits offen angesprochen werden, andererseits soll aber die Vertraulichkeit gewahrt bleiben. Gesucht sind daher passende Schnittstellen. Eine der wesentlichen Herausforderungen hierbei ist, dass alle wesentlichen Risiken erkannt werden, ernst genommen werden und eine Lösung zu deren Vermeidung, Minimierung etc. gefunden wird, ohne dass eine Partei überflüssige oder sogar geheime Geschäftsdetails preisgeben muss. Durch die Beteiligung von verantwortlichen Personen und Personengruppen unterschiedlicher Unternehmensebenen ergeben sich folgende weitere Herausforderungen: Die am RM beteiligten Personen aus unterschiedlichen Unternehmensbereichen verwenden eine unterschiedliche Terminologie, haben unterschiedliche Ziele und definieren die auf ihrer Ebene entstehenden Risiken unabhängig voneinander und ggf. inkompatibel zueinander. Risikointerdependenzen (= Abhängigkeiten zwischen Risiken) und Aggregation von Risiken müssen transparent und vergleichbar gemacht werden. In diesem Beitrag schildern wir ein Konzept für ein hierarchisches d.h. nahtlos über alle Unternehmensebenen hinweg greifendes Risikomanagement, das sich entlang der Wertschöpfungskette des Unternehmens orientiert. Zu einer möglichst effizienten Umsetzung ist bereits die Realisierung eines entsprechenden Werkzeuges durch die itwatch GmbH geplant. Wir gehen bei unseren Überlegungen davon aus, dass im Unternehmen in der IT folgende Punkte bedient werden und zeigen den Mehrwert unserer Vorgehensweise für diese Disziplinen auf: Notfall- und Katastrophenplan, Inventory, Asset Management, Netzwerkmanagement, Projektmanagement mit Risikobewertung, Risikomanagement sowie Sicherheitsmanagement. Dies wird aber bisher in Unternehmen aufgrund fehlender gemeinsamer Grundlagen bzw. Schnittstellen jedoch separat durchgeführt, und so entsteht ein Bruch zwischen Businessfunktion und IT-Funktion. Abbildung 2 fasst die Situation am Beispiel des Risikomanagements zusammen.

7 Risikomanagement Risikomanagement entlang von Wertschöpfungsketten 6 RM Risiken Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 2: Stand der Technik: separates Risikomanagement verschiedener Unternehmensebenen RM Risiken 5 Risikomanagement entlang von Wertschöpfungsketten Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 3: Innovation: Risikomanagement entlang von Wertschöpfungsketten Unser Ansatz greift bereits bei der Risikoidentifikation. Die erste Stufe der Risikoidentifikation beginnt mit der betriebsspezifischen Erfassung aller auf die Unternehmensziele wirkenden Risiken (Risiko-Brainstorming). Dabei werden im Stand der Technik quasi in einem Rundumschlag alle nur erdenklichen Risiken erfasst. Bei dieser Vorgehensweise muss damit gerechnet werden, dass ein Großteil der auf diese Weise erfassten Risiken keinen oder einen nur unwesentlichen Einfluss auf die für das Kerngeschäft relevanten Wertschöpfungsketten hat. Um die Ressourcen optimal einzusetzen, schlagen wir hier ein Verfahren vor, das sich auf solche Risiken beschränkt, die eine potentielle Gefährdung von Wertschöpfungsketten darstellen und ermöglichen es die Gefährdung technisch gestützt zu quantifizieren. Bereits ganz

