IT-Risikomanagement

Das Buch diskutiert Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement und bietet ein Leitfaden für die Integration eines IT-Risikomanagements in ein bestehendes Risikomanagement eines Unternehmens. Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern.

Dieses Buch diskutiert die grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement und bietet ein Leitfaden für die Integration eines IT-Risikomanagements in ein bestehendes Risikomanagement eines Unternehmens. Es wurde im Bankenumfeld erarbeitet, ist aber auf die Informationstechnologie von anderen Unternehmen übertragbar. Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern.

IT-Risikomanagement hat viele Facetten. Es greift in alle Themengebiete der Informationstechnologie: von der Entwicklung über die Implementierung bis hin zum Infrastruktur- und Anwendungsbetrieb. In diesem Buch wird das IT-Risikomanagement im Rahmen der einzelnen Themengebiete der Informationstechnologie und des Managements diskutiert und zugleich von den bereits etablierten IT-Disziplinen abgegrenzt. Es ermöglicht dem Leser, ein IT-Risikomanagement in ein bestehendes Risikomanagement eines Unternehmens zu integrieren. Der Band ist ein auf wissenschaftlichen Prinzipien beruhendes Praxiswerk. Dabei werden keine Checklisten und expliziten Handlungsempfehlungen zur Integration eines IT-Risikomanagements in ein Unternehmen angeboten, sondern vielmehr grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement besprochen und vorgestellt.

Die Informationstechnologie spielt in vielen Unternehmen eine zentrale Bedeutung. Geschäftsprozesse können bei einem Ausfall der IT nicht mehr oder nur noch mit einer gering(er)en Effizienz ausgeführt werden. Deswegen rücken die IT-Risiken und vor allem deren Beherrschbarkeit immer mehr in das zentrale Betrachtungsfeld von Unternehmensentscheidern. IT-Risikomanagement hat viele Facetten. Es greift in alle Themengebiete der Informationstechnologie: von der Entwicklung über die Implementierung bis hin zum Infrastruktur- und Anwendungsbetrieb. In diesem Buch wird das IT-Risikomanagement im Rahmen der einzelnen Themengebiete der Informationstechnologie und des Managements diskutiert und zugleich von den bereits etablierten IT-Disziplinen abgegrenzt. Es ermöglicht dem Leser, ein IT-Risikomanagement in ein bestehendes Risikomanagement eines Unternehmens zu integrieren. Der Band ist ein auf wissenschaftlichen Prinzipien beruhendes Praxiswerk. Dabei werden keine Checklisten und expliziten Handlungsempfehlungen zur Integration eines IT-Risikomanagements in ein Unternehmen angeboten, sondern vielmehr grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten von IT-Risikomanagement besprochen und vorgestellt.

