Institut für Sicherheit im E-Business (ISEB)

Institut für Sicherheit im E-Business (ISEB) Nr. 26 Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Jochen Wiedemann Bochum, Juli 2007

Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) www.iseb.ruhr-uni-bochum.de Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema Sicherheit im E-Business entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kosten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D-44780 Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0)234 32 25325 Fax: +49 (0)234 32 14350 klaus.ruediger@ruhr-uni-bochum.de sebastian.sowa@ruhr-uni-bochum.de

Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN 978-3-940412-03-4 Institut für Sicherheit im E-Business (ISEB), Ruhr- Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

Vorwort Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V. genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung an die Ruhr- Universität Bochum fließen neueste wissenschaftliche Erkenntnisse direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für angewandte IT- Sicherheit mbh (GITS Projekt GmbH). Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen Forschungsaktivitäten und Kooperationen mit der Praxis sollen auch die IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden. Mit dem vorliegenden 26. Arbeitsbericht setzt das Institut für Sicherheit im E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstaltungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und Studierenden durchgeführt wurden.

Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiedemann * ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschaftsinformatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstützung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von IT-Notfallvorsorge. Im vorliegenden Bericht untersucht der Autor den Handlungsbedarf in der betrieblichen Praxis im Hinblick auf IT-Notfallvorsorge. Dazu werden organisatorische Aspekte, theoretische Ansätze als auch offizielle Standards dargestellt und ausführlich bewertet. Bochum, Juli 2007 R. Gabriel K. Rüdiger S. Sowa * Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße 20 40221 Düsseldorf jochen.wiedemann@accenture.com

III Abstract Die wertschöpfenden Geschäftsprozesse einer Unternehmung werden zunehmend abhängiger von einer hochverfügbaren Unterstützung durch Informationstechnik (IT). Aus diesem Grund ist der Einsatz präventiver als auch reaktiver Maßnahmen notwendig, um die ökonomische Auswirkung eines IT-Ausfalls zu begrenzen. Dabei kann die Gestaltung dieser Maßnahmen im Rahmen der sogenannten IT- Notfallvorsorge erfolgen, welche in das betriebliche IT-Risikomanagement eingebettet ist. Betrachtet man diese Gestaltung aus dem Blickwinkel der betrieblichen Praxis unter Berücksichtigung relevanter wissenschaftlicher Ansätze, so können erhebliche Problembereiche im Gestaltungsprozess einer betriebswirtschaftlich angemessenen IT- Notfallvorsorge identifiziert werden. Neben organisatorischen Schwierigkeiten und methodischen Einschränkungen bei der IT-Risikobewertung sowie Ansätzen zur Wirtschaftlichkeitsbetrachtung von IT-Sicherheit, bieten auch offizielle Standards (z. B. IT-Grundschutz) keine ausreichende Hilfestellung. Der identifizierte Handlungsbedarf stellt nun einen Ausgangspunkt für die Verbesserung diesbezüglicher Gestaltungsmöglichkeiten dar. Diese Verbesserung sollte im Kontext des o. g. IT-Risikomanagements erfolgen, das den übergeordneten Rahmen vorgibt. Keywords Business Continuity Management, CObIT, Disaster Recovery, IT-Grundschutz, IT Infrastructure Library, IT-Notfallvorsorge, IT-Risikobewertung, IT-Risikomanagement, IT Service Continuity Management, Kontinuitätsmanagement, Wirtschaftlichkeitsbetrachtung