8 Risikomanagement entlang von Wertschöpfungsketten 7 am Anfang des Prozesses zum Risikomanagement beschränkt sich unsere Methode daher auf das Wesentliche und erzielt somit eine effiziente Vorgehensweise (vergleiche Abbildung 3). Wir gehen dabei (entlang der Wertschöpfungskette und top-down) wie folgt vor: 1. Identifikation der für das Unternehmen wesentlichen Wertschöpfungsketten in der Unternehmensleitung. Alle anderen Business Funktionen werden im ersten Schritt nicht weiter verfolgt. Zunächst werden die relevanten Glieder der Wertschöpfungskette in der Business Landscape als Risikoknoten (RiskNode) betrachtet. Durch diese Beschränkung kann eine erhebliche Kostenreduktion erzielt werden. 2. Modellierung der RiskNodes. Für jeden dieser RiskNodes werden dann in einem nächsten Schritt u.a. folgende Daten eingetragen: - Owner mit seinen organisatorischen Angaben Adresse, Handy für SMS Alerting usw. - Soll-Verfügbarkeit = Verfügbarkeitsanforderung, z.b. 99 % Verfügbarkeit - Ist-Verfügbarkeit = geschätzter Wert oder Wert aus Monitoring-System - Plan-Verfügbarkeit = Verfügbarkeitsangabe für Planspiel jeder Plan hat einen eigenen eindeutigen Namen und kann jeweils separat von anderen Plänen nach Kosten/Nutzen verfolgt werden - Für einen eindeutig benannten Plan können an einem RiskNode modifizierte Werte eingetragen werden, welche auch die Kosten und den Nutzen dieser Modifikation quantifizieren Darüber hinaus kann später statistisch die absolute Ist-Verfügbarkeit an einem in ein RiskChart eingebundenen RiskNode (automatisch) vom System berechnet werden. 3. Es wird weiterhin für jeden RiskNode angegeben, von welchen anderen RiskNodes er abhängt und welche weiteren RiskNodes er beeinflusst. Diese Abhängigkeiten können aus einer kleinen übersichtlichen Menge von bereits vorkonfigurierten möglichen Abhängigkeiten ausgewählt werden. Es entsteht ein sogenanntes RiskChart. 4. Ist das RiskChart innerhalb einer Unternehmensebene modelliert, so kann dann für jeden RiskNode weiter spezifiziert werden, durch welches RiskChart (Teil einer Landscape) aus nachgelagerten Ebenen er hierarchisch dekomponiert wird. Man verfeinert also die Landscape einer Ebene, und eine Modulstruktur (Modulhierarchie mit Abhängigkeiten) entsteht allerdings nur für die in der Wertschöpfung wesentlichen E- lemente. Bei dieser Verfeinerung ist zu beachten, dass jedes verfeinernde RiskChart der Ebene n+1 mindestens die Verfügbarkeitsanforderung des ursprünglichen RiskNodes der Ebene n erfüllt. Auf jeder Ebene können darüber hinaus spezifische Zusatzinformationen angegeben werden. Sind die wesentlichen Wertschöpfungsketten von der Business Landscape bis zur IT- Landscape wie eben beschrieben modelliert, so gehen wir weiter wie folgt (entlang der Wertschöpfungskette und nun bottom-up) vor: 5. Auf der Ebene der IT-Landscape können für jeden RiskNode nun zusätzlich die Risiken angegeben werden, denen er möglicherweise ausgesetzt ist. Jedes Risiko wird

9 Risikomanagement entlang von Wertschöpfungsketten 8 spezifiziert durch seine Beschreibung, seine Eintrittswahrscheinlichkeit, sowie durch sein Schadensausmaß. Hierbei ist zu beachten, dass das Gesamtrisikopotential eines RiskNodes, die an ihn gestellte Verfügbarkeitsanforderung nicht unterschreiten darf. Verfolgt man nun die Auswirkungen der Risiken bottom-up bis schließlich zur Ebene der Business Landscape, so stellt man fest, dass die Verfügbarkeitsanforderungen für alle RiskNodes auf jeder Ebene auf natürliche Weise eingehalten werden. Wird bei der automatisierten bottom-up Analyse der Risiken ein Delta festgestellt, welches einen vorgegebenen Schwellwert überschreitet, kann ein automatisches Alerting (an die Mail Adresse des RiskNode-Owners) initiiert werden. Die Vorteile unserer integrierten Vorgehensweise lauten wie folgt: - Konzentration des Risikomanagements auf Wertschöpfungsbereiche mit hoher Wertigkeit (vgl. Verfügbarkeitsanforderung) - Überbrückung der Sprach-, Kommunikations- etc. Barrieren zwischen den Unternehmensebenen; aber dennoch gemeinsame Nutzung/Pflege (Wiederverwendung) von Landscapes auf verschiedenen Ebenen so kann z.b. die Policy, dass nur ein RiskNode Owner modifizierendes Recht auf seinen RiskNode hat und ein Manager nur die RiskNodes seiner Management-Ebene sehen kann bereits in einfacher Weise die Vertraulichkeitsanforderungen vieler Unternehmen erfüllen - Schrittweises (ebenenweises) Vorgehen führt zu einer inkrementellen (und mathematisch korrekten) Verfeinerung der Verfügbarkeitsanforderungen; entsprechende Berechnungstemplates existieren - Planspiele zur Simulation einer veränderten Risikosituation können per Knopfdruck automatisch durchgeführt werden - Automatische Benachrichtigungsfunktionen (Alerting) für alle Unternehmensebenen im Falle riskanter Verfügbarkeitsschwankungen können etabliert werden - Top-down Propagierung der Verfügbarkeitsanforderungen kann (formal) der Bottom-up Propagierung der Risiken gegenübergestellt werden - Die Arbeitsgruppe zur Verbesserung der Verfügbarkeit eines Business Services kann direkt durch die RiskNode-Owner zusammengestellt werden 5.1 RiskNodes Es werden z.b. diejenigen Komponenten der technischen, informationstechnischen und baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen (ebenfalls als RiskNodes modelliert) und zentralen Funktionen abhängig ist. Diese Art der Modulbildung kann bzgl. der Informationstechnologie (IT) auf jeder Unternehmensebene getroffen werden, also insbesondere auf Ebene der Geschäftsprozesse, der IT-Services sowie der Ressourcen. Bei diesen Komponenten kann es sich beispielsweise um die Steuerung eines Produktionsabschnittes, einen Webserver, einen Datenbankserver, den Hauptverteiler der Telekommunikation, die Stromeinspeisung, ein automatisiertes

