Institut für Sicherheit im E-Business (ISEB)
|
|
- Ingeborg Falk
- vor 8 Jahren
- Abrufe
Transkript
1 Institut für Sicherheit im E-Business (ISEB) Nr. 26 Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Jochen Wiedemann Bochum, Juli 2007
2
3 Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema Sicherheit im E-Business entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kosten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0) Fax: +49 (0)
4 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN Institut für Sicherheit im E-Business (ISEB), Ruhr- Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
5 Vorwort Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V. genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung an die Ruhr- Universität Bochum fließen neueste wissenschaftliche Erkenntnisse direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für angewandte IT- Sicherheit mbh (GITS Projekt GmbH). Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen Forschungsaktivitäten und Kooperationen mit der Praxis sollen auch die IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden. Mit dem vorliegenden 26. Arbeitsbericht setzt das Institut für Sicherheit im E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstaltungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und Studierenden durchgeführt wurden.
6 Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiedemann * ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschaftsinformatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstützung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von IT-Notfallvorsorge. Im vorliegenden Bericht untersucht der Autor den Handlungsbedarf in der betrieblichen Praxis im Hinblick auf IT-Notfallvorsorge. Dazu werden organisatorische Aspekte, theoretische Ansätze als auch offizielle Standards dargestellt und ausführlich bewertet. Bochum, Juli 2007 R. Gabriel K. Rüdiger S. Sowa * Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße Düsseldorf jochen.wiedemann@accenture.com
7 III Abstract Die wertschöpfenden Geschäftsprozesse einer Unternehmung werden zunehmend abhängiger von einer hochverfügbaren Unterstützung durch Informationstechnik (IT). Aus diesem Grund ist der Einsatz präventiver als auch reaktiver Maßnahmen notwendig, um die ökonomische Auswirkung eines IT-Ausfalls zu begrenzen. Dabei kann die Gestaltung dieser Maßnahmen im Rahmen der sogenannten IT- Notfallvorsorge erfolgen, welche in das betriebliche IT-Risikomanagement eingebettet ist. Betrachtet man diese Gestaltung aus dem Blickwinkel der betrieblichen Praxis unter Berücksichtigung relevanter wissenschaftlicher Ansätze, so können erhebliche Problembereiche im Gestaltungsprozess einer betriebswirtschaftlich angemessenen IT- Notfallvorsorge identifiziert werden. Neben organisatorischen Schwierigkeiten und methodischen Einschränkungen bei der IT-Risikobewertung sowie Ansätzen zur Wirtschaftlichkeitsbetrachtung von IT-Sicherheit, bieten auch offizielle Standards (z. B. IT-Grundschutz) keine ausreichende Hilfestellung. Der identifizierte Handlungsbedarf stellt nun einen Ausgangspunkt für die Verbesserung diesbezüglicher Gestaltungsmöglichkeiten dar. Diese Verbesserung sollte im Kontext des o. g. IT-Risikomanagements erfolgen, das den übergeordneten Rahmen vorgibt. Keywords Business Continuity Management, CObIT, Disaster Recovery, IT-Grundschutz, IT Infrastructure Library, IT-Notfallvorsorge, IT-Risikobewertung, IT-Risikomanagement, IT Service Continuity Management, Kontinuitätsmanagement, Wirtschaftlichkeitsbetrachtung
8 IV
9 V Inhaltsverzeichnis VORWORT... I ABSTRACT... III ABBILDUNGSVERZEICHNIS... VII TABELLENVERZEICHNIS... IX ABKÜRZUNGSVERZEICHNIS... XI 1 EINLEITUNG IT-NOTFALLVORSORGE INNERHALB DES BETRIEBLICHEN RISIKOMANAGEMENTS WERTORIENTIERTES BETRIEBLICHES RISIKOMANAGEMENT Grundlagen des betrieblichen Risikomanagements Die Risikodefinition als Ausgangspunkt Definitionsansätze zum betrieblichen Risikomanagement Ziele und Komponenten des betrieblichen Risikomanagements Aktivitäten innerhalb des Risikomanagement- Prozesses Institutionelle Aspekte im Risikomanagement Wertorientierung im Risikomanagement und dessen Bedeutung im Kontext der Arbeit IT-RISIKOMANAGEMENT UND IT-NOTFALLVORSORGE IT-Risikomanagement als Komponente des betrieblichen Risikomanagements IT-Notfallvorsorge als Komponente des IT- Risikomanagements IT-SICHERHEITSZIELE UND DEREN URSACHE-WIRKUNGSKETTEN ZUSAMMENFASSUNG UND EINORDNUNG DES BETRIEBLICHEN RISIKOMANAGEMENTS IN DEN UNTERSUCHUNGSGEGENSTAND DER ARBEIT ANALYSE DES HANDLUNGSBEDARFS BEI DER GESTALTUNG VON IT-NOTFALLVORSORGE ORGANISATORISCHE SCHWACHSTELLEN Aufbau- und ablauforganisatorische Untersuchungsziele Aufbauorganisatorische Schwachstellen Ablauforganisatorische Schwachstellen...39
