9. Risiko-Management. 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "9. Risiko-Management. 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit"

Transkript

1 9. Risiko-Management Prof. Dr. rer. nat. habil. Uwe Aßmann Lehrstuhl Softwaretechnologie Fakultät Informatik TU Dresden Juni 09 A 1) Grundlagen 2) Risikomanagement- Prozess 3) Gegenmaßnahmen 4) IT-Sicherheit Softwaremanagement, Prof. Uwe Aßmann 1

2 Referenzierte Literatur 2 Balzert, H. : Lehrbuch der SW-Technik; Bd 2 Spektrum- Verlag 2001 Wallmüller, E.: Risikomanagement für IT- und Software-Projekte; Hanser Verlag 2004

3 9.1 Grundlagen Softwaremanagement, Prof. Uwe Aßmann 3

4 Misserfolge internationaler Großprojekte 4 Projekt Verspätung Verlust Deutsches Mautsystem Toll Collect Abbruch nach 2 Jahren rd. 2,2 Milliarden YOU -Projekt von Bank Vontobel California PKW-Zulassung American Airlines Autovermietung Denver Flughafen Gepäckverteilung US Bundesfinanzamt Steuer London, Elektronische Börse London, Krankenwagenleitsystem Quelle: [Wallmüller, E.] Abbruch nach 2 Jahren 3 Jahre 7 Jahre 2 Jahre 8 Jahre 12 Jahre 5 Jahre CHF 256 Millionen $ 54 Millionen $ 165 Millionen $ 750 Millionen $ 1600 Millionen 800 Millionen 12 Millionen und der Verlust von 46 Menschenleben

5 Projektrisiken Def.: Unter dem Projektrisiko wird die Höhe des Schadens verstanden, den ein Unternehmen erleidet, wenn die Projektziele nicht erreicht werden. 5 Das Gesamtrisiko lässt sich in Teilrisiken zerlegen. Eventuelle Folgen davon können sein: Quelle: [ 1, S. 88ff ] Der Auftraggeber oder der Kunde ist nicht zufrieden, Es werden zusätzliche Ressourcen benötigt, Die Wirtschaftlichkeit erweist sich niedriger als erwartet (Nutzen zu gering, Kosten höher), Das Produkt weist Mängel auf, Termine (Zeitplanung) nicht einzuhalten (Zeitrisiko!), Die Motivation aller Beteiligten sinkt.

6 Teilrisiken eines Projekts 6 Projektteam- Umwelt Projektabwicklungsinstrumente PM- Funktionen Organisation Quelle: [ 1, S. 89 ] Personen

7 Arten von Projektrisiken 7 Einführungsrisiko Entwicklungsrisiken Applikationsrisiko Materialzulieferungsrisiko Projektleitungsrisiko Projektrisiken Managementrisiken Planungsrisiko Informations- und Kommunikationsrisiko Quelle: [ 1, S. 90 ] Soziale Risiken Koordinationsrisiko Motivationsrisiko Politisches Risiko Mitarbeiterrisiko

8 Risiko-Management 8 Def.: Ziel des Software-Risikomanagements ist es, die Wechselbeziehungen zwischen Risiken und Erfolg zu formalisieren und in anwendbare Prinzipien und Praktiken umzusetzen. Aufgabe des Risikomanagements ist es demzufolge Risiken zu identifizieren, sie zu analysieren, sie zu bewerten, sie anzusprechen, ihre Handhabung zu planen und sie zu beseitigen, bevor sie zur Gefahr oder zur Hauptquelle für Überarbeitung werden. Ein Risiko beschreibt die Möglichkeit, dass eine Aktivität oder ein Objekt einen Schaden haben könnte, dessen Folgen ungewiss sind. Ein Risiko ist ein potentielles Problem, das eintreten könnte. Ein Problem kann aus einem Risiko herrühren, das eingetreten ist. Quelle: [ Balzert, S ]

9 Risiko-Management (2) 9 Risikomanagement ist, wenn es überhaupt existiert, meist zufallsbestimmt und basiert häufig auf der Intuition der Betroffenen. Schaffung eines effizienten internen Kontrollsystems einschließlich notwendiger Optimierungen Konzepte der Geschäftsführung sind selten mit gezieltem Risikomanagement auf der operativen Ebene in Projekten oder Organisationen verbunden. Der Überbringer schlechter Nachrichten wird zwar nicht mehr, wie im alten Griechenland, umgebracht, aber immer noch nicht ernst genommen. Risikomanagement ist ein Mittel der Prävention. Risikomanagement setzt in der Praxis meist erst ein, wenn Risiken aufgrund verursachter Schäden augenfällig werden, d.h. materialisiert sind. Wir sprechen im Falle der eigentlichen Intervention (Schadenbegrenzung, Schadenbehebung) von Problem- bzw. Krisenmanagement. Risikobewusstsein und Risikotransparenz verbessern.