10 Risikomanagement entlang von Wertschöpfungsketten 9 Kleinteilelager, einen Tresorraum und vieles andere mehr handeln. Zu klären ist weiterhin, welche Interdependenzen zwischen diesen Modulen der Infrastruktur bestehen und welche Schadensszenarien daraus abgeleitet werden können. Beispiele von RiskNodes auf verschiedenen Unternehmensebenen sind: - Business Landscape: Kreditvergabe Geschäftskunden, Inkasso, usw. - Service Landscape: E-Banking, Applikation Girokontenbewegungen etc. - Information Landscape: Kundendaten - IT Landscape: Datenbankserver, Applikationsserver, Webserver usw. Für jeden RiskNode können neben seinem Namen und einer kurzen Beschreibung auch Werte für seine Soll-, Ist- und Plan-Verfügbarkeit und weitere strukturierte Zusatzinformationen (Owner, Nutzen, Kosten usw.) angegeben werden (siehe Abbildung 4): SOLL-Verfügbarkeit IST-Verfügbarkeit PLAN-Verfügbarkeit RiskNode (Modul) M i V i,soll V i,ist V i,plan + ggf. Zusatzinformationen Abb. 4: Die grafische Darstellung eines RiskNodes - Soll-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht werden soll. Dies stellt eine Verfügbarkeitsanforderung dar, welche im Wesentlichen top-down vererbt wird. - Ist-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht wird, ggf. nochmals unterteilt in einen vom Hersteller genannten oder geschätzten Wert und einen durch Monitoring oder statistisch errechneten Wert fällt eine Hardware aus, so kann die Ist-Verfügbarkeit auf 0 gesetzt werden und die Neuberechnung der daraus resultierenden abhängigen Verfügbarkeiten zu einem automatischen Alerting führen. - Plan-Verfügbarkeit: ein oder mehrere theoretisch angenommene oder bottom-up berechnete Verfügbarkeitswerte zur Verwendung in Planspielen. - Zusatzinformation: Beschreibung des RiskNodes in Abhängigkeit von der Unternehmensebene zu der er gehört. Trotz der einheitlichen Darstellungsweise finden sich alle Verantwortlichen in ihrer Sprachwelt wieder. Abbildung 5 zeigt als Beispiel eines einfachen RiskNodes einen Druckservice mit einer Ist-Verfügbarkeit von 90%. Weitere Informationen wurden hier (noch) nicht eingetragen. Druckservice V i,soll V i,ist = 0,9 V i,plan Tel: +49 (0) SioS GmbH, München

