Institut für Sicherheit im E-Business (ISEB)

Transkript

1 Institut für Sicherheit im E-Business (ISEB) Nr. 27 Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung Jochen Wiedemann Bochum, Oktober 2007

2

3 Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema Sicherheit im E-Business entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kosten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0) Fax: +49 (0)

4 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN Institut für Sicherheit im E-Business (ISEB), Ruhr- Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

5 Vorwort Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V. genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung an die Ruhr-Universität Bochum fließen neueste wissenschaftliche Erkenntnisse direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für angewandte IT-Sicherheit mbh (GITS Projekt GmbH). Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen Forschungsaktivitäten und Kooperationen mit der Praxis sollen auch die IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden. Mit dem vorliegenden 27. Arbeitsbericht setzt das Institut für Sicherheit im E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstaltungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und Studierenden durchgeführt wurden.

6 Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiedemann * ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschaftsinformatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstützung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von IT-Notfallvorsorge am Beispiel einer TK-Unternehmung. Die vorliegende Untersuchung entwickelt Elemente zur Gestaltung von IT-Notfallvorsorge. Die Notwendigkeit der Erarbeitung derartiger Gestaltungselemente kann aus dem identifizierten Handlungsbedarf in der betrieblichen Praxis abgeleitet werden, der im Arbeitsbericht Nr. 26 des ISEB umfangreich analysiert wurde. Ziel ist der Aufbau eines Gestaltungsmodells für IT-Notfallvorsorge, das in einer späteren Schrift vorgestellt wird. Bochum, Oktober 2007 R. Gabriel K. Rüdiger S. Sowa * Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße Düsseldorf jochen.wiedemann@accenture.com

7 III Abstract Die Analyse der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen Praxis, die im Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB) veröffentlicht wurde, konnte umfangreichen Handlungsbedarf aufzeigen. Der vorliegende Arbeitsbericht greift diesen Handlungsbedarf auf und entwickelt Gestaltungselemente, die zur Erreichung einer angemessenen IT-Notfallvorsorge genutzt werden können. Die Untersuchung orientiert sich beispielhaft an der Geschäftsprozessarchitektur einer TK-Unternehmung, um einzelne Aspekte in einem praktischen Anwendungsbezug zu konkretisieren. Neben einer Untersuchung der IT-Abhängigkeit von Geschäftsprozessen werden dazu interne sowie externe Einflussfaktoren für die Gestaltung von IT-Notfallvorsorge analysiert. Anschließend werden mit Hilfe eines quantitativen Modells zur ökonomischen Bewertung von Folgeschäden bei IT-Ausfall und einer Untersuchung potenzieller Notfallszenarien weitere Gestaltungselemente erarbeitet. Der Arbeitsbericht schließt mit einer umfassenden Analyse von unterschiedlichen Alternativen der IT-Risikosteuerung im spezifischen Kontext der IT-Notfallvorsorge. Die Nutzung der erarbeiteten Gestaltungselemente kann die effiziente Erreichung von effektiver IT-Notfallvorsorge unter besonderer Berücksichtigung ökonomischer Aspekte unterstützen. Offen bleibt die aufbau- und ablauforganisatorische Zusammenführung dieser Elemente in einem Gestaltungsmodell für IT-Notfallvorsorge, die in einer weiteren Untersuchung zu erfolgen hat. Keywords Business Continuity Management, Business Impact Analyse, Disaster Recovery, Folgeschadenanalyse, Hot/Warm/Cold Standby, IT-Notfallvorsorge, IT-Risikosteuerung, Kundenwert, Notfallszenarien, Telekommunikationsmarkt

