ISSN 1436-3011

09.02.2010

IT-Sicherheit
Identifikation und Analyse von Risiken im IT-Bereich
Thomas Rauschen, Georg Disterer

Zusammenfassung

Bei steigender Bedeutung der IT und zunehmender informationstechnischer Durchdringung der Unternehmen wachsen zugleich die Risiken und Gefahren, die z.B. durch Systemausfälle oder Lücken in der IT-Sicherheit ausgelöst werden. Daher wird es dringender, sämtliche Risiken im IT-Bereich zu identifizieren und zu analysieren. Zudem erzwingen gesetzliche Anforderungen ein umfassendes und detailliertes Risikomanagement.

Zur Identifikation und Analyse von Risiken stehen dem IT-Management einige etablierte Methoden zur Verfügung. Allerdings zeigt sich, dass bei deren Einsatz die Vollständigkeit der Risikoidentifikation nicht gewährleistet werden kann.

Inhaltsübersicht

1. Erfordernisse für ein Risikomanagement im IT-Bereich
   1. Gesetzliche Anforderungen nach KonTraG
   2. Gesetzliche Anforderungen nach Basel II
   3. Betriebswirtschaftliche Anforderungen
2. IT-Risikomanagement
   1. Risiken im IT-Bereich
   2. Phasen im IT-Risikomanagement-Prozess
3. Methoden im IT-Risikomanagement
   1. Control Objectives for Information and Related Technology
   2. IT-Grundschutzhandbuch
   3. Common Criteria for Information Technology Security Evaluation
   4. Code of Practice for Information Security Management
   5. Richtlinie zur Informationssicherheit in der Bürokommunikation
   6. MARION (Méthode d'Analyse des Risques Informatiques et d'Optimisation par Niveau)
   7. Information Risk Management (KPMG)
   8. Risk Review (PWC)
4. Vergleichende Zusammenfassung
5. Literatur

HMD, Heft 236, April 2004