@2.1 [Max. 400 Worte] Methoden des IT-Risikomanangements erklären:
IT-Risikomanagement sollte im Unternehmen als Prozeß verankert sein.
Die Informatik hat Einfluß auf fast alle, auch erfolgskritische Prozeße.
2 Die CRAMM Methode:
Akronym für die Herkunft: Centre for Information Systems Risk Analysis and Management Method
Aufgabe/Zielsetzung: CRAMM in Software umsetzen. Risikoanalyse, Schutzbedarf ermitteln, Risiken identifizieren und Gegenüberstellung geeigneter Maßnahmen zu deren Beseitigung.
Werkzeuge: Fragebögen, Risikomatrizen, Fragebögen etc. für die Analyse. Maßnahmenkataloge mit Beseitigungsvorschlägen.
Risk Management Review-Prozeß im Detail (umfaßt beide Bereiche: Analyse und Gegenmaßnahmen): Vgl. Abb.22 @ KE2, S. 64
1. Festlegung der Rahmenbedingungen und Systemgrenzen
2. Identifikation der Schutzobjekte
3. Bewertung der Schutzobjekte
4. Erhebung und Einstufung der Bedrohungen und jeweils vorhandenen Schwachstellen
5. Bestimmung des Risikos
6. Zuordnung von Maßnahmen
7. Erstattung eines Abschlussberichts
Vorteil einer Softwarelösung: Ermöglicht Berücksichtigung von Test-Szenarien (What-If), Speicherung der möglichen Folgen
1 IT-Risikokonzept (Methode):
Aufgabe/Zielsetzung: Reduzierung von Risiken auf tragbare Restrisiken.
Aufbau/Struktur/Umfang/Grenzen: Das Konzept umfaßt die konzeptionelle Einbindung der Sicherheitsmaßnahmen innerhalb der versch. IT-Prozeße. Zusätzlich Anforderungen an Sicherheitsmaßnahmen (Qualität etc.) Organisatorische Aspekte: Zuständigkeiten definieren?
Dokumentation: Risiken werden bewertet und die Bewältigungsstrategie dokumentiert.
Dauer: ges. Lebenszyklus eines Systems oder nur auf einzelen Phasen, wenn diese stark risikobehaftet sind. Einsatzszenarien: Einführung von / Änderungen an Applikationen, Outsourcing v. Geschäfts- und Informatikprozeßen
Vorteile: Ermittlung des jew. Risikos am jeweiligen Objekt, in der Folge orientiert man sich autom. am bestehenden Risiko gemäß des Umsetzungsplanes des IT-Risikokonzeptes.
@2.2 [Max. 350 Worte] Prozesskreislauf beschreiben, Ziele und Kernaufgaben der 4 Phasen erklären.
Es gibt mehrere Konzepte mit unterschiedlicher Benennung der einzelnen Phasen, diese Phasen sind aber meist gleich bzgl. des Inhalts und der berücksichtigten Aufgaben.
Abb. 21 @KE2 S. 59 (nach Schmitz, Wehrheim)
bzgl. Ziele und Kernaufgaben
1) Risiko-Identifikation: @Ziel: Erstellung einer Liste mit allen Risiken für ein konkretes Projekt (Kurzbeschreibung) Aufgabe: Risikoindikatoren für jedes Risiko identifizieren
2) -bewertung/-analyse: @Ziel: Durchführung Risikoanalyse, Eintrittswahrscheinlichkeiten und Schadensschätzungen @Aufgabe: Ermittlung einer Schadenskennziffer aus Eintrittsw'keit * Schaden. Je größer, desto mehr Zeit sollte man dem jew. Risiko im weiteren Verlauf des Prozeßes widmen.
3) -steuerung: Analyse der bisherigen Ergebnisse aus Schritt 1-2 @Ziel: Ausarbeitung einer Strategie für jedes Risiko aus folgenden vier Grundstrategien 1_Risikoakzeptanz: Ignorieren 2_Risikoverlagerung: Evtl. Versicherung oder Outsourcing? 3_Risikoverminderung: Optionen aus 2 nicht möglich, also keine Verlagerung, darum Schadensbegrenzung und -eintrittsw'keit senken. 4_Risikovermeidung: Hohe Schadenskennziffer, Maßnahmen werden zwingend benötigt! @Aufgabe: Risiken sollen in diesem Schritt soweit abgemildert werden, daß ein eintretendes Ereignis nicht mehr real schädigen kann.
4) -überwachung: "Risiko-Radar" @Ziel: Ausrichtung auf erfolgskritische Schlüsselfaktoren unternehmerischer Leistungen wie Kosten, Zeit Qualität und Umfang. @Aufgabe: Überwachung der zurzeit existierenden Risiken und deren Entwicklung im Zeitablauf.
Fortlaufender Prozeß, die Aufgaben des Kreislaufes können in eine gesamtunternehmerische Risikoüberwachugnsstrategie eingebettet sein.
@2.3 [Max. 350 Worte] Zur These in vielen (nicht aber >50%, häufig nur in großen Unternehmen gilt) der IT sind klassische Risikofelder erkannt & Maßnahmen wurden ergriffen:
@S. 52 KE2
Viele Unternehmen sind sich der bestehenden Risiken bewusst, allerdings zieht dieses Bewusstsein nicht immer die notwendigen Maßnahmen nach sich:
Bsp. Stromausfall: ca. 150.000 € je Std. (Durschn. aller Branchen), jedoch 8% machen keine Erhebung