10 VI 3.2 BESONDERHEITEN DES IT-SYSTEMS EINSCHRÄNKUNGEN DER METHODISCHEN ANSÄTZE Einschränkungen bei der IT-Risikobewertung Einführende Darstellung und Bewertung der Ansätze Bewertung der Eintrittswahrscheinlichkeit Bewertung der ökonomischen Auswirkung bei IT- Ausfall Einschränkungen offizieller Standards Bewertungskriterien Darstellung und Bewertung des Prozesses IT Service Continuity Management innerhalb von ITIL Darstellung und Bewertung der Vorgaben unter DS 4 Ensure Continuous Service innerhalb CObIT Darstellung und Bewertung des Bausteins Notfallvorsorge innerhalb der IT-Grundschutz- Kataloge Zusammenfassung der Bewertung KRITISCHE ANALYSE UNTERSCHIEDLICHER ANSÄTZE ZU WIRTSCHAFTLICHKEITSBETRACHTUNGEN Bewertungskriterien Darstellung und Bewertung der Ansätze im Bereich der IT- Sicherheit Darstellung der Ansätze im Bereich IT-Sicherheit Zusammenfassende Bewertung der Ansätze Darstellung und Bewertung eines konkreten Ansatzes für eine Wirtschaftlichkeitsbetrachtung bei der Gestaltung von IT-Notfallvorsorge Darstellung des Ansatzes Bewertung des Ansatzes THESENFÖRMIGE ZUSAMMENFASSUNG ZUSAMMENFASSUNG UND AUSBLICK LITERATURVERZEICHNIS... XIII
11 VII Abbildungsverzeichnis ABBILDUNG 1: DIMENSIONEN DES RISIKOBEGRIFFS NACH AUSGANGSFAKTOREN (QUELLE: IN ANLEHNUNG AN JONEN (2006), S. 16FF.)...6 ABBILDUNG 2: ZIELE DES BETRIEBLICHEN RISIKOMANAGEMENTS...10 ABBILDUNG 3: ABBILDUNG 4: ABBILDUNG 5: ABBILDUNG 6: ABBILDUNG 7: ABBILDUNG 8: ABBILDUNG 9: ABBILDUNG 10: ABBILDUNG 11: ABBILDUNG 12: ABBILDUNG 13: ABBILDUNG 14: ABBILDUNG 15: RISIKOBEREICHE NACH BASEL II (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 6)...13 RISIKOBEREICHE BEI DER DEUTSCHEN TELEKOM (QUELLE: IN ANLEHNUNG AN DTAG (2006), S. 103FF.)...14 RISIKOMANAGEMENT-TEILPROZESSE UND AKTIVITÄTEN (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 18FF.)...15 INSTRUMENTE ZUR RISIKOSTEUERUNG (QUELLE: IN ANLEHNUNG AN WOLF (2003), S. 60)...17 IDENTIFIKATIONSMÖGLICHEN FÜR RISIKEN UND DEREN STEUERUNG...20 ORGANISATIONSMODELL FÜR RISIKOMANAGEMENT...22 AUSWIRKUNGEN AUF DEN UNTERNEHMUNGSWERT...25 PROZESS FÜR IT SERVICE (BUSINESS) CONTINUITY MANAGEMENT (QUELLE: IN ANLEHNUNG AN OCG (2001), ABSCHNITT 7.3)...52 ITIL MANAGEMENT-STRUKTUR (QUELLE: OCG (2001), ABSCHNITT 7.4)...54 COBIT-MANAGEMENT PROZESS (QUELLE: IN ANLEHNUNG AN ITGI (2004), S. 24)...56 SCHADENSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 97FF.)...72 INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 146)...73 ZUSAMMENFÜHRUNG VON SCHADENSKURVE UND INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 149F.)...74
12 VIII
13 IX Tabellenverzeichnis TABELLE 1: TABELLE 2: TABELLE 3: TABELLE 4: TABELLE 5: TABELLE 6: TABELLE 7: TABELLE 8: TABELLE 9: TABELLE 10: QUALITATIVE BESCHREIBUNG MÖGLICHER RISIKOAUSMAßE (QUELLE: IN ANLEHNUNG AN FIEGE (2005), S. 49)...16 URSACHEN UND MÖGLICHE FOLGEEREIGNISSE BEI DER VERLETZUNG VON IT-SICHERHEITSZIELEN...33 BEISPIEL EINER VERKNÜPFUNG BEI DER ZWEISTUFIGEN QUALITATIVEN RISIKOBEWERTUNG...44 HISTORISCHE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL...49 AKTUELLE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL (QUELLE: IN ANLEHNUNG AN KARK (2007), S. 1)...50 ABBILDUNG AUF RISIKOMANAGEMENT-TEILPROZESSE...53 VERANTWORTLICHKEITEN FÜR DS 4 ENSURE CONTINUOUS SERVICE (QUELLE: ITGI (2004), S. 117)...58 MAßNAHMEEMPFEHLUNGEN AUS DEM BAUSTEIN B 1.3 (QUELLE: BSI (2007A), BAUSTEIN B. 1.3 NOTFALLVORSORGE)...60 ABBILDUNG DER INSTRUMENTE ZUR IT-RISIKOSTEUERUNG AUF DIE MAßNAHMEN IM BAUSTEIN B 1.3 NOTFALLVORSORGE...62 ÜBERBLICK DER ANSÄTZE ZU QUANTITATIVEN WIRTSCHAFTLICHKEITSBETRACHTUNGEN...65
14 X
15 XI Abkürzungsverzeichnis ALE BCM BSI CCTA CFROI CObIT CoCo COSO CRAMM DCF ERM EVA FIPS FSA HAZOP IDS ISO IT IT SCM ITGI Annual Loss Expectancy Business Continuity Management Bundesamt für Sicherheit in der Informationstechnik Central Computer and Telecommunications Agency Cash Flow Return of Investment Control Objectives for Information and related Technology Control Committee Committee of Sponsoring Organizations of Treadway Commission CCTA Risk Analysis and Management Method Discounted Cash Flow Enterprise Risk Management Economic Value Add Federal Information Processing Standard Financial Services Authority Hazard and Operability Study Intrusion Detection System International Organization for Standardization Informationstechnik IT Service Continuity Management IT Governance Institute
16 XII ITIL IuK KonTraG MaRisk OCG ROC ROI ROSI RSZ SLA IT Infrastructure Library Information und Kommunikation Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Mindestanforderung für die Umsetzung von Risikomanagement Office of Government Commerce Regulation on Organization and Control Return of Investment Return of Security Investment Risiko, Sicherheit, Zuverlässigkeit Service Level Agreement
