Cover Heft 6

Heft 6, Oktober 2009

Fachthemen

Einführung eines leistungsfähigen IT-Risk-Management

Manuel Reil, Andreas Knäbchen, Robert Schürch

Abstract

"Datenschutzskandal: 17 Mio. Datensätze gestohlen", "17.000 Bankkunden betrogen?", "Handel mit Millionen Melderegisterdaten aufgedeckt" - jüngste Schlagzeilen über Datenschutzskandale und IT-Sicherheitsvorfälle belegen, dass viele Unternehmen und Behörden den Herausforderungen in der Analyse und Mitigation von IT-Risiken trotz vorhandener Methoden in der Praxis nur unzureichend begegnen.

Dieser Beitrag eines Energiedienstleistungsunternehmens demonstriert die Umsetzung von IT-Risikomanagement auf Basis anerkannter Standards wie ISO 27001/2 und den IT-Grundschutz-Katalogen. Nur wenige Fallstudien zum IT-Risikomanagement berichten von der erfolgreichen Bewältigung von Problemen in der Methodenanwendung unter realen und komplexen Unternehmensbedingungen (Zeit- und Budgetgrenzen).

Im Gegensatz zu vielen qualitativen Vorgehensweisen zum ITRisikomanagement wurde hier der Ansatz verfolgt, IT-Risiken quantitativ zu messen. Dies gewährleistet neben besserer Transparenz (Business Impact, Priorisierung von IT-Risiken etc.) die nahtlose Integration in das Corporate Risk Management - eine der Projektprämissen. Der Übergang von einem initialen IT-Risk-Assessment zu einem kontinuierlichen, zyklischen IT-Risikomanagement- Prozess wurde gemäß ISO 27001:2005 als Standard für das Management der Informationssicherheit realisiert.

Zum Inhaltsverzeichnis