E-Book, Deutsch, 175 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
als Basis strategischer IT-Steuerung, Cloud Governance und für ein erfolgreiches Management von Cyber Risiken
E-Book, Deutsch, 175 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
ISBN: 978-3-8005-9545-7
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Nur durch konkretisierte und operationalisierte Zielwerte und eine Zielerreichungsmessung wird auf Basis einer IT-Strategie wirklich gesteuert. In der Realität findet man häufig Wildwuchs vor. Systemlandschaften sind Zufallsprodukt auditgetriebenen Durchhangelns. Unzureichende Dokumentation und fehlender Durchblick aller Beteiligten sind zwangsläufige Begleiterscheinungen. Das hat aber nicht nur Auswirkung auf die Kernfunktionen der IT. Vielmehr ist bei solchen Unzulänglichkeiten auch kein ordnungsgemäßes IT-Risikomanagement möglich. Beispielsweise müssen Informationsrisiken bzw. Datenschutzrisiken etc. sauber über Geschäftsprozesse und Applikationslandschaften erfasst werden – ehe sie gesamtheitlich bewertet über eine CMDB in die Infrastruktur vererbt werden können. Dies sind Grundlagen für ein belastbares IKS und OpRisk (bzw. Non Financial Risk). Themen, die mithin durch KRITIS sowie dem zunehmenden Zertifizierungserfordernis (TISAX, ISO) und Prüfungsstandards (ISAE, IDW PS) mittlerweile in allen Lieferketten angekommen sind.
Die straff gehaltenen Ausführungen dieser gesammelten Praxiserfahrungen geben Anregungen für einen Ordnungsansatz mit Checklisten für die Implementierung sowie Musterbeispiele.
Der Titel in Kürze:
- Themenüberblick einer IT-Governance
- Strategische Entwicklung der IT-Organisation und des IT-Betriebs
- Grundlagen einer Cloud Governance
- Zusammenspiel IT-Governance mit IT-Risikomanagement und IKS
- Implementierungsstrahl mit Checklisten und Musterbeispielen
Zielgruppe
IT-Vorstand & Leitung IT-Betrieb, IT-Strategen, Informationsrisikomanager & Datenschützer, Datenmanager & IT-Architekt
Autoren/Hrsg.
Weitere Infos & Material
1. IT-Risikomanagement
Die wohl am prominentesten mit der IT assoziierten Risiken sind die Informationsrisken. Das erscheint logisch. Informationsrisiken treten aus der Natur der Sache heraus besonders intensiv bei der IT auf, denn die Informationstechnologie verarbeitet Informationen. Informationsrisiken erstrecken sich aber auf sämtliche Risiken für und von Informationen. Allerdings darf bei den Informationsrisiken nicht vergessen werden, dass Informationsrisiken nicht allein aus der IT resultieren. Beispiel Informationsrisiken I hope you all know what I’m talkin’ about (Rick Derringer – Rock and Roll, Hoochie Koo) Im Großraumabteil des ICE sitzt der leitende Angestellte Meier. Er ist immer ganz sich selbst und telefoniert auch im Zug mit seiner sonoren Baritonstimme. So erfahren die anderen Fahrgäste wichtige Details über die Therapieerfolge und den aktuellen Speiseplan (u.a. Brokolisoufflé) des Pekinesenmischlings Hamilton. Sie erfahren ferner, dass seit dem Wochenende die IT-Security der Sorglos-Werke infolge eines Incidents allenfalls noch sehr eingeschränkt funktioniert. Die diesbezügliche Präsentation hat sich Meier vor der Fahrt ausgedruckt. Hinter Nürnberg wird der Zug wegen „Störungen im Betriebsablauf“ evakuiert. Im Chaos des Aus- und Umsteigens lässt Meier die Präsentation versehentlich im Zug liegen. Ein Herr mit Hut steckt sie in seine Tasche. Sie wird wenige Tage später im Darknet zum Kauf angeboten. Im Beispiel wird ersichtlich, dass auch das gesprochene Wort und bedrucktes Papier zum Kreis der Informationsrisiken gehören. Ferner ist das Informationsrisikomanagement als eine 2nd Line auszugestalten und wird entweder als eine eigene Einheit geführt oder von der IT-Sicherheit mitbetreut. Die IT-Governance schafft allerdings bezüglich der Risiken im Bereich IT den übergeordneten Ordnungsrahmen. U.a. kann sie (ggf. in Abstimmung mit dem übergeordneten Risikomanagement) Regelungen darüber treffen, wie der Themenschnitt der für die IT relevanten Risiken vorzunehmen ist. 1.1 Arten von Risiken in der IT
Es kann zwischen folgenden Arten von Risiken im Bereich IT unterschieden werden: – IT-Informationsrisiken
– IT-Sicherheitsrisiken
– Allgemeine IT-Risiken (ohne Impact auf Information oder Sicherheit)
– Cyber-Risiken
– Operationelle Risiken oder Non-Financial-Risks
Abb. 5: IT-Risikoarten IT-Informationsrisiken beinhalten alle Risiken, die sich auf Information beziehen und sich aus dem individuellen Schutzbedarf der Information ableiten. Hierbei können Informationen in digitaler, physischer oder auch gesprochener/gedachter Form vorliegen. IT-Sicherheitsrisiken sind eine Teilmenge der IT-Risiken und umfassen Risiken, die sich aus der Verletzung oder dem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen ergeben. Allgemeine IT-Risiken (ohne Information) sind alle Risiken mit Bezug auf die Leitungserbringung der IT. IT-Risiken können durch Ereignisse oder Handlungen von Personen, Prozessen oder Technologie entstehen. Cyber-Risiken sind eine Teilmenge der klassischen Informationssicherheits-Risiken. Charakteristisch für Cyber-Risiken ist die Erweiterung des Aktionskreises auf den Cyber-Raum. Dieser beinhaltet insbesondere auch fremde Bereiche. Dadurch erweitert er den Blick aus dem eigenen „Beritt“ heraus. Hiermit wird dem Anspruch nach Vertrauensschutz bei der Nutzung des Cyber-Raums Rechnung getragen. Good to know When the going gets tough, the tough get going (Billy Ocean – When the going gets tough) Der Cyber-Raum ist der virtuelle Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab. Ihm liegt als universelles und öffentlich zugängliches Verbindungs- und Transportnetz – das Internet – zugrunde, welches durch beliebige andere Datennetze ergänzt und erweitert werden kann (Bundesministerium der Verteidigung der BRD). Risiken unterliegen dem Wandel. Daher ist eine ständige Neubewertung der Bedrohungslage erforderlich. Non-Financial-Risks ist ein in allen Branchen immer wichtiger werdender Themenkreis. Im Bereich Risiko ist es die Disziplin, die sich mit den in den Fachbereichen ermittelten Restrisiken befasst6. Restrisiken sind die Risiken, die trotz Risikobehandlung noch verbleiben. Die Quantifizierung von ursprünglich nicht finanziellen Risiken stammt maßgeblich aus der Finanzbranche (Basel II).7 Good to know I learned from the best (Whitney Houston – I learned from the best) Basel II (bzw. III) enthält Eigenkapitalvorschriften für Banken. Diese Eigenkapitalvorschriften richten sich insbesondere nach den Risiken. Basel II (bzw. III) wurde vom Basler Ausschuss für Bankenaufsicht mit Sitz in Basel im Juni 2004 veröffentlicht. Der Themenkreis „Non-Financial-Risks“ ist für alle Branchen relevant und entfaltet immer mehr Relevanz. Mit den „Non-Financial-Risks“ hat man sich bewusst von dem für die Bankenbranche spezifischen Begriff der „Operationellen Risiken“ gelöst. Es soll aber einmal mehr ein Beleg für diese These sein, dass die Finanzbranche vorangeht und viele hier sinnvollerweise geschaffenen Maßnahmen zeitlich versetzt in andere Bereiche übertragen werden. 1.2 Ableitung übergeordnetes Risikomanagement
Das IT-Risikomanagement ist ein Teilbereich des übergeordneten (allgemeinen) Risikomanagements. Das übergeordnete Risikomanagement sollte grundsätzliche Strukturen vorgeben und einen Handlungsrahmen schaffen, der ein weitestgehend harmonisiertes Risikomanagement in allen relevanten Themenbereichen ermöglicht. Nur so kann auf ein einheitliches Risikomanagement hingewirkt werden. Methodisch kann insbesondere bei nachfolgenden Themenaspekten ein Gleichklang der Vorgehensweise im Risikomanagement erfolgen: – Einheitliche Bewertungsstufen für Risiken (also Kritikalitätsstufen 3, 4, 5 oder anders)
– Wertgrenzen in der Risikobewertung pro Gesellschaft (bzw. die Gesellschaften in einem Konzern)
– Methodik zur Ermittlung der Einzelrisiken und der Risikoaggregation, Risikoappetit, Risikoakzeptanz etc.