17 1 1 Einleitung Die Bank of New York hat nach den Terroranschlägen vom 11. September 2001 einen Schaden 1 durch Business Disruption and System Failure von 242 Millionen Dollar vor Steuern hinnehmen müssen. 2 Dieses Beispiel verdeutlicht die hohe ökonomische Auswirkung bei großen Schadensereignissen bzw. Eintritt wesentlicher Risiken. Neben den angesprochenen Terrorrisiken können jedoch auch natürliche Ereignisse (z. B. Naturkatastrophen) oder menschliche Fehlhandlungen 3 eine Störung mit großer Auswirkung herbeiführen. 4 Aus diesem Grund ist eine betriebliche Notfallvorsorge wichtig, die geschäftskritische Risiken steuert, um den Schaden für die Unternehmung zu begrenzen. Hierfür wird u. a. eine Notfallorganisation benötigt, die für die Gestaltung präventiver sowie reaktiver Maßnahmen zuständig ist. Hier besteht jedoch nach Aussage verschiedener empirischer Studien ein großer Nachholbedarf. Beispielsweise ist nach Aussage der Wirtschaftsprüfung KPMG nur bei 44,6 Prozent der großen Unternehmungen 5 eine Notfallorganisation festgelegt. 6 Noch deutlicher stellt sich die Situation bei kleinen Unternehmungen dar, die weniger als eine Milliarde Euro Jahresumsatz vorweisen. Hier zeigt die Studie von KPMG, dass lediglich 12,1 Prozent der Unternehmungen eine Notfallorganisation definiert haben. Dies verdeutlicht die ungenügende organisatorische Vorbereitung für Notfälle in der betrieblichen Praxis, da eine solche Organisation eine wesentli- 1 Schaden = die durch ein unerwünschtes Ereignis verursachte Beeinträchtigung der Funktionsund/oder Leistungsfähigkeit der Informationsinfrastruktur (realer Schaden) bzw. die Folge davon (wirtschaftlicher Schaden). Heinrich/Lehner (2005), S Vgl. de Fontnouvelle et al. (2006), S Nach einer Untersuchung der Rückversicherung Swiss Re stieg zwischen 1970 und 2000 sowohl die Anzahl der Naturkatastrophen als auch die Zahl der von Menschen verursachten Desaster dramatisch an. Merbecks et al. (2004), S Für eine ausführliche Darstellung von Fallstudien zu unterschiedlichen Katastrophenereignissen mit Auswirkung auf Finanzdienstleister vgl. BIS (2005), S. 19ff.; für weitere Fallstudien vgl. Hiles/Barnes (1999), S. 295ff.; für eine Fallsammlung zu (betriebswirtschaftlichen) Schäden im Bereich IT-Sicherheit vgl. BSI (2000), S. 61ff.; für einen Großschadenbericht Schaden/Unfall über versicherte Marktschäden, die größer sind als 25 Mio. Euro und einen Bezug zum deutschen Versicherungsmarkt haben vgl. GenRe (2006), S. 2ff. 5 Große Unternehmungen im Kontext der angesprochenen Studie der Wirtschaftsprüfung KPMG haben einen jährlichen Umsatz von mehr als einer Milliarde Euro. 6 Vgl. KPMG (2003), S. 24.
18 2 che Vorbedingung für eine zielgerichtete Bewältigung einer Notfallsituation darstellt. Insbesondere eine ungenügende Risikosteuerung innerhalb der Unterstützung 7 durch Informationstechnik 8 (IT) einer Unternehmung kann nach IT-Notfall erhebliche direkte und indirekte Ausfallkosten nach sich ziehen. Dies wird durch die zunehmend starke IT-Abhängigkeit 9 vieler erfolgskritischer Geschäftsprozesse verstärkt. 10 Hierzu bemerkt Laprie: Our society has become increasingly dependent on computing systems and this dependency is especially felt upon the occurrence of failures. 11 Aus diesen Gründen ist es wichtig, dass ein angemessenes Vorsorgeniveau erreicht wird und zudem alle geeigneten Instrumente zur IT-Risikosteuerung berücksichtigt werden. Meist werden heutzutage technische Lösungen zur Erreichung von Systemredundanz lokal oder verteilt eingesetzt. Alternative Steuerungsinstrumente wie Versicherung, Überwälzung oder bewusste Risikoakzeptanz werden selten berücksichtigt. Gerade jedoch aufgrund der hohen Investitionskosten bei technischen Lösungen für die Risikominimierung bei seltenen Schadensereignissen mit großer Auswirkung ist eine nähere Untersuchung diesbezüglicher ökonomischer Gestaltungsaspekte von IT-Notfallvorsorge notwendig. Diese Notwendigkeit zur Wirtschaftlichkeitsbetrachtung wird auch von Mertens betont: Gerade wegen der vielfältigen Möglichkeiten sind aber auch Wirtschaftlichkeitsbetrachtungen in die Festlegung des Sicherheitslevels mit einzubeziehen, da nicht um jeden Preis das Maximum, sondern das unternehmerisch sinnvolle Optimum an Sicherheit anzustreben ist Für eine beispielhafte Klasseneinteilung betrieblicher computergestützter Anwendungssysteme vgl. Gabriel/Röhrs (2003), S Für eine Definition vgl. Abschnitt Für eine Darstellung der Unternehmung als informationsverarbeitendes System vgl. Gabriel/Röhrs (1995), S. 23ff. 10 Vgl. Lange (2005), S Laprie (1995), S Mertens et al. (2005), S. 197.