10 Ziele des Risiko-Managements Analyse Potenzielle Gefährdungssituationen möglichst frühzeitig erkennen und erfassen; systematisch Risikoursachen identifizieren; Bewertung wo Risiken sind, sind auch Chancen; Risiken einschätzen und bewerten, um geeignetes Umgehen mit Risiken festzulegen Behandlung Risiken kommunizieren und allen Beteiligten bewusst machen; Risikobehandlung durchführen Kontrolle Risiken in ihrer Entwicklung verfolgen; Risiken eingrenzen und als bewusste Steuerungsgröße des Managements verwenden; Hilfsmittel zur Erkennung, Bewertung und Steuerung der Risiken (Frühwarnsysteme, Score Cards, Risk Controls) bereitstellen und nutzen. 10

11 Erfolgsfaktoren des Risikomanagements 11 Kontinuierliche Verbesserung - Effektiver Geschäftsrisiko- u. Beurteilungsprozess - Effektive Risikomanagement Leistungsbeurteilung - Good Practices des Risikomanagements Sinnvolle Frameworks - Gemeinsame Risikosprache - Methodik zur Risikomessung - RM Informationssystem Klare Führung - Involvierung der Geschäftsführung - Klare Risikopolitik - Effektive Organsationsstruktur Vorbildliches Engagement - Jeder Manager ist verantwortlich - Engagement ist verankert in der Unternehmenskultur [Wallmüller, E. S. 29]

12 Beispiel eines Risikoszenarios Elemente von Riskoszenarien: Risikofaktor: Merkmal mit Wahrscheinlichkeit für negatives Eintretens des Ereignisses Risikoereignis repräsentiert das Eintreten des negativen Vorfalls Risikoreaktion: Aktion, die bei Eintreten des Ereignisse ausgeführt wird Risikoeffekt beschreibt Auswirkungen des Risikoereignisses 12 Ereignis Reaktion Datenbankprodukt ändern Effekte Zeitverzögerung: 2 Monate Kostenerhöhung: 50 KEuro Faktor Datenbankrelease in der Betatestphase Datenbank nicht rechtzeitig verfügbar Ereignis Probleme bei der Datenbankintegration Reaktion Projektverzögerung akzeptieren Reaktion Datenbankexperten anfordern Effekte Zeitverzögerung: 3 Monate Imageverlust Effekte Kostenerhöhung: 20 KEuro Quelle: [Wallmüller, E. S. 9]

13 9.2 Risikomanagement-Prozess Softwaremanagement, Prof. Uwe Aßmann 13

14 Risikomanagement von Projekten (Risiko als Abweichung von Erwartungen) Ansatzpunkte: - Projektfinanzierung - Angebotserstellung - Kostenplanung und -kontrolle - Projektsteuerung Kategorien der Handhabung: - Risiken, die sich ausschließen lassen (bzw. abwälzen auf Dritte) - Risiken, die sich versichern lassen (Kosten-/ Nutzenanalyse) - Risiken, für die Risikovorsorgen zu bilden sind (bewusst eingegangen) Grundfunktionen: - Risikoanalyse und -bewertung, Selektion, ==> Risikokatalog - Maßnahmen zur Risikobewältigung - bewusstes Eingehen und Verkraften von Risiken Risikodokumentation: - Kurzbeschreibung - mögliche technische Ausprägungen - Alternativen - Randbedingungen, die zum Eintreten des Risikos führen können - Auswirkungen auf andere Bereiche des Projektes - zeitliche Lage des Risikos im Projekt - terminliche Auswirkungen 14

15 Unternehmensweiter RM-Prozess 15 Risikoidentifikation Identifizierung und Erfassung von Risiken/Risikoursachen Risikoanalyse/-bewertung Wie wahrscheinlich ist das Eintreten der Risiken, und welche Folgen ergeben sich? Risikoüberwachung laufende Berichterstattung und Überwachung der Risiken und Risikosteuerungsmaßnahmen [Wallmüller, E. S. 18] Risikohandhabung Maßnahmen und Mechanismen zur Risikobeeinflussung

16 Risikoidentifikation 16 Für sicherheitsrelevante Prozesse und deren Informationswerte ist eine systematische Identifizierung des bestehenden Risikopotentials vorzunehmen. Mögliche Techniken und Vorgehensweisen der Risikoidentifikation sind: Szenariotechnik (Use Case, CRC-Karten) Brainstorming Strukturierte Interviews(Walkthroughs)/Umfragen Workshops(Reviews) Checklisten Fragebögen Fehlerbaumanalyse Auswertung Planungs- und Controlling-Unterlagen Analyse von Prozessabläufen mit Flussdiagrammen, Sequenzdiagrammen u. ä. Fehlermöglichkeits- und Einflussanalyse (FMEA) Benchmarking Risiken werden in Risikokatalogen oder -datenbanken abgelegt

17 Risikoanalyse/-bewertung 17 Expertenbefragung: Risikodefinition + Risikodiskussion + Risikobewertung (Zeit, Kosten) Eintrittswahrsch.keit gibt an, mit welcher Wkt. in % ein Risikofall eintritt Bewertung in Geld: Schadenshöhe (welchen Schaden wird das Risiko verursachen?) Termin-, Fortschritts-, technische, Qualitäts-, kaufmännische Risiken, usw. Geld Risikoprioritätszahl ergibt sich aus Risikofaktor = Eintrittswkt. x Schadenshöhe

