Vorlesung06-6.pdf
Document Details
Uploaded by TenderNovaculite7257
2023
Tags
Full Transcript
Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe PROF. LUTZ M. KOLBE Management der Informationswirtschaft Vorlesung 6: Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof....
Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe PROF. LUTZ M. KOLBE Management der Informationswirtschaft Vorlesung 6: Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Besprechung des Artikels 17.01.2023 Professur für Informationsmanagement 2 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Inhalte der Veranstaltung Datum Inhalt Ort 09.11.2022 Einführung und Grundlagen ZHG 002 16.11.2022 Modelle des Informationsmanagements ZHG 002 30.11.2022 Grundlagen der Informationswirtschaft ZHG 002 01.12.2022 Strategisches IT-Management & IT-Governance ZHG 1.141 07.12.2022 IT-Organisation ZHG 002 11.01.2023 Sicherheitsmanagement & IT- Risk Management ZHG 002 18.01.2023 Außenwirksame IS & e-Commerce ZHG 002 25.01.2023 IT-Performance Management ZHG 002 01.02.2023 Umsetzung & Betrieb, Green IT ZHG 002 08.02.2023 Projektmanagement Highlights / Q&A ZHG 002 24.02.2023 E-Prüfung MZG 1.116 Gastvortrag von Prof. Dr. Felix Wortmann - Donnerstag, 12.01.2023 (morgen), Raum: 1.141 (ZHG) 17.01.2023 Professur für Informationsmanagement 3 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Inhalte der Vorlesung ▪ Grundlagen der Informationssicherheit ▪ Gefahrenquellen und Bedrohungen ▪ IT-Risk-Management 17.01.2023 Professur für Informationsmanagement 4 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Kernfragen der Vorlesung 17.01.2023 ▪ Was ist unter IT-Sicherheit und unter Informationssicherheit zu verstehen? ▪ Warum wird die Informationssicherheit immer wichtiger? ▪ Welche Bedrohungen gibt es? ▪ Wie kann das Management von Informationssicherheit umgesetzt werden? Professur für Informationsmanagement 5 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Aktuelle Fallbeispiele ▪ 20-jähriger stellt private Daten von rund tausend Politkern ins Netz. ▪ British Airways macht Datendiebstahl im September 2018 öffentlich. Hacker erbeuteten damals Daten von rund 500.000 Kunden, indem sie Anfragen an die Webseite der Fluglinie auf eine gefälschte Internetseite weiterleiteten. (FAZ Juli 2019) ▪ In mehreren Ländern sind Ermittlungen gegen den amerikanischen Mitfahrdienst Uber eingeleitet worden, nachdem dieser die Vertuschung einen Diebstahls von Millionen Kundendaten eingeräumt hat. (Zeit Januar 2019) (FAZ Nov. 2019) ▪ Vom massiven Datenklau bei Yahoo im Jahr 2013 waren alle drei Milliarden Nutzerkonten bei dem Internetkonzern betroffen. Bisher war von einer Milliarde Accounts die Rede gewesen . Man habe kürzlich neue Informationen erhalten, die auf mehr Betroffene schließen ließen. (FAZ Nov. 2019) ▪ 17.01.2023 Bei einem Cyber-Angriff auf den amerikanischen Finanzdienstleister Equifax haben Hacker in großem Stil Kundendaten erbeutet. Die Attacke sei von Mitte Mai bis Juli erfolgt und betreffe etwa 143 Millionen Verbraucher in den Vereinigten Staaten. (FAZ Nov. 2019) Professur für Informationsmanagement 6 Aktuelle Situation im Bereich IT-Security (1) 17.01.2023 What is the main driver for information security expenditure? Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 7 Aktuelle Situation im Bereich IT-Security (2) 17.01.2023 How many respondents have a formally documented information security policy? Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 8 Aktuelle Situation im Bereich IT-Security (3) 17.01.2023 How is information security expenditure changing? Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 9 Aktuelle Situation im Bereich IT-Security (4) 17.01.2023 In the last year, how many respondents had cyber attacks? Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 10 Klassifizierung der Trigger für „Security Incidents" Unbekannt Intern Extern Ca. 2% Ca. 22% Ca. 76% ◼ Web ◼ Verlorene Gegenstände ◼ Hackangriffe ◼ Diebstahl ◼ unbeabsichtigt ◼ Hackerangriffe ◼ Verlorene Gegenstände ◼ Diebstahl ◼ Geräteentsorgung ◼ Betrug ◼ Web ◼ Verlorene Dokumente ◼ Dokumentenentsorgung ◼ Web ◼ Virus Quelle: eigene Studie Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe ◼ Snail Mail ◼ absichtlich ◼ Betrug ◼ Diebstahl 17.01.2023 Professur für Informationsmanagement 11 Finanzieller Schaden ausgewählter Beispiele Organisation U.S. Department of Veterans Affair Finanzieller Schaden Verlorene Daten 26,5 Millionen Bemerkung $13 Billionen Voraussichtlich Gerichtsverfahren Auslöser Intern LG Electronics 31Millionen $747,4 per DS Gerichtsverfahren Extern TJX 94 Millionen $41 Millionen Diebstahl von Kreditkartendaten Extern The Softbank Corp. Providence Home Services ChoicePoint Nationwide Building Society DuPont DSW Shoe Warehouse Chipotle Lockheed Martin 17.01.2023 $36,5 Millionen Weitergabe von Informationen über Yahoo 365000 100000+ 11 Millionen >35000 interne Dokumente >1,4 Millionen $44 Millionen > $55 Millionen Verkauf von Kreditinformationen £980,000 >$400 Millionen Diebstahl geistigen Eigentums Extern Intern Extern Intern $6,5 Millionen Diebstahl von Kreditkartendaten Extern $5,6 Millionen Unbekannt $1 Billion unbekannt Professur für Informationsmanagement Quelle: eigene Studie Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 12 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Fallbeispiel 1 ▪ 17.01.2023 Collection #1 • • • • • Im Januar 2019 taucht ein riesiger Datensatz mit gestohlenen Zugangsdaten auf 773 Millionen E-Mail-Adressen, 87 Gigabyte an Daten und 21 Millionen Passwörter im Klartext Datensatz bündelt Informationen aus vielen einzelnen Datendiebstählen und Quellen Einige Daten stammen aus dem Yahoo-Hack von 2013, bei dem 3 Milliarden Datensätze von Kunden gestohlen wurden Schwachstellen, die die Hacker ausgenutzt haben, lagen auf den Webseiten der Unternehmen, z.B. wurden LoginDaten und Passwörter auf den Servern unverschlüsselt hinterlegt Professur für Informationsmanagement 13 Fallbeispiel 2 ▪ 17.01.2023 British Airways • • • • Zwischen Juni und September2018 werden bei einem Hackerangriff 500.000 Kundendaten gestohlen Namen, Anschriften, E-Mail-Adressen und Bankdaten wurden gestohlen British Airways versprach betroffenen Kunden Entschädigungszahlungen und entschuldigte sich öffentlich Die Fluggesellschaft wurde zusätzlich von der britischen Datenschutzbehörde ICO zu 204 Millionen Euro Strafe verurteilt, wegen des Verstoßes gegen europäische Datenschutzbestimmungen Tagesschau.de Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 14 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Definition „IT-Sicherheit“ 17.01.2023 ▪ Strategien, Vorgehensweisen und technische Maßnahmen, die Kommunikation zurechenbar gestalten sowie den unerlaubten Zugriff, ungewollte Veränderungen, Diebstahl oder physische Beschädigungen von Informationssystemen und den darin enthaltenen Informationen vermeiden sollen. (Laudon et al., 2006) ▪ Security is the ability for a business to trust the electronic environment in which the company operates and offers its services. (Garique and Mackie, 1999) ▪ Sicherheit ist das Vorhandensein eines gewollten (d.h. geplanten) Ausmaßes an Integrität, Verfügbarkeit, Vertraulichkeit und Verbindlichkeit. (Heinrich, 2006) ▪ IT Security is a deliberately level of integrity, availability, confidentially and accountability of all IT assets owned by an organization. Professur für Informationsmanagement 15 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Definition „Management von IT-Sicherheit” 17.01.2023 Management von IT-Sicherheit beinhaltet den Aufbau, die kontinuierliche Prüfung, Steuerung und Fortentwicklung der Sicherheit in den Bereichen der Informations- und Kommunikationstechnik (IuK). Im Bereich der Informationstechnik erstreckt es sich über alle IT-Prozesse, die Phasen des Lebenszyklus von Computersystemen sowie über alle Komponenten, wie z.B. Hardware, Software und Dokumentation. (Müller, 2005) Warum ist das Management von IT-Sicherheit wichtig? Professur für Informationsmanagement 16 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe IT-Sicherheit nach Heinrich ▪ Bedrohungen für die Informationsinfrastruktur wirken in vierfacher Weise auf die Sicherheit ein, wobei Verletzung im Grenzfall Verlust bzw. Nichtvorhandensein bedeutet Verletzung der Integrität (z.B. durch unbefugtes Verändern) Verletzung der Verbindlichkeit (z.B. durch Fälschung der Unterschrift) IT-Sicherheit Verletzung der Verfügbarkeit (z.B. durch Software-Fehler) Verletzung der Vertraulichkeit (z.B. durch unbefugten Datenzugriff) ▪ Sicherheit ist also das Vorhandensein eines gewollten (d.h. geplanten) Ausmaßes an Integrität, Verfügbarkeit, Vertraulichkeit und Verbindlichkeit [Heinrich, 2006] 17.01.2023 Professur für Informationsmanagement 17 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe „Informationssicherheit“ geht weiter als „IT-Sicherheit“ Informationssicherheit ▪ Information Security is a deliberately level of integrity, availability and confidentially of all information, electronic or otherwise, which is owned by an organization. (in Anlehnung an Laudon et al., 2006, Heinrich/Lehner 2005, Garique and Mackie, 1999) Management der Informationssicherheit ▪ The management of information security is the management of all information security related risks, which encloses the totality of all activities and measures for a goal directed identification, analysis, control and monitoring of information management related risks across people, processes, strategies and technologies. (in Anlehnung an Krcmar, 2005, Heinrich/Lehner 2005, Garique and Mackie, 1999, Müller 2005) Informationssicherheit IT-Sicherheit 17.01.2023 Professur für Informationsmanagement 18 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Klassifikation des Begriffs „Sicherheit” Nach der Intention Nach der Art der Bedrohung ▪ Sicherheit gegen beabsichtige Angriffe (security) ▪ Sicherheit gegen unbeabsichtigte Ereignis (safety) Nach der Art der bedrohten Ressourcen 17.01.2023 ▪ ▪ ▪ ▪ ▪ Verlust der Vertraulichkeit: unbefugter Informationsgewinn ▪ Verlust der Integrität: unbefugte Modifikation von Daten oder HW Daten: Datenschutz, Datensicherheit, Datensicherung ▪ Verlust der Verfügbarkeit: unbefugte Beeinträchtigung Software: Softwareschutz (Piraterie), Sicherstellung der der Funktionalität Integrität ▪ Verlust der Originalität Hardware: Verfügbarkeit, Schutz gegen Missbrauch Nach der Art der Vorkehrungen Anlagen: Gebäude, Klimaanlagen ▪ informationstechnische Maßnahmen ▪ bauliche Maßnahmen ▪ organisatorische Maßnahmen ▪ personelle Maßnahmen Professur für Informationsmanagement 19 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Wirtschaftlichkeit von Sicherheit ▪ Sicherheit muss wirtschaftlich sein Kosten (€) Optimales Sicherheitslevel bei minimalen Kosten Kosten von Sicherheitslücken 0% 17.01.2023 Gesamtkosten Kosten von Sicherheitsvorkehrungen Sicherheitsniveau Professur für Informationsmanagement 100% 20 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Steigende Bedeutsamkeit von IT-Sicherheit 17.01.2023 ◼Zunehmender Grad der Vernetzung von Unternehmen (Netzwerkunternehmen) ◼Zunehmender Einsatz von IT in fast allen Bereichen ◼Komplexität von IT-basierten Leistungen steigt ◼Steigende Eintrittswahrscheinlichkeit eines IT-Sicherheitsproblems ◼Steigende Folgekosten durch das IT-Sicherheitsproblem Professur für Informationsmanagement 21 Angriffstypen (2018/2019) 17.01.2023 Types of Attacks Experienced by Percent of Respondents Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 22 IT-Security Outsourcing (2018/2019) 17.01.2023 Quelle: Information Security Breaches Survey 2019 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Professur für Informationsmanagement 23 Fallbeispiel IT-Sicherheit im Rechenzentrum Datacenter.de Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe https://youtu.be/Oran7m64hUk 17.01.2023 Professur für Informationsmanagement 24 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Inhalte der Vorlesung ▪ Grundlagen der IT-Sicherheit ▪ Gefahrenquellen und Bedrohungen ▪ IT-Risk-Management 17.01.2023 Professur für Informationsmanagement 25 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Gefahrenquellen (Risiken) Gefahren Menschliches Handeln mit schädigender Absicht äußere Einflüsse ohne schädigende Absicht Softwarefehler Blitzschlag 17.01.2023 Systemfehler ... Materialermüdung Wasserschäden Professur für Informationsmanagement 26 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe IT-Risiko Typen Unintentional Intentional Internal 17.01.2023 Professur für Informationsmanagement External 27 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Der Risiko-Faktor „Mensch“ 17.01.2023 Professur für Informationsmanagement 28 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Inhalte der Vorlesung ▪ Grundlagen der IT-Sicherheit ▪ Gefahrenquellen und Bedrohungen ▪ IT-Risk-Management 17.01.2023 Professur für Informationsmanagement 29 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Bedeutung des Managements von IT-Sicherheit ◼Sicherheitsprobleme können enormen Schaden verursachen (Finanziell/Image) ◼Allein technische Vorkehrungen reichen nicht aus ◼Durch die zunehmende Vernetzung von Unternehmen steigen die Eintrittsrisiken sowie die Risiken der Schadenshöhe ◼Probleme bei kooperierenden Firmen im Netzwerkunternehmen verursachen ebenfalls Schaden beim Auftraggeber „The truth is that security is as much an issue of people and process as it is technology.“ (Oblinger, Hawkings 2006) 17.01.2023 Professur für Informationsmanagement 30 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe IT-Sicherheitsprozesse 17.01.2023 ▪ ▪ ▪ ▪ Eine wesentliche Aufgabe des Managements von IT-Sicherheit ist die Einführung/Nutzung eines Sicherheitskonzeptes Es gibt vier bedeutende Rahmenarchitekturen • IT-Grundschutzhandbuch (Bundesamt für Sicherheit in der Informationstechnik) • Code of Practice for Information Security (British Standard Institution, ISO 27001/ 27002 ehemals ISO 17799) • Security Handbook (National Institute of Standards and Technology, Washington) • Common Criteria (ISO 15408) der ISO zur Evaluation der IT-Sicherheit von Informationstechnik Diese variieren stark in Anwendungsbreite/-tiefe Nicht jedes Konzept ist für jedes Unternehmen geeignet Professur für Informationsmanagement 31 Überblick über die ISO/IEC 27002 Code of Practice for Information Security Management 17.01.2023 ▪ Risk Assessment and Treatment ▪ Security Policy ▪ Organization of Information Security ▪ Asset Management ▪ Human Resources Security ▪ Physical and Environmental Security ▪ Communications and Operations Management ▪ Access Control ▪ IS Acquisition, Development and Maintenance ▪ Information Security Incident Management Quelle: http://www.27002.net Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe ▪ Business Continuity Management ▪ Compliance Professur für Informationsmanagement 32 IT-Sicherheitsprozess nach IT-Grundschutzhandbuch Im Fokus stehen Informationen, nicht Informationssysteme Initiierung des IT-Sicherheitsprozesses ▪ Erstellung einer Sicherheitsleitlinie ▪ Einrichtung des IT-Sicherheitsmanagements Erstellung eines IT-Sicherheitskonzeptes Umsetzung Quelle: Eckert (2006) 156 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Realisierung fehlender Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallversorgung, insbesondere ▪ Sensibilisierung für IT-Sicherheit ▪ Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb 17.01.2023 Professur für Informationsmanagement 33 Das Sicherheits-Konzept der Stadtsparkasse München 17.01.2023 ◼ Organisatorische Sicherheit • IT-Sicherheitsorganisation • IT-Risikoanalysen ◼ Vertragsbeziehungen • Gesetze und Vorschriften • Vertragsgestaltung • Dokumentation Inventarisierung • SLAs-Outsourcing • Aufbewahrung und Archivierung • Überwachung der Regelungen • Schulung und Sensibilisierung ◼ Logische und technische Sicherheit • IT-Audit und -Management • Nutzerverwaltung ◼ Betriebsprozesse • Virenschutz und schadhafte Inhalte • Kapazitäts-/ • Netzstruktur und Netzsicherheit Verfügbarkeitsmanagement • Protokollierung und Auswertung • Datensicherungsmanagement • Vertrauliche Informationen • Change-/Releasemanagement Quelle: Ebener J., Kreditwesen Ausgabe Technik 3 (2007) 12 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe ISMS • Problem und Incidentmanagement ◼ Notfallplanung • Geschäftsfortführung (BCM) • Notfallorganisation • Notfallplan • Notfallübungen ◼ Physische Sicherheit/Gebäude Sicherheit • Standort- und Raumfaktoren • Strom/Blitz/Klima • Brandschutz • Zutrittsschutz • Überwachung • Datenträgeraustausch und -entsorgung Professur für Informationsmanagement 34 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe IT-Sicherheit als Teil des Risk-Management ▪ ▪ “Management von IT-Sicherheit” kann auch als “IT-Risk-Management” verstanden werden IT-Risk-Management ist ein Teil des Risk-Management des gesamten Unternehmens ▪ IT-Risk-Management ist eine Aufgabe des IT-Controllings und beinhaltet die Gesamtheit aller Aktivitäten und Maßnahmen zur zielgerichteten Identifikation, Analyse, Steuerung sowie Überwachung der Risiken des IM. (Krcmar, 2005) Ziele des Risikomanagements 17.01.2023 ▪ ▪ ▪ A priori: Identifizieren potenzieller Probleme und Maßnahmen zur Verhinderung (z.B. Virenschutz) Ex post: Maßnahmen zum Management und zur Behandlung der Risiken (z.B. Notfallpläne) Maßnahmenumsetzung durch den gesamten Lebenszyklus des Projekts oder Produkts, damit die Risiken nicht zum Problem werden und damit die Projektziele gefährden Professur für Informationsmanagement 35 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Definition Risiko Risiko ist ein unsicheres Ereignis 17.01.2023 Grundgleichung: Risiko = Eintrittswahrscheinlichkeit x Auswirkungen ▪ ▪ ▪ Risiken werden häufig nach Einzel- und Gesamtrisiken unterschieden Die Risikoverteilung einer einzelnen Entscheidung kann aus betriebswirtschaftlicher Sicht als Einzelrisiko verstanden werden Gesamtrisiko = Aggregat der Einzelrisiken Professur für Informationsmanagement 36 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Operatives und strategisches Risiko ◼ Operative Risiken ▪ ▪ Tägliche Unsicherheiten innerhalb eines Projekts, die kurzfristig beherrscht werden müssen, um das Projekt erfolgreich abzuschließen Haben einen Einfluss auf Zeitrahmen, Kosten, Inhalte, Qualität oder Funktionalität ◼ Strategische Risiken 17.01.2023 ▪ Langfristige Einwirkungen auf das Unternehmen, die heute behoben werden müssen, um nicht zu einer unternehmensweiten Gefahr zu werden Professur für Informationsmanagement 37 Das Risiko Framework: Operationale Risiken Project Risks Cost Physical Security Risks Buildings Pers. Injury Confidentiality IT Security Risks Availability Integrity IT Security Discipline Timeliness Quality IT Risks Transaction Processing (TPR) Liability Risk Compliance R. Tax Risk Legal Risk Quelle: UBS Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Operational Risks Reputational Risk 17.01.2023 Professur für Informationsmanagement 38 Governance von IT-Sicherheit in Projekten Business Case Technologie Markt Produktidee/ Lösungsziele Kundenbedürfnis ▪ Kostenabschätzung • Betreibbarkeit Verantwortung Auftraggeber • Risikobearbeitung • Beratung Realisierung Einführung/Betrieb ▪ Monitoring ▪ Compliance check ▪ Intrusion Detection ▪ Evaluation neuer Sicherheitslösungen ▪ Nutzung bestehender Mechanismen ▪ Risikobeurteilung Security Sign-off Rolle Security: 17.01.2023 Konzeption Initialisierung Service/Produkt Lösungskonzept Specification Sign-off Production Sign-off • Betreibbarkeit • Sicherheit Projektleiter • Beratung • Mitwirken bei Lösungsentwicklung • User (Funktionalität) • Betrieb & Sicherheit Projektleiter • (Beratung) Professur für Informationsmanagement IT Betrieb Quelle: UBS Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe • Risk, Management & Control 40 Risk Management Prozess im IM 17.01.2023 IT-Risiko vor Risikomanagement 2 nicht identifizierte Risiken RisikoIdentifikation •Identifikation kritischer Geschäftsprozesse •Ermittlung korrespondierender IMProzesse •Identifikation von Risiken und Gefährdungen 1 RisikoÜberwachung •Risikoreporting •Schwache Signale •Szenario Analyse •Neuinitiierung des Risikozyklus 5 3 RisikoStrategie RisikoAnalyse Quelle: Krcmar (2005) 445 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe RisikoSteuerung • Risikoverminderung • Risikovermeidung • Risikoüberwälzung • Risikostreuung • Risikoselbsttragung 4 •Schadenswirkungen •Eintrittsplausibilität •Risiko-Portfolio Professur für Informationsmanagement 41 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 1. Risikostrategie 17.01.2023 ▪ ▪ ▪ ▪ ▪ ▪ ▪ Ausgangspunkt aller Maßnahmen Festlegung der IT-Risk-Strategie muss an der unternehmensweiten Risikostrategie orientiert sein Inhalt = Verhältnis von Chancen und Risiken sowie Festlegung des maximalen Schadens Ziel = dauerhafte Sicherung der Existenz des Unternehmens Treffen von grundlegenden Maßnahmen zur Risikobewältigung Zuordnung von identifizierten Risikobereichen zu verantwortlichen Aufgabenträgern Schaffung einer gemeinsamen Risikokultur Professur für Informationsmanagement 42 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 2. Risikoidentifizierung 17.01.2023 ▪ ▪ ▪ ▪ ▪ ▪ Ziel: Die systematische und strukturierte Erfassung von wesentlichen Risiken/Risikobereichen des IM Die Qualität der Identifizierung ist ein kritischer Erfolgsfaktor für die Effizienz der folgenden Schritte Es müssen aktuelle und zukünftige Risiken betrachtet werden Es müssen alle kritischen Geschäftsprozesse und ihre korrespondierenden IM-Prozesse identifiziert werden Verfahren zur Identifizierung von Risiken • Kreativitätstechniken • Delphi-Studie • Szenario-Technik • Sensitivitätsanalyse • Portfolio-Analyse Dokumentation in einer IT-Risk-Card Professur für Informationsmanagement 43 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 3. Risikoanalyse 17.01.2023 ▪ ▪ ▪ Ziel: qualitative Bewertung bzw. quantitative Messung von Risiken Möglichkeit zur Durchführung von Kausalanalysen (Ursache, Wirkung) Methoden zur Risikobewertung • Einfaches Schätzen • Komplexe Methoden (Fuzzy-Logik) • (Operational) Value-at-Risk (VAR)* ▪ ▪ ▪ ▪ Ergebnis: Kritische Verlustgrenze, zeitliche Bewertung von Risikoentwicklung, angestrebtes Konfidenzniveau des Risikos Bewertung der Risiken: anwenderfreundlich in verbaler Form Ergebnisse der Bewertung werden in einem Portfolio dargestellt Ziel der Maßnahmenbündel ist eine Clusterung der Einzelrisiken *Value at Risk (VaR) bezeichnet ein Risikomaß, das angibt, welchen Wert der Verlust einer bestimmten Risikoposition mit einer gegebenen Wahrscheinlichkeit und in einem gegebenen Zeithorizont nicht überschreitet. Professur für Informationsmanagement 44 3. Methoden der Risikoanalyse: Risiko-Portfolio Ereignis tritt ein (%) 1 sehr wahrscheinlich 0,8 ▪ ▪ R5 R = Risiko Soll-Risikoniveau ist durch Risikostrategie vorgegeben R1 R2 wahrscheinlich 0,6 möglich 0,4 eher unwahrscheinlich R3 R4 Soll-Risikoniveau 0,2 Quelle: Krcmar (2005) 447 Eintrittswahrscheinlichkeit Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe unwahrscheinlich 50 100 200 400 GE z.B. TEUR Schadenshöhe 17.01.2023 Professur für Informationsmanagement 45 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 4. Risikosteuerung 17.01.2023 ▪ ▪ ▪ ▪ Ziel: Erreichen der festgelegten Ziele durch Beeinflussung der im Rahmen der Risikoanalyse ermittelten Risikopositionen Ansatzpunkte: • Ursachen und • Wirkungen der Risiken Hierbei wird das Instrumentarium der Risikopolitik genutzt Aus ökonomischer Sicht ist dasjenige Maßnahmenbündel zu wählen, bei dem die Grenzkosten gleich dem Grenznutzen der Sicherheit sind Dilemma: Kosten sofort messbar, Zuwachs an Sicherheit nur schwer quantifizierbar Professur für Informationsmanagement 46 4. Instrumente der Risikosteuerung (1) Risikopolitisches Instrument Maßnahmen Anwendungsbereiche Risikovermeidung Extremfall der Risikoreduktion auf ein Restrisiko von null, bspw. Abschaffung eines Systems, Abbruch des Projekts Vorwiegend bei Risikoeinstufung „sehr hoch“ oder „hoch“ Risikoverminderung Reduktion der Eintrittsplausibilität und Verringerung der Schadenswirkungen, aktive Beeinflussung der Ursachen sowie antizipatives Handeln des IM Vorwiegend bei Risikoeinstufung „hoch“ oder „mittel“ Risikoüberwälzung Übertragung möglicher Störungen vor ihrem Eintritt auf andere Wirtschaftssubjekte, bspw. Outsourcing oder Versicherung Anwendung bei allen Risikoeinstufungen möglich. Beschränkung meist auf reine Risiken (bspw. Betriebsrisiken im Rechenzentrum) Risikoselbsttragung Bewusste Akzeptanz des (Rest-) Risikos, im Rahmen unternehmerischen Handelns nicht eliminierbar, ggf. Bildung von finanziellen oder materiellen Reserven Management des akzeptierten Restrisikoniveaus („niedrig“, „vernachlässigbar“) nach erfolgter Risikosteuerung Risikostreuung Obenstehende Instrumente werden im Rahmen eines Instrumenten- Unterstützendes Instrument beim Einsatz aller anderen Mixes eingesetzt Risk Management Instrumente 17.01.2023 Professur für Informationsmanagement Quelle: Krcmar (2005) 448 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 47 4. Instrumente der Risikosteuerung (2) 17.01.2023 Durch ComputerVersicherungen überwälztes Risiko Restrisiko Durch Sicherungsmaßnahmen abgedecktes Risiko Quelle: Heinrich/Lehner (2005) 268 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Integriertes Sicherheitssystem Professur für Informationsmanagement 48 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 5. Risikoüberwachung 17.01.2023 ▪ ▪ ▪ ▪ ▪ Das Restrisiko darf nicht vernachlässigt werden Ständige Überwachung der Wirksamkeit aller Maßnahmen Risikolage ständig beobachten und bei Bedarf neu bewerten Bei Bedarf neuen Zyklus initiieren Gegebenenfalls Szenarioanalysen durchführen Professur für Informationsmanagement 49 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Was haben Sie gelernt? ▪ Auf Grund der großen Anzahl an Hackerangriffen und des hohen Imageschadens, spielt IT-Sicherheit eine immer größere Rolle. ▪ Unternehmensausgaben im Bereich IT-Sicherheit steigen, da auch die finanziellen Risiken aus Sicherheitsmängeln immer erheblicher werden. ▪ Besondere Gefahrenquellen im Hinblick auf IT-Sicherheit sind menschliches Handeln, äußere Einflüsse und Systemfehler. ▪ Eine wesentliche Aufgabe des Managements von IT Sicherheit ist die Einführung/ Nutzung eines Sicherheitskonzepts. ▪ Der IT-Risikomanagement Prozess basiert auf der unternehmensweiten Risiko-Strategie und umfasst die Risiko-Identifikation, die Risiko-Analyse, die Risiko-Steuerung und die Risiko-Überwachung. 17.01.2023 Professur für Informationsmanagement 50 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Literaturverzeichnis ▪ Krcmar, Helmut (2005): Informationsmanagement, 4. Auflage, Springer-Verlag Berlin Heidelberg ▪ Eckert, Claudia (2006): IT Sicherheit: Konzepte – Verfahren – Protokolle, überarbeitete Auflage, Wissenschaftsverlag Oldenburg ▪ Heinrich, Lutz J.; Lehner, Franz: Informationsmanagement: Planung, Überwachung und Steuerung der Informationsinfrastruktur, 8. Auflage, Oldenburg Verlag 17.01.2023 Professur für Informationsmanagement 51 Sicherheitsmanagement und IT-Risk Management Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe 17.01.2023 Haben Sie noch Fragen? Professur für Informationsmanagement 52 Wirtschaftswissenschaftliche Fakultät Professur für Informationsmanagement Prof. Dr. Lutz M. Kolbe Vielen Dank für Ihre Aufmerksamkeit PROF. LUTZ M. KOLBE Management der Informationswirtschaft Vorlesung 6: Sicherheitsmanagement und IT-Risk Management