8 IV

9 V Inhaltsverzeichnis VORWORT... I ABSTRACT... III ABBILDUNGSVERZEICHNIS... IX TABELLENVERZEICHNIS... XI ABKÜRZUNGSVERZEICHNIS...XIII 1 EINLEITUNG DIE TK-UNTERNEHMUNG ALS BEISPIELHAFTES UNTERSUCHUNGSOBJEKT EINFÜHRUNG IN DAS LEISTUNGSANGEBOT UND DIE MARKT- UND WETTBEWERBSSITUATION VON TK-UNTERNEHMUNGEN EINORDNUNG UND BEDEUTUNG DER IT EINER TK-UNTERNEHMUNG IM KONTEXT DER NOTFALLVORSORGE GESCHÄFTSPROZESSE EINER BEISPIELHAFTEN TK-UNTERNEHMUNG UNTERSUCHUNGSRAHMEN DER GESCHÄFTSPROZESSE IM KONTEXT DER IT-NOTFALLVORSORGE GEGENSTAND UND STRUKTUR DER ANALYSE ANHAND EINES ILLUSTRATIVEN BEISPIELS LEITFRAGEN UND DEREN BEISPIELHAFTE BEANTWORTUNG Unterstützung durch IT Unterstützung durch Personal Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern Umsatzabhängigkeit KRITISCHE WÜRDIGUNG DES UNTERSUCHUNGSRAHMENS...26

10 VI 4 INTERNE UND EXTERNE EINFLUSSFAKTOREN BEI DER GESTALTUNG DER IT-NOTFALLVORSORGE UNTERNEHMUNGSINTERNE UND -EXTERNE EINFLUSSFAKTOREN KONKRETISIERUNG BESONDERS RELEVANTER EINFLUSSFAKTOREN AM BEISPIEL EINER TK-UNTERNEHMUNG MODELL ZUR FOLGESCHADENANALYSE FÜR DIE BEWERTUNG DER ÖKONOMISCHEN AUSWIRKUNG BEI IT-AUSFALL METHODIK DES MODELLS ZUR FOLGESCHADENANALYSE VORGELAGERTE STRUKTURIERUNG VON SCHADENSPHASEN STUFE 1: ABLEITUNG VON SCHADENSDIMENSIONEN ANHAND EINES BEISPIELHAFTEN GESCHÄFTSPROZESSES STUFE 2: AUFSTELLUNG EINES BEWERTUNGSMODELLS ANHAND EINES BEISPIELHAFTEN GESCHÄFTSPROZESSES STUFE 3: DURCHFÜHRUNG DER BEWERTUNG ANHAND EINES BEISPIELHAFTEN GESCHÄFTSPROZESSES Schadensdimension Mehrarbeit Schadensdimension Zusatzpersonal Schadensdimension Verlust eines einzelnen Umsatzes Schadensdimension Verlust von Nutzungsentgelten Schadensdimension Kundenverlust Zusammenfassende Betrachtung der Schadensdimensionen KRITISCHE WÜRDIGUNG DES MODELLS ZUR FOLGESCHADENANALYSE...60

11 VII 6 UNTERSUCHUNG UND BEWERTUNG MÖGLICHER NOTFALLSZENARIEN AGGREGATION VON NOTFALLSZENARIEN ANHAND DER GEFÄHRDUNGSKATALOGE INNERHALB DES IT-GRUNDSCHUTZES WEITERE STRUKTURIERUNG DER NOTFALLSZENARIEN ABLEITUNG MÖGLICHER KLASSEN VON NOTFALLDAUERN ZUSAMMENFASSENDE BEWERTUNG UND BESONDERHEITEN DER IDENTIFIZIERTEN NOTFALLSZENARIEN ALTERNATIVEN DER IT-RISIKOSTEUERUNG UND DEREN BEWERTUNG AKTIVE IT-RISIKOSTEUERUNG Risikovermeidung und deren Bewertung im Kontext der IT-Notfallvorsorge Risikominderung und deren Bewertung im Kontext der IT-Notfallvorsorge Risikobegrenzung und deren Bewertung im Kontext der IT-Notfallvorsorge PASSIVE IT-RISIKOSTEUERUNG Risikoversicherung und deren Bewertung im Kontext der IT-Notfallvorsorge Risikotragung und deren Bewertung im Kontext der IT-Notfallvorsorge Risikoakzeptanz und deren Bewertung im Kontext der IT-Notfallvorsorge Überblicksdarstellung der Handlungsmöglichkeiten KRITISCHE WÜRDIGUNG DER ALTERNATIVEN DER IT-RISIKOSTEUERUNG ZUSAMMENFASSUNG LITERATURVERZEICHNIS... XV

