$XWRUHQÃ%UXQRÃ:LHGHUNHKUÃ-RKDQQHVÃ6FKHXULQJÃ 0LWÃ*HQHKPLJXQJÃGHUÃ&RPSHQGLRÃ%LOGXQJVPHGLHQÃ$*Ã &+= ULFKÃ Ã&RPSHQGLRÃ%LOGXQJVPHGLHQÃ$*Ã&+= ULFKÃÃ

Transkript

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lKQWHQ 6RIW XQG +DUGZDUHEH]HLFKQXQJHQ VLQG LQ GHQ PHLVWHQ )loohq DXFK HLQJHWUDJHQH 0DUNHQ XQG XQWHUOLHJHQ DOV VROFKH GHQ JHVHW]OLFKHQ%HVWLPPXQJHQ 7H[W $EELOGXQJHQ XQG 3URJUDPPH ZXUGHQ PLW JUR HU 6RUJIDOW HUDUEHLWHW 9HUODJ hehuvhw]hu XQG $XWRUHQ N QQHQ MHGRFK I U HYHQWXHOO YHUEOLHEHQH IHKOHUKDIWH $QJDEHQ XQG GHUHQ )ROJHQ ZHGHU HLQH MXULVWLVFKH 9HUDQWZRUWXQJ QRFK LUJHQGHLQH +DIWXQJ EHUQHKPHQ 'LHYRUOLHJHQGH3XEOLNDWLRQLVWXUKHEHUUHFKWOLFKJHVFK W]W 2ISIKENEINER)4ç!BTEILUNG BEWIRTSCHAFTEN /IVRTVS^IWWIIMRIWYQJEWWIRHIR 6MWMOSQEREKIQIRX7]WXIQW -'8

2 Inhaltsverzeichnis 3 Inhaltsverzeichnis Über dieses Lehrmittel 5 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe 11 Einleitung, Lernziele und Schlüsselbegriffe 12 1 Externe Rahmenbedingungen Zum Governance-Begriff US-Richtlinien und -Gesetze Regulative aus dem europäischen Raum 16 Wiederholungsfragen 18 2 Interne Rahmenbedingungen und Kontrollmodelle Richtlinien und Weisungen Internes Kontrollsystem Kontrollmodelle 20 Wiederholungsfragen Risiko, Bedrohung und Verletzbarkeit Schaden, Eintrittswahrscheinlichkeit und Schadenausmaß Maßnahmen Risikomanagement Risikomanagement-System 32 Wiederholungsfragen 34 Teil B Risikomanagement-System aufbauen 35 Einleitung, Lernziele und Schlüsselbegriffe 36 4 Zweck und Nutzen des Risikomanagements Zweck des Risikomanagements Nutzen des Risikomanagements 38 Wiederholungsfragen 39 5 Aufbau einer Risikomanagement-Organisation Grundsätze Rollen und Aufgaben Aufbauorganisation Schnittstellen Beziehung zum internen Kontrollsystem Dokumentation 48 Wiederholungsfragen 51 Teil C Kernprozesse des Risikomanagement-Systems 53 Einleitung, Lernziele und Schlüsselbegriffe 54 6 Leitplanken des Risikomanagements Strategische Vorgaben Operative Vorgaben Risikomodell 58 Wiederholungsfragen 62

3 4 Inhaltsverzeichnis 7 Risikoanalyse Risikoanalyse initiieren Untersuchungsbereich ab- und eingrenzen Risiken identifizieren Risiken bewerten 67 Wiederholungsfragen 76 8 Risikobewältigung Risikostrategie festlegen Maßnahmen definieren und auswählen Maßnahmen umsetzen Maßnahmen überprüfen Risiken und Maßnahmen überwachen Risikomanagement als kontinuierlicher Prozess 85 Wiederholungsfragen 88 Teil D Risikomanagement-System betreiben 89 Einleitung, Lernziele und Schlüsselbegriffe 90 9 Information und Kommunikation Prinzip der gegenläufigen Kommunikation Kommunikations-Werkzeuge Ergebnisse der Risikoanalyse präsentieren Berichtswesen 96 Wiederholungsfragen Tools zur Unterstützung des Risikomanagements Auswahlkriterien Werkzeuge für ein unternehmensweites Risikomanagement Werkzeuge für die Risikoanalyse 101 Wiederholungsfragen Monitoring Ziel des Monitorings Aktivitäten und Kontrollziele Techniken, Instrumente und Modelle Erfolgsfaktoren, -indikatoren und -messgrößen 111 Wiederholungsfragen 114 Teil E Anhang 115 Gesamtzusammenfassung 116 Antworten zu den Wiederholungsfragen 127 COBIT-Kontrollmodell im Überblick 136 Bedrohungen und Maßnahmen 148 Glossar 153 Stichwortverzeichnis 158