18 Risikoselektion mit Portfolio-Analyse 18 Risikoselektion erfolgt mit Hilfe einer Matrix aus Eintrittswahrscheinlichkeit und Geld Risikofaktor ist die Fläche zwischen dem Ursprung und dem Punkt Eintrittswahrscheinlichkeit x4 x1 x2 x3 x1 und x2 u. U. vernachlässigen x3 besonders beachten x4 Vorsorge treffen Geld, Schadenshöhe, Intensität der Auswirkung

19 Risikoreduktion Formale Betrachtung (nach Barry W. Boehm) [Lichtenberg, G., S. 123] 19 Nutzen der Risiko-Reduktion (RRN): RRN = (RFv - RFn) : RRK RFv: Risikofaktor vor den Maßnahmen zur Reduzierung RFn: Risikofaktor nach diesen Maßnahmen RRK: Risiko-Reduktionskosten Bsp.: Schnittstellenfehler mit 30% Wahrscheinlichkeit würde Kosten von 1 M verursachen a) Senkung der Wahrscheinlichkeit auf 10% durch ein SS-Prüfprogramm von b) Senkung auf 5% durch ausgiebigen Test der Schnittstelle, Kosten = RRN(a) = ( 1 M * 0,3-1 M * 0,1 ) : = 10 RRN(b) = ( 1 M * 0,3-1 M * 0,05) : = 1,25

20 Risikohandhabung Auf Unternehmensebene gibt es folgende Möglichkeiten der Risikohandhabung (risk management) : Risikovermeidung ist kostenintensiv und wird nur praktiziert, wenn bei anderen Vorgehensweisen inakzeptables Gefahrenpotential verbleiben würde. Risikoverminderung beabsichtigt eine geringe Eintrittswahrscheinlichkeit und/oder einen geringen Schadensumfang im Eintrittsfall. Risikostreuung bedeutet eine Verteilung der Risiken, z.b. eine Verteilung von Aktien auf unterschiedliche Unternehmen bei Kapitalanlagen. Risikoverlagerung kann durch Vertragsbedingungen, z.b. Verlagerung der Risiken auf Lieferanten, Unterauftragnehmer usw. erreicht werden Risikoversicherung ist eine sichere aber auch sehr teuere Form der Risikohandhabung. Durch hohe Selbstbeteiligung können Versicherungsleistungen zu günstigeren Prämien auf Großschäden begrenzt werden. Risikoübernahme/Risikoakzeptanz heißt, das Unternehmen akzeptiert das bestehende Risiko und trägt die Schäden der verbleibenden Risiken im Eintrittsfall. Quelle: [ Mayr, S ] 20

21 Risikoüberwachung 21 Aktivitäten der Risikoverfolgung sind: Vorbeugung: zeitnahe, offene Kommunikation horizontal wie vertikal Planung von Gegenmaßnahmen im negativen Fall Dokumentieren der Symptome, die das Eintreten des Risikos ankündigen geeignete Visualisierung von Projektrisiken, damit sie allen betroffenen Mitarbeitern sichtbar werden Kontrolle: regelmäßige Verfolgung des Projektfortschritts (Terminüberwachung) zu festgelegten Zeitpunkten personelle und finanzielle Aufwandskontrolle regelmäßige Berichterstattung der für die Maßnahme Verantwortlichen Erkennen möglicher Veränderungen von Risikosituationen Aufzeigen von Sachverhalten, die Schadenshöhe und Eintrittswahrscheinlichkeit verändern Behandlung: Abbruch der eingeleiteten Maßnahmen im positiven Fall eventuell Initiieren von Notfallmaßnahmen

22 Schritte des Risikomanagements 22 Risiko-Bewertung Risiko- Identifikation Risiko- Analyse Risiko- Priorisierung Risiko-Beherrschung Risiko- Vorsorgeplanung Risiko- Überwindung Risiko- Überwachung Risiko-Techniken Checklisten Vergleich mit Erfahrungen Zerlegung Leistungsmodelle Kostenmodelle Analyse der Qualitätsanforderungen Risiko-Faktoren bestimmen Risiko-Wirkung bestimmen Reduktion zusammengesetzter Risiken Kaufen von Informationen Risiko-Vermeidung o. Verringerung Risikoelement-Planung(Vorsorgepläne) Risikoplan-Integration Prototypen Simulationen Leistungstests Analysen Mitarbeiter Verfolgung der Top 10-Risiken Verfolgung der Meilensteine Risiko-Neueinschätzung Korrigierende Aktionen Quelle: [ Balzert, S ]

23 Top 10 Elemente der Risiko-Analyse (1) Risikoelement 1 Personelle Defizite Risikomanagement-Techniken Hochtalentierte Mitarbeiter einstellen Teams zusammenstellen 23 2 Unrealistische Terminund Kostenvorgaben 3 Entwicklung von falschen Funktionen und Eigenschaften Detaillierte Kosten- und Zeitschätzung mit mehreren Methoden Produkt an Kostenvorgaben orientieren Inkrementelle Entwicklung Wiederverwendung von Software Anforderungen streichen Benutzerbeteiligung Prototypen Frühzeitiges Benutzerhandbuch 4 Entwicklung der falschen Benutzungsschnittstelle 5 Vergolden (über das Ziel hinausschießen) Quellen: [ Mayr, S.172 ], [ Balzert, S. 179] Prototypen Aufgabenanalyse Benutzerbeteiligung Anforderungen streichen Prototypen Kosten/Nutzen-Analyse Entwicklung an den Kosten orientieren

