Risiko/Management/tmp: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Risikomanagement/tmp nach Risiko/Management/tmp: Textersetzung - „Risikomanagement“ durch „Risiko/Management“
 
(22 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Risikomanagement''' - QUELLENSAMMLUNG
'''IT-Risikomanagement''' - QUELLENSAMMLUNG
=== Motivation ===
[[Risikomanagement/Motivation]]
=== Methoden ===
* BSI-Standard 200-3
* Risikoanalyse auf der Basis von IT-Grundschutz
* klassische Risikoanalyse
* ISO 27001, 27005, 31000, 31010
* Penetrationstest
* Differenz-Sicherheitsanalyse
=== Risikomanagement ===
=== Risikomanagement ===
* Bedeutung
; Bedeutung
* Risikomanagement gewinnt an Bedeutung
* Risikomanagement gewinnt an Bedeutung
* strategischen Bedeutung von
* strategischen Bedeutung von IT-Projekten
* IT-Projekten
* IT-Projekte werden anspruchsvoller und komplexer
* IT-Projekte werden anspruchsvoller und komplexer


==== Risikomanagement umfasst ====
=== Risikomanagement umfasst ===
; Festlegungen von Zielen auf Basis der Definition einer Strategie
; Festlegungen von Zielen auf Basis der Definition einer Strategie
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle
Zeile 152: Zeile 140:
* Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
* Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.


=== Aufbereitung identifizierter Risiken ===
[[Risikoaufbereitung]]
=== Bewertung und Messung von Risiken ===
; Zwei Phasen
* Bruttobewertung
* grundsätzlichen Bedrohungspotenziale werden betrachtet
* wo liegen Schwerpunkte der Risikosteuerung
* Nettobewertung
* Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
* Aktuelle Risikolage
* Wir ermittelt
* Eignung und Angemessenheit bestehender Maßnahmen feststellen
* Maßstäbe eingrenzen
; Vor einer Bewertung der Risiken
* Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
* Schätzungen oder Erfahrungswerten durch die Verantwortlichen
* Worst-Case-Szenario
* klare Grenzen zwischen den einzelnen Gefahrenstufen
; Ampelmodell
* besonders geeignet
* Akzeptanzlinie
* Rote Linie zwischen akzeptablen und kritischem Bereich
; Toleranzgrenze
* Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
* Risiken, unterhalb dieser Linie, gelten als tolerierbar
* wenn es möglich ist
* durch Maßnahmen diese unter Kontrolle zu halten
* oder sogar in den akzeptablen Bereich zu bringen
* Festlegung der Grenzen wird durch Verantwortliche vorgenommen
; Kriterien
* Ungewissheit
* Unsicherheit
* Abschätzungssicherheit
; Ahnungslosigkeit
; Ausbreitungsgrad des potenziellen Schadens
* zeitlicher Ausdehnungsgrad nach Eintritt
; Möglichkeit den Ursprungszustand wiederherzustellen
* z.B durch einspielen eines Backups
; Verzögernde Wirkung des Schadens
* evtl. nicht direkt sichtbar
; Mobilisierungspotenzial der beteiligten Mitarbeiter
* nach einem Schaden weiter zu machen
; Ergebnis: qualitative und quantitative Bewertung von Risiken
* quantitativen Bewertung
* Schadenshöhe/Intensität der Auswirkung
; Eintrittswahrscheinlichkeit
* qualitative Bewertung
* Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
* Bewertung und Messung von Risiken
* Bewertung und Messung von Risiken
* Berechnung des Faktors eines Risikos
* Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
* Berechnung des Faktors eines Risikos
; Risikobewertung am Beispiel „Changemanagement“
; Erfahrungen bei vorrangegangenen Projekten:
* Änderungen während des Projekts
* z. B. Änderung der Meilensteinen
* oder im schlimmsten Fall am eigentlichen Projektziel
* Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
; Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
* Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
* Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
* Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
* Warum besteht das Risiko?
* Kein klar definiertes Ziel
* Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
* Oftmals wird der Benutzer nicht in die Planung mit einbezogen
* Wie wahrscheinlich ist das Risiko?
* Eintrittswahrscheinlichkeit 5 – sehr hoch
* Schadenswirkung 4 – hoch
; Risikofaktor
* Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
* Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
* Bewertung und Messung von Risiken
* Berechnung des Faktors eines Risikos
* Beispiele für weitere Risiken (Gefahrenbereiche)
* Einsatz neuer Technologien
* W(4) * S(5) = RF(20)
* Implementierungen ohne Entwurf
* W(4) * S(4) = RF(16)
* Unmotivierte Mitarbeiter
* W(3) * S(5) = RF(15)
* Mitarbeiterfluktuation
* W(2) * S(4) = RF(8)
* Machtkämpfe
* W(1) * S(2) = RF(2)
* Unzureichende Reviews
* W(3) * S(4) = RF(12)
* Legende:
* W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
* Qualität des IT-Managements
; Kernpunkte
* Planung und Organisation
* Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
* Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
* Sind die Ziele der IT von allen Mitarbeitern verstanden?
* Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
* Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
* Beschaffung und Einführung neuer Systeme
* Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
* Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
* Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
* Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
* Betrieb und Unterstützung
* Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
* Sind die Kosten optimiert?
* Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
* Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
; Überwachung
* Kann die IT-Performance gemessen werden?
* Können IT-Probleme rechtzeitig erkannt werden?
* Risikokommunikation und -berichterstattung
* Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
* vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
* Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
* Meetings abhalten
* Effektivität der Risikoevaluierung und des Risikomanagements einordnen
* Feedback verwenden, um den Prozess zu verbessern
* Die wichtigsten Aspekte
* Kommunikation der Risikoinformationen an alle Stakeholder
* Motivation zum freien Informationsfluss über alle Risiken
* Regelmäßige Updates für alle Teammitglieder
* Einfache Kommunikationsformen untereinander
* Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
* Standardberichtsformat hat sich Zeit bewährt
* Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
* Bericht umfasst folgende Punkte
* Wann wurde die letzte Risikoinventur durchgeführt?
* Ist die Risikoanalyse aktuell?
* Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
* Ist ein Trend abzusehen?
* Bewertung der getroffenen Maßnahmen zur Risikobewältigung
* Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
* Überwachung von Maßnahmen
* Fragen
* Wer Überwacht die Maßnahmen?
* Wer setzt diese eigentlich um?
* RASCI Methode
* Überwachung befasst sich zum größten Teil mit folgenden Fragen
* Responsible (R)
* Wer ist verantwortlich?
* Approved/Accountable (A)
* Wer hat es abgesegnet?
* Supports (S)
* Wer setzt es um?
* Consults (C)
* Wer hilft bei der Umsetzung („Experte“)?
* Informed (I)
* Wer muss benachrichtigt werden?
* Bewertung
* Risikomanagement sollte nicht als lästige Pflicht angesehen werden
* sondern als eine Chance
* IT-Prozesse optimieren
* Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
* Wirtschaftlicher Nutzen des Risikomanagement
* Je nach der Größe und Bedeutung eines Projektes
* kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
* Bei kleineren Projekten
* erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
* Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
* Brainstorming
* guter Dokumentation
* Kommunikation der Risiken
* Risiken können nicht immer vollständig eliminiert werden
* aber durch das Risikomanagement beherrschbar bleiben
* Bedrohungsanalyse
* Risikoanalyse (risk assessment)
* Risikobewertung anhand Wahrscheinlichkeiten
* Eintreten verschiedener Bedrohungen
* potentieller Schadenshöhe
* Bewertung der Eintrittswahrscheinlichkeit
* Geschätzter Aufwand zur Angriffsdurchführung
* Anzahl der Angriffsschritte
* Komplexität Angriffsschritte
* Nutzen für den Angreifer
* finanziell
* politisch
* Reputation
* Motive des Angreifers, Angreifertyp
* Script Kiddie
* Hacker
* Mitarbeiter
* Wirtschaftsspion
* politische Aktivisten
* Ressourcen / Kenntnisse des Angreifers
* Know How
* Werkzeuge
* Zugänge
* Bedrohungsanalyse
* Angriffsbäume
* Systematische Ermittlung potentieller Ursachen für Bedrohungen
* organisatorisch
* technisch
* benutzerbedingt
* Vorteile von Angriffsbäume
* Bedrohungsmodelle werden besser verstanden
* Bedrohungen besser erkennbar
* Schutzmaßnahmen besser erkennbar
* Berechnungen der Sicherheit
* Sicherheit verschiedener Systeme vergleichbar
* Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
* Wurzel definiert mögliches Angriffsziel
* Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
* Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
* Bedeutung des Erreichens von Zeichenzielen
* Äste verknüpfen Zwischenziele mit höheren Zielen
* Blätter des Baumes beschreiben einzelne Angriffsschritte
==== Bedrohungsbaum ====
* [[Bedrohungsbaum]]
==== Bedrohungsanalyse ====
==== Bedrohungsmatix ====
=== Bedrohungsanalyse ===
=== Risikoberechnung ===
=== Schlussfolgerung ===
=== Schlussfolgerung ===
* Auch bei einfachem Angreifermodell sehr hohes Risiko
* Auch bei einfachem Angreifermodell sehr hohes Risiko
Zeile 394: Zeile 145:
* Zeitliche Entwicklung beachten
* Zeitliche Entwicklung beachten


=== Sicherheitsgrundfunktionen ===
== Leitbild für das IT-Management ==
[[Sicherheitsgrundfunktionen]]
 
=== BSI-Standard 200-3 ===
[[BSI/Standard/200-3]]
 
=== Prozesse im Risikomanagement ===
==== Leitbild für das IT-Management ====
* Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
* Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
* Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
* Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
Zeile 408: Zeile 152:
* In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
* In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
* COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
* COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
=== Bedrohungsanalyse ===
=== Risikograph ===
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Dokumentation ====
==== Links ====
===== Projekt =====
[[Kategorie:Risikomanagement]]
[[Kategorie:Tmp]]
[[Kategorie:Tmp]]
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 14:26 Uhr

IT-Risikomanagement - QUELLENSAMMLUNG

Risikomanagement

Bedeutung
  • Risikomanagement gewinnt an Bedeutung
  • strategischen Bedeutung von IT-Projekten
  • IT-Projekte werden anspruchsvoller und komplexer

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie
  • ggf. auch Visionen der das Risikomanagement anwendenden Stelle
  • Ohne konkrete Ziele lassen sich keine Abweichungen messen
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  • Festlegung einer Risikomanagement-Strategie
  • abhängig von der Risikobereitschaft
    • risikoavers, risikoneutral oder risikofreudig
Identifikation von Risiken
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung
  • Strukturierung und Dokumentation in einem Risikomanagementsystem
Prozesse im Risikomanagement
  • Risikomanagementprozess
    • Phasen
      • Risikoanalyse
      • Risikobewertung
      • Risikominimierung
      • Risikokontrolle
      • Risikoverfolgung
Informationssicherheit-Risikomanagement-Prozess
  • Risikomanagement
    • Teile des Risikomanagements
      • Erkennung und Bewertung von Risiken
      • Erarbeitung und Umsetzung von Maßnahmen
      • optimale Lösung finden
      • Risiken auf akzeptable Restrisiken reduzieren
      • wichtigste Gefahrenquellen erkennen und abschwächen
Für jeden dieser Prozesse gilt
  • In Abhängigkeit der Bedürfnisse
  • wird der Aufwand einer oder mehrerer Personen gefordert
  • Jeder Prozess wird mindestens einmal durchlaufen
  • Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich

Risikomanagement
  • Risikomanagement-Prozesse
    • Risikomanagementplanung
  • Wie wird das Risikomanagement organisiert?
  • Wie viel Risikomanagement ist nötig?
  • Haben wir Erfahrungswerte in dieser Projektart?
  • Zuständigkeiten
  • Checklisten
Risikoidentifikation
  • Identifizierung potenzieller Risiken
  • Dokumentenanalyse
  • Brainstorming
  • SWOT-Analyse
  • Ursache-Wirkungs-Analysen
  • Qualitative Risikoanalyse
  • Eintrittswahrscheinlichkeit sowie Auswirkung
  • Priorisierung (z. B. A, B und C-Risiken)
Risikomanagement
  • Bedeutung
  • Weitere Risiken
  • IT-Operations (Risiken aus dem laufenden Betrieb)
  • Administrative Fehler
  • Systemausfall
  • IT-Security (Sicherheitsrisiken)
  • Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  • Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
  • Nicht näher spezifizierte Risiken
  • Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung
  • Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  • Risikomanagementplanung legt Vorgehensweise fest
  • Planung soll sicherstellen
  • Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
  • Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
  • Erfolgschancen erhöhen
  • gut strukturierte und sorgfältig vorbereitete Planung
  • erleichtert Durchführung der anderen Risikomanagement-Prozesse
  • Erstellung eines Risikomanagementplans
  • Zusammenarbeit mit
  • Projektleitern und -mitgliedern
  • Stakeholdern
  • für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  • Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
  • des Unternehmens und
  • der Projektbeteiligten
  • Hilfreich zur Erstellung
  • bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
  • allgemein oder aus vorangegangenen Projekten
  • Prozesse im Risikomanagement
Risikomanagementplan
  • Inhalte
  • Methodologie
  • Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
  • Rollen und Verantwortlichkeiten
  • Organisation des Projektteams, Hierarchien
  • Budgetierung
  • Kostenschätzung, benötigte Einsatzmittel
  • Zeitliche Planung
  • Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
Risikokategorien
  • Strukturen für die Risikoidentifikation festlegen
  • Definition der Risikowahrscheinlichkeiten und -auswirkungen
  • als Unterstützung der Risikoanalyse
  • Prozesse im Risikomanagement
Risikoidentifikation
  • Für eine Beherrschung der Risiken, muss man diese zunächst kennen
  • Bestimmung von Risiken unterschiedlicher Art
  • Kontinuierliche Durchführung und Bestimmung
  • einzelne Risiken sind zu Beginn nicht absehbar
  • es entwickeln sich neue oder übersehene Risiken
  • Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  • Nach Identifizierung von Risiken
  • Priorisierung mit Hilfe der Risikoanalyse
Risikokategorien
  • Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  • Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
  • Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Schlussfolgerung

  • Auch bei einfachem Angreifermodell sehr hohes Risiko
  • Passworte sollten nur verschlüsselt übertragen werden!
  • Zeitliche Entwicklung beachten

Leitbild für das IT-Management

  • Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
  • Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
  • Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
  • Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
  • In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
  • COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.