Fachthemen
IT-Risikomanagement-Frameworks für KMU
Stephan Mühe
Abstract
Auch für kleine und mittlere Unternehmen (KMU) ist ein effektives IT-Risikomanagement (ITRM) von großer und wachsender Bedeutung. Da die speziellen Anforderungen von KMU als solche jedoch nicht deckungsgleich mit denen großer Unternehmen sind, widmet sich der Beitrag der Fragestellung, wie KMU mit ihren besonderen Charakteristika ein unkompliziertes und leicht zugängliches ITRM ermöglicht werden kann. Zur Beantwortung der Fragestellung wird ein ITRM-Framework entwickelt.
Basierend auf einer Kombination von Design Science Research und Action Design Research werden die zentralen, für KMU relevanten Bestandteile aus den drei führenden (IT-)Risikomanagement-Frameworks COBIT 5 for Risk, ISO/IEC 27005:2011 und Management of Risk (M_o_R) zu einem neuen ITRM-Framework zusammengefügt. Das hierdurch entstehende Framework wird schließlich mit zwei KMU des deutschen Gesundheitswesens evaluiert. Die Ergebnisse zeigen, dass das entwickelte Vorgehensmodell in der Praxis grundsätzlich als verständlich und zielführend aufgefasst wird.
Die Masterthesis, auf der dieser Beitrag aufbaut, ist im letzten Jahr auf dem IT-GRC-Kongress 2016 mit dem ISACA Germany Thesis Award ausgezeichnet worden.