IV

V Inhaltsverzeichnis VORWORT... I ABSTRACT... III ABBILDUNGSVERZEICHNIS... VII TABELLENVERZEICHNIS... IX ABKÜRZUNGSVERZEICHNIS... XI 1 EINLEITUNG... 1 2 IT-NOTFALLVORSORGE INNERHALB DES BETRIEBLICHEN RISIKOMANAGEMENTS... 5 2.1 WERTORIENTIERTES BETRIEBLICHES RISIKOMANAGEMENT...5 2.1.1 Grundlagen des betrieblichen Risikomanagements...5 2.1.1.1 Die Risikodefinition als Ausgangspunkt...6 2.1.1.2 Definitionsansätze zum betrieblichen Risikomanagement...8 2.1.1.3 Ziele und Komponenten des betrieblichen Risikomanagements...9 2.1.1.4 Aktivitäten innerhalb des Risikomanagement- Prozesses...14 2.1.1.5 Institutionelle Aspekte im Risikomanagement...21 2.1.2 Wertorientierung im Risikomanagement und dessen Bedeutung im Kontext der Arbeit...23 2.2 IT-RISIKOMANAGEMENT UND IT-NOTFALLVORSORGE...26 2.2.1 IT-Risikomanagement als Komponente des betrieblichen Risikomanagements...26 2.2.2 IT-Notfallvorsorge als Komponente des IT- Risikomanagements...29 2.3 IT-SICHERHEITSZIELE UND DEREN URSACHE-WIRKUNGSKETTEN...31 2.4 ZUSAMMENFASSUNG UND EINORDNUNG DES BETRIEBLICHEN RISIKOMANAGEMENTS IN DEN UNTERSUCHUNGSGEGENSTAND DER ARBEIT...34 3 ANALYSE DES HANDLUNGSBEDARFS BEI DER GESTALTUNG VON IT-NOTFALLVORSORGE...37 3.1 ORGANISATORISCHE SCHWACHSTELLEN...37 3.1.1 Aufbau- und ablauforganisatorische Untersuchungsziele...37 3.1.2 Aufbauorganisatorische Schwachstellen...38 3.1.3 Ablauforganisatorische Schwachstellen...39

VI 3.2 BESONDERHEITEN DES IT-SYSTEMS...40 3.3 EINSCHRÄNKUNGEN DER METHODISCHEN ANSÄTZE...42 3.3.1 Einschränkungen bei der IT-Risikobewertung...43 3.3.1.1 Einführende Darstellung und Bewertung der Ansätze...43 3.3.1.2 Bewertung der Eintrittswahrscheinlichkeit...46 3.3.1.3 Bewertung der ökonomischen Auswirkung bei IT- Ausfall...48 3.3.2 Einschränkungen offizieller Standards...50 3.3.2.1 Bewertungskriterien...51 3.3.2.2 Darstellung und Bewertung des Prozesses IT Service Continuity Management innerhalb von ITIL...51 3.3.2.3 Darstellung und Bewertung der Vorgaben unter DS 4 Ensure Continuous Service innerhalb CObIT...55 3.3.2.4 Darstellung und Bewertung des Bausteins Notfallvorsorge innerhalb der IT-Grundschutz- Kataloge...60 3.3.2.5 Zusammenfassung der Bewertung...63 3.4 KRITISCHE ANALYSE UNTERSCHIEDLICHER ANSÄTZE ZU WIRTSCHAFTLICHKEITSBETRACHTUNGEN...64 3.4.1 Bewertungskriterien...64 3.4.2 Darstellung und Bewertung der Ansätze im Bereich der IT- Sicherheit 65 3.4.2.1 Darstellung der Ansätze im Bereich IT-Sicherheit...65 3.4.2.2 Zusammenfassende Bewertung der Ansätze...69 3.4.3 Darstellung und Bewertung eines konkreten Ansatzes für eine Wirtschaftlichkeitsbetrachtung bei der Gestaltung von IT-Notfallvorsorge...72 3.4.3.1 Darstellung des Ansatzes...72 3.4.3.2 Bewertung des Ansatzes...75 3.5 THESENFÖRMIGE ZUSAMMENFASSUNG...76 4 ZUSAMMENFASSUNG UND AUSBLICK... 79 LITERATURVERZEICHNIS... XIII

VII Abbildungsverzeichnis ABBILDUNG 1: DIMENSIONEN DES RISIKOBEGRIFFS NACH AUSGANGSFAKTOREN (QUELLE: IN ANLEHNUNG AN JONEN (2006), S. 16FF.)...6 ABBILDUNG 2: ZIELE DES BETRIEBLICHEN RISIKOMANAGEMENTS...10 ABBILDUNG 3: ABBILDUNG 4: ABBILDUNG 5: ABBILDUNG 6: ABBILDUNG 7: ABBILDUNG 8: ABBILDUNG 9: ABBILDUNG 10: ABBILDUNG 11: ABBILDUNG 12: ABBILDUNG 13: ABBILDUNG 14: ABBILDUNG 15: RISIKOBEREICHE NACH BASEL II (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 6)...13 RISIKOBEREICHE BEI DER DEUTSCHEN TELEKOM (QUELLE: IN ANLEHNUNG AN DTAG (2006), S. 103FF.)...14 RISIKOMANAGEMENT-TEILPROZESSE UND AKTIVITÄTEN (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 18FF.)...15 INSTRUMENTE ZUR RISIKOSTEUERUNG (QUELLE: IN ANLEHNUNG AN WOLF (2003), S. 60)...17 IDENTIFIKATIONSMÖGLICHEN FÜR RISIKEN UND DEREN STEUERUNG...20 ORGANISATIONSMODELL FÜR RISIKOMANAGEMENT...22 AUSWIRKUNGEN AUF DEN UNTERNEHMUNGSWERT...25 PROZESS FÜR IT SERVICE (BUSINESS) CONTINUITY MANAGEMENT (QUELLE: IN ANLEHNUNG AN OCG (2001), ABSCHNITT 7.3)...52 ITIL MANAGEMENT-STRUKTUR (QUELLE: OCG (2001), ABSCHNITT 7.4)...54 COBIT-MANAGEMENT PROZESS (QUELLE: IN ANLEHNUNG AN ITGI (2004), S. 24)...56 SCHADENSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 97FF.)...72 INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 146)...73 ZUSAMMENFÜHRUNG VON SCHADENSKURVE UND INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 149F.)...74

VIII

IX Tabellenverzeichnis TABELLE 1: TABELLE 2: TABELLE 3: TABELLE 4: TABELLE 5: TABELLE 6: TABELLE 7: TABELLE 8: TABELLE 9: TABELLE 10: QUALITATIVE BESCHREIBUNG MÖGLICHER RISIKOAUSMAßE (QUELLE: IN ANLEHNUNG AN FIEGE (2005), S. 49)...16 URSACHEN UND MÖGLICHE FOLGEEREIGNISSE BEI DER VERLETZUNG VON IT-SICHERHEITSZIELEN...33 BEISPIEL EINER VERKNÜPFUNG BEI DER ZWEISTUFIGEN QUALITATIVEN RISIKOBEWERTUNG...44 HISTORISCHE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL...49 AKTUELLE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL (QUELLE: IN ANLEHNUNG AN KARK (2007), S. 1)...50 ABBILDUNG AUF RISIKOMANAGEMENT-TEILPROZESSE...53 VERANTWORTLICHKEITEN FÜR DS 4 ENSURE CONTINUOUS SERVICE (QUELLE: ITGI (2004), S. 117)...58 MAßNAHMEEMPFEHLUNGEN AUS DEM BAUSTEIN B 1.3 (QUELLE: BSI (2007A), BAUSTEIN B. 1.3 NOTFALLVORSORGE)...60 ABBILDUNG DER INSTRUMENTE ZUR IT-RISIKOSTEUERUNG AUF DIE MAßNAHMEN IM BAUSTEIN B 1.3 NOTFALLVORSORGE...62 ÜBERBLICK DER ANSÄTZE ZU QUANTITATIVEN WIRTSCHAFTLICHKEITSBETRACHTUNGEN...65

X

XI Abkürzungsverzeichnis ALE BCM BSI CCTA CFROI CObIT CoCo COSO CRAMM DCF ERM EVA FIPS FSA HAZOP IDS ISO IT IT SCM ITGI Annual Loss Expectancy Business Continuity Management Bundesamt für Sicherheit in der Informationstechnik Central Computer and Telecommunications Agency Cash Flow Return of Investment Control Objectives for Information and related Technology Control Committee Committee of Sponsoring Organizations of Treadway Commission CCTA Risk Analysis and Management Method Discounted Cash Flow Enterprise Risk Management Economic Value Add Federal Information Processing Standard Financial Services Authority Hazard and Operability Study Intrusion Detection System International Organization for Standardization Informationstechnik IT Service Continuity Management IT Governance Institute

XII ITIL IuK KonTraG MaRisk OCG ROC ROI ROSI RSZ SLA IT Infrastructure Library Information und Kommunikation Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Mindestanforderung für die Umsetzung von Risikomanagement Office of Government Commerce Regulation on Organization and Control Return of Investment Return of Security Investment Risiko, Sicherheit, Zuverlässigkeit Service Level Agreement

1 1 Einleitung Die Bank of New York hat nach den Terroranschlägen vom 11. September 2001 einen Schaden 1 durch Business Disruption and System Failure von 242 Millionen Dollar vor Steuern hinnehmen müssen. 2 Dieses Beispiel verdeutlicht die hohe ökonomische Auswirkung bei großen Schadensereignissen bzw. Eintritt wesentlicher Risiken. Neben den angesprochenen Terrorrisiken können jedoch auch natürliche Ereignisse (z. B. Naturkatastrophen) oder menschliche Fehlhandlungen 3 eine Störung mit großer Auswirkung herbeiführen. 4 Aus diesem Grund ist eine betriebliche Notfallvorsorge wichtig, die geschäftskritische Risiken steuert, um den Schaden für die Unternehmung zu begrenzen. Hierfür wird u. a. eine Notfallorganisation benötigt, die für die Gestaltung präventiver sowie reaktiver Maßnahmen zuständig ist. Hier besteht jedoch nach Aussage verschiedener empirischer Studien ein großer Nachholbedarf. Beispielsweise ist nach Aussage der Wirtschaftsprüfung KPMG nur bei 44,6 Prozent der großen Unternehmungen 5 eine Notfallorganisation festgelegt. 6 Noch deutlicher stellt sich die Situation bei kleinen Unternehmungen dar, die weniger als eine Milliarde Euro Jahresumsatz vorweisen. Hier zeigt die Studie von KPMG, dass lediglich 12,1 Prozent der Unternehmungen eine Notfallorganisation definiert haben. Dies verdeutlicht die ungenügende organisatorische Vorbereitung für Notfälle in der betrieblichen Praxis, da eine solche Organisation eine wesentli- 1 Schaden = die durch ein unerwünschtes Ereignis verursachte Beeinträchtigung der Funktionsund/oder Leistungsfähigkeit der Informationsinfrastruktur (realer Schaden) bzw. die Folge davon (wirtschaftlicher Schaden). Heinrich/Lehner (2005), S. 258. 2 Vgl. de Fontnouvelle et al. (2006), S. 1845. 3 Nach einer Untersuchung der Rückversicherung Swiss Re stieg zwischen 1970 und 2000 sowohl die Anzahl der Naturkatastrophen als auch die Zahl der von Menschen verursachten Desaster dramatisch an. Merbecks et al. (2004), S. 35. 4 Für eine ausführliche Darstellung von Fallstudien zu unterschiedlichen Katastrophenereignissen mit Auswirkung auf Finanzdienstleister vgl. BIS (2005), S. 19ff.; für weitere Fallstudien vgl. Hiles/Barnes (1999), S. 295ff.; für eine Fallsammlung zu (betriebswirtschaftlichen) Schäden im Bereich IT-Sicherheit vgl. BSI (2000), S. 61ff.; für einen Großschadenbericht Schaden/Unfall über versicherte Marktschäden, die größer sind als 25 Mio. Euro und einen Bezug zum deutschen Versicherungsmarkt haben vgl. GenRe (2006), S. 2ff. 5 Große Unternehmungen im Kontext der angesprochenen Studie der Wirtschaftsprüfung KPMG haben einen jährlichen Umsatz von mehr als einer Milliarde Euro. 6 Vgl. KPMG (2003), S. 24.

2 che Vorbedingung für eine zielgerichtete Bewältigung einer Notfallsituation darstellt. Insbesondere eine ungenügende Risikosteuerung innerhalb der Unterstützung 7 durch Informationstechnik 8 (IT) einer Unternehmung kann nach IT-Notfall erhebliche direkte und indirekte Ausfallkosten nach sich ziehen. Dies wird durch die zunehmend starke IT-Abhängigkeit 9 vieler erfolgskritischer Geschäftsprozesse verstärkt. 10 Hierzu bemerkt Laprie: Our society has become increasingly dependent on computing systems and this dependency is especially felt upon the occurrence of failures. 11 Aus diesen Gründen ist es wichtig, dass ein angemessenes Vorsorgeniveau erreicht wird und zudem alle geeigneten Instrumente zur IT-Risikosteuerung berücksichtigt werden. Meist werden heutzutage technische Lösungen zur Erreichung von Systemredundanz lokal oder verteilt eingesetzt. Alternative Steuerungsinstrumente wie Versicherung, Überwälzung oder bewusste Risikoakzeptanz werden selten berücksichtigt. Gerade jedoch aufgrund der hohen Investitionskosten bei technischen Lösungen für die Risikominimierung bei seltenen Schadensereignissen mit großer Auswirkung ist eine nähere Untersuchung diesbezüglicher ökonomischer Gestaltungsaspekte von IT-Notfallvorsorge notwendig. Diese Notwendigkeit zur Wirtschaftlichkeitsbetrachtung wird auch von Mertens betont: Gerade wegen der vielfältigen Möglichkeiten sind aber auch Wirtschaftlichkeitsbetrachtungen in die Festlegung des Sicherheitslevels mit einzubeziehen, da nicht um jeden Preis das Maximum, sondern das unternehmerisch sinnvolle Optimum an Sicherheit anzustreben ist. 12 7 Für eine beispielhafte Klasseneinteilung betrieblicher computergestützter Anwendungssysteme vgl. Gabriel/Röhrs (2003), S. 17. 8 Für eine Definition vgl. Abschnitt 2.2.1. 9 Für eine Darstellung der Unternehmung als informationsverarbeitendes System vgl. Gabriel/Röhrs (1995), S. 23ff. 10 Vgl. Lange (2005), S. 1. 11 Laprie (1995), S. 1. 12 Mertens et al. (2005), S. 197.

3 Die oben dargelegte Problemstellung motiviert die zwei wesentlichen Ziele des vorliegenden Arbeitsberichts: Einerseits soll eine vorbereitende Untersuchung den Betrachtungsgegenstand IT-Notfallvorsorge in das betriebliche Risikomanagement einordnen, begriffliche Grundlagen bilden sowie einen übergreifenden Rahmen aufbauen. Dabei sollen relevante Gemeinsamkeiten erarbeitet werden, die später auf ihr Einsatzpotenzial überprüft werden können. In einem zweiten Schritt soll ein Blick in die betriebliche Praxis geworfen werden, um potenzielle bzw. konkret vorhandene Schwierigkeiten zu identifizieren. Hierbei soll im Rahmen unterschiedlicher Untersuchungsdimensionen eine umfassende Aufnahme des Handlungsbedarfs bei der Gestaltung von IT-Notfallvorsorge erfolgen. Aus den genannten Zielen lässt sich folgende Struktur ableiten: In Kapitel 2 erfolgt eine Einführung in das betriebliche Risikomanagement, um im nachstehenden Abschnitt den Untersuchungsgegenstand IT-Notfallvorsorge einordnen zu können. Abschließend werden die IT-Sicherheitsziele und ihre Ursache-Wirkungsketten betrachtet. Davon ausgehend werden in Kapitel 3 Schwachstellen bei der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen Praxis untersucht. Dazu werden nach der Betrachtung möglicher aufbau- und ablauforganisatorischer Schwierigkeiten spezifische Besonderheiten bei IT-Systemen erarbeitet. Anschließend erfolgt eine ausführliche Darstellung und Bewertung der Problembereiche im Rahmen der IT-Risikobewertung. Darüber hinaus werden offizielle Standards auf Schwachstellen innerhalb der betrieblichen Praxis und Ansätze aus der Literatur zu Wirtschaftlichkeitsbetrachtungen von IT-Sicherheit als auch IT-Notfallvorsorge auf ihre Anwendbarkeit überprüft. Der Arbeitsbericht endet mit Kapitel 4, das die Erkenntnisse zusammenfasst und mit einem Ausblick auf weitere mögliche Untersuchungsbereiche schließt.

4

5 2 IT-Notfallvorsorge innerhalb des betrieblichen Risikomanagements Im Folgenden wird der Untersuchungsgegenstand der IT-Notfallvorsorge in das betriebliche Risikomanagement eingeordnet. Dazu werden relevante Begriffsauffassungen dargestellt und Definitionen aus der Literatur im Kontext der Arbeit untersucht. In diesem Rahmen wird das wertorientierte betriebliche Risikomanagement auf operationelle Risiken mit einem Bezug zur Informationstechnik eingegrenzt. Dies stellt anschließend die Grundlage dar, um den Gestaltungsgegenstand der IT- Notfallvorsorge zu definieren. Abschließend werden IT-Sicherheitsziele auf ihre Abhängigkeiten untersucht, um Besonderheiten im Zusammenhang mit der IT- Notfallvorsorge zu erarbeiten. 2.1 Wertorientiertes betriebliches Risikomanagement Relevante Aspekte der Wertorientierung werden nach Darstellung grundlegender Aspekte des betrieblichen Risikomanagements im vorliegenden Abschnitt untersucht. 2.1.1 Grundlagen des betrieblichen Risikomanagements Ausgehend vom Begriff des Risikos werden unterschiedliche Definitionsansätze für betriebliches Risikomanagement vorgestellt. Anschließend erfolgt eine umfassende Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement als Grundlage einer institutionellen Untersuchung und der folgenden Einordnung in den Betrachtungsgegenstand der Arbeit. Anschließend erfolgt auf Grundlage einer umfassenden Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement eine institutionelle Untersuchung und daran anschließend die Einordnung in den Betrachtungsgegenstand.

6 2.1.1.1 Die Risikodefinition als Ausgangspunkt Als zentraler Ausgangspunkt der Arbeit dient der Begriff des Risikos, der hinsichtlich seiner Sprach- und Kulturgeschichte von Keller untersucht wurde. 13 Im Folgenden werden gegenwärtige begriffliche Ausprägungen dargestellt. Jonen unterscheidet in seiner semantischen Analyse des Risikobegriffs verschiedene Dimensionen, die hier auszugsweise vorgestellt werden. Dabei werden u.a. Begriffsdefinitionen hinsichtlich der Ausgangsfaktoren abgegrenzt, die sich auf die Ursache, den Informationszustand oder die Zieldimension beziehen 14 (vgl. dazu Abbildung 1). Ursache Informationszustand Zieldimension Entscheidung Ereignis Basisfaktor Abbildung 1: Dimensionen des Risikobegriffs nach Ausgangsfaktoren (Quelle: In Anlehnung an Jonen (2006), S. 16ff.) Bei Ausgangsfaktoren, die sich auf die Ursache beziehen, werden Aspekte beschrieben, aus denen Risiken entstehen. Dies können Entscheidungen, Ereignisse oder Basisfaktoren sein. Beim entscheidungsorientierten 15 Risikobegriff wird das Risiko als Wahrscheinlichkeitsverteilung der möglichen Folgeereignisse einer Handlungsalternative angesehen. Dabei wird das Risiko als Folge einer Entscheidung und die Unsicherheit als Bedingung zur Entstehung dieser Zustände betrachtet. Bei einer ereignisorientierten Sichtweise wird das Risiko als mögliche Zielabweichung gesehen, die durch ein Ereignis oder einen Störprozess entsteht. Dies wird ähnlich auch von Stallinger definiert: Risiko ist die Gefahr einer Fehlabweichung von einem erwarteten und geplanten Zielwert, gewichtet mit der Wahrscheinlichkeit ihres Eintretens. 16 Wird ein Basisfaktor als Ursache angesehen, so handelt es sich bei dem Risiko um einen statischen Zustand (z. B. die allgemeine wirtschaftliche Betätigung) als schicksalhafte Verknüpfung 17 mit dem Risiko. 13 Vgl. Keller (2004), S. 61ff. 14 Vgl. Jonen (2006), S. 16ff. 15 Vgl. Gleißner/Wolfrum (2001), S. 139ff. 16 Stallinger (2006), S. 129. 17 Jonen (2006), S. 19.

7 Bei einem Ausgangsfaktor, der mit dem Informationszustand verknüpft ist, wird das Risiko als Informationsdefizit über das Erreichen der definierten Ziele 18 und der daraus resultierenden Unsicherheit beschrieben. 19 Hierbei werden das Schadensausmaß und die Wahrscheinlichkeit eines Schadens miteinander verbunden, 20 was auch dem mathematisch-technischen Verständnis entspricht. 21 Wirkungs- beziehungsweise zielorientierte Risikodefinitionen beziehen sich auf die Auswirkungen. Hierbei kann beispielsweise ein spekulatives Risiko sowohl negative als auch positive Abweichungen erzeugen, wobei letztere oftmals auch als Chancen bezeichnet werden. 22 Eine weitere allgemeine Definition stammt von Gleißner, der Risiko als die aus der Unvorhersehbarkeit der Zukunft resultierende, durch zufällige Störungen verursachte Möglichkeit, geplante Ziele zu verfehlen 23 bezeichnet. Mikus hingegen unterscheidet zwei Risikodefinitionen: 24 Einerseits wird Risiko als Gefahr eines Verlustes oder eines Schadens angesehen. 25 Diese Risiken gehen mit unternehmerischer Aktivität einher. Hierbei wird auf meist monetäre Zielgrößen Bezug genommen. Andererseits besteht ein Risiko als Gefahr einer Fehlentscheidung, die zur Nicht-Erreichung der gesetzten Ziele führt. Dies entspricht einer verallgemeinerten Risikodefinition und berücksichtigt die Tatsache, dass Unternehmungen Systeme mit mehreren Zielgrößen darstellen. Im Zusammenhang mit Informationsmanagement geben Hansen/Neumann folgende Definition: Ein Risiko (engl.: risk) ist ein 18 Vgl. Rosenkranz/Missler-Behr (2006), S. 22f. 19 Vgl. Jonen (2006), S. 19ff. 20 Vgl. Eckert (2003), S. 14. 21 Vgl. Jonen (2006), S. 9. 22 Vgl. Müßig (2005), S. 1ff. für eine Verknüpfung des Chancen-Managements mit dem Thema Business Resilience. 23 Gleißner/Wolfrum (2001), S. 151. 24 Vgl. Mikus (2001), S. 3f. 25 Dieses enge Verständnis vom Begriff des Risikos i. e. S. (als Verlust oder Schadengefahr) liegt auch dem 91 Abs. 2 AktG zugrunde, vgl. Koch (2005), S. 69.

8 Zustand oder Ereignis, das mit einer bestimmten Wahrscheinlichkeit eintritt und eine Gefährdung (beispielsweise eines Projekterfolges) bedeuten könnte. 26 Letztere Definition entspricht o. g. mathematisch-technischen Begriffsverständnis und wird für die weitere Untersuchung zugrunde gelegt. Der Eintritt des Risikos erfolgt dabei durch ein Ereignis als Ursache bzw. als Störprozess. 2.1.1.2 Definitionsansätze zum betrieblichen Risikomanagement Das oben definierte Risiko ist nun Gegenstand des Risikomanagements. 27 Dabei versteht Wolf Risikomanagement als integralen Bestandteil des Managements zur Erreichung von Risikotransparenz in allen Führungs- und Durchführungsprozessen. Hierzu werden alle spekulativen, intern wie extern begründeten Risiken in allen Entscheidungsprozessen mit Fokus auf das Gesamtrisiko betrachtet. 28 Auch Denk et al. betonen die Wichtigkeit der Steuerung der Risikogesamtposition (oder auch des Risikoportfolios) einer Unternehmung. Hierbei ist das Corporate Risk Management auf die Unternehmungsziele ausgerichtet und in die Unternehmungssteuerung (z. B. Strategie und Controlling) integriert. Dabei gibt es drei wichtige Kriterien, die das eingesetzte Führungs- und Steuerungssystem erfüllen sollte. Grundsätzlich sollte das Risikomanagement auf die strategischen Ziele einer Unternehmung ausgerichtet sein. Weiterhin ist eine Steuerung der Risikogesamtposition notwendig, und zwar unter Berücksichtigung aller betrieblichen Risiken und der zwischen diesen bestehenden Abhängigkeiten. Dabei sollte das Risikomanagement in die Steuerungsprozesse integriert sein. 29 Albrecht nutzt den Begriff des holistischen 30 Risikomanagements. Dies beinhaltet das ganzheitliche Management aller betrieblichen Risiken unter Berücksichtigung 26 Hansen/Neumann (2005), S. 303. 27 Für einen historischen Überblick zum Risikomanagement vgl. Pechtl (2003), S. 15ff.; Schettler et al. (2002), S. 4ff. 28 Vgl. Wolf (2003), S. 45. 29 Vgl. Denk et al. (2006), S. 9. 30 Von griechisch holon (das Ganze). Der Holismus bezeichnet eine totale Perspektive, d. h. die Betrachtung aller Freiheitsgrade, um ein vollständiges Verständnis über ein System zu erlangen.

9 sämtlicher Risikointerdependenzen. Weiterhin erfolgt nach Albrecht die Integration des Risikomanagements in das Management der Unternehmung. 31 Zusammenfassend lässt sich festhalten, dass einheitliche Schwerpunkte innerhalb der Definitionen zu erkennen sind. Wichtig ist zum einen die integrierte Sicht auf das Gesamtrisiko als Betrachtungsgegenstand. Zum andern ist das Risikomanagement Bestandteil der betrieblichen Führungsprozesse und damit in die Ziele der Unternehmung integriert. Diese Leitlinien dienen im Folgenden in der gesamten Arbeit als Orientierung. Insbesondere werden diese Aspekte durch die Einbindung der Verantwortlichen für Geschäftsprozesse im Rahmen der organisatorischen Komponenten des Gestaltungsmodells berücksichtigt. 2.1.1.3 Ziele und Komponenten des betrieblichen Risikomanagements Die primäre Zielsetzung des betrieblichen Risikomanagements ist die Unterstützung bzw. Gewährleistung der Ziele einer Unternehmung. 32 Dabei betont Mikus die umfassende Komponente von Risikomanagement im Zusammenhang mit Entscheidungen in der Unternehmung: Um die Gefahr von Fehlentscheidungen zu verringern, sollten daher möglichst sämtliche Risikoursachen und deren eventuelle Auswirkungen auf die Zielerreichung (unter Einbeziehung von Chancen) im Rahmen eines generellen Risikomanagements bei unternehmerischen Entscheidungen berücksichtigt werden. 33 Dabei kann die Erreichung der Unternehmungsziele 34 hinsichtlich des Risikomanagements weiter unterteilt werden (vgl. dazu Abbildung 2). Direkt aus den Unternehmungszielen ableitbar ist die Minimierung von Risikokosten. 35 Dabei werden die Risikokosten als Differenz zwischen realisierten 31 Vgl. Albrecht (1998), S. 1. 32 Vgl. Merbecks et al. (2004), S. 45ff. 33 Mikus (2001), S. 11. 34 Für eine Verknüpfung des Risikomanagements mit Instrumenten der strategischen Unternehmungsführung (z. B. Shareholder Value, Chancen-Gefahre-Analyse, Balanced Scorecard) vgl. Götze/Mikus (2001), S. 387ff. 35 Zu Risikokosten vgl. von Stockar (1995), S. 60f.