4 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe 27 Im Folgenden werden Begriffe definiert, die zum Verständnis der Risikosituation und zur Bewirtschaftung von Risiken in der IT-Abteilung von grundlegender Bedeutung sind. 3.1 Risiko, Bedrohung und Verletzbarkeit Ein Risiko ist ein mögliches Ereignis, das ein bestimmtes Objekt bzw. einen bestimmten Prozess betrifft. Generell besteht ein Risiko immer dann, wenn eine Bedrohung auf eine Schwachstelle des Objekts bzw. des Prozesses trifft. In diesem Zusammenhang spricht man auch von einer Verletzbarkeit des Objekts bzw. des Prozesses. Bei Informationssystemen können die Bedrohungen nach folgenden Kategorien geordnet werden IT-Grundbedrohungen: Höhere Gewalt (auch: Elementarereignisse) Organisatorische Mängel Menschliche Fehlhandlungen Vorsätzliche Handlungen Technisches Versagen [3-1] Bedrohungskategorien nach BSI ICT026DUBAde.eps Höhere Gewalt Technisches Versagen Organisatorische Mängel IT Vorsätzliche Handlungen Menschliche Fehlhandlungen Hinweis a Ein Gefährdungskatalog des IT-Grundschutzes nach BSI steht auszugsweise im Anhang zur Verfügung. Vergleichen Sie dazu die S. 148 ff.

5 28 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe Gemäß einer Umfrage [1] bei 300 Unternehmen in der Schweiz, in Deutschland und Österreich sind folgende Bedrohungen (Gefahrenbereiche) von Bedeutung: Rang Gefahrenbereich 1 Irrtum, Nachlässigkeit und andere menschliche Fehler [1] 2 Softwareanomalien (Viren etc.) 3 Softwarefehler 4 Hardwarefehler 5 Höhere Gewalt (Feuer, Wasser etc.) 6 Unbefugte Kenntnisnahme 7 Infodiebstahl, Wirtschaftsspionage 8 Unbeabsichtigte Fehler von externen Personen 9 Manipulation zur Bereicherung 10 Mängel der Dokumentation 11 Sabotage [1] Die meisten menschlichen Fehler betreffen die Dateneingabe sowie Programmier- und Bedienungsfehler. Bei der Beurteilung bezüglich Verletzbarkeit von Informationen sind gemäß COBIT folgende Kriterien in Betracht zu ziehen: Vertraulichkeit (Personaldaten, Kundendaten) Integrität (falsche, gelöschte, manipulierte Geschäftsdaten) Verfügbarkeit (Stammdaten, Bewegungsdaten) Zuverlässigkeit und Verbindlichkeit der Informationen (u. a. Bereitstellung und Einhaltung rechtlicher Erfordernisse) Hinweis a Weitere Kriterien wie Effektivität und Effizienz sind im COBIT-Rahmenwerk enthalten. Vergleichen Sie dazu die Informationskriterien auf S Bezüglich der Verletzbarkeit von Informationen wurden im Rahmen einer internationalen Untersuchung [2] 400 Unternehmensleiter (von KMUs bis zu multinationalen Konzernen) in 30 Ländern auf Betrugsdelikte (Kategorie: vorsätzliche Handlungen) hin befragt. Nachfolgend die Ergebnisse dieser Studie: Resultat der Befragung 50 % der Befragten wurden Betrugsopfer 85 % aller Betrugsfälle wurden von Angestellten begangen 20 % der Betrugsfälle wurden angezeigt und aufgedeckt 40 % der Betrugsfälle wurden aufgedeckt 40 % der Betrugsfälle wurden nicht aufgedeckt Fazit der Studie Mangelnde Prävention (fehlendes Risikobewusstsein?) Uneinheitliche Rechtsprechung (mangelhafte Beweismittel) Mangelnde Log-Informationen (Reporting-Systeme) Aus der Studie geht hervor, dass der Prävention krimineller Handlungen zu wenig Beachtung geschenkt wird. Bei Gerichtsverfahren konnte man nur in 5 % der Fälle auf elektronische Beweismittel zurückgreifen, da es an wirkungsvoller Software, an einheitlich eingesetzten Auswertungsmethoden und internen Reporting-Systemen mangelt. Zudem konnte [1] Studie Kommunikation und EDV Sicherheit (KES-Sicherheitsstudie), [2] Internationale Betrugsstudie von Ernst & Young AG, 2002.