11 Risikomanagement entlang von Wertschöpfungsketten 10 Abb. 5: Beispiel (RiskNode): Druckservice 5.2 RiskCharts: mathematische Grundlagen Ein RiskChart beschreibt die Abhängigkeiten zwischen RiskNodes und kann mathematisch als gerichteter Graph G=(V,E) modelliert werden, der die Abhängigkeiten verschiedener RiskNodes untereinander formal beschreibt, wobei V die disjunkte Vereinigung der Menge der RiskNodes V 1 und der Menge der Verknüpfungssymbole/-operatoren V 2 = {, } darstellt. Zwei Knoten i und j aus V sind durch eine Kante (i,j) E verbunden genau dann wenn der RiskNode j vom RiskNode i abhängig ist oder einer der beiden Knoten ein Verknüpfungssymbol darstellt. Seriell: M i V i M j V j M i Parallel- V i M k M j V j Beispi el: Performanc ecluster V k M i Parallel- V i M k M j V j Beispi el: Verfügbarkei tscluster V k Abb. 6: Die grafische Darstellung der Verknüpfungsoperatoren bzw. Abhängigkeiten Um RiskNodes zu RiskCharts zu komponieren, gibt es folgende Möglichkeiten (vergleiche auch Abbildung 6): - Die serielle Komposition: Abhängigkeit des Knotens vom Vorgängerknoten (z.b. ebrokerage von Berechnung des aktuellen DAX in Echtzeit) - Die parallele -Verknüpfung: Gleichzeitige Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. Printserver von Datenbank- und Applikationsserver) - Die parallele -Verknüpfung: Alternative Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. redundanter Cold/Hot-Standby) Als Beispiel wollen wir den Druckservice (Service Landscape) aus Abbildung 5 aufgreifen und untersuchen, wie er auf der Ebene der IT-Landscape modelliert werden könnte (siehe Abbildung 7):

12 Risikomanagement entlang von Wertschöpfungsketten 11 Druckservice (mit einzelnen IST-Verfügbarkeiten) DB-Server Strom- Versorg. 97 % DB-Server (Hot-Standby) Druckserver Absolute IST- Verfügbarkeit: 99 % 97 % 94 %??? % Applikationss. 95 % Abb. 7: Beispiel (RiskChart): Druckservice Bei dieser Art von hierarchischer Dekomposition kann ein RiskChart auch als neues Modul und damit wieder als RiskNode einer höheren Ebene betrachtet werden. Hier drängt sich folgende Fragestellung auf: Kann die ursprünglich (vergleiche Abbildung 5) geforderte Ist-Verfügbarkeit des Druckservice von 90% von diesem RiskChart erreicht werden? Um diese Frage zu lösen, müssen folgende Überlegungen angestellt werden. Bisher wurden für jeden RiskNode Werte für Soll-, Ist- und Plan-Verfügbarkeit angegeben, dabei wurde der RiskNode isoliert betrachtet. Mathematisch gesehen hat man hierbei lediglich zunächst bedingte Verfügbarkeiten angegeben. Da ein RiskChart eine Komposition vieler RiskNodes zu einem Netzplan (voneinander abhängiger RiskNodes) darstellt, können analog absoluter Wahrscheinlichkeiten die (absoluten) Verfügbarkeiten an jedem Punkt des Netzes berechnet werden. Hierzu geben wir von der Kompositionsart abhängige Formel-Templates zur Berechnung der tatsächlichen, d.h. absoluten Verfügbarkeit P V (M j ) eines RiskNodes M j an (siehe Abbildung 8): M i V i M j V j Seriell: P V (M j) = P V (M i ) V j M i V i M k Parallel, -Verknüpfung: M j V j Beispiel: Performancecluster V k P V (M k ) = P V (M i ) P V (M j ) V k M i V i M j V j Beispiel: Verfügbarkeitscluster M k V k Parallel, -Verknüpfung: P V (M k ) = (1 (1 P V (M i )) (1 P V ( M j ))) V k Abb. 8: Formel-Templates zur Berechnung der absoluten Verfügbarkeit