19 3 Die oben dargelegte Problemstellung motiviert die zwei wesentlichen Ziele des vorliegenden Arbeitsberichts: Einerseits soll eine vorbereitende Untersuchung den Betrachtungsgegenstand IT-Notfallvorsorge in das betriebliche Risikomanagement einordnen, begriffliche Grundlagen bilden sowie einen übergreifenden Rahmen aufbauen. Dabei sollen relevante Gemeinsamkeiten erarbeitet werden, die später auf ihr Einsatzpotenzial überprüft werden können. In einem zweiten Schritt soll ein Blick in die betriebliche Praxis geworfen werden, um potenzielle bzw. konkret vorhandene Schwierigkeiten zu identifizieren. Hierbei soll im Rahmen unterschiedlicher Untersuchungsdimensionen eine umfassende Aufnahme des Handlungsbedarfs bei der Gestaltung von IT-Notfallvorsorge erfolgen. Aus den genannten Zielen lässt sich folgende Struktur ableiten: In Kapitel 2 erfolgt eine Einführung in das betriebliche Risikomanagement, um im nachstehenden Abschnitt den Untersuchungsgegenstand IT-Notfallvorsorge einordnen zu können. Abschließend werden die IT-Sicherheitsziele und ihre Ursache-Wirkungsketten betrachtet. Davon ausgehend werden in Kapitel 3 Schwachstellen bei der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen Praxis untersucht. Dazu werden nach der Betrachtung möglicher aufbau- und ablauforganisatorischer Schwierigkeiten spezifische Besonderheiten bei IT-Systemen erarbeitet. Anschließend erfolgt eine ausführliche Darstellung und Bewertung der Problembereiche im Rahmen der IT-Risikobewertung. Darüber hinaus werden offizielle Standards auf Schwachstellen innerhalb der betrieblichen Praxis und Ansätze aus der Literatur zu Wirtschaftlichkeitsbetrachtungen von IT-Sicherheit als auch IT-Notfallvorsorge auf ihre Anwendbarkeit überprüft. Der Arbeitsbericht endet mit Kapitel 4, das die Erkenntnisse zusammenfasst und mit einem Ausblick auf weitere mögliche Untersuchungsbereiche schließt.
20 4
21 5 2 IT-Notfallvorsorge innerhalb des betrieblichen Risikomanagements Im Folgenden wird der Untersuchungsgegenstand der IT-Notfallvorsorge in das betriebliche Risikomanagement eingeordnet. Dazu werden relevante Begriffsauffassungen dargestellt und Definitionen aus der Literatur im Kontext der Arbeit untersucht. In diesem Rahmen wird das wertorientierte betriebliche Risikomanagement auf operationelle Risiken mit einem Bezug zur Informationstechnik eingegrenzt. Dies stellt anschließend die Grundlage dar, um den Gestaltungsgegenstand der IT- Notfallvorsorge zu definieren. Abschließend werden IT-Sicherheitsziele auf ihre Abhängigkeiten untersucht, um Besonderheiten im Zusammenhang mit der IT- Notfallvorsorge zu erarbeiten. 2.1 Wertorientiertes betriebliches Risikomanagement Relevante Aspekte der Wertorientierung werden nach Darstellung grundlegender Aspekte des betrieblichen Risikomanagements im vorliegenden Abschnitt untersucht Grundlagen des betrieblichen Risikomanagements Ausgehend vom Begriff des Risikos werden unterschiedliche Definitionsansätze für betriebliches Risikomanagement vorgestellt. Anschließend erfolgt eine umfassende Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement als Grundlage einer institutionellen Untersuchung und der folgenden Einordnung in den Betrachtungsgegenstand der Arbeit. Anschließend erfolgt auf Grundlage einer umfassenden Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement eine institutionelle Untersuchung und daran anschließend die Einordnung in den Betrachtungsgegenstand.
22 Die Risikodefinition als Ausgangspunkt Als zentraler Ausgangspunkt der Arbeit dient der Begriff des Risikos, der hinsichtlich seiner Sprach- und Kulturgeschichte von Keller untersucht wurde. 13 Im Folgenden werden gegenwärtige begriffliche Ausprägungen dargestellt. Jonen unterscheidet in seiner semantischen Analyse des Risikobegriffs verschiedene Dimensionen, die hier auszugsweise vorgestellt werden. Dabei werden u.a. Begriffsdefinitionen hinsichtlich der Ausgangsfaktoren abgegrenzt, die sich auf die Ursache, den Informationszustand oder die Zieldimension beziehen 14 (vgl. dazu Abbildung 1). Ursache Informationszustand Zieldimension Entscheidung Ereignis Basisfaktor Abbildung 1: Dimensionen des Risikobegriffs nach Ausgangsfaktoren (Quelle: In Anlehnung an Jonen (2006), S. 16ff.) Bei Ausgangsfaktoren, die sich auf die Ursache beziehen, werden Aspekte beschrieben, aus denen Risiken entstehen. Dies können Entscheidungen, Ereignisse oder Basisfaktoren sein. Beim entscheidungsorientierten 15 Risikobegriff wird das Risiko als Wahrscheinlichkeitsverteilung der möglichen Folgeereignisse einer Handlungsalternative angesehen. Dabei wird das Risiko als Folge einer Entscheidung und die Unsicherheit als Bedingung zur Entstehung dieser Zustände betrachtet. Bei einer ereignisorientierten Sichtweise wird das Risiko als mögliche Zielabweichung gesehen, die durch ein Ereignis oder einen Störprozess entsteht. Dies wird ähnlich auch von Stallinger definiert: Risiko ist die Gefahr einer Fehlabweichung von einem erwarteten und geplanten Zielwert, gewichtet mit der Wahrscheinlichkeit ihres Eintretens. 16 Wird ein Basisfaktor als Ursache angesehen, so handelt es sich bei dem Risiko um einen statischen Zustand (z. B. die allgemeine wirtschaftliche Betätigung) als schicksalhafte Verknüpfung 17 mit dem Risiko. 13 Vgl. Keller (2004), S. 61ff. 14 Vgl. Jonen (2006), S. 16ff. 15 Vgl. Gleißner/Wolfrum (2001), S. 139ff. 16 Stallinger (2006), S Jonen (2006), S. 19.
23 7 Bei einem Ausgangsfaktor, der mit dem Informationszustand verknüpft ist, wird das Risiko als Informationsdefizit über das Erreichen der definierten Ziele 18 und der daraus resultierenden Unsicherheit beschrieben. 19 Hierbei werden das Schadensausmaß und die Wahrscheinlichkeit eines Schadens miteinander verbunden, 20 was auch dem mathematisch-technischen Verständnis entspricht. 21 Wirkungs- beziehungsweise zielorientierte Risikodefinitionen beziehen sich auf die Auswirkungen. Hierbei kann beispielsweise ein spekulatives Risiko sowohl negative als auch positive Abweichungen erzeugen, wobei letztere oftmals auch als Chancen bezeichnet werden. 22 Eine weitere allgemeine Definition stammt von Gleißner, der Risiko als die aus der Unvorhersehbarkeit der Zukunft resultierende, durch zufällige Störungen verursachte Möglichkeit, geplante Ziele zu verfehlen 23 bezeichnet. Mikus hingegen unterscheidet zwei Risikodefinitionen: 24 Einerseits wird Risiko als Gefahr eines Verlustes oder eines Schadens angesehen. 25 Diese Risiken gehen mit unternehmerischer Aktivität einher. Hierbei wird auf meist monetäre Zielgrößen Bezug genommen. Andererseits besteht ein Risiko als Gefahr einer Fehlentscheidung, die zur Nicht-Erreichung der gesetzten Ziele führt. Dies entspricht einer verallgemeinerten Risikodefinition und berücksichtigt die Tatsache, dass Unternehmungen Systeme mit mehreren Zielgrößen darstellen. Im Zusammenhang mit Informationsmanagement geben Hansen/Neumann folgende Definition: Ein Risiko (engl.: risk) ist ein 18 Vgl. Rosenkranz/Missler-Behr (2006), S. 22f. 19 Vgl. Jonen (2006), S. 19ff. 20 Vgl. Eckert (2003), S Vgl. Jonen (2006), S Vgl. Müßig (2005), S. 1ff. für eine Verknüpfung des Chancen-Managements mit dem Thema Business Resilience. 23 Gleißner/Wolfrum (2001), S Vgl. Mikus (2001), S. 3f. 25 Dieses enge Verständnis vom Begriff des Risikos i. e. S. (als Verlust oder Schadengefahr) liegt auch dem 91 Abs. 2 AktG zugrunde, vgl. Koch (2005), S. 69.
24 8 Zustand oder Ereignis, das mit einer bestimmten Wahrscheinlichkeit eintritt und eine Gefährdung (beispielsweise eines Projekterfolges) bedeuten könnte. 26 Letztere Definition entspricht o. g. mathematisch-technischen Begriffsverständnis und wird für die weitere Untersuchung zugrunde gelegt. Der Eintritt des Risikos erfolgt dabei durch ein Ereignis als Ursache bzw. als Störprozess Definitionsansätze zum betrieblichen Risikomanagement Das oben definierte Risiko ist nun Gegenstand des Risikomanagements. 27 Dabei versteht Wolf Risikomanagement als integralen Bestandteil des Managements zur Erreichung von Risikotransparenz in allen Führungs- und Durchführungsprozessen. Hierzu werden alle spekulativen, intern wie extern begründeten Risiken in allen Entscheidungsprozessen mit Fokus auf das Gesamtrisiko betrachtet. 28 Auch Denk et al. betonen die Wichtigkeit der Steuerung der Risikogesamtposition (oder auch des Risikoportfolios) einer Unternehmung. Hierbei ist das Corporate Risk Management auf die Unternehmungsziele ausgerichtet und in die Unternehmungssteuerung (z. B. Strategie und Controlling) integriert. Dabei gibt es drei wichtige Kriterien, die das eingesetzte Führungs- und Steuerungssystem erfüllen sollte. Grundsätzlich sollte das Risikomanagement auf die strategischen Ziele einer Unternehmung ausgerichtet sein. Weiterhin ist eine Steuerung der Risikogesamtposition notwendig, und zwar unter Berücksichtigung aller betrieblichen Risiken und der zwischen diesen bestehenden Abhängigkeiten. Dabei sollte das Risikomanagement in die Steuerungsprozesse integriert sein. 29 Albrecht nutzt den Begriff des holistischen 30 Risikomanagements. Dies beinhaltet das ganzheitliche Management aller betrieblichen Risiken unter Berücksichtigung 26 Hansen/Neumann (2005), S Für einen historischen Überblick zum Risikomanagement vgl. Pechtl (2003), S. 15ff.; Schettler et al. (2002), S. 4ff. 28 Vgl. Wolf (2003), S Vgl. Denk et al. (2006), S Von griechisch holon (das Ganze). Der Holismus bezeichnet eine totale Perspektive, d. h. die Betrachtung aller Freiheitsgrade, um ein vollständiges Verständnis über ein System zu erlangen.
25 9 sämtlicher Risikointerdependenzen. Weiterhin erfolgt nach Albrecht die Integration des Risikomanagements in das Management der Unternehmung. 31 Zusammenfassend lässt sich festhalten, dass einheitliche Schwerpunkte innerhalb der Definitionen zu erkennen sind. Wichtig ist zum einen die integrierte Sicht auf das Gesamtrisiko als Betrachtungsgegenstand. Zum andern ist das Risikomanagement Bestandteil der betrieblichen Führungsprozesse und damit in die Ziele der Unternehmung integriert. Diese Leitlinien dienen im Folgenden in der gesamten Arbeit als Orientierung. Insbesondere werden diese Aspekte durch die Einbindung der Verantwortlichen für Geschäftsprozesse im Rahmen der organisatorischen Komponenten des Gestaltungsmodells berücksichtigt Ziele und Komponenten des betrieblichen Risikomanagements Die primäre Zielsetzung des betrieblichen Risikomanagements ist die Unterstützung bzw. Gewährleistung der Ziele einer Unternehmung. 32 Dabei betont Mikus die umfassende Komponente von Risikomanagement im Zusammenhang mit Entscheidungen in der Unternehmung: Um die Gefahr von Fehlentscheidungen zu verringern, sollten daher möglichst sämtliche Risikoursachen und deren eventuelle Auswirkungen auf die Zielerreichung (unter Einbeziehung von Chancen) im Rahmen eines generellen Risikomanagements bei unternehmerischen Entscheidungen berücksichtigt werden. 33 Dabei kann die Erreichung der Unternehmungsziele 34 hinsichtlich des Risikomanagements weiter unterteilt werden (vgl. dazu Abbildung 2). Direkt aus den Unternehmungszielen ableitbar ist die Minimierung von Risikokosten. 35 Dabei werden die Risikokosten als Differenz zwischen realisierten 31 Vgl. Albrecht (1998), S Vgl. Merbecks et al. (2004), S. 45ff. 33 Mikus (2001), S Für eine Verknüpfung des Risikomanagements mit Instrumenten der strategischen Unternehmungsführung (z. B. Shareholder Value, Chancen-Gefahre-Analyse, Balanced Scorecard) vgl. Götze/Mikus (2001), S. 387ff. 35 Zu Risikokosten vgl. von Stockar (1995), S. 60f.