6 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe 29 nachgewiesen werden, dass mit der Zunahme von E-Commerce-Lösungen auch das Betrugsrisiko ansteigt. Der Zusammenhang zwischen Risiko, Bedrohung, Verletzbarkeit lässt sich grafisch wie folgt darstellen: [3-2] Risiken ermitteln ICT026FEBA1de.eps Bedrohung Verletzbarkeit Risiko 3.2 Schaden, Eintrittswahrscheinlichkeit und Schadenausmaß Soll ein Risiko versichert werden, so muss der mögliche Schaden mit einem Geldbetrag angegeben werden. Um die Schäden in der Informatik zu quantifizieren, wurden folgende Kategorien geschaffen. Direkte Schäden (z. B. an Maschinen, Programmen, Datenträgern oder Daten) Indirekte Schäden (z. B. Kosten für die Rekonstruktion von Daten oder Programmen, für die Ersatzbeschaffung von Systemen oder für den Personalaufwand) Folgekosten (z. B. entgangener Gewinn durch einen Betriebsunterbruch, Nichterfüllung von Dienstleistungen bzw. Verträgen, Verspätete oder fehlende Informationen) Um ein Risiko zu quantifizieren, braucht es neben dem bewerteten Schaden auch die Eintrittswahrscheinlichkeit. Diese Größe entspricht der Annahme über die Wahrscheinlichkeit, mit der ein mögliches Ereignis bzw. eine Bedrohung eintritt. Subjektive Gefühle wie Unsicherheit, Angst, etc. stellen für die Beurteilung der Eintrittswahrscheinlichkeit ein taugliches «Frühwarnsystem» dar. Denn ob eine Gefahr in der Luft liegt, wird oft schon wahrgenommen, bevor der effektive Schaden eintritt. Im Zusammenhang mit der Eintrittswahrscheinlichkeit werden grundsätzlich folgende Arten von Wahrscheinlichkeiten unterschieden: Objektive Wahrscheinlichkeit (messbar bzw. kalkulierbar) Subjektive Wahrscheinlichkeit (nicht messbar bzw. geschätzt) Für die Bestimmung der objektiven Eintrittswahrscheinlichkeit wird häufig das Zahlenmaterial einschlägiger Studien und Statistiken herangezogen. Folgende Statistik einer Versicherung weist z. B. die Ursachen für Schäden an Informationssystemen sowie deren Anteile im Verhältnis zu allen gemeldeten Schäden aus: Ursachen für IT-Schäden Anteile in % Überspannung 28,7 Fahrlässigkeit 27,5 Sonstiges 16,5 Diebstahl 8,2 Wasser 7,1 Feuer 6,5 Einbruch / Diebstahl 4,0

7 30 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe Ursachen für IT-Schäden Anteile in % Sabotage 0,9 Sturm 0,6 Total 100 Für die Berechnung des Schadenausmaßes eines Risikos gilt folgende Definition: R = E A (für ein bestimmtes Ereignis) R = Risiko E = Eintrittswahrscheinlichkeit A = Auswirkung pro Ereignis (Schaden in ) Der Zusammenhang zwischen Schaden, Eintrittswahrscheinlichkeit und Schadenausmaß lässt sich grafisch wie folgt darstellen: [3-3] Schadenausmaß berechnen ICT026FEBA2de.eps Eintrittswahrscheinlichkeit Schaden pro Ereignis Schadensausmaß bzw. Kosten für Gegenmaßnahme Das Gesamtrisiko lässt sich anhand der Summe der Einzel- bzw. Teilrisiken ermitteln. Dabei gilt folgende Definition: R = ( E A ) R = Gesamtrisiko ( E A ) = Summe aller Teilrisiken 3.3 Maßnahmen Um Risiken zu vermeiden oder zu vermindern, sind darauf abgestimmte Maßnahmen (auch: Gegenmaßnahmen) notwendig. Für die im COBIT-Kontrollmodell unterschiedenen IT-Ressourcen [1] lassen sich z.b. folgende Maßnahmen festlegen: IT-Ressourcen Personal Anwendungen Technologie Anlagen Daten Mögliche Maßnahmen Information, Kommunikation, Ausbildung/Schulung, Richtlinien/Weisungen Zugriffsprofile, Kennwörter, Transaktionsprotokolle Zugriffsverfahren, Backup, Betriebskontrollen Zutrittsschutz, abschließbare Behältnisse Datenschutz, Datensicherungsprozedere Für die Auswahl geeigneter bzw. angemessener (Standard-)Maßnahmen stehen bereits umfassende Listen zur Verfügung. So veröffentlicht z. B. das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) umfangreiche Maßnahmenkataloge, um [1] Vergleichen Sie dazu die Abbildung 2-1, S. 22.

8 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe 31 den IT-Grundschutz sicherzustellen. Vergleichen Sie dazu das Kapitel «Maßnahmenkataloge nach Schutzbereichen» im Anhang auf S. 150 sowie das Literaturverzeichnis auf S. 8. Der Zusammenhang zwischen den IT-Ressourcen des COBIT-Kontrollmodells und den BSI-Schutzbereichen (Maßnahmenkatalogen) lässt sich wie folgt darstellen: [3-4] Zusammenhang zwischen IT-Ressourcen und BSI-Schutzbereichen ICT026FIBAde.eps Personal Personal Kommunikation Organisation Kommunikation Technologie Organisation Anwendungen Software Hard-/Software Daten Infrastruktur Notfallorganisation Anlagen = IT-Ressourcen nach COBIT = Schutzbereich nach BSI (D) Notfallorganisation Bei der Planung und Realisierung von Maßnahmen nehmen die zu veranschlagenden Gesamtkosten für die betreffende(n) Maßnahme(n) eine wichtige Stellung ein. In der Praxis müssen meist verschiedene mögliche Maßnahmen gegen einander abgewägt und Prioritäten gesetzt werden. Hinweis a Oft wird suggeriert, dass sich mit Hilfe vorbeugender Maßnahmen Risiken vermeiden oder vermindern lassen. Beim näheren Hinsehen gibt es für viele Bedrohungen aber keine wirtschaftlich sinnvolle(n) Präventivmaßnahme(n) auf dem Markt. Die Kosten für eine umfassende Risikoprävention würden in solchen Fällen ins Unermessliche ansteigen. Eine 100 %-ige Risikoprävention ist deshalb nicht realistisch. 3.4 Risikomanagement Das Risikomanagement im Sinne eines Prozesses umfasst alle Aktivitäten zur Bewirtschaftung von Risiken. Wesentlichen Einfluss auf das Risikomanagement geht von der Risikokonzeption aus, die u. a. die Unternehmensziele, die Risikopolitik und die Risikostrategie berücksichtigen muss. Im Rahmen der Risikokonzeption für eine IT-Abteilung werden in erster Linie die zu untersuchenden IT-Prozesse und IT-Ressourcen vom geschäftlichen Umfeld abgegrenzt.

9 32 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe Der grundsätzliche Ablauf im Rahmen des Risikomanagements kann anhand des folgenden Beispiels aufgezeigt werden: Beispiel Die Geschäftsleitung eines Unternehmens ist beunruhigt über die Sicherheitslage des Rechenzentrums. Der IT- Leiter hat die Geschäftsleitung bereits mehrfach auf die sicherheitsspezifischen Bedrohungen aufmerksam gemacht. Im Falle eines Dammbruchs des nahegelegenen Stausees würden z. B. sämtliche Systeme und Netzwerke ausfallen. Unternehmenskritische Daten, aber auch die entsprechenden Räume und Arbeitsplätze, würden nicht mehr zur Verfügung stehen. Der Sicherheitsbeauftragte bekommt den Auftrag, das Krisenmanagement und die Katastrophenvorsorge zu überprüfen und ein angemessenes Sicherheitskonzept zur erstellen. Zunächst erstellt der Sicherheitsbeauftragte zusammen mit den Leitern der betroffenen Geschäftsbereiche eine Liste der bestehenden Risiken (Risikoidentifikation) und untersucht, welche Bedrohung auf eine Verletzbarkeit trifft und wie hoch das Schadenausmaß zu veranschlagen ist (Risikobewertung). Aufgrund der Risikobewertung und der Risikostrategie legt er die notwendigen Maßnahmen fest (Risikomaßnahmen). Den entsprechenden Aktionsplan präsentiert er der Geschäftsleitung als Entscheidungsgrundlage (mit den Verantwortlichkeiten, dem Terminplan und den voraussichtlichen Gesamtkosten). Nachdem die Geschäftsleitung den als notwendig erachteten Maßnahmen zugestimmt hat, geht es darum, die entsprechenden Risiken weiterhin im Auge zu behalten, um die getroffenen Maßnahmen bei Bedarf anzupassen (Risikoüberwachung). Folgende Grafik soll die Einflussfaktoren und den grundsätzlichen Ablauf im Rahmen des Risikomanagements veranschaulichen: [3-5] Einflussfaktoren und Phasen des Risikomanagements ICT026DOBAde.eps Risikopolitik Unternehmensziele Risikokonzeption Risikostrategie Risikoidentifikation Risikoüberwachung Risikoanalyse Risikobewältigung Risikobewertung Risikomaßnahmen 3.5 Risikomanagement-System Unter dem Risikomanagement-System werden alle organisatorischen, technischen, personellen und prozessualen Aspekte verstanden, die ein Unternehmen zur Bewirtschaftung von Risiken einsetzt. Wie Sie bereits in den vorangehenden Kapiteln dieses Lehrmittels

10 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe 33 gesehen haben, üben verschiedene Faktoren einen Einfluss auf die Bewirtschaftung von Risiken aus. Die folgende Grafik soll die wichtigsten Einflussfaktoren in Erinnerung rufen: [3-6] Einflussfaktoren auf das Risikomanagement-System ICT026BUBAde.eps Business- Strategie Gesetzgebung und Verordnungen Kontrollmodelle und Richtlinien RMS Technologie und Werkzeuge Methoden und Standards Organisation Für die effiziente Bewirtschaftung der Risiken einer IT-Abteilung ist es unumgänglich, die entsprechenden Rahmenbedingungen (Richtlinien, Weisungen) im eigenen Geschäftsbereich sowie die Möglichkeiten und Grenzen des eingesetzten Kontrollmodells zu kennen. Bei der Bewirtschaftung von Risiken spielen verschiedene Begriffe eine Rolle, die wie folgt zusammenhängen: Die Bedrohung und die Verletzbarkeit ergeben ein Risiko. Tritt das Risikoereignis ein, so entsteht ein Schaden. Die Eintrittswahrscheinlichkeit und die Schadenhöhe ergeben das zu erwartende Schadenausmaß (Schadenpotenzial). Je nach Schadenpotenzial müssen geeignete Maßnahmen realisiert werden, die das Risiko reduzieren oder eliminieren. Um die aktuelle Risikosituation im IT-Bereich realistisch einschätzen zu können, sind Umfragen und Statistiken über subjektive und objektive Bedrohungen (bzw. Gefährdungen) sehr hilfreich. Für die Auswahl geeigneter Maßnahmen sind Kenntnisse über die einzubeziehenden IT-Ressourcen von großem Vorteil.

11 34 Teil A Rahmenbedingungen, Kontrollmodelle und Grundbegriffe Die Einflussfaktoren und der grundsätzliche Ablauf des Risikomanagements kann wie folgt zusammengefasst werden: Einflussfaktoren und Phasen des Risikomanagements ICT026DOBAde.eps Risikopolitik Unternehmensziele Risikokonzeption Risikostrategie Risikoidentifikation Risikoüberwachung Risikoanalyse Risikobewältigung Risikobewertung Risikomaßnahmen Unter dem Risikomanagement-System werden alle organisatorischen, technischen, personellen und prozessualen Vorkehrungen verstanden, die ein Unternehmen zur Bewirtschaftung von Risiken einsetzt. Wiederholungsfragen 30 Nennen Sie die fünf Kategorien von Grundbedrohungen bei Informationssystemen nach BSI. 36 Welche Bedrohungen müssen im Rahmen der Risikoanalyse bei Informationssystemen berücksichtigt werden? Nennen Sie mindestens vier wesentliche Gefahrenbereiche. 2 Welche Schäden an Informationssystemen haben gemäß Versicherungsstatistik den höchsten Anteil? Nennen Sie mindestens vier wichtige Ursachen. 8 Nennen Sie drei maßgebliche Kriterien, welche die Verletzbarkeit eines Informationssystems beeinflussen können und beschreiben Sie stichwortartig die Ursachen. 13 Nennen Sie die grundsätzlichen Vorgehensweisen im Rahmen des Risikomanagements. 19 Welche Einflussfaktoren sind bei der Gestaltung eines unternehmensweiten Risikomanagement-Systems zu berücksichtigen? Nennen Sie fünf wesentliche Faktoren.