28.01.2005 - Operatives Risiko-Management und IT-Sicherheits-Management

Ort und Zeit

Donnerstag, 28.01.2005  (10:15-17:15 Uhr)

in Frankfurt (Main)-Niederrad bei DB Systems
60528 Frankfurt am Main, Hahnstr. 40
Tel.: +49 (0)69-265-50133   Fax: 069-265-20950
www.bahn.de

Die Themen

  • Operatives Risk- und Sicherheitsmanagement: Gemeinsamkeiten und Unterschiede
  • IT-Risiko- und IT-Sicherheitsmanagement als ganzheitlicher Ansatz
  • Rollout and Methodology of Corporate Risk Management at SAP
  • IDW PS330 Der neue Sicherheitsstandard für Wirtschaftsprüfer
  • Einsatz einer Information Risk Scorecard

Das Programm im Einzelnen

10:15

Begrüßung

10:30-11:30

"Operatives Risk- und Sicherheitsmanagement: Gemeinsamkeiten und Unterschiede"

 

Vortrag & Diskussion (Stefan Kronschnabl/ FH I-U, Bruchsal)

11:30-12:30

"IT-Risiko- und IT-Sicherheitsmanagement als ganzheitlicher Ansatz"

 

Vortrag & Diskussion (Dr. Markus Gaulke/ KPMG, Frankfurt)

12:30-13:45

Mittagspause

13:45-14:45

"Rollout and Methodology of Corporate Risk Management at SAP"

 

Vortrag & Diskussion (Michael Collet/ SAP)

14:45-15:45

"IDW PS330 Der neue Sicherheitsstandard für Wirtschaftsprüfer"

 

Vortrag & Diskussion (Florian Oehlmaier/ MSG)

15:45-16:00

Pause

16:00-17:00

"Einsatz einer Information Risk Scorecard"

 

Vortrag & Diskussion (Dr. Dirk Loomans/ Dr. Loomans Unternehmensberatung)

17:00-17:15

Veraschiedung

Bericht zum Workshop und Details zu den Vorträgen

Stefan Kronschnabl (Institut für Bankinnovation, Uni Regensburg)
Operatives Risk- und Sicherheitsmanagement: Gemeinsamkeiten und Unterschiede

Der Vortrag basiert auf Vorarbeiten zu einer Promotion zu diesem Thema, wobei spezifische Findings nicht präsentiert werden konnten.

IT spielt eine tragende und wesentliche Rolle bei den Banken, somit sind Operatives Risk Management und IT-Risiko-Management eng mit einander gekoppelt.

Risiko wird als Erwartungswert für einen möglichen Schaden definiert. Die Ermittlung von Zahlenwerten ist schwierig, insbesondere wenn eine statistische Basis fehlt oder (wie in der Diskussion vorgebracht) in vielen Fällen irreführend ist. Der Umgang mit Risiken ist deshalb "vermeiden, vermindern, begrenzen" bzw. "versichern, tolerieren, reduzieren, beobachten".

Ein detaillierter Vergleich von einem bei Basel II geforderten Vorgehen für ein "Operatives Risiko-Management" mit dem Vorgehen beim GSHB (Grundschutzhandbuch des BSI) ergibt eine weitgehend vollständige Abbildbarkeit der Kategorien und der unterliegenden Konzepte. Aufbauend auf dieser Tatsache wird ein Vergehens Konzept skizziert anhand dessen IT-Sicherheitsrisiken identifiziert und bewertet werden können.

In der Diskussion wurde vermutet und auch bestritten, dass der wesentliche Unterschied nur in den verschiedenen Domains liegt, wobei daraus resultierende technische oder organisatorische Unterschiede noch weiter zu untersuchen wären, ebenso wie Fragen, welche Auswirkungen dies auf im Detail die Organisation des Operativen und des IT-Risiko-Managements hat. Offen blieben auch in der Diskussion, ob und wann eine organisatorische Trennung sinnvoll ist und welche Interaktionen ggf. als essentiell zu sehen sind.

[  Präsentation als PDF]

Markus Gaulke (KPMG, Frankfurt)
IT-Risiko- und IT-Sicherheitsmanagement als ganzheitlicher Ansatz

Der Vortragende ist Autor eines Buches zu "Risikomanagement in IT-Projekten" (www.risikomanagement-in-it-projekten.de). In seiner Funktion als Vorstand des ISACA German Chapters e.V. geht sein Interesse mit COBIT deutlich über das Thema von Projekten hinaus, und bezieht sich generell auf IT-Risk-Management. Das Sarbanes Oxley Gesetz in USA und KontraG in Deutschland sind die wesentlichen Auslöser für die Bedeutung von COBIT.

