IT-Risikomanagement

Dozent

Prof. Dr. Frank Teuteberg

Inhalt

Die Abhängigkeit der Unternehmen von ihrer IT (d.h. von der Informationstechnologie und von Informations- und Kommunikationssystemen) ist sehr hoch. Dieser Sachverhalt hat in den vergangenen Jahren zu einer Vielzahl an Gesetzen, regulatorischen Anforderungen und Richtlinien geführt (z.B. Sarbanes-Oxley Act, EuroSox, KonTraG, Basel II, Ma-Risk, Solvency II, etc.). An diese normativen Ansprüche und gesetzlichen Regelungen müssen sich Unternehmen in ihren Geschäftsbeziehungen zu Kunden, Partnern und Lieferanten halten. Verstöße können schwerwiegende Folgen für Reputation, Unternehmenserfolg, Geschäftsfortführung sowie juristische Konsequenzen nach sich ziehen. Die Umsetzung eines transparenten und effizienten IT-Risikomanagements ist somit erforderlich.

IT-Risikomanagement umfasst die systematische Identifizierung der von Risiken (und regulatorischen Anforderungen) betroffenen IT, die Risikoanalyse, die Implementierung eines internen Kontrollsystems sowie entsprechender IuK-Systeme, die Überwachung der Geschäftsprozesse, die Anpassung des internen Kontrollsystems an neue Risiken und regulatorische Anforderungen sowie die Umsetzung "sinnvoller" Maßnahmen zur Risikoprävention. Die Lehrveranstaltung qualifiziert die Teilnehmer insbesondere für Tätigkeiten im Bereich IT-Controlling, IT-Auditing, Unternehmensberatung sowie Unternehmensplanung.

Gliederung

1   Einführung und Überblick – Weshalb IT-Risikomanagement?
     1.1   Motivation
     1.2   Risiko-Begriff
     1.3   Risikokategorien und IT-Risiken
     1.4   Aufgaben und Prozess des IT-Risikomanagements
     1.5   Methoden zur qualitativen und quantitativen Unterstützung des
             IT-Risikomanagements

2   Regulatorische und rechtliche Anforderungen an das IT-Risikomanagement
     2.1   Hauptakteure (Stakeholder) im unternehmensweiten
             IT-Risikomanagement
     2.2   Gesetz zur Kontrolle und Transparenz von Unternehmen (KonTraG)
     2.3   Mindestanforderungen an die Ausgestaltung der internen Revision
             sowie das Risikomanagement (MaRisk)
     2.4   Sarbanes-Oxley Act (SOX) in den USA
     2.5   Bundesdatenschutzgesetz
     2.6   Signaturgesetz
     2.7   GOBS (Grundsätze ordnungsgemäßer Buchführungssysteme)
     2.8   Weitere Gesetze zum IT-Recht und regulatorische Anforderungen
             an das IT-Risikomanagement

3   Rahmenwerke und Standards für das IT-Risikomanagement
     3.1   Überblick
     3.2   IT-Sicherheitskonzept, Grundschutz und IT-Risikomanagement nach BSI
     3.3   ITIL (Information Technology Infrastructure Library)
     3.4   COSO
     3.5   Common Criteria (ISO/EC 15408)
     3.6   Cobit (Control Objectives for Information and Related Technology)
     3.7   Weitere Rahmenwerke und Standards

4   Methoden und Techniken zur Risikoidentifikation
     4.1   Aufgaben und Elemente der Risikoidentifikation
     4.2   Überblick
     4.3   Kreativitätstechniken
     4.4   Analytische Methoden
     4.5   Szenariotechnik und Prognosetechniken
     4.6   Risiko-Checklisten

5   Methoden zur Risikoanalyse und -bewertung
     5.1   Überblick und Aufbau einer Risikoanalyse und -bewertung
     5.2   Fehlerbaum-Analyse
     5.3   Angriffsbaum-Analyse
     5.4   Fehlermöglichkeits- und Einflussanalyse
     5.5   SWOT-Analyse
     5.6   Risikoportfolio (Risikomatrix)
     5.7   Risk Balanced Scorecard
     5.8   Scoring- und Ratingmodelle
     5.9   Sensitivitätsanalyse
     5.10 Monte-Carlo-Simulation

6   Methoden zum Umgang mit IT-Risiken
     6.1   Priorisierung und Umsetzung (technisch, administrativ, organisatorisch)
     6.2   Schutzmaßnahmen – Intrusion Detection Systeme
     6.3   Risikostrategien: Vermeiden, Vermindern, Überwälzen, Selbst tragen
     6.4   Make-or-Buy- und Sourcing-Entscheidungen (Insourcing-,
             Outsourcing-Lifecycle)
     6.5   Wirtschaftlichkeit von IT-Schutzmaßnahmen (Total Cost of Risk,
             Return on Secury Investment (ROSI), gesamtwirtschaftliche 
             Betrachtungen)

7   Standardsoftware zur Unterstützung des IT-Risikomanagements
     7.1   Überblick
     7.2   Klassifikation
     7.3   Einsatz ausgewählter Standardsoftwareprodukte wie z.B. (@Risk) 

8   IT-Risikomanagement in ausgewählten Bereichen
     8.1   Branchen-, und unternehmensspezifische Anforderungen an das 
             IT-Risikomanagement
     8.2   Risikomanagement im Software Engineering
     8.3   Risikomanagement in Wertschöpfungsnetzwerken
     8.4   Risikomanagement in der Projektplanung (Ereignisknotennetze (CPM,
             PERT), Kapazitäts- und Kostenplanung)
     8.5   Best-Practices-Modelle (Referenzmodelle)

9   Zusammenfassung, Ausblick und kritische Würdigung

Lernziele

Sie lernen

1. anhand konkreter Fallstudien Methoden und Instrumente des IT-Risikomanagements kennen und anzuwenden,
2. wie die IT eines Unternehmens anhand von Kennzahlen und Risikoindikatoren durch Externe (z.B. Banken, Wirtschaftsprüfer, Rating-Agenturen) bewertet wird,
3. in Zielhierarchien zu denken und Zielkonflikte im Hinblick auf Performance, IT-Sicherheit, regulatorische Anforderungen (Compliance) und Rentabilität zu erkennen.

Lehrmethode

Erläuterung theoretischer Konzepte anhand praxisorientierter Fragestellungen, Übung ausgewählter Fälle durch Lösung wöchentlicher Übungsaufgaben, Diskussion von kontroversen Fragestellungen im Forum, Lösung von (quantitativen) Problemstellungen. Studium von zur Verfügung gestellten Texten, Folien und wissenschaftlichen Kurzbeiträgen.

Literatur

Königs, H.-P.: IT-Risiko-Management mit System, Edition kes, 2006.

Witt, B. C.: IT-Sicherheit kompakt und verständlich. Eine praxisorientierte Einführung, Edition kes, 2006.

Weitere Literatur wird in der ersten Sitzung bekannt gegeben und zu den jeweiligen Sitzungen zur Verfügung gestellt.

ECTS

6.0 Punkte