Das Buch diskutiert Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement und bietet ein Leitfaden für die Integration eines IT-Risikomanagements in ein bestehendes Risikomanagement eines Unternehmens. Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern.

Dieses Buch diskutiert die grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement und bietet ein Leitfaden für die Integration eines IT-Risikomanagements in ein bestehendes Risikomanagement eines Unternehmens. Es wurde im Bankenumfeld erarbeitet, ist aber auf die Informationstechnologie von anderen Unternehmen übertragbar. Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern.

IT-Risikomanagement hat viele Facetten. Es greift in alle Themengebiete der Informationstechnologie: von der Entwicklung über die Implementierung bis hin zum Infrastruktur- und Anwendungsbetrieb. In diesem Buch wird das IT-Risikomanagement im Rahmen der einzelnen Themengebiete der Informationstechnologie und des Managements diskutiert und zugleich von den bereits etablierten IT-Disziplinen abgegrenzt. Es ermöglicht dem Leser, ein IT-Risikomanagement in ein bestehendes Risikomanagement eines Unternehmens zu integrieren. Der Band ist ein auf wissenschaftlichen Prinzipien beruhendes Praxiswerk. Dabei werden keine Checklisten und expliziten Handlungsempfehlungen zur Integration eines IT-Risikomanagements in ein Unternehmen angeboten, sondern vielmehr grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement besprochen und vorgestellt.

Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern. IT-Risikomanagement hat viele Facetten. Es greift in alle Themengebiete der Informationstechnologie: von der Entwicklung über die Implementierung bis hin zum Infrastruktur- und Anwendungsbetrieb. In diesem Buch wird das IT-Risikomanagement im Rahmen der einzelnen Themengebiete der Informationstechnologie und des Managements diskutiert und zugleich von den bereits etablierten IT-Disziplinen abgegrenzt. Es ermöglicht dem Leser, ein IT-Risikomanagement in ein bestehendes Risikomanagement eines Unternehmens zu integrieren. Der Band ist ein auf wissenschaftlichen Prinzipien beruhendes Praxiswerk. Dabei werden keine Checklisten und expliziten Handlungsempfehlungen zur Integration eines IT-Risikomanagements in ein Unternehmen angeboten, sondern vielmehr grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement besprochen und vorgestellt.

Autorentext
Herr Holger Seibold, Dipl. Betriebswirt und stv. Direktor, IT-Risikomanager bei der LBBW ist für die Konzeption und Einführung eines Risikomanagementsystems im Bereich IT/Organisation inkl. eines unternehmensweiten IT-Krisenmanagements verantwortlich.

Leseprobe
3.1.4 IT-Risikostrategie (S. 139) Für die Erarbeitung einer IT-Risikostrategie ist eine Klärung der grundsätzlichen Einstellung zum Risiko notwendig. Diese muss in die Risikostrategie des Unternehmens miteingebunden sein. Die Unternehmensrisikostrategie muss unter Berücksichtigung der Risikotragfähigkeit, den technisch-organisatorischen Voraussetzungen und sonstigen relevanten Unternehmenseinflüssen erfolgen.125 Es muss im Unternehmen geklärt sein bzw. werden, was für ein Risikomanagement- Stil (siehe 2.1.1) bevorzugt wird. Wie viel Risiko möchte ein Unternehmen eingehen, um bestimmte Chancen für sich zu eröffnen? Die Risikostrategie gilt es so zu formulieren, dass für alle Beteiligten ein klares Bild der Risikoaffinität des Unternehmens entsteht. Diese bildet die Basis zur Formulierung konkreter Strategieausprägungen. Für jegliche Strategieüberlegungen wird voraussichtlich mit Prämissen gearbeitet werden müssen. Diese Prämissen sind in der IT-Risikostrategie zu benennen und deren Verwendung ist zu begründen.

Oftmals wird bei der Darstellung einer Risikostrategie in einem Risikoportfolio lediglich darauf verwiesen, dass in der Riskmap eine individuelle Risikotoleranzlinie definiert werden muss. Nachfolgend soll diese Vorgehensweise konkretisiert werden. Sie stellt eine Möglichkeit dar, sich dieser Aufgabenstellung zu nähern und kann in ihren Ausprägungen den jeweiligen Gegebenheiten angepasst werden. Es wird nicht eine einzelne Risikotoleranzlinie, sondern ganze Risikotoleranzbereiche verwendet.

Die Risikotoleranzlinien/-toleranzbereiche müssen sich an der Risikotragfähigkeit des Unternehmens orientieren. Basierend auf dieser Risikotragfähigkeit ist zu klären, ab welchem Auswirkungsmaß der hochkritische Bereich für das Unternehmen beginnt. Darunter können weitere Abstufungen vorgenommen werden. Nachfolgend wird davon ausgegangen, dass es weitere Abstufungen, den kritischen und den unkritischen Bereich, gibt. Da das Rechnungswesen zumeist jahresorientiert implementiert ist, wird die Risikotragfähigkeit auf einem jährlichen Risikovolumen basierend angegeben und fließt in die Klassenskalierung des Auswirkungsmaßes mit ein (siehe 1.2.3). Die Schlussfolgerung aus der Kombination des maximalen Einzelrisikos mit dem jährlichen Risikovolumen ergibt:

• Der hochkritische Risikobereich (roter Bereich) des Unternehmens liegt in dem Bereich, in dem ein einzelner Schadensfall oder die Summe der zu erwartenden Schadensfälle p.a. (Risikovolumen) die Risikotragfähigkeit des Unternehmens erreicht/überschreitet.

• Der kritische Risikobereich (gelber Bereich) des Unternehmens liegt in dem Bereich, in dem ein einzelner Schadensfall oder die Summe der zu erwartenden Schadensfälle p.a. (Risikovolumen) die Risikotragfähigkeit des Unternehmens strapaziert.

  Die Betragsdefinitionen der einzelnen Risikobereiche können unabhängig von den gebildeten Risikoklassen erfolgen. Wird auf eine Risikoklasseneinteilung verzichtet, kann die Risikotoleranzlinie als Graf einer Funktion, z.B. Eintrittswahrscheinlichkeit - Auswirkungsmaß, abgebildet werden. Grafisch wird dieser Sachverhalt in Abb. 3.2 skizziert.

  Sofern bei der Risikoklassendefinition der Empfehlung gefolgt wurde, dass die höchste Risikoklasse ein existenzgefährdendes Ausmaß für das Unternehmen darstellt, kann die Risikoklassendefinition des Auswirkungsmaßes zugleich die Basis für die Risikotoleranzlinie bilden.

  Bei der exemplarischen Risikoklasseneinteilung (siehe 1.2.3) würde die Klasse "katastrophales Risiko" im roten Bereich liegen. Der gelbe Bereich

  Inhalt
  '1;Inhaltsverzeichnis;6
  2;Vorwort;10
  3;Einleitung;12
  4;1 Definition von IT-Risikomanagement;16
  4.1;1.1 Grundlegende Definitionen;18
  4.1.1;1.1.1 Risiko;18
  4.1.2;1.1.2 Operationelle Risiken;20
  4.1.3;1.1.3 IT-Risiko;22
  4.1.4;1.1.4 Risikomanagement;22
  4.1.5;1.1.5 Risikoszenario;23
  4.1.6;1.1.6 Risikopotenzial;24
  4.1.7;1.1.7 Gefahr;24
  4.1.8;1.1.8 Schaden;24
  4.1.9;1.1.9 IT-Notfall/Krisenfall;25
  4.2;1.2 Kategorisierung von Risiken;26
  4.2.1;1.2.1 Ursachen-/Wirkungsprinzip;26
  4.2.2;1.2.2 Zeiträume;30
  4.2.3;1.2.3 Risikoeigenschaften;32
  4.2.4;1.2.4 Spezielle Kategorisierung von IT-Risiken;37
  4.3;1.3 Generische Risikostrategien;41
  4.3.1;1.3.1 Risikovermeidung;41
  4.3.2;1.3.2 Risiko…