24 Top 10 Elemente der Risiko-Analyse (2) 24 Risikoelement 6 Kontinuierliche Anforderungsänderungen 7 Defizite bei extern gelieferten Komponenten Risikomanagement-Techniken Hohe Änderungsschwelle Imkrementelle Entwicklung (Änderungen auf spätere Erweiterungen verschieben) Leistungstest Inspektionen Kompatibilitätsanalyse 8 Defizite bei extern erledigten Aufträgen Prototypen Frühzeitige Überprüfung Verträge auf Erfolgsbasis 9 Defizite in der Echtzeitleistung 10 Überfordern der Softwaretechnik Quellen: [ Mayr, S.172 ], [ Balzert, S. 179] Simulation Leistungstest Modellierung Technische Analyse Kosten/Nutzen-Analyse Prototypen Prototypen Instrumentierung Tuning

25 9.3 Planung von Gegenmaßnahmen Softwaremanagement, Prof. Uwe Aßmann 25

26 Risiko-Versicherung Datenträger-Versicherung (DTV) Versichert das Nichtfunktionieren der Datensicherung. Wiedereingabe der Daten, z. B für Wiedereingabe von 1MByte. Wiederbeschaffung der Software und Daten. Folgeschäden sind nicht versichert 26 Folgende Schäden werden ersetzt: falsches oder zerstörtes Backup Störung oder Ausfall der DV-Anlage, der DFÜ, Stromvers., Klimaanl. Bedienungsfehler (falsche DT, falsche Befehlseingabe) Vorsatz Dritter (Sabotage, Progr.- oder Datenmanipulation, Hacker, Viren, Einbruch) Über- oder Unterspannung, elektrostat. Aufladung, elektromagn. Störung höhere Gewalt (Blitz, Hochwasser, Brand,...) Anbieter: Versicherungskonzerne wie Unister GELD.de GmbH Leipzig Gerling-Konzern (Versich.-Beteiligungsgesellschaft (Holding) in > 30 Ländern)

27 Beispiel Versicherungsarten (1) Elektronikversicherung am Bsp. einer großen Versich. (500 MA, 18 Standorte) Versicherungsarten: 1. Sachversicherung SV Ersatz zum Nennwert der Anlage (Schaden durch Einwirkung von außen) Erweiterung: Leihgerät während Reparatur Datenträgervers. DTV wie bei 1., ohne auswechselbare DT hier: Materialwert + Reko der Daten u. Progr. ==>! versichert ist das Nichtfunktionieren der eigenen Datensicherung 3. Softwarevers. SWV DT-Versicherung ist in Softwareversicherung enthalten ABE = Allg. Bedingungen für Elektronikvers. Bei Verlust /Veränderung auch ohne Sachschaden. Bsp.: DFÜ, Bedienfehler, Viren, Manipulation Dritter. Leistung: Kosten der Wiederherstellung

28 Beispiel Versicherungsarten (2) 28 noch: Elektronikversicherung am Bsp. einer großen Versichung Versicherungsarten: 4. Versicherung ext. Netze 5a) Mehrkostenvers. MKV 5b) Elektronik-Betriebsunterbrech.- versicherung ELBU Mehrkosten für ein Ausweichkonzept (Anmietung, Gebäude, Personal u.a.), max. 1 Jahr für Folgeschäden eines sachschadenbedingten Ausfalls =>wenn Ausweichmaßn. nicht möglich, für entgangenen Gewinn u. fortl. Kosten

29 Risiko-Management im V-Modell XT 29 Vorgehensbaustein Projektmanagement Aktivität Risiken managen vorbeugend, in periodisch kurzen Schritten Risiken identifizieren, bewerten, Maßnahmen planen, Risiken überwachen und Wirksamkeit der Maßnahmen verfolgen. Produkt Risikoliste Es werden die identifizierten Risiken ermittelt sie werden fortgeschrieben und verwaltet die geplanten Gegenmaßn. festgehalten. Für die Risikoliste ist der PL verantwortlich Quelle: V-Modell XT Dokumentation; URL:

30 Kritikalitätsklassen für Risiken 30 Kritikalität hoch niedrig keine Art des Fehlverhaltens (für administrative Informationssysteme) Fehlverhalten macht sensitive Daten für unberechtigte Personen zugänglich oder verhindert administrative Vorgänge (z. B. Gehaltsauszahlung, Mittelzuweisung) oder führt zu Fehlentscheidungen infolge fehlerhafter Daten Fehlverhalten verhindert Zugang zu Informationen, die regelmäßig benötigt werden Fehlverhalten beeinträchtigt die zugesicherten Eigenschaften nicht wesentlich Kritikalität hoch mittel niedrig keine Quelle: [ Balzert, S. 296 ] Art des Fehlverhaltens (für technische Systeme) Fehlverhalten kann zum Verlust von Menschenleben führen Fehlverhalten kann die Gesundheit von Menschen gefährden oder zur Zerstörung von Sachgütern führen Fehlverhalten kann zur Beschädigung von Sachgütern führen, ohne jedoch Menschen zu gefährden Fehlverhalten gefährdet weder die Gesundheit von Menschen noch Sachgüter