Interne Kontrollen richten sich inzwischen an COBIT aus. Der Prüfungsansatz erstreckt sich - anders als beim GSHB - auch auf Effizienz und Effektivität. Die Bedeutung der Checklisten bei der Risikoanalyse liegt darin, bei Bewertungen und Prüfungen eine (möglichst hohe) Vollständigkeit zu erreichen, ohne eine individuelle Behandlung dabei auszuschließen. Es gibt keine wirklichen Vorgaben, wie Risiko-Analysen zu machen sind. Als immer noch generische Basis wird ISO 13335 genommen. Auch beim GSHB des BSI ist inzwischen eine Abkehr von "Wahrscheinlichkeiten" erfolgt. Für die Praxis ist vor allem eine Priorisierung der erkannten Risiken wichtig. Als Erfahrung aus aktuellen Prüfungen wird berichtet, dass die Integration von Operativem und IT-Risiko-Management in der Praxis oft mangelhaft ist.

[  Präsentation als PDF]

Michael Collet (SAP)
Rollout and Methodology of Corporate Risk Management at SAP

Eine detaillierte Schilderung eines für interne Zwecke aufgebauten Models für "Corporate Risk Management". Die dazu entwickelten Tools, weitgehend auf Excel-Basis, werden in einzelnen Projekten auch an Kunden ausgeliefert. Die Reife eines Standard-Tools ist allerdings noch nicht gegeben, wohl weil hier auch immer individueller Beratungsbedarf besteht.

Die Priorität eines Risikos ergibt sich aus dem zeitlichen Horizont und der Höhe. Die Klassifikation der Behandlung ist: delegate, research, transfer, accept, mitigate, watch. Ein Risiko-Clustering hat sich als wenig relevant erwiesen.

Für die Etablierung ist ein detailliertes und - bei SAP selbst - erprobtes Konzept erarbeitet worden. Ziel des gesamten Konzeptes ist, dass das Risiko-Management möglichst integriert in die sie betreffenden Prozesse erfolgt. Durch die zusätzliche technische Integration der Tools in R3 ist u.a. auch eine lückenlose Protokollierungsfunktion und Nachvollsziehbarkeit gegeben. Es bestehen naturgemäß neben den positiven Einführungserfahrungen leider noch keine Erfahrungen mit einer längeren Anwendung von Methodik und Tool.

[  Präsentation als PDF]

Florian Oehlmaier(MSG)
IDW PS330 Der neue Sicherheitsstandard für Wirtschaftsprüfer

Es wird die Sicht eines Betriebsprüfers für SMEs dargelegt, der sich gemäß des Wortlauts der Bestimmungen (prüfen auf: Vollständigkeit, Richtigkeit, Zeitgerechtikeit, Ordnungsmäßigkeit, Nachvollziehbarkeit, Unveränderlichbarkeit) und den Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW PS 330) auch aufgefordert fühlt, die IT eines Betriebs mit zu prüfen. Dafür ist aber traditionell weder Knowhow in einer mittelständischen Betriebsprüfer-Kanzlei vorhanden, noch scheint der Aufwand erbringbar zu sein. Einer der Ansatzpunkte für die übergreifende Prüfung ist der zu prüfende "Lagebericht", der einen Bezug zur gesamten IT eröffnet.

Es bestehen in Bezug auf den Prüfumfang ("Aufbauprüfung" - auf Basis von Dokumenten, und "Funktionsprüfung" in Bezug "Wirksamkeit im Betrieb") deutliche Unklarheiten, vor allem was die geforderte Tiefe der Prüfung betrifft. Bisher hat es z.B. genügt, wenn die Buchhaltungssoftware nach IDW PS 880 geprüft worden war. Eine genauere Prüfung der Installation war nicht erfolgt.

Die IDW-Vorgaben grenzen sich von den Vorgaben des GSHBs weder terminologisch ("windschiefe Definitionen") noch inhaltlich ab. (Frau Münch/BSI: "eine Abgrenzung wurde von allen Seiten bisher versäumt und sollte schleunigst nachgeholt werden").

[  Präsentation als PDF]

Dr. Dirk Loomans (Dr. Loomans Unternehmensberatung)
Einsatz einer Information Risk Scorecard

Beispielhaft wird die Balanced Scorcard Methode FIRM der ISF (International Security Forum) vorgestellt. Sie richtet sich dabei gezielt an die Leitungsebene einer Firma, arbeitet also mit zusammenfassenden Darstellungen. Messbarkeit auf der Ebene des oberen Managements wird hier durch die Gegenüberstellung von "Ziele - Indikatoren - Maßnahmen" gegeben, wobei nur wenige Kennzahlen (3 bis 5) genügen müssen. Es werden hier mehr qualitativ basierte Schätzungen als statistische Schätzungen zu Grunde gelegt.

Die Methode hat zwei Phasen ("dry run", "for real"). In der ersten Phase können erste Verbesserungen erfolgen, die in der zweiten Phase schon als erste Erfolge verbucht werden können, wodurch die Akzeptanz der Risk-Analyse bei den betroffenen Abteilungen gehoben wird.

FIRM ist zwar nur Mitgliederfirmen von ISF zugänglich, wesentliche Details der Vorgehensweise stehen aber öffentlich zur Verfügung und können übernommen werden (z.B. über citicus.com oder den Vortragenden selbst).

[  Präsentation als PDF]