Risiko/Management/tmp
IT-Risikomanagement - QUELLENSAMMLUNG
Beschreibung
Motivation
- Ziele eines Unternehmens
- Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
- Betrachtung von Risiken
- essenzieller Bestandteil unternehmerischen Handelns
- Risiken nicht nur als Gefahr ansehen
- Chance und notwendige Voraussetzung für die Zielerreichung
- Risiken nicht rein negativ beurteilen
- mit Risiken richtig umgehen
- Risiken in Chancen umwandeln
- Unternehmen muss jederzeit in der Lage sein
- unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
- Effizientes Risikomanagement von strategischer Bedeutung
- wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei
- Doppelrolle der Informationstechnologie
- Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
- Erzeugt selbst Risiken
- Standish Group im Jahre 2009 Umfrage
- Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
- fast die Hälfte diese Vorgaben nicht erfüllen
- der Rest wird abgebrochen
- IT-Projekte
Gründe
- Expansion / Globalisierung der Geschäftstätigkeit
- Automatisierung von Geschäftsprozessen
- Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
- Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
- Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten
Risikobegriff
- „Risiko“ wird unterschiedlich beschrieben
- je nach Betrachtungsweise
- Entscheidungsorientiert
- Abweichung/Varianz von Zielgrößen und Erwartungsgrößen
- Abweichung kann positiv oder negativ sein
- Je höher die Standardabweichung, umso größer das Risiko
- Ausfallorientiert
- negative Abweichung des realisierten Ergebnisses vom Erwartungswert
- Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
- Einfache Gleichung für das Risiko
- Je geringer die Eintrittswahrscheinlichkeit, umso seltener Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten
- die Gefahr
- die Chance
- Risiken sind Teil des Geschäftes
- Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
- Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.
Methoden
- BSI-Standard 200-3
- Risikoanalyse auf der Basis von IT-Grundschutz
- klassische Risikoanalyse
- ISO 27001, 27005, 31000, 31010
- Penetrationstest
- Differenz-Sicherheitsanalyse
Risikomanagement
- Bedeutung
- Risikomanagement gewinnt an Bedeutung
- strategischen Bedeutung von
- IT-Projekten
- IT-Projekte werden anspruchsvoller und komplexer
Risikomanagement umfasst
- Festlegungen von Zielen auf Basis der Definition einer Strategie
- ggf. auch Visionen der das Risikomanagement anwendenden Stelle
- Ohne konkrete Ziele lassen sich keine Abweichungen messen
- Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
- Festlegung einer Risikomanagement-Strategie
- abhängig von der Risikobereitschaft
- risikoavers, risikoneutral oder risikofreudig
- Identifikation von Risiken
- Bewertung/Messung von Risiken
- Bewältigung von Risiken
- Steuerung der Risikoabwehr
- Monitoring, also Früherkennung
- Strukturierung und Dokumentation in einem Risikomanagementsystem
- Prozesse im Risikomanagement
- Risikomanagementprozess
- Phasen
- Risikoanalyse
- Risikobewertung
- Risikominimierung
- Risikokontrolle
- Risikoverfolgung
- Phasen
- Informationssicherheit-Risikomanagement-Prozess
- Risikomanagement
- Teile des Risikomanagements
- Erkennung und Bewertung von Risiken
- Erarbeitung und Umsetzung von Maßnahmen
- optimale Lösung finden
- Risiken auf akzeptable Restrisiken reduzieren
- wichtigste Gefahrenquellen erkennen und abschwächen
- Teile des Risikomanagements
- Für jeden dieser Prozesse gilt
- In Abhängigkeit der Bedürfnisse
- wird der Aufwand einer oder mehrerer Personen gefordert
- Jeder Prozess wird mindestens einmal durchlaufen
- Jeder Prozess tritt in einer oder mehreren Projektphasen auf
Überschneidung der Prozesse ist möglich
- Risikomanagement
- Risikomanagement-Prozesse
- Risikomanagementplanung
- Wie wird das Risikomanagement organisiert?
- Wie viel Risikomanagement ist nötig?
- Haben wir Erfahrungswerte in dieser Projektart?
- Zuständigkeiten
- Checklisten
- Risikoidentifikation
- Identifizierung potenzieller Risiken
- Dokumentenanalyse
- Brainstorming
- SWOT-Analyse
- Ursache-Wirkungs-Analysen
- Qualitative Risikoanalyse
- Eintrittswahrscheinlichkeit sowie Auswirkung
- Priorisierung (z. B. A, B und C-Risiken)
- Risikomanagement
- Bedeutung
- Weitere Risiken
- IT-Operations (Risiken aus dem laufenden Betrieb)
- Administrative Fehler
- Systemausfall
- IT-Security (Sicherheitsrisiken)
- Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
- Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
- Nicht näher spezifizierte Risiken
- Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software
Konzeptionierungsfehler
Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.
- Risikomanagementplanung
- Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
- Risikomanagementplanung legt Vorgehensweise fest
- Planung soll sicherstellen
- Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
- Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
- Erfolgschancen erhöhen
- gut strukturierte und sorgfältig vorbereitete Planung
- erleichtert Durchführung der anderen Risikomanagement-Prozesse
- Erstellung eines Risikomanagementplans
- Zusammenarbeit mit
- Projektleitern und -mitgliedern
- Stakeholdern
- für das Risikomanagement im Unternehmen zuständige Mitarbeiter
- Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
- des Unternehmens und
- der Projektbeteiligten
- Hilfreich zur Erstellung
- bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
- allgemein oder aus vorangegangenen Projekten
- Prozesse im Risikomanagement
- Risikomanagementplan
- Inhalte
- Methodologie
- Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
- Rollen und Verantwortlichkeiten
- Organisation des Projektteams, Hierarchien
- Budgetierung
- Kostenschätzung, benötigte Einsatzmittel
- Zeitliche Planung
- Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
- Risikokategorien
- Strukturen für die Risikoidentifikation festlegen
- Definition der Risikowahrscheinlichkeiten und -auswirkungen
- als Unterstützung der Risikoanalyse
- Prozesse im Risikomanagement
- Risikoidentifikation
- Für eine Beherrschung der Risiken, muss man diese zunächst kennen
- Bestimmung von Risiken unterschiedlicher Art
- Kontinuierliche Durchführung und Bestimmung
- einzelne Risiken sind zu Beginn nicht absehbar
- es entwickeln sich neue oder übersehene Risiken
- Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
- Nach Identifizierung von Risiken
- Priorisierung mit Hilfe der Risikoanalyse
- Risikokategorien
- Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
- Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
- Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
Aufbereitung identifizierter Risiken
Bewertung und Messung von Risiken
- Zwei Phasen
- Bruttobewertung
- grundsätzlichen Bedrohungspotenziale werden betrachtet
- wo liegen Schwerpunkte der Risikosteuerung
- Nettobewertung
- Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
- Aktuelle Risikolage
- Wir ermittelt
- Eignung und Angemessenheit bestehender Maßnahmen feststellen
- Maßstäbe eingrenzen
- Vor einer Bewertung der Risiken
- Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
- Schätzungen oder Erfahrungswerten durch die Verantwortlichen
- Worst-Case-Szenario
- klare Grenzen zwischen den einzelnen Gefahrenstufen
- Ampelmodell
- besonders geeignet
- Akzeptanzlinie
- Rote Linie zwischen akzeptablen und kritischem Bereich
- Toleranzgrenze
- Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
- Risiken, unterhalb dieser Linie, gelten als tolerierbar
- wenn es möglich ist
- durch Maßnahmen diese unter Kontrolle zu halten
- oder sogar in den akzeptablen Bereich zu bringen
- Festlegung der Grenzen wird durch Verantwortliche vorgenommen
- Kriterien
- Ungewissheit
- Unsicherheit
- Abschätzungssicherheit
- Ahnungslosigkeit
- Ausbreitungsgrad des potenziellen Schadens
- zeitlicher Ausdehnungsgrad nach Eintritt
- Möglichkeit den Ursprungszustand wiederherzustellen
- z.B durch einspielen eines Backups
- Verzögernde Wirkung des Schadens
- evtl. nicht direkt sichtbar
- Mobilisierungspotenzial der beteiligten Mitarbeiter
- nach einem Schaden weiter zu machen
- Ergebnis
- qualitative und quantitative Bewertung von Risiken
- quantitativen Bewertung
- Schadenshöhe/Intensität der Auswirkung
- Eintrittswahrscheinlichkeit
- qualitative Bewertung
- Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
- Bewertung und Messung von Risiken
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
- Berechnung des Faktors eines Risikos
- Risikobewertung am Beispiel „Changemanagement“
- Erfahrungen bei vorrangegangenen Projekten
- Änderungen während des Projekts
- z. B. Änderung der Meilensteinen
- oder im schlimmsten Fall am eigentlichen Projektziel
- Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
- Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
- Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
- Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
- Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
- Warum besteht das Risiko?
- Kein klar definiertes Ziel
- Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
- Oftmals wird der Benutzer nicht in die Planung mit einbezogen
- Wie wahrscheinlich ist das Risiko?
- Eintrittswahrscheinlichkeit 5 – sehr hoch
- Schadenswirkung 4 – hoch
- Risikofaktor
- Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
- Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Beispiele für weitere Risiken (Gefahrenbereiche)
- Einsatz neuer Technologien
- W(4) * S(5) = RF(20)
- Implementierungen ohne Entwurf
- W(4) * S(4) = RF(16)
- Unmotivierte Mitarbeiter
- W(3) * S(5) = RF(15)
- Mitarbeiterfluktuation
- W(2) * S(4) = RF(8)
- Machtkämpfe
- W(1) * S(2) = RF(2)
- Unzureichende Reviews
- W(3) * S(4) = RF(12)
- Legende:
- W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
- Qualität des IT-Managements
- Kernpunkte
- Planung und Organisation
- Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
- Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
- Sind die Ziele der IT von allen Mitarbeitern verstanden?
- Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
- Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
- Beschaffung und Einführung neuer Systeme
- Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
- Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
- Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
- Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
- Betrieb und Unterstützung
- Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
- Sind die Kosten optimiert?
- Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
- Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
- Überwachung
- Kann die IT-Performance gemessen werden?
- Können IT-Probleme rechtzeitig erkannt werden?
- Risikokommunikation und -berichterstattung
- Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
- vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
- Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
- Meetings abhalten
- Effektivität der Risikoevaluierung und des Risikomanagements einordnen
- Feedback verwenden, um den Prozess zu verbessern
- Die wichtigsten Aspekte
- Kommunikation der Risikoinformationen an alle Stakeholder
- Motivation zum freien Informationsfluss über alle Risiken
- Regelmäßige Updates für alle Teammitglieder
- Einfache Kommunikationsformen untereinander
- Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
- Standardberichtsformat hat sich Zeit bewährt
- Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
- Bericht umfasst folgende Punkte
- Wann wurde die letzte Risikoinventur durchgeführt?
- Ist die Risikoanalyse aktuell?
- Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
- Ist ein Trend abzusehen?
- Bewertung der getroffenen Maßnahmen zur Risikobewältigung
- Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
- Überwachung von Maßnahmen
- Fragen
- Wer Überwacht die Maßnahmen?
- Wer setzt diese eigentlich um?
- RASCI Methode
- Überwachung befasst sich zum größten Teil mit folgenden Fragen
- Responsible (R)
- Wer ist verantwortlich?
- Approved/Accountable (A)
- Wer hat es abgesegnet?
- Supports (S)
- Wer setzt es um?
- Consults (C)
- Wer hilft bei der Umsetzung („Experte“)?
- Informed (I)
- Wer muss benachrichtigt werden?
- Bewertung
- Risikomanagement sollte nicht als lästige Pflicht angesehen werden
- sondern als eine Chance
- IT-Prozesse optimieren
- Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
- Wirtschaftlicher Nutzen des Risikomanagement
- Je nach der Größe und Bedeutung eines Projektes
- kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
- Bei kleineren Projekten
- erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
- Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
- Brainstorming
- guter Dokumentation
- Kommunikation der Risiken
- Risiken können nicht immer vollständig eliminiert werden
- aber durch das Risikomanagement beherrschbar bleiben
- Bedrohungsanalyse
- Risikoanalyse (risk assessment)
- Risikobewertung anhand Wahrscheinlichkeiten
- Eintreten verschiedener Bedrohungen
- potentieller Schadenshöhe
- Bewertung der Eintrittswahrscheinlichkeit
- Geschätzter Aufwand zur Angriffsdurchführung
- Anzahl der Angriffsschritte
- Komplexität Angriffsschritte
- Nutzen für den Angreifer
- finanziell
- politisch
- Reputation
- Motive des Angreifers, Angreifertyp
- Script Kiddie
- Hacker
- Mitarbeiter
- Wirtschaftsspion
- politische Aktivisten
- Ressourcen / Kenntnisse des Angreifers
- Know How
- Werkzeuge
- Zugänge
- Bedrohungsanalyse
- Angriffsbäume
- Systematische Ermittlung potentieller Ursachen für Bedrohungen
- organisatorisch
- technisch
- benutzerbedingt
- Vorteile von Angriffsbäume
- Bedrohungsmodelle werden besser verstanden
- Bedrohungen besser erkennbar
- Schutzmaßnahmen besser erkennbar
- Berechnungen der Sicherheit
- Sicherheit verschiedener Systeme vergleichbar
- Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
- Wurzel definiert mögliches Angriffsziel
- Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
- Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
- Bedeutung des Erreichens von Zeichenzielen
- Äste verknüpfen Zwischenziele mit höheren Zielen
- Blätter des Baumes beschreiben einzelne Angriffsschritte
Bedrohungsbaum
Bedrohungsanalyse
Bedrohungsmatix
Bedrohungsanalyse
Risikoberechnung
Schlussfolgerung
- Auch bei einfachem Angreifermodell sehr hohes Risiko
- Passworte sollten nur verschlüsselt übertragen werden!
- Zeitliche Entwicklung beachten
Sicherheitsgrundfunktionen
BSI-Standard 200-3
Prozesse im Risikomanagement
Leitbild für das IT-Management
- Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
- Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
- Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
- Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
- In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
- COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.