31 Werkzeuge zur Risikobehandlung 31 Die meisten Werkzeuge haben sich aus firmeninternen Vorgehensweisen zur Behandlung des Risikomanagements entwickelt Werkzeuge sind ähnlich zu Anforderungsmanagementsystemen oder Bugtracking-Systemen zu sehen Risikopläne (einfache Dokumente) Risikodatenbanken (verteiltes Risikomanagement) Erweiterung von Projektmanagement-Werkzeugen um Komponenten zur Risikoanalyse und überwachung. z.b. Microsoft Project erweitert um Weitere sind enthalten in der Übersicht:

32 9.4.Erstellung eines IT- Sicherheitskonzeptes Es ex. ein BSI IT-Grundschutzhandbuch im Auftrag des BSI erarbeitet, zur Erstellung von IT-Sicherheitskonzepten Softwaremanagement, Prof. Uwe Aßmann 32

33 IT-Sicherheit (1) 33 zur IT-Sicherheitskonzeption: (BSI = Bundesamt für Sicherheit in der Informationstechnik) 1. Ermittlung der Schutzbedürftigkeit Schaden für das Unternehmen durch Vertraulichkeits- und Integritätsverlust 2. Bedrohungsanalyse Hardware, Software, Datenträger ==> Szenarien durchspielen, Sicherheitslücken im Schwachstellenkatalog beschreiben 3. Risikoanalyse Mängel in der Absicherung wie Internetzugänge, Standleitungen usw. Abschottungen zwischen Unternehmenszweigen bzw. kritischen Bereichen wie Geschäftsführung, Forschungsabteilungen, Buchhaltung oder Personalwesen. Bedrohungspotentiale unterteilen in tragbare und nicht tragbare Risiken, Schadenshöhe und Eintrittswahrscheinlichkeit bewerten ==> Risikomatrix 4. Erstellung des Sicherheitskonzeptes technische und organisatorische Maßnahmen, die die Risiken auf ein tolerierbares Niveau reduzieren, Auflistung von Restrisiken

34 Grundbedrohungen 34 a) Verlust der Verfügbarkeit (des IT-Systems, von Inf. bzw. Daten) b) Verlust der Integrität (Modifizierung von Programmen und Daten nur durch Befugte, ordnungsgemäße Verarbeitung und Übertragung) c) Verlust der Vertraulichkeit (von Informationen/Daten, Programmen, z. B. bei geheimzuhaltenden Verfahren) Bedrohungen setzen an Objekten an und können über Objekte Schaden anrichten, also Schutz der Objekte gegen Bedrohungen.

35 Sicherheitsgrundfunktionen zur Sicherung gegen Grundbedrohungen 35 Identifikation und Authentisierung Rechteverwaltung und -prüfung Beweissicherung (gegen Missbrauch von Rechten) Fehlerüberbrückung und Gewährleistung der Funktionalität (Verfügbarkeit des Systems oder spezieller Funktionen, z. B. bei Gefährdung von Menschen: Luftverkehr, Kraftwerke,...) Übertragungssicherung (Anforderungen an Kommunikationspartner, Übertragungswege, Vorgang der Übertragung,...)

36 IT-Sicherheit - Objektgruppen 36 Infrastruktur IT-Räume, Aufbewahrungsräume Stromversorgung, Klima, Zutrittskontrolle, Feuerschutz,... Materielle Hardware Benutzerterminal, wechselbare Speicher Objekte Nutzerzugang,... Datenträger Ur-Versionen, Anwendungs-Software, Sicherungskopien,... Paperware Bedienungsanleitungen, Betriebsvorschr. für Normalbetrieb und Notfall, Protokollausdruck, Anw.-Ausdruck Logische Software Anw.-Software, Betriebssystem-SW, Objekte Anw.-Daten Zusatz-Software Eingabe, Verarbeitung, Speicherung, Ausgabe, Aufbewahrung Kommunikation Dienstleistungsdaten (Nutzer-), Netzsteuerungsdaten Personelle Personen betriebsnotwendige Personen, Objekte überwachende Personen, Hilfspersonal

37 Risiken der Risikoanalyse 37 zu 3): Risiken unterschätzt: Schaden tritt ein Risiken überschätzt: Vermeidbare Kosten; Verlust von Chancen Risiken richtig eingeschätzt: Nutzen nicht beweisbar nachlassendes Risikobewusstsein

38 Erstellung IT-Sicherheitskonzept zu 4): Erstellung des Sicherheitskonzeptes a) Auswahl von Maßnahmen b) Bewertung der Maßnahmen c) Kosten-/Nutzen-Betrachtung d) Restrisikoanalyse 38 a) Maßnahmenbereiche: - Infrastruktur: Bauliche und infrastrukturelle Maßnahmen (Gelände, Gebäude, Fenster, Türen, Decken,...) - Organisation: Regelung von Abläufen und Verfahren Einsatz eines IT-Sicherheitsbeauftragten - Personal: Schulung, Motivation, Sanktionen,... - Hardware/ Identifikation und Authentisierung, Software: Zugriffskontrolle, Beweissicherung Wiederaufbereitung, Übertragungssicherheit

39 Erstellung IT-Sicherheitskonzept 39 a) Maßnahmenbereiche - Kommunikations- z. B. Verschlüsselungsverfahren zur technik: Wahrung von Integrität und Vertraulichkeit - Abstrahlschutz: gegen missbräuchlichen Gewinn von Informationen - Notfallvorsorge: Wiederherstellung der Betriebsfähigkeit nach Ausfall - Versicherungen: - von Hardware (Elektronik-Sachversicherung) - für Datenträger - gegen Folgeschäden von Betriebsunterbrechungen - für die betriebliche Haftpflicht - für den Rechtsschutz u. a.

40 Erstellung IT-Sicherheitskonzept b) Bewertung der Maßnahmen: - Beschreibung des Zusammenwirkens der Maßnahmen - Überprüfung der Auswirkungen auf den Betrieb des IT-Systems - Überprüfung auf Vereinbarkeit mit Vorschriften (A-Recht, Datenschutz) - Bewertung der Wirksamkeit der Maßnahmen 40 c) Kosten/Nutzen: - Kosten der Maßnahmen - Verhältnis Kosten/Nutzen andere Maßnahmen? d) Restrisikoanalyse: - sind die Restrisiken tragbar? evtl. zurück zu a)

41 IT-Sicherheitskonzept 41 Ergebnis: IT-Sicherheitskonzept mit - Ordnung der Maßnahmen mit Prioritäten - personeller Verantwortung - Zeitplan zur Realisierung der Maßnahmen - Hinweisen zur Überprüfung auf Einhaltung der Maßnahmen - Zeitpunkt zur Überprüfung des IT-Sicherheitskonzepts

42 IT-Sicherheitsprozess 42 Beispiel zur Organisation in einer kleinen und einer mittelgroßen Organisation

43 Gemeinsame Kriterien 43 (Prüfung und Bewertung der Sicherheit von Informationstechnik) Common Criteria for Information Technology Security Evaluation (CC), Version 3.1", 2/2007 (weltweit anerkannter Standard) für die Bewertung der Sicherheitseigenschaften der informationstechnischen Produkte und Systeme CC-Dokumentation gegliedert: Teil 1: Einführung und allgemeines Modell Teil 2: Funktionale Sicherheitsanforderungen Teil 2: Anhang Teil 3: Anforderungen an die Vertrauenswürdigkeit Quelle:

44 BSI-Sicherheitszertifikat 44 Die europäischen Sicherheitskriterien ( I nformation T echnology S ecurity E valuation C riteria ITSEC ) = Grundlage für die Prüfung der Vertrauenswürdigkeit von IT-Produkten (Korrektheit u. Wirksamkeit der Sicherheitsfunktionen wie Authentisierung, Zugriffskontrolle und Übertragungssicherung). Die Sicherheitsfunktionen wirken gegen folgende drei Grundbedrohungen: Verlust der Vertraulichkeit Integrität Verfügbarkeit Der Zertifizierungsreport enthält neben dem Sicherheitszertifikat einen Bericht, in dem Details der Prüfung und Zertifizierung veröffentlicht werden. (Sicherheitseigenschaften des IT- Produkts, abzuwehrende Bedrohungen, Anforderungen an Installation und Einsatzumgebung, Maßnahmen gegen inhärente Schwachstellen.)

45 The End 45

Def.: Projekt Verspätung Verlust

Def.: Projekt Verspätung Verlust A Def.: Quelle: [ 1, S. 84 88 ] Projekt Verspätung Verlust Deutsches Mautsystem Toll Collect Abbruch nach 2 Jahren rd. 2,2 Milliarden YOU -Projekt von Bank Vontobel Abbruch nach 2 Jahren CHF 256 Millionen

Mehr

Software Engineering. Risikomanagement in der Softwareentwicklung

Software Engineering. Risikomanagement in der Softwareentwicklung Software Engineering Risikomanagement in der Softwareentwicklung Die Inhalte der Vorlesung wurden primär auf Basis der jeweils angegebenen Literatur erstellt. Darüber hinaus finden sich ausgewählte Beispiele

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme 2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27 Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition

Mehr

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement Riskikomanagement No risk, no fun? No risk, no project! Risikomanagement 1 Ein paar Fragen zum Start Was sind Risiken? Wie gehen Sie mit Risiken um? Welche Bedeutung hat das Risiko in einem Projekt? Risikomanagement

Mehr

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG Der Risiko-Check IT Risiken systematisch identifizieren und bewerten Stuttgart, 26.02.2010 Seite 1 AXA Versicherung AG Inhalt 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen 2. Der Risiko-Check

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.)