12 VIII

13 IX Abbildungsverzeichnis Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65)...6 Abbildung 2.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66)...12 Abbildung 2.3: Abhängigkeiten des Geschäftsprozesses...13 Abbildung 2.4: Abbildung 3.1: Abbildung 4.1: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8)...14 Arten von Abhängigkeiten zum Geschäftsprozess...20 Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge...30 Abbildung 5.1: Methodik des Modells zur Folgeschadenanalyse...38 Abbildung 5.2: Schadensphasen im Zeitverlauf...40 Abbildung 5.3: Abbildung 5.4: Abbildung 5.5: Abbildung 5.6: Abbildung 5.7: Abbildung 5.8: Abbildung 5.9: Abbildung 5.10: Abbildung 6.1: Abbildung 6.2: Abbildung 6.3: Abbildung 6.4: Systematik von Schadensdimensionen in den Kategorien Umsatzverlust und Kostensteigerung...43 Kumulierter Folgeschaden zur Schadensdimension Mehrarbeit...52 Kumulierter Folgeschaden zur Schadensdimension Zusatzpersonal...53 Kumulierter Folgeschaden zur Schadensdimension Verlust eines einzelnes Umsatzes...54 Kumulierter Folgeschaden zur Schadensdimension Verlust von Nutzungsentgelten...56 Kumulierter Folgeschaden zur Schadensdimension Kundenverlust...58 Kumulierter Gesamt-Folgeschaden je Schadensdimension im Median...59 Kumulierter Gesamt-Folgeschaden (Minimum, Median, Maximum)...60 Notfallszenarien G 1 Höhere Gewalt...64 Notfallszenarien G 3 Menschliche Fehlhandlungen...65 Notfallszenarien G 4 Technisches Versagen...66 Notfallszenarien G 5 Vorsätzliche Handlungen...66

14 X Abbildung 6.5: Abbildung 6.6: Kriterien zur weiteren Strukturierung der Notfallszenarien...67 Klassen von Notfalldauern...69 Abbildung 6.7: Erdbebenrisiko (Quelle: MDR (2006b), S. 1)...73 Abbildung 6.8: Überflutungsrisiko (Quelle: MDR (2006a), S. 1)...74 Abbildung 7.1: Abbildung 7.2: Hebel zur Risikominderung...82 Einordnung der Instrumente in Matrix der Risikosteuerungsoptionen...100

15 XI Tabellenverzeichnis Tabelle 3.1: Tabelle 3.2: Tabelle 3.3: Tabelle 3.4: Tabelle 3.5: Klassifikationsschema für IT-Abhängigkeit...21 Teilprozesse bei Hauptprozess 1.3 Auftragsabwicklung Endkundengeschäft...22 Leitfragen Unterstützung durch IT...23 Leitfragen Unterstützung durch Personal...24 Leitfragen Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern...25 Tabelle 3.6: Leitfragen Umsatzabhängigkeit...26 Tabelle 5.1: Tabelle 5.2: Tabelle 5.3: Tabelle 5.4: Überblick der Schadensphasen...41 Systematik allgemeiner Schadensdimensionen...44 Abhängigkeiten der Schadensdimensionen im Bereich Kostensteigerung...48 Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste...49 Tabelle 5.5: Daten zur Schadensdimension Mehrarbeit...51 Tabelle 5.6: Tabelle 5.7: Tabelle 5.8: Tabelle 5.9: Tabelle 5.10: Daten zur Schadensdimension Zusatzpersonal...53 Daten zur Schadensdimension Verlust eines einzelnen Umsatzes...54 Daten zur Schadensdimension Verlust von Nutzungsentgelten...55 Daten zur Schadensdimension Kundenverlust...57 Folgeschäden pro Tag je Ausfall und Schadensdimension in Tausend Euro...59 Tabelle 6.1: Gefährdungskataloge...64 Tabelle 6.2: Notfallszenarien und deren Wirkung...68 Tabelle 6.3: Tabelle 6.4: Tabelle 7.1: Tabelle 7.2: Qualitative Einschätzung der Notfalldauern...71 Qualitative Einschätzung der Eintrittswahrscheinlichkeit...77 Beispielhafte Maßnahmen zur Risikovermeidung...81 Überblick der Handlungsalternativen...98