13 Risikomanagement entlang von Wertschöpfungsketten 12 Damit können wir nun die obige Fragestellung wie folgt lösen bzw. berechnen (siehe Abbildung 9): DB-Server 97,02 % 99 % Strom- 99 % Versorg. 99 % 98 % DB-Server (Hot-Standby) 97 % 96,03 % 99,88 % Druckserver 93,94 % 94 % 88,30% 99 % Applikationsserver 94,05 % 95 % IST-Verfügbarkeit des Applikationsservers ohne Umgebungsbetrachtung Errechnete IST-Verfügbarkeit aller benötigten Services bis zu dieser Stelle Abb. 9: Beispiel: absolute bzw. tatsächliche Verfügbarkeit des Druckservice Mit Hilfe des eben skizzierten Beispiels wird klar, dass ein mathematisch fundierter, aber dennoch leicht verständlicher top-down Verfeinerungsbegriff entwickelt werden muss, der sicherstellt, dass der Druckservice auf der Ebene der IT Landscape mindestens die selben Verfügbarkeitswerte für die Soll-/Ist-/Plan-Verfügbarkeiten erreichen muss, wie sein Pendant auf der nächsthöheren Unternehmensebene, nämlich der Ebene der Service Landscape. 5.3 Verfeinerung von RiskNodes zu RiskCharts Ein RiskChart G = (V, E) verfeinert einen RiskNode M j genau dann wenn gilt: P V (M f ) P V (M j ) wobei f V den finalen RiskNode in G darstellt. Ein finaler Knoten ist eine Senke, also ein Knoten ohne Nachfolger. Es ist sicherzustellen, dass in jedem RiskChart genau ein solcher Knoten existiert, der gegebenenfalls künstlich erzeugt werden muss. Umgangsprachlich formuliert bedeutet obiges Prädikat, dass die absolute Verfügbarkeit des verfeinerten RiskCharts G jederzeit mindestens die ursprünglich spezifizierte Verfügbarkeit des RiskNodes M j erreichen muss. Erreicht sie diesen Wert, wird von einer korrekten Verfeinerung gesprochen. Erreicht sie diesen Wert nicht, so ist ein einfacher Indikator gefunden, der Handlungsbedarf signalisiert. Das RiskChart in Abbildung 9 wäre also nur dann eine korrekte Verfeinerung des ursprünglichen RiskNodes aus Abbildung 5, falls für den Druckservice lediglich eine Ist-Verfügbarkeit von 88,3% oder weniger spezifiziert gewesen wäre.

14 Risikomanagement entlang von Wertschöpfungsketten 13 Dieser Verfeinerungsbegriff besitzt die beiden wesentlichen Eigenschaften der (a) Kompositionalität und (b) Transitivität. Sie stellen sicher, dass (a) eine lokale Verfeinerung ebenfalls global betrachtet eine Verfeinerung der gesamten Risikolandschaft darstellt und (b) eine schrittweise Anwendung vieler Verfeinerungsschritte über viele Unternehmensebenen hinweg möglich ist. Die schrittweise Verfeinerung liefert als Resultat eine Hierarchie von RiskCharts, welche die Verfügbarkeit jeder Unternehmensebene widerspiegelt (siehe Abbildung 10). Ebene 1 Ebene 2 wird verfeinert zu Ebene 3 wird verfeinert zu 5.4 Planspiele Abb. 10: Verfeinerung über mehrere Unternehmensebenen hinweg Auf Basis des eben gewonnenen Verfeinerungsbegriffs können nun ebenenübergreifende Planspiele zur Risikoanalyse durchgeführt werden. Da die Beziehungen nicht nur zwischen RiskNodes einer Ebene, sondern auch und gerade zwischen unterschiedlichen (Verfeinerungs-/Unternehmens-) Ebenen angegeben wurden, sind Simulationen von ebenenüberspannenden Auswirkungen leicht möglich. Beispielsweise könnte folgendes Planspiel durchgeführt werden. Angenommen, die Verfügbarkeit des RiskNodes Applikationsserver in Abbildung 9 könnte durch eine Investition von Euro von 95% auf 99,5% erhöht werden. Es stellt sich nun die Frage, wie groß der Einfluss dieser Verbesserung auf den Druckservice ist? Wird mehr als eine Verbesserung durchgeführt, so wird sowohl der Gesamteinfluss bewertet, als auch die Kosten der Gesamtinvestition summiert. Im Allgemeinen kann die Auswirkung einer Verbesserung im Rahmen eines Planspiels sowohl auf die höheren, als auch die tieferen Unternehmensebenen automatisch berechnet werden.