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.) Toolset-Info Toolname Synonym Toolart Beschreibung Einsatzgebiet Vorteile Nachteile Management Methodik Effizienz Risiko-Management TS 004 Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

DIE UNSTERBLICHE PARTIE 16.04.2010 2

DIE UNSTERBLICHE PARTIE 16.04.2010 2 Manfred Bublies Dynamisches Risikomanagement am Beispiel des BOS Digitalfunkprojekts in Rheinland-Pfalz Wo 16.04.2010 1 DIE UNSTERBLICHE PARTIE 16.04.2010 2 DEFINITION RISIKOMANAGEMENT Risikomanagement

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Risikomanagement Risikomanagement in Projekten

Risikomanagement Risikomanagement in Projekten AVIATION Division Risikomanagement Risikomanagement in Projekten Quality Manager AVIATION Division Stephan Riechmann Agenda Einführung und Begriffe Risikobeurteilung Risiko-Identifizierung Risikoeinschätzung

Mehr

Innovative Elektronikversicherung für Rechenzentren

Innovative Elektronikversicherung für Rechenzentren Innovative Elektronikversicherung für Rechenzentren Seite 1 Inhalt Welche Auswirkungen haben Risiken auf Rechenzentren? Versicherung und ganzheitliches Risikomanagement Welche Versicherungsmöglichkeiten

Mehr

Projektrisiken analysieren

Projektrisiken analysieren Projektrisiken analysieren Compendio: Kapitel 5, Seiten 78-90 15.06.2013 SWE-IPM 1 Inhalt Risiko Management Prozess Risiko-Bewusstsein Chancen und Gefahren gehören zusammen Typische Projektrisiken Risiken

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Risikomanagement in Projekten - Konzepte und Methoden. Dr. Ulrich Stremmel, Allianz Deutschland AG

Risikomanagement in Projekten - Konzepte und Methoden. Dr. Ulrich Stremmel, Allianz Deutschland AG - Konzepte und Methoden Dr. Ulrich Stremmel, Allianz Deutschland AG Inhalt 1 Motivation: Warum Risikomanagement? 2 Begriffe: Was ist Risikomanagement? 3 Kontext: Projektmanagement und Risiko 4 Methoden

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Management großer Softwareprojekte

Management großer Softwareprojekte Management großer Softwareprojekte Prof. Dr. Holger Schlingloff Humboldt-Universität zu Berlin, Institut für Informatik Fraunhofer Institut für Rechnerarchitektur und Softwaretechnik FIRST H. Schlingloff,

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Projektmanagement. Risikomanagement

Projektmanagement. Risikomanagement Projektmanagement Risikomanagement Was ist ein Risiko? Ein Risiko ist ein ungewolltes problembehaftetes Ereignis (Krise), das mit einer gewissen Wahrscheinlichkeit eintreten kann und eine Auswirkung auf

Mehr

Risikomanagement ORTIS

Risikomanagement ORTIS Die österreichische Schneiakademie 16.09.2008 Risikomanagement ORTIS alps Zentrum für Naturgefahrenund Risikomanagement Andrew Moran Agenda I Einleitende Präsentation Einführung in die Thematik Risikomanagement

Mehr

Risikomanagement im Bevölkerungsschutz

Risikomanagement im Bevölkerungsschutz Risikomanagement im Bevölkerungsschutz Grundlage für eine fähigkeitsbasierte Planung Workshop Grenzüberschreitende Unterstützungsleistung 08.10.2014 Bregenz, Vorarlberg BBK-II.1-1 - Agenda 2 2 1. Rahmenbedingungen

Mehr

Haftung von IT-Unternehmen. versus. Deckung von IT-Haftpflichtpolicen

Haftung von IT-Unternehmen. versus. Deckung von IT-Haftpflichtpolicen Haftung von IT-Unternehmen versus Deckung von IT-Haftpflichtpolicen 4. November 2011 www.sodalitas-gmbh.de 1 Haftung des IT-Unternehmens Grundwerte der IT-Sicherheit Vertraulichkeit: Schutz vertraulicher

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

RISIKO- UND CHANCENMANAGEMENT

RISIKO- UND CHANCENMANAGEMENT ernest WALLMÜLLER MIT S SUCCES DRIVER E ANALYS RISIKO- UND CHANCENMANAGEMENT FÜR IT- UND SOFTWARE-PROJEKTE EIN LEITFADEN FÜR DIE UMSETZUNG IN DER PRAXIS 2. Auflage Im Internet: Downloads unter www.itq.ch

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Einleitung Risikomanagement nach HTAgil Risikomanagement nach Bärentango Risikomanagement in Wikipedia Vergleich Aufgabe Risikomanagement(Jörg Hofstetter)

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2015 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2015 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2015 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Vorlesung Projektmanagement und Teamorganisation

Vorlesung Projektmanagement und Teamorganisation Vorlesung Projektmanagement und Teamorganisation Dr. Bernhard Schätz Leopold-Franzens Universität Innsbruck Sommersemester 2003 B.Schätz - Projektmanagement 1 Übersicht 1. Übersicht 2. Projektmanagement

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

Risikomanagement - erwarte das Unerwartete

Risikomanagement - erwarte das Unerwartete embedded SOFTWARE ENGINEERING www.elektronikpraxis.de Wissen. Impulse. Kontakte. Februar 2011 Risikomanagement - erwarte das Unerwartete Jedes Projekt ist mit Risiken behaftet. Sie zu ignorieren ist allerdings