16 XII

17 XIII Abkürzungsverzeichnis AGB AKNZ AktG ARPU BaFin BIA BMWA BNA BSI CLV CObIT CRM DOO DR DSL DTAG DV EDV FMEA HP IP Allgemeine Geschäftsbedingungen Akademie für Krisenmanagement, Notfallplanung und Zivilschutz Aktiengesetz Annual Return Per User Bundesanstalt für Finanzdienstleistungsaufsicht Business Impact Analysis Bundesministerium für Wirtschaft und Arbeit Bundesnetzagentur Bundesamt für Sicherheit in der Informationstechnik Customer Lifetime Value Control Objectives for Information and related Technology Customer Relationship Management Degraded Operations Objective Disaster Recovery Digital Subscriber Line Deutsche Telekom AG Datenverarbeitung Elektronische Datenverarbeitung Failure Mode and Effects Analysis Hewlett Packard Internet Protocol

18 XIV IPRI IT ITIL IT-SHB KonTraG KPN MaRisk MORR MTBF MTTF MTTR NFS NGN NRO RPO RTO SFK SOX TAL TKG TÜV USV VoIP International Performance Research Institute Informationstechnik IT Infrastructure Library IT-Sicherheitshandbuch Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Koninklijke PTT Nederland Mindestanforderung für die Umsetzung von Risikomanagement Manufacturing Operations Recovery Resumption Mean Time Between Failure Mean Time To Fail Mean Time To Repair Notfallszenario Next Generation Network Network Recovery Objective Recovery Point Objective Recovery Time Objective Störfallkommission Sarbanes-Oxley Teilnehmeranschlussleitung Telekommunikationsgesetz Technischer Überwachungsverein Unterbrechungsfreie Stromversorgung Voice over IP

19 1 1 Einleitung Je nach Anforderung der Unternehmungsleitung an den maximal vertretbaren Verlust an geschäftskritischen Daten 1 und die Wiederanlaufzeit 2 der IT-Systeme für die Fortführung der Geschäftsprozesse einer Unternehmung während und nach einem IT-Notfall ergibt sich eine hohe Schwankungsbreite der Kosten für präventive und reaktive Vorsorgemaßnahmen. Beispielsweise könnte eine vollständige Redundanz 3 der IT-Systeme an einem Zweitstandort eine sehr hohe IT-Verfügbarkeit gewährleisten. Dies würde jedoch eine signifikante Erhöhung der zugehörigen IT-Betriebskosten nach sich ziehen. 4 Diese Kosten steigen überproportional bei zunehmender Anforderung an o. g. Wiederanlaufzeit bei der Wahl einer rein technischen Lösung zur Erreichung von Systemredundanz. Diese Abhängigkeit zeigt, dass die Entscheidung für technische Maßnahmen einen wesentlichen Kostenfaktor darstellen kann 5 und deshalb alle Möglichkeiten alternativer Steuerungsinstrumente für IT-Risiken betrachtet werden müssen. Die hohe Bedeutung von IT-Notfallvorsorge wird auch im aktuellen Lagebericht zur IT-Sicherheit in Deutschland seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) betont: Das Sicherstellen der Kontinuität von Geschäftsprozessen (Business Continuity) im Krisenfall und die Entwicklung präventiver Maßnahmen zeigt sich deshalb als wesentliche Management-Aufgabe -- schließlich können durch Betriebsausfall gewaltige Kosten entstehen ( ). 6 Auch Takahashi stellt die Notwendigkeit von IT-Notfallvorsorge und deren signifikanten Einfluss auf das 1 Meist als Recovery Point Objective (RPO) bezeichnet. 2 Meist als Recovery To Operations (RTO) bezeichnet. 3 Für eine Darstellung von (formalen) Konzepten für IT-Redundanz für Disaster Recovery vgl. Shao (2004), S. 1380ff. 4 Erfahrungswerte des Autors aus der fünfjährigen Beratungspraxis. 5 Für ein Projektbericht zu Business Continuity bei einem deutschen Finanzdienstleister (WestLB) und die damit verbundene kostenorientierte Gestaltung von IT-Notfallvorsorge vgl. Naujoks (2001), S. 1ff. 6 BSI (2007b), S. 45.