15 Risikomanagement entlang von Wertschöpfungsketten Automatisches Alerting Ein Werkzeug zur Umsetzung unserer Vorgehensweise ist derzeit geplant. Dieses Werkzeug soll flexible Schnittstellen erhalten, die es ermöglichen, Daten aus einem Monitoring-System zu verarbeiten. So können beispielsweise im Falle eines Totalausfalls eines Servers nicht nur wie im aktuellen Stand der Technik die direkt für den Server verantwortlichen Personen benachrichtigt werden, sondern auf Wunsch kann auch ein automatisches Alerting aller Betroffenen auf allen Unternehmensebenen angestoßen werden. Dies kann zum Beispiel in Form einer automatisch generierten an diesen Personenkreis geschehen. 6 Zusammenfassung und Ausblick In diesem Beitrag haben wir gezeigt, wie die Analyse von Verfügbarkeiten und deren Abhängigkeiten innerhalb einer Unternehmensebene mit Hilfe von RiskCharts möglich ist. Weiterhin haben wir einen mathematisch korrekten und zugleich leicht verständlichen Verfeinerungsbegriff definiert. Die Verfeinerung von RiskNodes einer Ebene führt zu einem RiskChart der nächsten Ebene. Risikomanagement entlang von Wertschöpfungsketten wird auf diese Weise möglich und Kommunikationsbarrieren zwischen den Ebenen entfallen. Business Continuity wird schließlich nicht nur möglich, sondern auch planbar. Durch unseren Ansatz ergeben sich folgende Vorteile: - Risikoaggregationen und -interdependenzen werden sichtbar und dadurch verfolgbar und steuerbar. - Das Risiko-Verständnis von Managern und Spezialisten aller Unternehmensebenen wird vereinheitlicht. Risikokausalitäten werden transparent. - Planspiele und automatische Risikowarnungen sind möglich. - Sowohl top-down als auch bottom-up Analysen der Risikolandschaft wird möglich: top-down von der Unternehmensleitung zu den Spezialisten und bottom-up zur direkten Rückkopplung des aktuellen Standes an das Business Management ohne Nachfragen bei Spezialisten. Dadurch wird eine umfassende Analyse des gesamten Risikopotentials gewährleistet. Das formale Modell bildet die Basis für einen Werkzeugeinsatz. Der Ansatz ist einsetzbar für alle Phasen des Risikomanagements, also das strategische und operative Risikomanagement, die Risikoanalyse (Risikoidentifikation; Risikobewertung) sowie die Risikokontrolle und Risikosteuerung. Uninteressante Pfade im RiskNode können abgeschnitten werden und Schieflagen in der Wahrnehmung der Wichtigkeit von Geschäfts-(teil-)Prozessen werden aufgezeigt und können gelöst werden In Zukunft wollen wir auch RiskNodes mit zeitabhängigen Verfügbarkeitswerten betrachten. So kann dem Umstand Rechnung getragen werden, dass Verfügbarkeiten meist jahres- oder tagesabhängig schwanken können. Hier können saisonale Schwanken wie z.b. Hochwassergefahr genauso modelliert werden wie die Unterschiede zwischen 5 8- und Verfügbarkeiten. Darüber hinaus kann das Verfahren von der Verfügbarkeit der IT auf die Themenkomplexe

16 Risikomanagement entlang von Wertschöpfungsketten 15 Verfügbarkeit von Skills bzw. Know-how bzw. Personal sowie Vertraulichkeit und Integrität der IT erweitert werden. Literatur [ISO17799] Internationaler Standard ISO/IEC17799:2000(E): Information technology code of practice for information security management, erste Ausgabe, Dezember [Kon98] Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Bundesgesetzblatt, Teil I (G5702), Nummer 24, Bonn, 30. April [Rom00] Frank Romeike: IT-Risiken und Grenzen traditioneller Risikofinanzierungsprodukte in: Zeitschrift für Versicherungswesen, Jahrgang 51, Heft 17 vom 1. September 2000, Seiten [Tra02] Transparenz- und Publizitätsgesetz (TransPuG) Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität, Bundesgesetzblatt Teil I, Nummer 50, Seiten 2681 ff., Berlin, 25. Juli 2002.