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT Service Management - Praxis

IT Service Management - Praxis IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.5 (05.11.2013) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der Themengruppe: IT Service

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Risikomanagement Begriffe, Grundlagen, Definitionen

Risikomanagement Begriffe, Grundlagen, Definitionen Risikomanagement Begriffe, Grundlagen, Definitionen Rudolpho Duab_pixelio.de Laumat.at Juristen, Sachverständige, Anrainer, Nutzer, Politik, Beamte, Sachfragen, Vermutungen, Präferenzen, Tricks, Interessen,

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Der IT Security Manager

Der IT Security Manager Der IT Security Manager Klaus Schmidt ISBN 3-446-40490-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40490-2 sowie im Buchhandel Vorwort...XI Über den Autor...XII

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Risikomanagement in Projekten

Risikomanagement in Projekten >>> Risikomanagement - Die Grundlagen Risikomanagement in Projekten Vorwort In unserem Newsletter haben wir bereits einen kurzen Einblick in die Grundlagen und Methoden des Risikomanagement in Projekten

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Risikomanagement im Software-Engineering

Risikomanagement im Software-Engineering Lehrstuhl für Betriebswirtschaftslehre Prof. Wildeman Technische Universität München Dipl.-Kfm. Andreas Schramke TÜV Informatik Service GmbH Manfred Schneider Ulrike Villinger Günter Wilhelm Interdisziplinäres

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Prozesse des Risikomanagements

Prozesse des Risikomanagements RESSOURCEN NUTZEN WERTE SCHAFFEN Prozesse des Risikomanagements Produkt- und Projektrisiken mit PLM managen Christian Kind, Pumacy Technologies AG IHK + TU Berlin Prozessorientiertes Risikomanagement 06.11.2014

Mehr

Themengruppe: IT Service Management - Praxis

Themengruppe: IT Service Management - Praxis Themengruppe: IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.6 (25.02.2014) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der swissict

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Elektronikversicherung für Rechenzentren. Seite 1 AXA Versicherung AG - Dipl.-Ing. Werner Blödorn

Elektronikversicherung für Rechenzentren. Seite 1 AXA Versicherung AG - Dipl.-Ing. Werner Blödorn Elektronikversicherung für Rechenzentren Seite 1 Inhalt Welche Auswirkungen haben Risiken auf Rechenzentren? Versicherung und ganzheitliches Risikomanagement Welche Versicherungsmöglichkeiten gibt es?

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Gefahren für die IT-Sicherheit lauern insbesondere intern!

Gefahren für die IT-Sicherheit lauern insbesondere intern! Gefahren für die IT-Sicherheit lauern insbesondere intern! Probleme erkennen, Probleme bannen: IT-Sicherheit effizient und kostengünstig herstellen Bochum, 21. April 2005 Internet: www.uimc.de Nützenberger

Mehr

Quick-Step-Sicherheitsanalyse für Industrie 4.0-Vorhaben Dr. Patrik Gröhn exceet secure solutions

Quick-Step-Sicherheitsanalyse für Industrie 4.0-Vorhaben Dr. Patrik Gröhn exceet secure solutions TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT-Workshop "Industrial Security" 2015 München, 11.06.2015 Quick-Step-Sicherheitsanalyse für Industrie 4.0-Vorhaben Dr. Patrik Gröhn exceet secure solutions

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Versicherung von IT-/Cyber-Risiken in der Produktion

Versicherung von IT-/Cyber-Risiken in der Produktion Versicherung von IT-/Cyber-Risiken in der Produktion Themenwerkstatt Produktion der Zukunft Bochum, 24.06.2015 Dirk Kalinowski AXA Versicherung AG Beispiele Betriebsunterbrechung im Chemiewerk Was war

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Risikomanagement im Eventbusiness

Risikomanagement im Eventbusiness Der Autor: Horst Harrant ist Inhaber der Firma PMH Projektmanagement Services. Seit 2002 ist er freiberuflich als Projektmanagement-Trainer und Berater tätig. Sein Aufgabenschwerpunkt umfasst die Bereiche

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Smart Grid: Problembereiche und Lösungssystematik

Smart Grid: Problembereiche und Lösungssystematik Smart Grid: Problembereiche und Lösungssystematik Claudia Eckert Fraunhofer-Institut AISEC, München VDE/GI-Forum: Informationssicherheit im Stromnetz der Zukunft. 14.3.2014 IKT ist das Nervensystem des

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Ihr unabhängiger Partner für Operatives Risikomanagement. Unternehmenspräsentation GrECo JLT Risk Consulting GmbH

Ihr unabhängiger Partner für Operatives Risikomanagement. Unternehmenspräsentation GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Unternehmenspräsentation GrECo JLT Risk Consulting GmbH Über GrECo JLT Risk Consulting Eigenständige Gesellschaft zur unabhängigen risikotechnischen

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Risiko-Management. Inhalt

Risiko-Management. Inhalt Inhalt Risikomanagement in Projekten FMEA (Fehler-Möglichkeits- und Einflussanalyse) ISO 31000:2009 Risk management Principles and guidelines k-d. wienand 1 (in Projekten) (Management of Risk [M_o_R])

Mehr