1.3 Vorgehensweise
Auf Basis der modellierten IT-Prozesse sind die Risiken im Prozess zu identifizieren. Als Risiko wird beispielsweise die Möglichkeit der Abweichung von einem explizit formulierten oder sich implizit ergebenden Ziel verstanden. Die inhärenten Risiken eines Prozesses werden auch als Bruttorisiko bezeichnet. Mit ihnen wird die Anfälligkeit eines Prozesses für das Auftreten von Fehlern ohne Berücksichtigung der definierten Kontrollen bezeichnet. Die Risikoanalyse wird auf Basis der festgelegten Risikokriterien und im Zuge eines „Soll/Ist Abgleichs“ durchgeführt. Risikokriterien enthalten insbesondere mögliche Bedrohungen, das Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit. Risikoidentifikation und Bewertung kann insbesondere mithilfe der VIVA8-Kriterien oder CIA9-Kriterien erfolgen. Durch die implementierten Risikosteuerungsmaßnahmen/Kontrollen erfolgt eine Reduktion des Bruttorisikos hin zum Nettorisiko. Im Rahmen des IKS werden den inhärenten Risiken die bestehenden Kontrollen gegenübergestellt und analysiert, ob die Risiken in ausreichendem Maße mitigiert werden. 1.4 Non-Financial-Risks oder OpRisk
IT-Risiken sind im Risikomanagementtool des übergeordneten Risikomanagements zu erfassen und zu bewerten. Ein solches Tool ist erforderlich, weil darin etwa eine „Monte-Carlo“-Simulation vorgenommen werden kann. Eine solche Berechnung wirft unter Berücksichtigung der eingemeldeten Risiken die Risikotragfähigkeit aus. Abb. 6: Erfassung und OpRisk-Meldung IT-Risiken 1.5 Überwachung
Die Geschäftsleitung und das übergeordnete Risikomanagement müssen über die Risikosituation angemessen unterrichtet werden. 1.6 Dokumentation
Für das IT-Risikomanagement ist ein Framework zu erstellen. Aus diesem muss ersichtlich sein, wie es sich aus dem übergeordneten Risikomanagement ableitet. Es müssen ferner Arbeitsanweisungen für das IT-Risikomanagement erarbeitet werden sowie Arbeitshilfen in Form von Checklisten und Templates. 1.7 Implementierungsstrahl
1.8 Checkliste
Checkliste ? Es ist eine einheitliche Methode zur Bewertung und Steuerung der Risiken (vom übergeordneten Risikomanagement) bestimmt worden. Diese ist in der schriftlich fixierten Ordnung festgehalten.
? Die Prozesse zur Identifizierung, Bewertung, Steuerung und Meldung der Risiken an das übergeordnete Risiko-Management sind modelliert. Hierzu gehört auch, dass festgelegt ist, an welcher Stelle welche Arten von Risiken erfasst werden.
? Es sind...