Risikomanagement entlang von Wertschöpfungsketten

Risikomanagement entlang von Wertschöpfungsketten Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz, für die SioS GmbH Management Summary Management Summary In diesem

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

EINE INFORMATIONSBASIS FÜR ZEITOPTIMIERTES INCIDENT MANAGEMENT

EINE INFORMATIONSBASIS FÜR ZEITOPTIMIERTES INCIDENT MANAGEMENT Dorfstraße 13 81247 München Tel. 089 / 89 16 00 50 Fax 089 / 814 53 54 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit www.sios-gmbh.de info@sios-gmbh.de EINE INFOATIONSBASIS FÜR ZEITOPTIMIERTES

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IT-Incident Management & IT-Forensics

IT-Incident Management & IT-Forensics Jens Nedon, Sandra Frings, Oliver Göbel (Hrsg.) IT-Incident Management & IT-Forensics Erste Tagung der Fachgruppe SIDAR der Gesellschaft für Informatik 24. 25. November 2003 in Stuttgart, Deutschland Gesellschaft

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Software Engineering. Risikomanagement in der Softwareentwicklung

Software Engineering. Risikomanagement in der Softwareentwicklung Software Engineering Risikomanagement in der Softwareentwicklung Die Inhalte der Vorlesung wurden primär auf Basis der jeweils angegebenen Literatur erstellt. Darüber hinaus finden sich ausgewählte Beispiele

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Abb.: Darstellung der Problemfelder der Heine GmbH

Abb.: Darstellung der Problemfelder der Heine GmbH Entwicklung eines SOLL-Konzeptes Kehl Olga 16.05.10 Wie aus der Ist-Analyse ersichtlich wurde, bedarf die Vorgehensweise bei der Abwicklung von Projekten an Verbesserung. Nach der durchgeführten Analyse

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Methodische, softwaregestützte Risikobeurteilung

Methodische, softwaregestützte Risikobeurteilung Methodische, softwaregestützte Risikobeurteilung Ziel der Risikobeurteilung ist es, die von einem Produkt ausgehenden Gefährdungspotenziale möglichst vollständig zu erfassen und Schutzmaßnahmen gegen sie

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement 6.1 Fehlerbaum Aufgabe: Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Einführung Risk Management Konzept

Einführung Risk Management Konzept Einführung Risk Management Konzept 1. Risiko unser ständiger Begleiter Das Risk Management ist ein wichtiges Führungsinstrument für das Erreichen der Zielsetzungen und für den Schutz der Mitarbeitenden,

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Controlling im Mittelstand

Controlling im Mittelstand Controlling im Mittelstand Mag. Johann Madreiter nachhaltigmehrwert e.u. Unternehmensberatung und Training 2 Controlling im Mittelstand Controlling im Mittelstand und Kleinunternehmen? Ein auf die Unternehmensgröße

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Initiale Gründe für die Einführung von Risiko Management

Initiale Gründe für die Einführung von Risiko Management Risiko Management Kleine Geheimnisse aus erfolgreichen Einführungsprojekten DGQ Regionalkreis Kongressmesse MEiM - Mehr Erfolg im Mittelstand in Paderborn am 29.10.2014 Initiale Gründe für die Einführung

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Risikomanagement ORTIS

Risikomanagement ORTIS Die österreichische Schneiakademie 16.09.2008 Risikomanagement ORTIS alps Zentrum für Naturgefahrenund Risikomanagement Andrew Moran Agenda I Einleitende Präsentation Einführung in die Thematik Risikomanagement

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG Der Risiko-Check IT Risiken systematisch identifizieren und bewerten Stuttgart, 26.02.2010 Seite 1 AXA Versicherung AG Inhalt 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen 2. Der Risiko-Check

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite.

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite. Risikomanagement Risiken im griff CP-Risk ist ein Modul der Corporate Planning suite. IdentIfIkatIon, BeweRtung, analyse und kontrolle von RIsIken Risikomanagement mit System. Zum Risikomanagement gehört

Mehr

Stefan Rotmann Fachberater Betriebswirtschaftliche Beratung DATEV eg.

Stefan Rotmann Fachberater Betriebswirtschaftliche Beratung DATEV eg. Risikomanagement für Mandanten und Kanzleien Stefan Rotmann Fachberater Betriebswirtschaftliche Beratung DATEV eg. DATEV Risikomanagement Vorbeugen und Risiken im Überblick behalten Ich kann mir gar nicht

Mehr

ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen

ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen Torsten J. Gerpott * /Alexander P. Hoffmann ** 2007 * ** Univ.-Prof. Dr. Torsten J. Gerpott, Lehrstuhl Unternehmens- und Technologiemanagement,

Mehr

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011 Carsten Schlachta Universität Münster, 13. Dezember 2011 1 Gliederung: Vorstellung Aufbau eines strategischen Risikomanagements (RM) Risikomanagement im Internen Kontrollsystem (IKS) Spannungsfeld des

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung. Kapitel B Vorgehensmodelle

Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung. Kapitel B Vorgehensmodelle Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung Kapitel B Vorgehensmodelle Inhaltsverzeichnis 1 B Vorgehensmodell... 3 1.1 Welche Vorgehensmodelle sind

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.)

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.) Toolset-Info Toolname Synonym Toolart Beschreibung Einsatzgebiet Vorteile Nachteile Management Methodik Effizienz Risiko-Management TS 004 Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

DIE SCHALTHEBEL DES CIO

DIE SCHALTHEBEL DES CIO DIE SCHALTHEBEL DES CIO DAS SERVICE PORTFOLIO UND DEN SERVICEKATALOG RICHTIG ANWENDEN 8. Swiss Business- & IT-Servicemanagement & Sourcing Forum 2014 Holger Bley, Director HiSolutions AG Von unseren Kunden

Mehr

Begriffe, Ziele, Anforderungen - Das Ohr zum Kunden -

Begriffe, Ziele, Anforderungen - Das Ohr zum Kunden - Begriffe, Ziele, Anforderungen - Das Ohr zum Kunden - - 1 - Gliederung 1. Seite 1. Was versteht man unter einem Help Desk? 2 2. Vorteile einer Benutzerservice / Help Desk Funktion 7 3. Zielsetzung bei

Mehr

ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten

ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten 1 ITpreneurship Beratungsangebot für eine unternehmerisch-wirtschaftliche IT-Optimierung In fast allen Unternehmen hat die

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der Alpha Wertpapierhandels GmbH, Frankfurt am Main 1.) Einleitung Die Bankenaufsicht verlangt nach 26 des

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Risikomanagement IT-vernetzter Medizinprodukte

Risikomanagement IT-vernetzter Medizinprodukte Risikomanagement IT-vernetzter Medizinprodukte gem. ISO/IEC 80001-1 20.03.2014 Stefan Möller TÜV TRUST IT GmbH Motivation und Bedrohungslage Die IT-Vernetzung von Medizinprodukten* im Informationsverbund

Mehr

Umsetzung des ISMS bei DENIC

Umsetzung des ISMS bei DENIC Umsetzung des ISMS bei DENIC Boban Krsic, DENIC eg Berlin, den 16.09.2015 Agenda Kurzvorstellung ISMS bei DENIC Risikomanagement im Rahmen des ISMS Business Continuity Management Ausblick 2 DENIC eg Agenda

Mehr

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1 Einordnung

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

1 Einleitung. Software Engineering. Vorgehensweisen

1 Einleitung. Software Engineering. Vorgehensweisen 1 Noch ein Buch über Software Engineering? Warum nicht! Wir folgen einem Prinzip, das zur Lösungsfindung in den verschiedensten Domänen Einzug gehalten hat: die Betrachtung aus verschiedenen Blickwinkeln.

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Code-Quality-Management

Code-Quality-Management Code-Quality-Management Technische Qualität industrieller Softwaresysteme transparent und vergleichbar gemacht von Frank Simon, Olaf Seng, Thomas Mohaupt 1. Auflage Code-Quality-Management Simon / Seng

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Prozessorientierte Informationssysteme im Controlling

Prozessorientierte Informationssysteme im Controlling Themenschwerpunkt Controlling September 2004 Fraunhofer IML bietet Unterstützung bei Systemanalyse und -auswahl Prozessorientierte Informationssysteme im Controlling Das Controlling hat für die Erfolgskontrolle

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Microsoft Dynamics NAV Technische Details

Microsoft Dynamics NAV Technische Details Microsoft Dynamics NAV Technische Details INHALT Microsoft Dynamics NAV Technische Details........................................ [3] Infrastruktur.............................................. [3] Systemanforderungen.....................................

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr