9. Risiko-Management. 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "9. Risiko-Management. 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit"

Transkript

1 9. Risiko-Management Prof. Dr. rer. nat. habil. Uwe Aßmann Lehrstuhl Softwaretechnologie Fakultät Informatik TU Dresden Juni 09 A 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit Softwaremanagement, Prof. Uwe Aßmann 1

2 Referenzierte Literatur 2 Balzert, H. : Lehrbuch der SW-Technik; Bd 2 Spektrum- Verlag 2001 Wallmüller, E.: Risikomanagement für IT- und Software-Projekte; Hanser Verlag 2004

3 9.1 Grundlagen Softwaremanagement, Prof. Uwe Aßmann 3

4 Misserfolge internationaler Großprojekte 4 Projekt Verspätung Verlust Deutsches Mautsystem Toll Collect Abbruch nach 2 Jahren rd. 2,2 Milliarden YOU -Projekt von Bank Vontobel California PKW-Zulassung American Airlines Autovermietung Denver Flughafen Gepäckverteilung US Bundesfinanzamt Steuer London, Elektronische Börse London, Krankenwagenleitsystem Quelle: [Wallmüller, E.] Abbruch nach 2 Jahren 3 Jahre 7 Jahre 2 Jahre 8 Jahre 12 Jahre 5 Jahre CHF 256 Millionen $ 54 Millionen $ 165 Millionen $ 750 Millionen $ 1600 Millionen 800 Millionen 12 Millionen und der Verlust von 46 Menschenleben

5 Projektrisiken Def.: Unter dem Projektrisiko wird die Höhe des Schadens verstanden, den ein Unternehmen erleidet, wenn die Projektziele nicht erreicht werden. 5 Das Gesamtrisiko lässt sich in Teilrisiken zerlegen. Eventuelle Folgen davon können sein: Quelle: [ 1, S. 88ff ] Der Auftraggeber oder der Kunde ist nicht zufrieden, Es werden zusätzliche Ressourcen benötigt, Die Wirtschaftlichkeit erweist sich niedriger als erwartet (Nutzen zu gering, Kosten höher), Das Produkt weist Mängel auf, Termine (Zeitplanung) nicht einzuhalten (Zeitrisiko!), Die Motivation aller Beteiligten sinkt.

6 Teilrisiken eines Projekts 6 Projektteam- Umwelt Projektabwicklungsinstrumente PM- Funktionen Organisation Quelle: [ 1, S. 89 ] Personen

7 Arten von Projektrisiken 7 Einführungsrisiko Entwicklungsrisiken Applikationsrisiko Materialzulieferungsrisiko Projektleitungsrisiko Projektrisiken Managementrisiken Planungsrisiko Informations- und Kommunikationsrisiko Quelle: [ 1, S. 90 ] Soziale Risiken Koordinationsrisiko Motivationsrisiko Politisches Risiko Mitarbeiterrisiko

8 Risiko-Management 8 Def.: Ziel des Software-Risikomanagements ist es, die Wechselbeziehungen zwischen Risiken und Erfolg zu formalisieren und in anwendbare Prinzipien und Praktiken umzusetzen. Aufgabe des Risikomanagements ist es demzufolge Risiken zu identifizieren, sie zu analysieren, sie zu bewerten, sie anzusprechen, ihre Handhabung zu planen und sie zu beseitigen, bevor sie zur Gefahr oder zur Hauptquelle für Überarbeitung werden. Ein Risiko beschreibt die Möglichkeit, dass eine Aktivität oder ein Objekt einen Schaden haben könnte, dessen Folgen ungewiss sind. Ein Risiko ist ein potentielles Problem, das eintreten könnte. Ein Problem kann aus einem Risiko herrühren, das eingetreten ist. Quelle: [ Balzert, S ]

9 Risiko-Management (2) 9 Risikomanagement ist, wenn es überhaupt existiert, meist zufallsbestimmt und basiert häufig auf der Intuition der Betroffenen. Schaffung eines effizienten internen Kontrollsystems einschließlich notwendiger Optimierungen Konzepte der Geschäftsführung sind selten mit gezieltem Risikomanagement auf der operativen Ebene in Projekten oder Organisationen verbunden. Der Überbringer schlechter Nachrichten wird zwar nicht mehr, wie im alten Griechenland, umgebracht, aber immer noch nicht ernst genommen. Risikomanagement ist ein Mittel der Prävention. Risikomanagement setzt in der Praxis meist erst ein, wenn Risiken aufgrund verursachter Schäden augenfällig werden, d.h. materialisiert sind. Wir sprechen im Falle der eigentlichen Intervention (Schadenbegrenzung, Schadenbehebung) von Problem- bzw. Krisenmanagement. Risikobewusstsein und Risikotransparenz verbessern.

10 Ziele des Risiko-Managements Analyse Potenzielle Gefährdungssituationen möglichst frühzeitig erkennen und erfassen; systematisch Risikoursachen identifizieren; Bewertung wo Risiken sind, sind auch Chancen; Risiken einschätzen und bewerten, um geeignetes Umgehen mit Risiken festzulegen Behandlung Risiken kommunizieren und allen Beteiligten bewusst machen; Risikobehandlung durchführen Kontrolle Risiken in ihrer Entwicklung verfolgen; Risiken eingrenzen und als bewusste Steuerungsgröße des Managements verwenden; Hilfsmittel zur Erkennung, Bewertung und Steuerung der Risiken (Frühwarnsysteme, Score Cards, Risk Controls) bereitstellen und nutzen. 10

11 Erfolgsfaktoren des Risikomanagements 11 Kontinuierliche Verbesserung - Effektiver Geschäftsrisiko- u. Beurteilungsprozess - Effektive Risikomanagement Leistungsbeurteilung - Good Practices des Risikomanagements Sinnvolle Frameworks - Gemeinsame Risikosprache - Methodik zur Risikomessung - RM Informationssystem Klare Führung - Involvierung der Geschäftsführung - Klare Risikopolitik - Effektive Organsationsstruktur Vorbildliches Engagement - Jeder Manager ist verantwortlich - Engagement ist verankert in der Unternehmenskultur [Wallmüller, E. S. 29]

12 Beispiel eines Risikoszenarios Elemente von Riskoszenarien: Risikofaktor: Merkmal mit Wahrscheinlichkeit für negatives Eintretens des Ereignisses Risikoereignis repräsentiert das Eintreten des negativen Vorfalls Risikoreaktion: Aktion, die bei Eintreten des Ereignisse ausgeführt wird Risikoeffekt beschreibt Auswirkungen des Risikoereignisses 12 Ereignis Reaktion Datenbankprodukt ändern Effekte Zeitverzögerung: 2 Monate Kostenerhöhung: 50 KEuro Faktor Datenbankrelease in der Betatestphase Datenbank nicht rechtzeitig verfügbar Ereignis Probleme bei der Datenbankintegration Reaktion Projektverzögerung akzeptieren Reaktion Datenbankexperten anfordern Effekte Zeitverzögerung: 3 Monate Imageverlust Effekte Kostenerhöhung: 20 KEuro Quelle: [Wallmüller, E. S. 9]

13 9.2 Risikomanagement-Prozess Softwaremanagement, Prof. Uwe Aßmann 13

14 Risikomanagement von Projekten (Risiko als Abweichung von Erwartungen) Ansatzpunkte: - Projektfinanzierung - Angebotserstellung - Kostenplanung und -kontrolle - Projektsteuerung Kategorien der Handhabung: - Risiken, die sich ausschließen lassen (bzw. abwälzen auf Dritte) - Risiken, die sich versichern lassen (Kosten-/ Nutzenanalyse) - Risiken, für die Risikovorsorgen zu bilden sind (bewusst eingegangen) Grundfunktionen: - Risikoanalyse und -bewertung, Selektion, ==> Risikokatalog - Maßnahmen zur Risikobewältigung - bewusstes Eingehen und Verkraften von Risiken Risikodokumentation: - Kurzbeschreibung - mögliche technische Ausprägungen - Alternativen - Randbedingungen, die zum Eintreten des Risikos führen können - Auswirkungen auf andere Bereiche des Projektes - zeitliche Lage des Risikos im Projekt - terminliche Auswirkungen 14

15 Unternehmensweiter RM-Prozess 15 Risikoidentifikation Identifizierung und Erfassung von Risiken/Risikoursachen Risikoanalyse/-bewertung Wie wahrscheinlich ist das Eintreten der Risiken, und welche Folgen ergeben sich? Risikoüberwachung laufende Berichterstattung und Überwachung der Risiken und Risikosteuerungsmaßnahmen [Wallmüller, E. S. 18] Risikohandhabung Maßnahmen und Mechanismen zur Risikobeeinflussung

16 Risikoidentifikation 16 Für sicherheitsrelevante Prozesse und deren Informationswerte ist eine systematische Identifizierung des bestehenden Risikopotentials vorzunehmen. Mögliche Techniken und Vorgehensweisen der Risikoidentifikation sind: Szenariotechnik (Use Case, CRC-Karten) Brainstorming Strukturierte Interviews(Walkthroughs)/Umfragen Workshops(Reviews) Checklisten Fragebögen Fehlerbaumanalyse Auswertung Planungs- und Controlling-Unterlagen Analyse von Prozessabläufen mit Flussdiagrammen, Sequenzdiagrammen u. ä. Fehlermöglichkeits- und Einflussanalyse (FMEA) Benchmarking Risiken werden in Risikokatalogen oder -datenbanken abgelegt

17 Risikoanalyse/-bewertung 17 Expertenbefragung: Risikodefinition + Risikodiskussion + Risikobewertung (Zeit, Kosten) Eintrittswahrsch.keit gibt an, mit welcher Wkt. in % ein Risikofall eintritt Bewertung in Geld: Schadenshöhe (welchen Schaden wird das Risiko verursachen?) Termin-, Fortschritts-, technische, Qualitäts-, kaufmännische Risiken, usw. Geld Risikoprioritätszahl ergibt sich aus Risikofaktor = Eintrittswkt. x Schadenshöhe

18 Risikoselektion mit Portfolio-Analyse 18 Risikoselektion erfolgt mit Hilfe einer Matrix aus Eintrittswahrscheinlichkeit und Geld Risikofaktor ist die Fläche zwischen dem Ursprung und dem Punkt Eintrittswahrscheinlichkeit x4 x1 x2 x3 x1 und x2 u. U. vernachlässigen x3 besonders beachten x4 Vorsorge treffen Geld, Schadenshöhe, Intensität der Auswirkung

19 Risikoreduktion Formale Betrachtung (nach Barry W. Boehm) [Lichtenberg, G., S. 123] 19 Nutzen der Risiko-Reduktion (RRN): RRN = (RFv - RFn) : RRK RFv: Risikofaktor vor den Maßnahmen zur Reduzierung RFn: Risikofaktor nach diesen Maßnahmen RRK: Risiko-Reduktionskosten Bsp.: Schnittstellenfehler mit 30% Wahrscheinlichkeit würde Kosten von 1 M verursachen a) Senkung der Wahrscheinlichkeit auf 10% durch ein SS-Prüfprogramm von b) Senkung auf 5% durch ausgiebigen Test der Schnittstelle, Kosten = RRN(a) = ( 1 M * 0,3-1 M * 0,1 ) : = 10 RRN(b) = ( 1 M * 0,3-1 M * 0,05) : = 1,25

20 Risikohandhabung Auf Unternehmensebene gibt es folgende Möglichkeiten der Risikohandhabung (risk management) : Risikovermeidung ist kostenintensiv und wird nur praktiziert, wenn bei anderen Vorgehensweisen inakzeptables Gefahrenpotential verbleiben würde. Risikoverminderung beabsichtigt eine geringe Eintrittswahrscheinlichkeit und/oder einen geringen Schadensumfang im Eintrittsfall. Risikostreuung bedeutet eine Verteilung der Risiken, z.b. eine Verteilung von Aktien auf unterschiedliche Unternehmen bei Kapitalanlagen. Risikoverlagerung kann durch Vertragsbedingungen, z.b. Verlagerung der Risiken auf Lieferanten, Unterauftragnehmer usw. erreicht werden Risikoversicherung ist eine sichere aber auch sehr teuere Form der Risikohandhabung. Durch hohe Selbstbeteiligung können Versicherungsleistungen zu günstigeren Prämien auf Großschäden begrenzt werden. Risikoübernahme/Risikoakzeptanz heißt, das Unternehmen akzeptiert das bestehende Risiko und trägt die Schäden der verbleibenden Risiken im Eintrittsfall. Quelle: [ Mayr, S ] 20

21 Risikoüberwachung 21 Aktivitäten der Risikoverfolgung sind: Vorbeugung: zeitnahe, offene Kommunikation horizontal wie vertikal Planung von Gegenmaßnahmen im negativen Fall Dokumentieren der Symptome, die das Eintreten des Risikos ankündigen geeignete Visualisierung von Projektrisiken, damit sie allen betroffenen Mitarbeitern sichtbar werden Kontrolle: regelmäßige Verfolgung des Projektfortschritts (Terminüberwachung) zu festgelegten Zeitpunkten personelle und finanzielle Aufwandskontrolle regelmäßige Berichterstattung der für die Maßnahme Verantwortlichen Erkennen möglicher Veränderungen von Risikosituationen Aufzeigen von Sachverhalten, die Schadenshöhe und Eintrittswahrscheinlichkeit verändern Behandlung: Abbruch der eingeleiteten Maßnahmen im positiven Fall eventuell Initiieren von Notfallmaßnahmen

22 Schritte des Risikomanagements 22 Risiko-Bewertung Risiko- Identifikation Risiko- Analyse Risiko- Priorisierung Risiko-Beherrschung Risiko- Vorsorgeplanung Risiko- Überwindung Risiko- Überwachung Risiko-Techniken Checklisten Vergleich mit Erfahrungen Zerlegung Leistungsmodelle Kostenmodelle Analyse der Qualitätsanforderungen Risiko-Faktoren bestimmen Risiko-Wirkung bestimmen Reduktion zusammengesetzter Risiken Kaufen von Informationen Risiko-Vermeidung o. Verringerung Risikoelement-Planung(Vorsorgepläne) Risikoplan-Integration Prototypen Simulationen Leistungstests Analysen Mitarbeiter Verfolgung der Top 10-Risiken Verfolgung der Meilensteine Risiko-Neueinschätzung Korrigierende Aktionen Quelle: [ Balzert, S ]

23 Top 10 Elemente der Risiko-Analyse (1) Risikoelement 1 Personelle Defizite Risikomanagement-Techniken Hochtalentierte Mitarbeiter einstellen Teams zusammenstellen 23 2 Unrealistische Terminund Kostenvorgaben 3 Entwicklung von falschen Funktionen und Eigenschaften Detaillierte Kosten- und Zeitschätzung mit mehreren Methoden Produkt an Kostenvorgaben orientieren Inkrementelle Entwicklung Wiederverwendung von Software Anforderungen streichen Benutzerbeteiligung Prototypen Frühzeitiges Benutzerhandbuch 4 Entwicklung der falschen Benutzungsschnittstelle 5 Vergolden (über das Ziel hinausschießen) Quellen: [ Mayr, S.172 ], [ Balzert, S. 179] Prototypen Aufgabenanalyse Benutzerbeteiligung Anforderungen streichen Prototypen Kosten/Nutzen-Analyse Entwicklung an den Kosten orientieren

24 Top 10 Elemente der Risiko-Analyse (2) 24 Risikoelement 6 Kontinuierliche Anforderungsänderungen 7 Defizite bei extern gelieferten Komponenten Risikomanagement-Techniken Hohe Änderungsschwelle Imkrementelle Entwicklung (Änderungen auf spätere Erweiterungen verschieben) Leistungstest Inspektionen Kompatibilitätsanalyse 8 Defizite bei extern erledigten Aufträgen Prototypen Frühzeitige Überprüfung Verträge auf Erfolgsbasis 9 Defizite in der Echtzeitleistung 10 Überfordern der Softwaretechnik Quellen: [ Mayr, S.172 ], [ Balzert, S. 179] Simulation Leistungstest Modellierung Technische Analyse Kosten/Nutzen-Analyse Prototypen Prototypen Instrumentierung Tuning

25 9.3 Planung von Gegenmaßnahmen Softwaremanagement, Prof. Uwe Aßmann 25

26 Risiko-Versicherung Datenträger-Versicherung (DTV) Versichert das Nichtfunktionieren der Datensicherung. Wiedereingabe der Daten, z. B für Wiedereingabe von 1MByte. Wiederbeschaffung der Software und Daten. Folgeschäden sind nicht versichert 26 Folgende Schäden werden ersetzt: falsches oder zerstörtes Backup Störung oder Ausfall der DV-Anlage, der DFÜ, Stromvers., Klimaanl. Bedienungsfehler (falsche DT, falsche Befehlseingabe) Vorsatz Dritter (Sabotage, Progr.- oder Datenmanipulation, Hacker, Viren, Einbruch) Über- oder Unterspannung, elektrostat. Aufladung, elektromagn. Störung höhere Gewalt (Blitz, Hochwasser, Brand,...) Anbieter: Versicherungskonzerne wie Unister GELD.de GmbH Leipzig Gerling-Konzern (Versich.-Beteiligungsgesellschaft (Holding) in > 30 Ländern)

27 Beispiel Versicherungsarten (1) Elektronikversicherung am Bsp. einer großen Versich. (500 MA, 18 Standorte) Versicherungsarten: 1. Sachversicherung SV Ersatz zum Nennwert der Anlage (Schaden durch Einwirkung von außen) Erweiterung: Leihgerät während Reparatur Datenträgervers. DTV wie bei 1., ohne auswechselbare DT hier: Materialwert + Reko der Daten u. Progr. ==>! versichert ist das Nichtfunktionieren der eigenen Datensicherung 3. Softwarevers. SWV DT-Versicherung ist in Softwareversicherung enthalten ABE = Allg. Bedingungen für Elektronikvers. Bei Verlust /Veränderung auch ohne Sachschaden. Bsp.: DFÜ, Bedienfehler, Viren, Manipulation Dritter. Leistung: Kosten der Wiederherstellung

28 Beispiel Versicherungsarten (2) 28 noch: Elektronikversicherung am Bsp. einer großen Versichung Versicherungsarten: 4. Versicherung ext. Netze 5a) Mehrkostenvers. MKV 5b) Elektronik-Betriebsunterbrech.- versicherung ELBU Mehrkosten für ein Ausweichkonzept (Anmietung, Gebäude, Personal u.a.), max. 1 Jahr für Folgeschäden eines sachschadenbedingten Ausfalls =>wenn Ausweichmaßn. nicht möglich, für entgangenen Gewinn u. fortl. Kosten

29 Risiko-Management im V-Modell XT 29 Vorgehensbaustein Projektmanagement Aktivität Risiken managen vorbeugend, in periodisch kurzen Schritten Risiken identifizieren, bewerten, Maßnahmen planen, Risiken überwachen und Wirksamkeit der Maßnahmen verfolgen. Produkt Risikoliste Es werden die identifizierten Risiken ermittelt sie werden fortgeschrieben und verwaltet die geplanten Gegenmaßn. festgehalten. Für die Risikoliste ist der PL verantwortlich Quelle: V-Modell XT Dokumentation; URL:

30 Kritikalitätsklassen für Risiken 30 Kritikalität hoch niedrig keine Art des Fehlverhaltens (für administrative Informationssysteme) Fehlverhalten macht sensitive Daten für unberechtigte Personen zugänglich oder verhindert administrative Vorgänge (z. B. Gehaltsauszahlung, Mittelzuweisung) oder führt zu Fehlentscheidungen infolge fehlerhafter Daten Fehlverhalten verhindert Zugang zu Informationen, die regelmäßig benötigt werden Fehlverhalten beeinträchtigt die zugesicherten Eigenschaften nicht wesentlich Kritikalität hoch mittel niedrig keine Quelle: [ Balzert, S. 296 ] Art des Fehlverhaltens (für technische Systeme) Fehlverhalten kann zum Verlust von Menschenleben führen Fehlverhalten kann die Gesundheit von Menschen gefährden oder zur Zerstörung von Sachgütern führen Fehlverhalten kann zur Beschädigung von Sachgütern führen, ohne jedoch Menschen zu gefährden Fehlverhalten gefährdet weder die Gesundheit von Menschen noch Sachgüter

31 Werkzeuge zur Risikobehandlung 31 Die meisten Werkzeuge haben sich aus firmeninternen Vorgehensweisen zur Behandlung des Risikomanagements entwickelt Werkzeuge sind ähnlich zu Anforderungsmanagementsystemen oder Bugtracking-Systemen zu sehen Risikopläne (einfache Dokumente) Risikodatenbanken (verteiltes Risikomanagement) Erweiterung von Projektmanagement-Werkzeugen um Komponenten zur Risikoanalyse und überwachung. z.b. Microsoft Project erweitert um Weitere sind enthalten in der Übersicht:

32 9.4.Erstellung eines IT- Sicherheitskonzeptes Es ex. ein BSI IT-Grundschutzhandbuch im Auftrag des BSI erarbeitet, zur Erstellung von IT-Sicherheitskonzepten Softwaremanagement, Prof. Uwe Aßmann 32

33 IT-Sicherheit (1) 33 zur IT-Sicherheitskonzeption: (BSI = Bundesamt für Sicherheit in der Informationstechnik) 1. Ermittlung der Schutzbedürftigkeit Schaden für das Unternehmen durch Vertraulichkeits- und Integritätsverlust 2. Bedrohungsanalyse Hardware, Software, Datenträger ==> Szenarien durchspielen, Sicherheitslücken im Schwachstellenkatalog beschreiben 3. Risikoanalyse Mängel in der Absicherung wie Internetzugänge, Standleitungen usw. Abschottungen zwischen Unternehmenszweigen bzw. kritischen Bereichen wie Geschäftsführung, Forschungsabteilungen, Buchhaltung oder Personalwesen. Bedrohungspotentiale unterteilen in tragbare und nicht tragbare Risiken, Schadenshöhe und Eintrittswahrscheinlichkeit bewerten ==> Risikomatrix 4. Erstellung des Sicherheitskonzeptes technische und organisatorische Maßnahmen, die die Risiken auf ein tolerierbares Niveau reduzieren, Auflistung von Restrisiken

34 Grundbedrohungen 34 a) Verlust der Verfügbarkeit (des IT-Systems, von Inf. bzw. Daten) b) Verlust der Integrität (Modifizierung von Programmen und Daten nur durch Befugte, ordnungsgemäße Verarbeitung und Übertragung) c) Verlust der Vertraulichkeit (von Informationen/Daten, Programmen, z. B. bei geheimzuhaltenden Verfahren) Bedrohungen setzen an Objekten an und können über Objekte Schaden anrichten, also Schutz der Objekte gegen Bedrohungen.

35 Sicherheitsgrundfunktionen zur Sicherung gegen Grundbedrohungen 35 Identifikation und Authentisierung Rechteverwaltung und -prüfung Beweissicherung (gegen Missbrauch von Rechten) Fehlerüberbrückung und Gewährleistung der Funktionalität (Verfügbarkeit des Systems oder spezieller Funktionen, z. B. bei Gefährdung von Menschen: Luftverkehr, Kraftwerke,...) Übertragungssicherung (Anforderungen an Kommunikationspartner, Übertragungswege, Vorgang der Übertragung,...)

36 IT-Sicherheit - Objektgruppen 36 Infrastruktur IT-Räume, Aufbewahrungsräume Stromversorgung, Klima, Zutrittskontrolle, Feuerschutz,... Materielle Hardware Benutzerterminal, wechselbare Speicher Objekte Nutzerzugang,... Datenträger Ur-Versionen, Anwendungs-Software, Sicherungskopien,... Paperware Bedienungsanleitungen, Betriebsvorschr. für Normalbetrieb und Notfall, Protokollausdruck, Anw.-Ausdruck Logische Software Anw.-Software, Betriebssystem-SW, Objekte Anw.-Daten Zusatz-Software Eingabe, Verarbeitung, Speicherung, Ausgabe, Aufbewahrung Kommunikation Dienstleistungsdaten (Nutzer-), Netzsteuerungsdaten Personelle Personen betriebsnotwendige Personen, Objekte überwachende Personen, Hilfspersonal

37 Risiken der Risikoanalyse 37 zu 3): Risiken unterschätzt: Schaden tritt ein Risiken überschätzt: Vermeidbare Kosten; Verlust von Chancen Risiken richtig eingeschätzt: Nutzen nicht beweisbar nachlassendes Risikobewusstsein

38 Erstellung IT-Sicherheitskonzept zu 4): Erstellung des Sicherheitskonzeptes a) Auswahl von Maßnahmen b) Bewertung der Maßnahmen c) Kosten-/Nutzen-Betrachtung d) Restrisikoanalyse 38 a) Maßnahmenbereiche: - Infrastruktur: Bauliche und infrastrukturelle Maßnahmen (Gelände, Gebäude, Fenster, Türen, Decken,...) - Organisation: Regelung von Abläufen und Verfahren Einsatz eines IT-Sicherheitsbeauftragten - Personal: Schulung, Motivation, Sanktionen,... - Hardware/ Identifikation und Authentisierung, Software: Zugriffskontrolle, Beweissicherung Wiederaufbereitung, Übertragungssicherheit

39 Erstellung IT-Sicherheitskonzept 39 a) Maßnahmenbereiche - Kommunikations- z. B. Verschlüsselungsverfahren zur technik: Wahrung von Integrität und Vertraulichkeit - Abstrahlschutz: gegen missbräuchlichen Gewinn von Informationen - Notfallvorsorge: Wiederherstellung der Betriebsfähigkeit nach Ausfall - Versicherungen: - von Hardware (Elektronik-Sachversicherung) - für Datenträger - gegen Folgeschäden von Betriebsunterbrechungen - für die betriebliche Haftpflicht - für den Rechtsschutz u. a.

40 Erstellung IT-Sicherheitskonzept b) Bewertung der Maßnahmen: - Beschreibung des Zusammenwirkens der Maßnahmen - Überprüfung der Auswirkungen auf den Betrieb des IT-Systems - Überprüfung auf Vereinbarkeit mit Vorschriften (A-Recht, Datenschutz) - Bewertung der Wirksamkeit der Maßnahmen 40 c) Kosten/Nutzen: - Kosten der Maßnahmen - Verhältnis Kosten/Nutzen andere Maßnahmen? d) Restrisikoanalyse: - sind die Restrisiken tragbar? evtl. zurück zu a)

41 IT-Sicherheitskonzept 41 Ergebnis: IT-Sicherheitskonzept mit - Ordnung der Maßnahmen mit Prioritäten - personeller Verantwortung - Zeitplan zur Realisierung der Maßnahmen - Hinweisen zur Überprüfung auf Einhaltung der Maßnahmen - Zeitpunkt zur Überprüfung des IT-Sicherheitskonzepts

42 IT-Sicherheitsprozess 42 Beispiel zur Organisation in einer kleinen und einer mittelgroßen Organisation

43 Gemeinsame Kriterien 43 (Prüfung und Bewertung der Sicherheit von Informationstechnik) Common Criteria for Information Technology Security Evaluation (CC), Version 3.1", 2/2007 (weltweit anerkannter Standard) für die Bewertung der Sicherheitseigenschaften der informationstechnischen Produkte und Systeme CC-Dokumentation gegliedert: Teil 1: Einführung und allgemeines Modell Teil 2: Funktionale Sicherheitsanforderungen Teil 2: Anhang Teil 3: Anforderungen an die Vertrauenswürdigkeit Quelle:

44 BSI-Sicherheitszertifikat 44 Die europäischen Sicherheitskriterien ( I nformation T echnology S ecurity E valuation C riteria ITSEC ) = Grundlage für die Prüfung der Vertrauenswürdigkeit von IT-Produkten (Korrektheit u. Wirksamkeit der Sicherheitsfunktionen wie Authentisierung, Zugriffskontrolle und Übertragungssicherung). Die Sicherheitsfunktionen wirken gegen folgende drei Grundbedrohungen: Verlust der Vertraulichkeit Integrität Verfügbarkeit Der Zertifizierungsreport enthält neben dem Sicherheitszertifikat einen Bericht, in dem Details der Prüfung und Zertifizierung veröffentlicht werden. (Sicherheitseigenschaften des IT- Produkts, abzuwehrende Bedrohungen, Anforderungen an Installation und Einsatzumgebung, Maßnahmen gegen inhärente Schwachstellen.)

45 The End 45

Def.: Projekt Verspätung Verlust

Def.: Projekt Verspätung Verlust A Def.: Quelle: [ 1, S. 84 88 ] Projekt Verspätung Verlust Deutsches Mautsystem Toll Collect Abbruch nach 2 Jahren rd. 2,2 Milliarden YOU -Projekt von Bank Vontobel Abbruch nach 2 Jahren CHF 256 Millionen

Mehr

Grundlagen des Software Engineering

Grundlagen des Software Engineering Grundlagen des Software Engineering Teil 1: SW-Management Fachrichtung Wirtschaftsinformatik FB Berufsakademie der FHW Berlin Prof. Dr. Gert Faustmann Motivation des Risikomanagements Ungefähr 80 Prozent

Mehr

10. Risiko-Management

10. Risiko-Management 10. Risiko-Management Prof. Dr. rer. nat. habil. Uwe Aßmann Lehrstuhl Softwaretechnologie Fakultät Informatik TU Dresden Version 1.1,Juni 07 A Softwaremanagement, Prof. Uwe Aßmann 1 Referenzierte Literatur

Mehr

Software Engineering. Risikomanagement in der Softwareentwicklung

Software Engineering. Risikomanagement in der Softwareentwicklung Software Engineering Risikomanagement in der Softwareentwicklung Die Inhalte der Vorlesung wurden primär auf Basis der jeweils angegebenen Literatur erstellt. Darüber hinaus finden sich ausgewählte Beispiele

Mehr

Professionelles Projektmanagement in der Praxis

Professionelles Projektmanagement in der Praxis Professionelles Projektmanagement in der Praxis Veranstaltung 3 Teil 3 (23.05.2005): Projektrisikomanagement SS 2005 1 Agenda Alle Projekte beinhalten Risiken Definition des Risikobegriffes Kategorien

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG Der Risiko-Check IT Risiken systematisch identifizieren und bewerten Stuttgart, 26.02.2010 Seite 1 AXA Versicherung AG Inhalt 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen 2. Der Risiko-Check

Mehr

Was bedeutet eigentlich der Begriff Risiko?

Was bedeutet eigentlich der Begriff Risiko? Riskmanagement Mehrdad Madjdi Was bedeutet eigentlich der Begriff Risiko? Risiko: Maß für die Gefährdung, die von einer Bedrohung ausgeht. Es setzt sich aus der Eintrittshäufigkeit und den möglichen Auswirkungen

Mehr

Kapitel 1 Hilfsmittel zur Projektplanung

Kapitel 1 Hilfsmittel zur Projektplanung Kapitel Hilfsmittel zur Projektplanung Wolf Zimmermann Softwaretechnik in der Praxis Inhalt e Kennenlernen und Praktizieren von Projektplanung Wichtigste Projektplanungshilfsmittel kennenlernen Bewusstsein

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

IT-Sicherheit kompakt und verständlich

IT-Sicherheit kompakt und verständlich Bernhard C.Witt IT-Sicherheit kompakt und verständlich Eine praxisorientierte Einführung Mit 80 Abbildungen vieweg Inhaltsverzeichnis -- Grundlagen der IT-Sicherheit 1 1.1 Übersicht 1 1.1.1 Gewährleistung

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme 2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27 Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition

Mehr

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement Riskikomanagement No risk, no fun? No risk, no project! Risikomanagement 1 Ein paar Fragen zum Start Was sind Risiken? Wie gehen Sie mit Risiken um? Welche Bedeutung hat das Risiko in einem Projekt? Risikomanagement

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008 Auf die Schwachstellen kommt es an! 11. Februar 2008 Was ist Risikomanagement? Gefahr, dass Ziele nicht erreicht werden können Im Alltag Gesundheit Finanzielle Sicherheit Familie Beispiele für Maßnahmen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201. Ausfallwahrscheinlichkeit: Die Ausfallwahrscheinlichkeit Probability of Default (PD) gibt die prozentuale Wahrscheinlichkeit für die Nichterfüllung innerhalb eines Jahr an. Beispiele: Forderungsausfälle,

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.)

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.) Toolset-Info Toolname Synonym Toolart Beschreibung Einsatzgebiet Vorteile Nachteile Management Methodik Effizienz Risiko-Management TS 004 Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools

Mehr

DIE UNSTERBLICHE PARTIE 16.04.2010 2

DIE UNSTERBLICHE PARTIE 16.04.2010 2 Manfred Bublies Dynamisches Risikomanagement am Beispiel des BOS Digitalfunkprojekts in Rheinland-Pfalz Wo 16.04.2010 1 DIE UNSTERBLICHE PARTIE 16.04.2010 2 DEFINITION RISIKOMANAGEMENT Risikomanagement

Mehr

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb:

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb: Wissen schafft Erfolg und Kompetenz in der Altenpflege 2015 Herbert Müller Orga - Schwerte Qualitätsmanagement Beschwerde / Verbesserungs management Qualitätssicherung Qualitätsmanagement Fehlermanagement

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Risikomanagement? Ein Fall für die AEMP?

Risikomanagement? Ein Fall für die AEMP? Risikomanagement? Ein Fall für die AEMP? ÖGSV Fachtagung 2015 Thea Enko 1 Überblick Begriffe Beitrag einer AEMP zum Risikomanagement eines Unternehmens Regelwerke Systematische Anwendungsmöglichkeiten

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

www.inventool.de Risiko-Management (070) Risiko-Management

www.inventool.de Risiko-Management (070) Risiko-Management Management (070) Management Grundanliegen Management (RM 0) Management ist der kontinuierliche Prozess der Identifizierung, Analyse und Bewertung von inneren und äußeren Risiken und dem Ableiten geeigneter

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Risikomanagement ORTIS

Risikomanagement ORTIS Die österreichische Schneiakademie 16.09.2008 Risikomanagement ORTIS alps Zentrum für Naturgefahrenund Risikomanagement Andrew Moran Agenda I Einleitende Präsentation Einführung in die Thematik Risikomanagement

Mehr

Projektrisiken analysieren

Projektrisiken analysieren Projektrisiken analysieren Compendio: Kapitel 5, Seiten 78-90 15.06.2013 SWE-IPM 1 Inhalt Risiko Management Prozess Risiko-Bewusstsein Chancen und Gefahren gehören zusammen Typische Projektrisiken Risiken

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Innovative Elektronikversicherung für Rechenzentren

Innovative Elektronikversicherung für Rechenzentren Innovative Elektronikversicherung für Rechenzentren Seite 1 Inhalt Welche Auswirkungen haben Risiken auf Rechenzentren? Versicherung und ganzheitliches Risikomanagement Welche Versicherungsmöglichkeiten

Mehr

HERZLICH WILLKOMMEN 26.06.2013. Risikomanagement für KMU Grundlagen und konkrete Beispiele. Warum Risikomanagement?

HERZLICH WILLKOMMEN 26.06.2013. Risikomanagement für KMU Grundlagen und konkrete Beispiele. Warum Risikomanagement? HERZLICH WILLKOMMEN Grundlagen und konkrete Beispiele Warum Risikomanagement 1. Risiken frühzeitig erfassen, erkennen, abschätzen. geeignete Vorsorge- und Sicherungsmaßnahmen einleiten. Balance zwischen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Haftung von IT-Unternehmen. versus. Deckung von IT-Haftpflichtpolicen

Haftung von IT-Unternehmen. versus. Deckung von IT-Haftpflichtpolicen Haftung von IT-Unternehmen versus Deckung von IT-Haftpflichtpolicen 4. November 2011 www.sodalitas-gmbh.de 1 Haftung des IT-Unternehmens Grundwerte der IT-Sicherheit Vertraulichkeit: Schutz vertraulicher

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Einleitung Risikomanagement nach HTAgil Risikomanagement nach Bärentango Risikomanagement in Wikipedia Vergleich Aufgabe Risikomanagement(Jörg Hofstetter)

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Professionelles Projektmanagement in der Praxis. Veranstaltung 6 Teil 4 (16.06.2003):

Professionelles Projektmanagement in der Praxis. Veranstaltung 6 Teil 4 (16.06.2003): Professionelles Projekt-Management in der Praxis Veranstaltung 6 Teil 4 (16.06.2003): Prof. Dr. Phuoc Tran-Gia, FB Informatik, Prof. Dr. Margit Meyer, FB Wirtschaftswissenschaften, Dr. Harald Wehnes, AOK

Mehr

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Umfrage Risikomanagement Im Sommer 2010 wurde in Zusammenarbeit von Quality Austria und Mag. Hedwig Pintscher eine Umfrage

Mehr

No risk, no fun? Wie Risikomanagement im Projekt teuren Überraschungen vorbeugt

No risk, no fun? Wie Risikomanagement im Projekt teuren Überraschungen vorbeugt No risk, no fun? Wie Risikomanagement im Projekt teuren Überraschungen vorbeugt Tekom RG Mitte 16. März 2010 Isabelle Fleury Fleury & Fleury GbR, www.fleuryfleury.com Isabelle Fleury Studium: Germanistik

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Teil C. Phase der Angebotserstellung - Projektrisiken in der Angebotsphase -

Teil C. Phase der Angebotserstellung - Projektrisiken in der Angebotsphase - Teil C Phase der Angebotserstellung - Projektrisiken in der Angebotsphase - 3 Grundlagen Risikoidentifikation und Risikosteuerung 21 3 Grundlagen Risikoidentifikation und Risikosteuerung Nach der Entscheidung

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 Smart Compliance Solutions Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke)

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Klinisches Risikomanagement. Klaus Kugel Qualitätsmanager Klinischer Risikomanager Auditor

Klinisches Risikomanagement. Klaus Kugel Qualitätsmanager Klinischer Risikomanager Auditor Klinisches Risikomanagement Klaus Kugel Qualitätsmanager Klinischer Risikomanager Auditor Klinisches Risikomanagement Begriffe: Never events Vorfälle, die unter Einhaltung einfacher Strategien nahezu gänzlich

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2013 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2013 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2013 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken Risikomanagement 1 Gründe, warum Projekte fehlschlagen Projektergebnis wird nicht mehr benötigt Zeitrahmen des Projektes wurde überschritten Projektkosten übersteigen die Planung Nicht vorhersehbare technische

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Risikomanagement Risikomanagement in Projekten

Risikomanagement Risikomanagement in Projekten AVIATION Division Risikomanagement Risikomanagement in Projekten Quality Manager AVIATION Division Stephan Riechmann Agenda Einführung und Begriffe Risikobeurteilung Risiko-Identifizierung Risikoeinschätzung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT Service Management - Praxis

IT Service Management - Praxis IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.5 (05.11.2013) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der Themengruppe: IT Service

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr