Risiko/Management/tmp

Aus Foxwiki

IT-Risikomanagement - QUELLENSAMMLUNG

Beschreibung

Motivation

Ziele eines Unternehmens
  • Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
  • Betrachtung von Risiken
  • essenzieller Bestandteil unternehmerischen Handelns
Risiken nicht nur als Gefahr ansehen
  • Chance und notwendige Voraussetzung für die Zielerreichung
  • Risiken nicht rein negativ beurteilen
  • mit Risiken richtig umgehen
Risiken in Chancen umwandeln
  • Unternehmen muss jederzeit in der Lage sein
  • unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
  • Effizientes Risikomanagement von strategischer Bedeutung
  • wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei
Doppelrolle der Informationstechnologie
  • Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
  • Erzeugt selbst Risiken
Standish Group im Jahre 2009 Umfrage
  • Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
  • fast die Hälfte diese Vorgaben nicht erfüllen
  • der Rest wird abgebrochen
IT-Projekte

Gründe

  • Expansion / Globalisierung der Geschäftstätigkeit
  • Automatisierung von Geschäftsprozessen
  • Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
  • Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
  • Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten

Risikobegriff

  • „Risiko“ wird unterschiedlich beschrieben
  • je nach Betrachtungsweise
Entscheidungsorientiert
  • Abweichung/Varianz von Zielgrößen und Erwartungsgrößen
  • Abweichung kann positiv oder negativ sein
  • Je höher die Standardabweichung, umso größer das Risiko
Ausfallorientiert
    • negative Abweichung des realisierten Ergebnisses vom Erwartungswert
    • Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
    • Einfache Gleichung für das Risiko
Je geringer die Eintrittswahrscheinlichkeit, umso seltener Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten
  • die Gefahr
  • die Chance
Risiken sind Teil des Geschäftes
  • Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
  • Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.

Methoden

  • BSI-Standard 200-3
  • Risikoanalyse auf der Basis von IT-Grundschutz
  • klassische Risikoanalyse
  • ISO 27001, 27005, 31000, 31010
  • Penetrationstest
  • Differenz-Sicherheitsanalyse

Risikomanagement

  • Bedeutung
  • Risikomanagement gewinnt an Bedeutung
  • strategischen Bedeutung von
  • IT-Projekten
  • IT-Projekte werden anspruchsvoller und komplexer

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie
  • ggf. auch Visionen der das Risikomanagement anwendenden Stelle
  • Ohne konkrete Ziele lassen sich keine Abweichungen messen
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  • Festlegung einer Risikomanagement-Strategie
  • abhängig von der Risikobereitschaft
    • risikoavers, risikoneutral oder risikofreudig
Identifikation von Risiken
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung
  • Strukturierung und Dokumentation in einem Risikomanagementsystem
Prozesse im Risikomanagement
  • Risikomanagementprozess
    • Phasen
      • Risikoanalyse
      • Risikobewertung
      • Risikominimierung
      • Risikokontrolle
      • Risikoverfolgung
Informationssicherheit-Risikomanagement-Prozess
  • Risikomanagement
    • Teile des Risikomanagements
      • Erkennung und Bewertung von Risiken
      • Erarbeitung und Umsetzung von Maßnahmen
      • optimale Lösung finden
      • Risiken auf akzeptable Restrisiken reduzieren
      • wichtigste Gefahrenquellen erkennen und abschwächen
Für jeden dieser Prozesse gilt
  • In Abhängigkeit der Bedürfnisse
  • wird der Aufwand einer oder mehrerer Personen gefordert
  • Jeder Prozess wird mindestens einmal durchlaufen
  • Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich

Risikomanagement
  • Risikomanagement-Prozesse
    • Risikomanagementplanung
  • Wie wird das Risikomanagement organisiert?
  • Wie viel Risikomanagement ist nötig?
  • Haben wir Erfahrungswerte in dieser Projektart?
  • Zuständigkeiten
  • Checklisten
Risikoidentifikation
  • Identifizierung potenzieller Risiken
  • Dokumentenanalyse
  • Brainstorming
  • SWOT-Analyse
  • Ursache-Wirkungs-Analysen
  • Qualitative Risikoanalyse
  • Eintrittswahrscheinlichkeit sowie Auswirkung
  • Priorisierung (z. B. A, B und C-Risiken)
Risikomanagement
  • Bedeutung
  • Weitere Risiken
  • IT-Operations (Risiken aus dem laufenden Betrieb)
  • Administrative Fehler
  • Systemausfall
  • IT-Security (Sicherheitsrisiken)
  • Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  • Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
  • Nicht näher spezifizierte Risiken
  • Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung
  • Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  • Risikomanagementplanung legt Vorgehensweise fest
  • Planung soll sicherstellen
  • Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
  • Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
  • Erfolgschancen erhöhen
  • gut strukturierte und sorgfältig vorbereitete Planung
  • erleichtert Durchführung der anderen Risikomanagement-Prozesse
  • Erstellung eines Risikomanagementplans
  • Zusammenarbeit mit
  • Projektleitern und -mitgliedern
  • Stakeholdern
  • für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  • Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
  • des Unternehmens und
  • der Projektbeteiligten
  • Hilfreich zur Erstellung
  • bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
  • allgemein oder aus vorangegangenen Projekten
  • Prozesse im Risikomanagement
Risikomanagementplan
  • Inhalte
  • Methodologie
  • Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
  • Rollen und Verantwortlichkeiten
  • Organisation des Projektteams, Hierarchien
  • Budgetierung
  • Kostenschätzung, benötigte Einsatzmittel
  • Zeitliche Planung
  • Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
Risikokategorien
  • Strukturen für die Risikoidentifikation festlegen
  • Definition der Risikowahrscheinlichkeiten und -auswirkungen
  • als Unterstützung der Risikoanalyse
  • Prozesse im Risikomanagement
Risikoidentifikation
  • Für eine Beherrschung der Risiken, muss man diese zunächst kennen
  • Bestimmung von Risiken unterschiedlicher Art
  • Kontinuierliche Durchführung und Bestimmung
  • einzelne Risiken sind zu Beginn nicht absehbar
  • es entwickeln sich neue oder übersehene Risiken
  • Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  • Nach Identifizierung von Risiken
  • Priorisierung mit Hilfe der Risikoanalyse
Risikokategorien
  • Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  • Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
  • Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Aufbereitung identifizierter Risiken

Risikoaufbereitung

Bewertung und Messung von Risiken

Zwei Phasen
  • Bruttobewertung
  • grundsätzlichen Bedrohungspotenziale werden betrachtet
  • wo liegen Schwerpunkte der Risikosteuerung
  • Nettobewertung
  • Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
  • Aktuelle Risikolage
  • Wir ermittelt
  • Eignung und Angemessenheit bestehender Maßnahmen feststellen
  • Maßstäbe eingrenzen
Vor einer Bewertung der Risiken
  • Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
  • Schätzungen oder Erfahrungswerten durch die Verantwortlichen
  • Worst-Case-Szenario
  • klare Grenzen zwischen den einzelnen Gefahrenstufen
Ampelmodell
  • besonders geeignet
  • Akzeptanzlinie
  • Rote Linie zwischen akzeptablen und kritischem Bereich
Toleranzgrenze
  • Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
  • Risiken, unterhalb dieser Linie, gelten als tolerierbar
  • wenn es möglich ist
  • durch Maßnahmen diese unter Kontrolle zu halten
  • oder sogar in den akzeptablen Bereich zu bringen
  • Festlegung der Grenzen wird durch Verantwortliche vorgenommen
Kriterien
  • Ungewissheit
  • Unsicherheit
  • Abschätzungssicherheit
Ahnungslosigkeit
Ausbreitungsgrad des potenziellen Schadens
  • zeitlicher Ausdehnungsgrad nach Eintritt
Möglichkeit den Ursprungszustand wiederherzustellen
  • z.B durch einspielen eines Backups
Verzögernde Wirkung des Schadens
  • evtl. nicht direkt sichtbar
Mobilisierungspotenzial der beteiligten Mitarbeiter
  • nach einem Schaden weiter zu machen
Ergebnis
qualitative und quantitative Bewertung von Risiken
  • quantitativen Bewertung
  • Schadenshöhe/Intensität der Auswirkung
Eintrittswahrscheinlichkeit
  • qualitative Bewertung
  • Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
  • Bewertung und Messung von Risiken
  • Bewertung und Messung von Risiken
  • Berechnung des Faktors eines Risikos
  • Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
  • Berechnung des Faktors eines Risikos
Risikobewertung am Beispiel „Changemanagement“
Erfahrungen bei vorrangegangenen Projekten
  • Änderungen während des Projekts
  • z. B. Änderung der Meilensteinen
  • oder im schlimmsten Fall am eigentlichen Projektziel
  • Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
  • Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
  • Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
  • Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
  • Warum besteht das Risiko?
  • Kein klar definiertes Ziel
  • Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
  • Oftmals wird der Benutzer nicht in die Planung mit einbezogen
  • Wie wahrscheinlich ist das Risiko?
  • Eintrittswahrscheinlichkeit 5 – sehr hoch
  • Schadenswirkung 4 – hoch
Risikofaktor
  • Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
  • Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
  • Bewertung und Messung von Risiken
  • Berechnung des Faktors eines Risikos
  • Beispiele für weitere Risiken (Gefahrenbereiche)
  • Einsatz neuer Technologien
  • W(4) * S(5) = RF(20)
  • Implementierungen ohne Entwurf
  • W(4) * S(4) = RF(16)
  • Unmotivierte Mitarbeiter
  • W(3) * S(5) = RF(15)
  • Mitarbeiterfluktuation
  • W(2) * S(4) = RF(8)
  • Machtkämpfe
  • W(1) * S(2) = RF(2)
  • Unzureichende Reviews
  • W(3) * S(4) = RF(12)
  • Legende:
  • W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
  • Qualität des IT-Managements
Kernpunkte
  • Planung und Organisation
  • Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
  • Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
  • Sind die Ziele der IT von allen Mitarbeitern verstanden?
  • Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
  • Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
  • Beschaffung und Einführung neuer Systeme
  • Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
  • Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
  • Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
  • Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
  • Betrieb und Unterstützung
  • Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
  • Sind die Kosten optimiert?
  • Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
  • Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
Überwachung
  • Kann die IT-Performance gemessen werden?
  • Können IT-Probleme rechtzeitig erkannt werden?
  • Risikokommunikation und -berichterstattung
  • Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
  • vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
  • Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
  • Meetings abhalten
  • Effektivität der Risikoevaluierung und des Risikomanagements einordnen
  • Feedback verwenden, um den Prozess zu verbessern
  • Die wichtigsten Aspekte
  • Kommunikation der Risikoinformationen an alle Stakeholder
  • Motivation zum freien Informationsfluss über alle Risiken
  • Regelmäßige Updates für alle Teammitglieder
  • Einfache Kommunikationsformen untereinander
  • Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
  • Standardberichtsformat hat sich Zeit bewährt
  • Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
  • Bericht umfasst folgende Punkte
  • Wann wurde die letzte Risikoinventur durchgeführt?
  • Ist die Risikoanalyse aktuell?
  • Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
  • Ist ein Trend abzusehen?
  • Bewertung der getroffenen Maßnahmen zur Risikobewältigung
  • Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
  • Überwachung von Maßnahmen
  • Fragen
  • Wer Überwacht die Maßnahmen?
  • Wer setzt diese eigentlich um?
  • RASCI Methode
  • Überwachung befasst sich zum größten Teil mit folgenden Fragen
  • Responsible (R)
  • Wer ist verantwortlich?
  • Approved/Accountable (A)
  • Wer hat es abgesegnet?
  • Supports (S)
  • Wer setzt es um?
  • Consults (C)
  • Wer hilft bei der Umsetzung („Experte“)?
  • Informed (I)
  • Wer muss benachrichtigt werden?
  • Bewertung
  • Risikomanagement sollte nicht als lästige Pflicht angesehen werden
  • sondern als eine Chance
  • IT-Prozesse optimieren
  • Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
  • Wirtschaftlicher Nutzen des Risikomanagement
  • Je nach der Größe und Bedeutung eines Projektes
  • kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
  • Bei kleineren Projekten
  • erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
  • Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
  • Brainstorming
  • guter Dokumentation
  • Kommunikation der Risiken
  • Risiken können nicht immer vollständig eliminiert werden
  • aber durch das Risikomanagement beherrschbar bleiben
  • Bedrohungsanalyse
  • Risikoanalyse (risk assessment)
  • Risikobewertung anhand Wahrscheinlichkeiten
  • Eintreten verschiedener Bedrohungen
  • potentieller Schadenshöhe
  • Bewertung der Eintrittswahrscheinlichkeit
  • Geschätzter Aufwand zur Angriffsdurchführung
  • Anzahl der Angriffsschritte
  • Komplexität Angriffsschritte
  • Nutzen für den Angreifer
  • finanziell
  • politisch
  • Reputation
  • Motive des Angreifers, Angreifertyp
  • Script Kiddie
  • Hacker
  • Mitarbeiter
  • Wirtschaftsspion
  • politische Aktivisten
  • Ressourcen / Kenntnisse des Angreifers
  • Know How
  • Werkzeuge
  • Zugänge
  • Bedrohungsanalyse
  • Angriffsbäume
  • Systematische Ermittlung potentieller Ursachen für Bedrohungen
  • organisatorisch
  • technisch
  • benutzerbedingt
  • Vorteile von Angriffsbäume
  • Bedrohungsmodelle werden besser verstanden
  • Bedrohungen besser erkennbar
  • Schutzmaßnahmen besser erkennbar
  • Berechnungen der Sicherheit
  • Sicherheit verschiedener Systeme vergleichbar
  • Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
  • Wurzel definiert mögliches Angriffsziel
  • Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
  • Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
  • Bedeutung des Erreichens von Zeichenzielen
  • Äste verknüpfen Zwischenziele mit höheren Zielen
  • Blätter des Baumes beschreiben einzelne Angriffsschritte

Bedrohungsbaum

Bedrohungsanalyse

Bedrohungsmatix

Bedrohungsanalyse

Risikoberechnung

Schlussfolgerung

  • Auch bei einfachem Angreifermodell sehr hohes Risiko
  • Passworte sollten nur verschlüsselt übertragen werden!
  • Zeitliche Entwicklung beachten

Sicherheitsgrundfunktionen

Sicherheitsgrundfunktionen

BSI-Standard 200-3

BSI/Standard/200-3

Prozesse im Risikomanagement

Leitbild für das IT-Management

  • Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
  • Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
  • Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
  • Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
  • In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
  • COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.

Bedrohungsanalyse

Risikograph

Anhang

Siehe auch

Dokumentation

Links

Projekt