20 2 IT-Budget fest. 7 Nach seiner Untersuchung im Jahr 2006 sehen 43 Prozent der europäischen Unternehmungen den Bereich Security and disaster recovery' als einen der drei wichtigsten Einflussfaktoren auf das IT-Budget 8 in den nächsten Jahren bis 2011 an. Dies wird von Krojnewski/Nagel in einer Studie aus dem Jahre 2006 bestätigt. 9 Nach ihrer Studie bewerten IT-Entscheider die Aktivität Purchasing or upgrading disaster recovery and business continuity capabilities als höchste Priorität innerhalb der IT-Organisation. Damit betonen alle drei angesprochenen Veröffentlichungen sowohl die hohe Bedeutung von IT-Notfallvorsorge durch das Risiko eines ökonomischen Folgeschadens bei IT-Ausfall als auch die potenziell hohen Kosten von umfangreicher IT-Notfallvorsorge. Trotz der hohen Bedeutung zeigt sich jedoch innerhalb der betrieblichen Praxis, dass der Gestaltungsprozess von IT-Notfallvorsorge vielfältigen Schwierigkeiten unterworfen ist. Diese organisatorischen und methodischen Schwierigkeiten wurden vom Autor der vorliegenden Arbeit umfassend untersucht und im Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB) veröffentlicht. 10 Hierbei ließ sich wesentlicher betrieblicher Handlungsbedarf ableiten, der eine Forschungslücke in der Wirtschaftsinformatik darstellt und damit in der vorliegenden Untersuchung aufgegriffen wird. 7 Vgl. Takahashi (2006), S. 4, Umfrage unter 90 europäischen Unternehmungen, mehrfache Nennungen waren möglich. 8 Nach einer Untersuchung in Nordamerika wird etwa 7-9 Prozent des IT-Budgets für IT-Sicherheit aufgewendet. Explizite Angaben für Aufwendungen im Bereich der IT-Notfallvorsorge werden in der Untersuchung nicht angeführt. Vgl. Kark (2007), S. 3f. 9 Vgl. Krojnewski/Nagel (2006), S Vgl. Wiedemann (2007b), S. 76ff.

21 3 Untenstehend wird der identifizierte Handlungsbedarf thesenförmig in fünf Punkten dargestellt. Er dient im Verlauf der weiteren Arbeit als Gestaltungsgrundlage: 1. In der betrieblichen Praxis besitzen IT-Systeme eine hohe Komplexität, viele Abhängigkeiten und werden örtlich verteilt eingesetzt. Dies beeinflusst wesentlich den Aufwand einer umfassenden IT-Risikobewertung und beschränkt dadurch deren praktische Anwendungsmöglichkeiten. 2. Die hohe Dynamik (i. S. e. Modifikationsrate) betrieblicher IT-Systeme führt zu einem ständigen Anpassungsbedarf der Risikobewertung durch sich verändernde Abhängigkeiten und die Nutzung unterschiedlicher Technologien. 3. Die betriebliche Anwendbarkeit quantitativer (statistischer) Methoden zur Risikobewertung ist eingeschränkt durch eine ungenügend vorhandene Datengrundlage zur Bewertung der Eintrittswahrscheinlichkeiten, insbesondere für seltene Ereignisse mit hoher Auswirkung. 4. Studien und Veröffentlichungen zu ökonomischen Auswirkungen bei IT-Ausfall zeigen sehr unterschiedliche Einschätzungen und beschreiben nur unzureichend die zugrunde liegenden Berechnungsmodelle sowie getroffene Annahmen. 5. Offizielle Standards berücksichtigen selten die Möglichkeiten alternativer Instrumente zur IT-Risikosteuerung (z. B. Risikoversicherung) und bieten keine leicht anwendbaren Hilfsmittel, die eine betriebliche Nutzung positiv beeinflussen. Ausgehend von diesem Handlungsbedarf ist das Ziel des vorliegenden Arbeitsberichts die Erarbeitung von Gestaltungselementen zur Vorbereitung eines verbesserten Gestaltungsmodells für IT-Notfallvorsorge, das in einem nächsten Schritt entwickelt wird. Zentrale Elemente der vorliegenden Arbeit sind ein Modell für die quantitative Folgeschadenanalyse bei IT-Ausfall sowie die umfangreiche Untersuchung alternativer Möglichkeiten zur IT-Risikosteuerung, die über o. g. technische Maßnahmen zur Erreichung von Systemredundanz hinausgehen. Die vorliegende Arbeit orientiert sich an folgender Struktur. In Kapitel 2 werden ökonomische Grundlagen der Geschäftsprozessarchitektur einer allgemeinen

22 4 TK-Unternehmung untersucht, die für eine Nutzung als beispielhaftes Untersuchungsobjekt herangezogen wird. Diese beispielhafte Nutzung ermöglicht dabei die Konkretisierung einzelner Gestaltungselemente, um deren Anwendbarkeit in der betrieblichen Praxis zu unterstützen. 11 Anschließend erfolgen in Kapitel 3 bis 7 die Erarbeitung der folgenden Gestaltungselemente: - Analysemodell der Geschäftsprozesse im Kontext der IT-Notfallvorsorge; - Untersuchung der internen und externen Einflussfaktoren bei der Gestaltung von IT-Notfallvorsorge; - Modell zur Folgeschadenanalyse für die Bewertung der ökonomischen Auswirkung bei IT-Ausfall; - Untersuchung und Bewertung möglicher Notfallszenarien; - Bewertung von Alternativen der IT-Risikosteuerung. Aufbauend auf diesen Gestaltungselementen kann in einer nachfolgenden separaten Untersuchung mit Hilfe der Ergebnisse aus dem vorliegenden Arbeitsbericht ein Modell aufgebaut werden, das für die Gestaltung von IT-Notfallvorsorge unter besonderer Berücksichtigung ökonomischer Aspekte genutzt werden kann. 11 Die beispielhafte Anwendung der Gestaltungselemente anhand einer TK-Unternehmung erfolgt dabei in den Kapiteln 3, 4 und 5. Die Kapitel 6 und 7 werden ohne konkreten Unternehmungsbezug bearbeitet, da hier eine TK-spezifische Ausprägung nur begrenzt möglich ist.

23 5 2 Die TK-Unternehmung als beispielhaftes Untersuchungsobjekt Im vorliegenden Kapitel werden zunächst die ökonomischen Grundlagen einer Unternehmung aus der Telekommunikationsbranche (TK-Unternehmung) als Vorbereitung der weiteren Untersuchung erarbeitet. Dazu erfolgt im ersten Schritt eine einführende Darstellung des Leistungsangebots sowie der Markt- und Wettbewerbssituation. Anschließend wird die Bedeutung der IT innerhalb einer TK-Unternehmung analysiert, um diese in den weiteren Untersuchungsrahmen einordnen zu können. Um die Auswahl eines möglichen Untersuchungsaspekts für die spätere beispielhafte Bearbeitung vorzubereiten, werden danach die wertschöpfenden Geschäftsprozesse einer TK-Unternehmung betrachtet und deren grundsätzlicher Bedarf an IT-Notfallvorsorge geprüft. 2.1 Einführung in das Leistungsangebot und die Markt- und Wettbewerbssituation von TK-Unternehmungen Nach der Liberalisierung und Deregulierung 12 des TK-Marktes 13 im Jahre war in Deutschland ein deutliches Marktwachstum auf insgesamt 67,5 Mrd. Euro 12 Zur Entwicklung der Deregulierung der Telekommunikationswirtschaft vgl. Welfens/Jungmittag (2001), S. 33ff.; Die Regulierung der liberalisierten Telekommunikationsmärkte wird in aller Regel als eine temporäre Aufgabe interpretiert: die staatliche Einflussnahme soll nur solange bestehen bleiben, bis der Markt in die Phase eines sich selbst tragenden Wettbewerbs eingetreten ist. Scheele/Kühl (2003), S Der TK-Markt nutzt für die wertschöpfenden Geschäftsprozesse sogenannte Telekommunikationssysteme, die eine spezielle Art von Informationssystemen darstellen und bei denen die Kommunikation über weite Distanzen im Vordergrund steht. Eine mögliche Definition lautet wie folgt: Telekommunikationssystem: = Informationssystem mit einer weiten, eventuell globalen Ausdehnung und mit einem offenen Zugang (i. d. R. Berechtigungsnachweis), bestehend aus den Systemkomponenten Menschen (Benutzer bzw. Teilnehmer), Aufgaben (Anwendungen) und DV-Technologien (Hard- und Softwaretechnologien), die in ihrem Zusammenwirken vielfältige Nutzungsmöglichkeiten der Telekommunikation (Informationsübertragung über (welt)weite Strecken) gewährleisten. Gabriel (1996), S trat das Telekommunikationsgesetz (TKG) in Kraft, das als nationale Regelung für alle TK-Unternehmungen relevant ist, die Netze betreiben und Dienste anbieten, um ihren Kunden Telekommunikation zu ermöglichen, vgl. Lux (2005), S. 158; Lange (2005), S. 138ff.

24 6 Umsatzerlöse im Jahre 2005 zu verzeichnen (vgl. Abbildung 2.1). 15 Dies stellt eine Steigerung um über 50 Prozent verglichen mit den Erlösen von 44,2 Mrd. Euro im Jahr 1998 dar. Die angesprochenen Umsatzerlöse werden momentan durch insgesamt etwa Beschäftige im TK-Markt, davon Mitarbeiter außerhalb der Deutschen Telekom AG (DTAG) erwirtschaftet ,0 Umsatzeröse in Milliarden Euro 70,0 60,0 50,0 40,0 30,0 20,0 10,0 0, Jahr Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65) Im Hinblick auf das Leistungsangebot innerhalb des TK-Marktes lassen sich vier Gruppen von TK-Diensten unterscheiden, die stationär oder mobil 17 angeboten werden können und von Gabriel wie folgt unterschieden werden: 18 - Kommunikationsdienste bieten die Möglichkeit zum Nachrichten- bzw. Informationsaustausch zwischen Teilnehmern; 15 Vgl. Bundesnetzagentur (2006), S Im Rahmen des Personalumbauprogramms von 2005 sollen bis Ende 2008 etwa Mitarbeiter die DTAG verlassen. Vgl. DTAG (2006), S Vor allem die zunehmende Mobilität und Flexibilität im Privat- wie auch Berufsleben führen zu erhöhter Nachfrage von mobilen Informations- und Kommunikationsdiensten, vgl. zu Definitionen und Besonderheiten der mobilen Ökonomie insbesondere Reichwald et al. (2002), 5ff. 18 Vgl. Gabriel (1996), S. 21f.

25 7 - Informationsdienste erlauben einen gezielten Zugriff auf Inhalte in multimedialer Form; - Unterhaltungsdienste stellen eine (interaktive) Zugriffsmöglichkeit auf Fernseh- und Rundfunkprogramme zur Verfügung; - Funktionsdienste bieten die Ausführung bestimmter Funktionen, z. B. Reisebuchungen, Bankgeschäfte. Diese Dienstleistungen werden von Netzbetreibern technologisch unterstützt durch - Telefonnetze mit Digital Subscriber Line (DSL) 19 ; - Mobilfunknetze 20 (zunehmend mit Breitbandmöglichkeit) und - alternative Kanäle wie (rückkanalfähige) Kabelnetze 21, Powerline 22 sowie Satellit. Neben den o. g. Netzbetreibern nehmen sogenannte Wiederverkäufer am Markt teil. 23 Diese vertreiben beispielsweise DSL-Anschlüsse, deren Nutzungsrechte bei der DTAG erworben wurden, unter eigenem Namen und auf eigene Rechnung. 24 Auf dem deutschen TK-Markt herrscht ein starker Wettbewerbsdruck. 25 Speziell die DTAG hat in den letzten Jahren signifikante Herausforderungen beim Ausbau ihres Kundenstamms im Bereich der DSL-Anschlüsse zu verzeichnen. 26 Insbesondere im Segment DSL treten Wettbewerber in den Markt ein, die entweder eine eigene Infrastruktur aufgebaut haben oder die DSL-Netze der DTAG anmieten, um diese 19 Zu den technischen Grundlagen des DSL-basierten Internetzugangs in Deutschland vgl. van der Velden (2007), S. 22ff. 20 Zur Untersuchung von Eigenschaften der mobilen Telekommunikationsindustrie vgl. Gruber (2005), S. 10ff. 21 Vgl. Scheele/Kühl (2003), S. 31ff. 22 Vgl. Scheele/Kühl (2003), S. 35ff. 23 Für eine umfangreiche Einordnung der Teilnehmer am TK-Markt in strategische Gruppen vgl. Gabriel (1996), S. 34ff. 24 Vgl. Immenga (2001), S. 63f. 25 Vgl. Langenfurt (2001), S. 159ff. 26 Der verschärfte Wettbewerb und der technologische Fortschritt führen aktuell zu einem Preisrückgang sowohl im Festnetz als auch im Mobilfunk. Vgl. DTAG (2006), S. 103.

26 8 weiterzuverkaufen und darüber einen Internetzugang anzubieten. 27 Aber auch der Mobilfunkmarkt hat mit einer Penetrationsrate von 100 Prozent (insgesamt 84,3 Mio. Teilnehmer) im dritten Quartal 2006 eine deutschlandweite Durchdringung erreicht. 28 Damit ergibt sich hier gleichfalls ein starker Verdrängungswettbewerb, 29 der eine hohe Leistungs- und Servicequalität an der Endkundenschnittstelle bedingt. 30 Da zudem die Erlöse pro Kunde im Mobilfunk immer weiter sinken, stellen die Anbieter inzwischen verstärkt die langfristige Kundenbindung in den Mittelpunkt ihrer Unternehmungsstrategie. 31 Neben der angespannten Wettbewerbssituation ist der Markt durch ständigen Innovationswandel gekennzeichnet. Dabei lassen sich folgende vor allem technologisch ausgelöste 32 unterschiedliche Trends beobachten: - Die Möglichkeit der Nutzung des Breitbandanschlusses für Voice over IP (VoIP) 33 sowohl im Privat- als auch im Geschäftskundenbereich hat aktuell eine Verschiebung des diesbezüglichen Marktanteils und damit einen Rückgang der Festnetzkommunikation zur Folge. 27 Vgl. van der Velden (2007), S. 112f. 28 Vgl. Bundesnetzagentur (2006), S Ausführungen zu den Anfängen der Telekomkrise im Jahre 2000 und sich daraus ergebender strategischer Perspektiven vgl. Welfens/Jungmittag (2001), S. 60ff. 30 Gaining new customers depends on many factors, including network coverage and quality, customer satisfaction, product offerings and handset range but a key factor is often the pricing of handsets and tariffs. In general, as penetration rates rise in a market, competition intensifies as operators invest more in retaining their existing customers whilst offering incentives to potential new customers. Vodafone (2006), S Unter dem Stichwort Customer Relationship Management (CRM) werden dabei Ansätze subsumiert, die einerseits die Verbundenheit des Kunden mit dem Unternehmen stärken, andererseits aber auch die Gebundenheit des Kunden intensivieren sollen Scheele/Kühl (2003), S Zur Technologieentwicklung im Kontext des Risikomanagements empfiehlt Werners (1993), S. 26. Technologische Entwicklungen sind folglich auch dann zu beurteilen und ihr Einsatz im Unternehmen zu erwägen, wenn keine offensichtlichen Bedingungen ihre Einsatzplanung erfordern. Risikomanagement muss daher ständiger Bestandteil der strategischen Unternehmensplanung und insbesondere der strategischen Technologieplanung sein. 33 Zur Konvergenz von Sprach- und Datendiensten vgl. BMWA (2002), S. 32.