'1; Inhaltsverzeichnis; 6
2; Vorwort; 10
3; Einleitung; 12
4; 1 Definition von IT-Risikomanagement; 16
4. 1; 1. 1 Grundlegende Definitionen; 18
4. 1. 1; 1. 1. 1 Risiko; 18
4. 1. 2; 1. 1. 2 Operationelle Risiken; 20
4. 1. 3; 1. 1. 3 IT-Risiko; 22
4. 1. 4; 1. 1. 4 Risikomanagement; 22
4. 1. 5; 1. 1. 5 Risikoszenario; 23
4. 1. 6; 1. 1. 6 Risikopotenzial; 24
4. 1. 7; 1. 1. 7 Gefahr; 24
4. 1. 8; 1. 1. 8 Schaden; 24
4. 1. 9; 1. 1. 9 IT-Notfall/Krisenfall; 25
4. 2; 1. 2 Kategorisierung von Risiken; 26
4. 2. 1; 1. 2. 1 Ursachen-/Wirkungsprinzip; 26
4. 2. 2; 1. 2. 2 Zeiträume; 30
4. 2. 3; 1. 2. 3 Risikoeigenschaften; 32
4. 2. 4; 1. 2. 4 Spezielle Kategorisierung von IT-Risiken; 37
4. 3; 1. 3 Generische Risikostrategien; 41
4. 3. 1; 1. 3. 1 Risikovermeidung; 41
4. 3. 2; 1. 3. 2 Risikoreduzierung; 42
4. 3. 3; 1. 3. 3 Risikodiversifikation/-konzentration; 42
4. 3. 4; 1. 3. 4 Risikoübertragung; 43
4. 3. 5; 1. 3. 5 Risikotransformation; 43
4. 3. 6; 1. 3. 6 Risikoakzeptanz; 44
4. 4; 1. 4 Themenabgrenzung; 44
4. 4. 1; 1. 4. 1 IT-Security; 44
4. 4. 2; 1. 4. 2 Service Level Management; 45
4. 4. 3; 1. 4. 3 Qualitätsmanagement; 46
4. 4. 4; 1. 4. 4 IT-/Projektcontrolling; 47
4. 4. 5; 1. 4. 5 Management operationeller Risiken im Unternehmen; 48
4. 4. 6; 1. 4. 6 Interne Revision; 49
4. 4. 7; 1. 4. 7 Geschäftsrisiko und Ineffizienz; 50
4. 5; 1. 5 Exemplarische Schadensfälle; 51
4. 5. 1; 1. 5. 1 IT-Katastrophe bei der Danske Bank; 51
4. 5. 2; 1. 5. 2 Gepäcktransportsystem-Desaster am Denver International Airport; 53
4. 5. 3; 1. 5. 3 Unterschlagungen bei Charter plc. ; 54
4. 5. 4; 1. 5. 4 Keylogger-Attacke auf die Sumitomo Mitsui Bank; 55
5; 2 IT-Risikotransparenz; 58
5. 1; 2. 1 Kulturelle Voraussetzungen; 58
5. 1. 1; 2. 1. 1 Risikokultur; 59
5. 1. 2; 2. 1. 2 Fehlerkultur; 62
5. 1. 3; 2. 1. 3 Wissensmanagement; 62
5. 2; 2. 2 Identifizierung von IT-Risiken; 67
5. 2. 1; 2. 2. 1 Self-Assessment; 67
5. 2. 2; 2. 2. 2 Prozessanalysen; 70
5. 2. 3; 2. 2. 3 IT-Systemanalyse; 74
5. 2. 4; 2. 2. 4 Schadensfälle analysieren; 74
5. 2. 5; 2. 2. 5 Erfahrungsaustausch; 78
5. 2. 6; 2. 2. 6 Prüfungen; 81
5. 2. 7; 2. 2. 7 Allgemeine Bedrohungs-/Risikokataloge; 82
5. 2. 8; 2. 2. 8 Kreativitäts- und Bewertungstechniken; 82
5. 3; 2. 3 Risikoszenarien erarbeiten; 83
5. 3. 1; 2. 3. 1 Risikoszenarien definieren; 84
5. 3. 2; 2. 3. 2 Risikoszenarien klassifizieren; 87
5. 3. 3; 2. 3. 3 Risikoszenarien operationalisieren; 90
5. 3. 4; 2. 3. 4 Risikoszenarien qualitätssichern; 96
5. 3. 5; 2. 3. 5 Risikoportfolio erstellen (Riskmap); 97
5. 4; 2. 4 Bewerten von Risiken; 98
5. 4. 1; 2. 4. 1 Grundlegende Bewertungstechniken; 99
5. 4. 2; 2. 4. 2 Kausal-Analysen; 106
5. 4. 3; 2. 4. 3 Quantitative Ansätze; 110
5. 4. 4; 2. 4. 4 Detaillierte Systemrisikoanalyse; 113
5. 4. 5; 2. 4. 5 Einzelsystem-Restrisikoanalyse (ESRRA); 117
5. 4. 6; 2. 4. 6 Projektrisikoanalyse; 126
5. 5; 2. 5 Risikoindikatoren identifizieren; 131
5. 5. 1; 2. 5. 1 Eigenschaften von Risikoindikatoren; 134
5. 5. 2; 2. 5. 2 Risikoindikatorarten; 137
5. 5. 3; 2. 5. 3 Grenzwertdefinitionen; 139
5. 5. 4; 2. 5. 4 IT-Risikoindikatoren operationalisieren/aggregieren; 140
5. 6; 2. 6 Exkurs: Exemplarische Definition eines Risikoindikators; 141
6; 3 IT-Risikosteuerung; 146
6. 1; 3. 1 IT-Risk-Policy; 146
6. 1. 1; 3. 1. 1 Definition und Ziele des IT-Risikomanagements; 146
6. 1. 2; 3. 1. 2 Organisatorische Eingliederung des ITRisikomanagements; 147
6. 1. 3; 3. 1. 3 Risikoeinteilungen/-strukturen; 149
6. 1. 4; 3. 1. 4 IT-Risikostrategie; 150
6. 1. 5; 3. 1. 5 Methoden des IT-Risikomanagements; 157
6. 2; 3. 2 Managementtechniken; 158
6. 2. 1; 3. 2. 1 IT-Risikoportfoliosteuerung; 159
6. 2. 2; 3. 2. 2 Balanced Scorecard; 164
6. 3; 3. 3 Risikoreduzierungsmaßnahmen; 173
6. 3. 1; 3. 3. 1 IT-Architektur; 174
6. 3. 2; 3. 3. 2 IT-Security; 177
6. 3. 3; 3. 3. 3 IT-Controlling; 178
6. 3. 4; 3. 3. 4 IT-Projektmanagement; 180
6. 3. 5; 3. 3. 5 HR-Management; 185
6. 3. 6; 3. 3. 6 Qualitätsmanagement; 188
6. 3. 7; 3. 3. 7 Anwendungsentwicklung; 190
6. 3. 8; 3. 3. 8 RZ-Betrieb; 193
6. 3. 9; 3. 3. 9 Standards und Best Practices; 195
6. 3. 10; 3. 3. 10 Schadensmanagement; 210
6. 3. 11; 3. 3. 11 Outsourcing; 212
6. 4; 3. 4 Risikoprognosen; 217
6. 4. 1; 3. 4. 1 Elemente von Zeitreihen; 217
6. 4. 2; 3. 4. 2 Wirtschaftlichkeitsberechnungen für Risikoreduzierungsmaßnahmen; 218
6. 4. 3; 3. 4. 3 Risikoportfolioänderungen; 224
6. 5; 3. 5 Reporting der IT-Risiken; 225
6. 5. 1; 3. 5. 1 Rep