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrTeil - I Gesetzliche Anforderungen an IT-Sicherheit
Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrThe AuditFactory. Copyright by The AuditFactory 2007 1
The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier
MehrRisikomanagement Leitfaden zur Umsetzung eines Risikomanagement-Systems für die wertorientierte Steuerung von Unternehmen
Risikomanagement Leitfaden zur Umsetzung eines Risikomanagement-Systems für die wertorientierte Steuerung von Unternehmen Univ.-Prof. Dr. Dr. h. c. mult. Horst Wildemann TCW Transfer-Centrum für Produktions-Logistik
MehrAufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.
Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds
MehrDer kleine Risikomanager 1. Karin Gastinger 29.05.2008
Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft
MehrRSP International. Ihr Partner in Osteuropa und Zentralasien
Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element
MehrZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen
ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen Torsten J. Gerpott * /Alexander P. Hoffmann ** 2007 * ** Univ.-Prof. Dr. Torsten J. Gerpott, Lehrstuhl Unternehmens- und Technologiemanagement,
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrRISIKOMANAGEMENT IM UNTERNEHMEN
RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen
MehrVgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.
Ausfallwahrscheinlichkeit: Die Ausfallwahrscheinlichkeit Probability of Default (PD) gibt die prozentuale Wahrscheinlichkeit für die Nichterfüllung innerhalb eines Jahr an. Beispiele: Forderungsausfälle,
MehrInterne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!
Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre
MehrGedanken zu: Wildbäche und Murgänge eine Herausforderung für Praxis und Forschung
Bundesamt für Umwelt BAFU Gedanken zu: Wildbäche und Murgänge eine Herausforderung für Praxis und Forschung Peter Greminger Risikomanagement kann einen Beitrag dazu leisten, bei ungewisser Sachlage best
MehrMitarbeiterbefragung als PE- und OE-Instrument
Mitarbeiterbefragung als PE- und OE-Instrument 1. Was nützt die Mitarbeiterbefragung? Eine Mitarbeiterbefragung hat den Sinn, die Sichtweisen der im Unternehmen tätigen Menschen zu erkennen und für die
Mehr(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis
Fachgutachten des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder über Grundsätze ordnungsmäßiger Berichterstattung bei Abschlussprüfungen von Versicherungsunternehmen
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrWas sind Jahres- und Zielvereinbarungsgespräche?
6 Was sind Jahres- und Zielvereinbarungsgespräche? Mit dem Jahresgespräch und der Zielvereinbarung stehen Ihnen zwei sehr wirkungsvolle Instrumente zur Verfügung, um Ihre Mitarbeiter zu führen und zu motivieren
MehrBenchmark zur Kompetenzbestimmung in der österreichischen SW Industrie. Mag. Robert Kromer NCP / AWS Konferenz Wien, 29.2.2012
Benchmark zur Kompetenzbestimmung in der österreichischen SW Industrie Mag. Robert Kromer NCP / AWS Konferenz Wien, 29.2.2012 Warum beschäftigen wir uns mit Wissensbewertung? ( 1978 (in Folie 2 Welchen
MehrRisikomanagement-Studie für Österreich. Status und Trends in Enterprise-Risikomanagement mit Konnex zu IT-Risiken
Risikomanagement-Studie für Österreich Status und Trends in Enterprise-Risikomanagement mit Konnex zu IT-Risiken 1 Umfrage Risikomanagement Im Sommer 2010 wurde in Zusammenarbeit mit Quality Austria eine
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrIT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance
IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.
MehrAufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul 32701 - Business/IT-Alignment. 26.09.2014, 09:00 11:00 Uhr. Univ.-Prof. Dr. U.
Fakultät für Wirtschaftswissenschaft Aufgabenheft : Termin: Prüfer: Modul 32701 - Business/IT-Alignment 26.09.2014, 09:00 11:00 Uhr Univ.-Prof. Dr. U. Baumöl Aufbau und Bewertung der Aufgabe 1 2 3 4 Summe
MehrKorruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems
Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"
MehrDas Rechtliche beim Risikomanagement
Das Rechtliche beim Risikomanagement 29.04.2015 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrVorwort des betreuenden Herausgebers (Berndt)... 3. A. Strategieprozess und aufsichtsrechtliche Anforderungen (Bastek-Margon)... 7
INHALTSÜBERSICHT Inhaltsübersicht Vorwort des betreuenden Herausgebers (Berndt)... 3 A. Strategieprozess und aufsichtsrechtliche Anforderungen (Bastek-Margon)... 7 B. Umwelt- und Unternehmensanalyse zur
MehrDas Ziel ist Ihnen bekannt. Aber was ist der richtige Weg?
FOCAM Family Office Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg? Im Bereich der Finanzdienstleistungen für größere Vermögen gibt es eine Vielzahl unterschiedlicher Anbieter und Lösungswege.
MehrGovernance, Risk & Compliance für den Mittelstand
Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive
MehrSocial Supply Chain Management
Social Supply Chain Management Wettbewerbsvorteile durch Social Supply Chain Management aus ressourcenorientierter Sicht (Johannes Nußbaum) Abstract Der Druck, soziale Auswirkungen entlang der Supply Chain
MehrNetzwerkorientiertes Supply Chain Controlling und Risikomanagement
Kiril Kiryazov Netzwerkorientiertes Supply Chain Controlling und Risikomanagement Diplomica Verlag Kiril Kiryazov Netzwerkorientiertes Supply Chain Controlling und Risikomanagement ISBN: 978-3-8428-0997-0
MehrOrganisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen
Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige
MehrDas Rechtliche beim Risikomanagement
Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines
MehrStrategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014
Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrDISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN. Nr. 374
DISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN Nr. 374 Eignung von Verfahren der Mustererkennung im Process Mining Sabrina Kohne
MehrRisikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014
Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement
MehrStudie zum Management und Controlling von Reputationsrisiken. Kurzzusammenfassung
Studie zum Management und Controlling von Reputationsrisiken Kurzzusammenfassung August 2014 Studienziele und -inhalte Nicht zuletzt durch die Finanzmarktkrise und eine zunehmende Wettbewerbsverschärfung
MehrLeseprobe. Mit Projekten Unternehmen erfolgreich führen. KNo W- HoW. Studie. Ergebnisbericht. Ronald Gleich. Reinhard Wagner.
KNo W- HoW Studie Mit Projekten Unternehmen erfolgreich führen Ergebnisbericht Leseprobe Ronald Gleich Reinhard Wagner Andreas Wald Christoph Schneider Arnd Görner INHALTSVERZEICHNIS Vorwort 4 Einleitung
MehrRisiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken
Katholische Stiftungsfachhochschule München, Abteilung München Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken Eingereicht als Diplom- und Prüfungsarbeit
MehrGemeinsamer Bericht gem. 293 a AktG. des Vorstands der Allianz AG, München, und
Gemeinsamer Bericht gem. 293 a AktG des Vorstands der Allianz AG, München, und des Vorstands der CM 01 Vermögensverwaltung 006 AG (künftig: Allianz Global Risks Rückversicherungs-AG ), München zum Beherrschungs-
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrVirtual Roundtable: Business Intelligence - Trends
Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,
MehrErläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)
Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das
Mehr«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen
18 «Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen teilnimmt und teilhat.» 3Das Konzept der Funktionalen
MehrUmdenken im Risikomanagement
Umdenken im Risikomanagement Warum Prozessorientierung immer wichtiger wird Fraunhofer Institut für Produktionsanlagen und Konstruktionstechnik (IPK) Geschäftsfeld Qualitätsmanagement Christoffer Rybski
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrRisk Management für Unternehmen
Risk Management für Unternehmen Überlassen Sie nichts dem Zufall RM- Risk Management für Unternehmen methodisch vorgehen Dem Risk Management (RM) liegt ein dauernder, sich stets verändernder Prozess im
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrDer Prozess Risikomanagement. Seine Integration in das Managementsystem
SAQ-Jahrestagung 17.6.2003 Dr. J. Liechti, Neosys AG Workshop RiskManagement-Prozess Seite 1 Der Prozess Risikomanagement Seine Integration in das Managementsystem Unterlagen zum Workshop 3 SAQ-Jahrestagung
Mehrscalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG
scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk
MehrNeue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.
Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische
MehrFachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik
Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver
MehrCSR und Risikomanagement
CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda
MehrJahresrechnung zum 31. Dezember 2014
PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag
MehrSkills-Management Investieren in Kompetenz
-Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management
MehrVorteile und Herausforderungen IT-gestützter Compliance-Erfüllung
Wirtschafts- und Sozialwissenschaftliche Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung (Wirtschaftlichkeit von IT-Risk-Management-Lösungen
MehrBASEL. Prof. Dr. Dr. F. J. Radermacher Datenbanken/Künstliche Intelligenz. franz-josef.radermacher@uni-ulm.de
Prof. Dr. Dr. F. J. Radermacher Datenbanken/Künstliche Intelligenz franz-josef.radermacher@uni-ulm.de Seite 2 Eigenkapitalunterlegung laut Basel I Aktiva Kredite, Anleihen etc. Risikogewichtete Aktiva
MehrSecurity & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013
Security & Safety in einer smarten Energiewelt Ergebnisse der Breitenbefragung Stand März 2013 Folie 1 Art und Umfang der Studie Vorbemerkung Die vermehrte Einspeisung von Erneuerbaren Energien und die
MehrPension Liability Management. Ein Konzept für die Liquiditätsplanung in der betrieblichen Altersversorgung. BAV Ludwig
Ein Konzept für die Liquiditätsplanung in der betrieblichen Altersversorgung Gesellschaft für betriebliche Altersversorgung university-logo Problematik Ziele interne Finanzierung Vorteile der internen
Mehr1 Einleitung. 1.1 Motivation und Zielsetzung der Untersuchung
1 Einleitung 1.1 Motivation und Zielsetzung der Untersuchung Obgleich Tourenplanungsprobleme zu den am häufigsten untersuchten Problemstellungen des Operations Research zählen, konzentriert sich der Großteil
MehrSWOT-Analyse. Der BABOK V2.0 (Business Analysis Body Of Knowledge) definiert die SWOT-Analyse wie folgt:
SWOT-Analyse Die SWOT-Analyse stammt ursprünglich aus dem militärischen Bereich und wurde in den 1960er-Jahren von der Harvard Business School zur Anwendung in Unternehmen vorgeschlagen. Die SWOT-Analyse
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrThemenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008
Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Einleitung Risikomanagement nach HTAgil Risikomanagement nach Bärentango Risikomanagement in Wikipedia Vergleich Aufgabe Risikomanagement(Jörg Hofstetter)
MehrSchweizer Bank Schweizer Bank Schweizer Bank Unternehmensrisiken steuern (Frankfurter Allgemeine) René F. Manser und Agatha Kalhoff Chancen und Risiken sind zwei Seiten derselben Medaille vor allem
MehrSupply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN
Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrEinführung Risk Management Konzept
Einführung Risk Management Konzept 1. Risiko unser ständiger Begleiter Das Risk Management ist ein wichtiges Führungsinstrument für das Erreichen der Zielsetzungen und für den Schutz der Mitarbeitenden,
MehrControlling im Key Account Management
Ronald Heckl Controlling im Key Account Management Systematische KAM-Analyse und Kundenwert Zielformulierung Als erstes sollten Sie klären, welche Aufgabe das KAM-Controlling in Ihrem Unternehmen spielt
MehrRisikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken
Risikomanagement 1 Gründe, warum Projekte fehlschlagen Projektergebnis wird nicht mehr benötigt Zeitrahmen des Projektes wurde überschritten Projektkosten übersteigen die Planung Nicht vorhersehbare technische
MehrSchriftenreihe des Fachbereiches Wirtschaft Sankt Augustin
Schriftenreihe des Fachbereiches Wirtschaft Sankt Augustin Nils-Peter Koch, Dirk Schreiber IT-Management in KMU Eine praxisnahe Darstellung am Beispiel des Eskalationsmanagements eines IT-Systemhauses
MehrHinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.
AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk
MehrDeutschland-Check Nr. 35
Beschäftigung älterer Arbeitnehmer Ergebnisse des IW-Unternehmervotums Bericht der IW Consult GmbH Köln, 13. Dezember 2012 Institut der deutschen Wirtschaft Köln Consult GmbH Konrad-Adenauer-Ufer 21 50668
MehrIshikawa-Diagramm. 1 Fallbeispiel 2. 2 Was ist ein Ishikawa-Diagramm 2. 3 Vorgehen bei der Erstellung eines Ishikawa-Diagramms 2.
Ishikawa-Diagramm 1 Fallbeispiel 2 2 Was ist ein Ishikawa-Diagramm 2 3 Vorgehen bei der Erstellung eines Ishikawa-Diagramms 2 4 Vorteile 5 5 Nachteile 5 6 Fazit 5 7 Literaturverzeichnis 6 1 Fallbeispiel
Mehr6.4.5 Compliance-Management-System (CMS)
Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein
MehrRolle von CSR für das Risikomanagement Vorstellung von Handlungsempfehlungen
9. Deutscher Multistakeholderworkshop zu CSR zu Gast bei Volkswagen, Unter den Linden, Berlin 15. Juni 2010 Rolle von CSR für das Risikomanagement Vorstellung von Handlungsempfehlungen Gefördert durch
MehrDISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN. Nr. 350
DISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN Nr. 350 Ein konzeptioneller Business-Intelligence-Ansatz zur Gestaltung von Geschäftsprozessen
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrUmfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010
Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010 1. Management Summary Im März/April 2010 führte bcm news eine Online Umfrage zur Mitarbeiterkapazität für das BCM durch. Spiegelt
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrLösungshinweise zur Einsendearbeit 2 SS 2011
Lösungshinweise zur Einsendearbeit 2 zum Kurs 41500, Finanzwirtschaft: Grundlagen, SS2011 1 Lösungshinweise zur Einsendearbeit 2 SS 2011 Finanzwirtschaft: Grundlagen, Kurs 41500 Aufgabe Finanzierungsbeziehungen
MehrRisikomanagement in sozialen Unternehmen
EDITION SOZIALWIRTSCHAFT Robert Bachert/Andre Peters/ Manfred Speckert (Hrsg.) Risikomanagement in sozialen Unternehmen Theorie Praxis Verbreitungsgrad Nomos INHALTSVERZEICHNIS Vorwort 5 Strukturierung
MehrDer Fristentransformationserfolg aus der passiven Steuerung
Der Fristentransformationserfolg aus der passiven Steuerung Die Einführung einer barwertigen Zinsbuchsteuerung ist zwangsläufig mit der Frage nach dem zukünftigen Managementstil verbunden. Die Kreditinstitute
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrAnlage zur Konditionenübersicht für Endkreditnehmer
Unternehmen stehen wirtschaftlich sehr unterschiedlich da; ebenso gibt es vielfältige Besicherungsmöglichkeiten für einen Kredit. Risikogerechte Zinsen berücksichtigen dies und erleichtern somit vielen
MehrLeseauszug DGQ-Band 14-26
Leseauszug DGQ-Band 14-26 Einleitung Dieser Band liefert einen Ansatz zur Einführung von Prozessmanagement in kleinen und mittleren Organisationen (KMO) 1. Die Erfolgskriterien für eine Einführung werden
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrProf. Dr. Rainer Elschen
Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien
MehrNew Public Management
Klaus Krönlein New Public Management im Bereich der gesetzlichen Unfallversicherung Darstellung eines Grundlagenmodells Diplomica Verlag Klaus Krönlein New Public Management im Bereich der gesetzlichen
MehrINHALTSVERZEICHNIS. Inhaltsverzeichnis...I Abbildungs- und Tabellenverzeichnis...IV Abkürzungsverzeichnis...VI
I INHALTSVERZEICHNIS Inhaltsverzeichnis...I Abbildungs- und Tabellenverzeichnis...IV Abkürzungsverzeichnis...VI 1 EINFÜHRUNG... 1 1.1 Ausgangssituation... 1 1.2 Zielsetzung... 1 1.3 Struktur und Methodik...
MehrDie Bedeutung der Hausbankbeziehung für Finanzierungen im Mittelstand Schwerpunkt: Unternehmensgründung und Unternehmensnachfolge
Isabell Dorothee Höner Die Bedeutung der Hausbankbeziehung für Finanzierungen im Mittelstand Schwerpunkt: Unternehmensgründung und Unternehmensnachfolge Diplom.de Isabell Dorothee Höner Die Bedeutung der
MehrBusiness Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte
- Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide
MehrProjektmanagement. Leitfaden zu Koordination und Controlling von funktionsübergreifenden Projekten. Univ.-Prof. Dr. Dr. h. c. mult.
Leitfaden zu Koordination und Controlling von funktionsübergreifenden Projekten Univ.-Prof. Dr. Dr. h. c. mult. Horst Wildemann TCW Transfer-Centrum für Produktions-Logistik und Technologie-Management
Mehragens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht
agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht 25.03.2009 Compliance ist das Thema in den Medien 2 Compliance ist das Thema in den Medien
MehrGeFüGe Instrument I07 Mitarbeiterbefragung Arbeitsfähigkeit Stand: 31.07.2006
GeFüGe Instrument I07 Stand: 31.07.2006 Inhaltsverzeichnis STICHWORT:... 3 KURZBESCHREIBUNG:... 3 EINSATZBEREICH:... 3 AUFWAND:... 3 HINWEISE ZUR EINFÜHRUNG:... 3 INTEGRATION GESUNDHEITSFÖRDERLICHKEIT:...
Mehr