Logo des Repositoriums

HMD 54(1) - Februar 2017 - IT-Risikomanagement

https://dl.gi.de/handle/20.500.12116/10748
Auflistung nach:

Auflistung HMD 54(1) - Februar 2017 - IT-Risikomanagement nach Titel

1 - 10 von 15
  • Zeitschriftenartikel
    Differenzierung von Rahmenwerken des IT-Risikomanagements
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Beißel, Stefan
    Rahmenwerke des IT-Risikomanagements erleichtern die systematische Identifikation, Analyse und Bewältigung von Bedrohungen und Risiken im IT-Umfeld. Ohne einen effektiven Umgang mit Risiken steigt die Gefahr, dass ein Unternehmen mit signifikanten Schäden konfrontiert wird und aufgrund der Folgen sogar seine Geschäftstätigkeit einstellt. Rahmenwerke erleichtern nicht nur die quasi obligatorische Anwendung eines IT-Risikomanagements, sondern bieten auch weitere Vorteile aus Sicht des Ressourceneinsatzes und der Qualität. Durch die Nutzung von Rahmenwerken werden z. B. die Transparenz und Vergleichbarkeit der Aktivitäten und Ergebnisse im IT-Risikomanagement erhöht. Grundsätzlich sind Rahmenwerke zwar stark zu empfehlen, allerdings ist die Vielzahl der verfügbaren Rahmenwerke schwer überschaubar und auf den ersten Blick sind diese kaum differenzierbar. Es stellt sich also die Frage, welches Rahmenwerk tatsächlich zum Unternehmen passt. Dieser Artikel erleichtert die Auseinandersetzung mit Rahmenwerken des IT-Risikomanagements, indem er verbreitete Rahmenwerke vorstellt und außerdem ihre Unterschiede und Einsatzmöglichkeiten erläutert. Es wird unter anderem beschrieben, mit welchem Rahmenwerk man die schnellsten Ergebnisse erzielen kann, welches für Begriffsdefinitionen geeignet ist, welches sich auf Akteure, Szenarien oder Vermögenswerte bezieht und mit welchem der Reifegrad von Prozessen beurteilt werden kann. Manchmal eignet sich auch eine Kombination von ausgewählten Rahmenwerken, um die individuelle Situation und die Erwartungen eines Unternehmens am besten abzudecken.AbstractFrameworks for IT risk management facilitate the systematical identification, analysis and coping of threats and risks in the IT environment. Without an effective handling of risks, the danger will increase that a company will have to face significant damages and, because of the consequences, might even have to cease business operations. Frameworks facilitate not only the quasi-mandatory application of IT risk management, but also offer other advantages from the view of resource use and quality. By using frameworks, e.g. the transparency and comparability of activities and results in IT risk management will be increased. In general, frameworks are highly recommended, but the large number of available frameworks is difficult to understand and, at first sight, they can hardly be differentiated. This raises the question of what framework actually fits into the company. This article facilitates the confrontation with frameworks of IT risk management by introducing common frameworks and explaining their differences and possible applications. Among other things, it describes which framework can be used to obtain the fastest results, which framework is suitable for definitions, which framework refers to actors, scenarios or assets, and with which framework the maturity level of processes can be assessed. Sometimes also a combination of selected frameworks is suitable to cover the individual situation and the expectations of a company in the most suitable way.
  • Zeitschriftenartikel
    Effizienzorientiertes Risikomanagement für Business Process Compliance
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kühnel, Stephan; Sackmann, Stefan; Seyffarth, Tobias
    Business Process Compliance (BPC) bezeichnet die Einhaltung von Anforderungen (aus Gesetzen, Standards, internen Vorgaben usw.) bei der Definition und Ausführung von Geschäftsprozessen. Die Sicherstellung von BPC ist für Unternehmen häufig eine komplexe und kostenintensive Angelegenheit. Um eine Beeinträchtigung der Wettbewerbssituation durch BPC zu vermeiden, ist es erforderlich Compliance-Risiken unter Berücksichtigung der Effizienz quantitativ zu steuern. Die Ergebnisse des Beitrags verdeutlichen die Potentiale von BPC-Ansätzen zur konzeptionellen und technologischen Unterstützung des Managements von Compliance-Risiken im Rahmen der Risikoidentifikation, Risikovermeidung und Risikoüberwachung. Es zeigt sich, dass ein effizienzorientiertes Management von Compliance-Risiken eine Risikoquantifizierung erfordert, die BPC-Ansätze bis dato nicht leisten können. Weitere Ergebnisse zeigen, dass finanzwirtschaftliche Verfahren zur Risikoquantifizierung monetärer Compliance-Risiken geeignet sind und eine Effizienzmessung sowie teilweise -optimierung von BPC erlauben. Die Möglichkeiten und Grenzen der praktischen Anwendbarkeit dieser Verfahren für BPC werden diskutiert und abschließend empirisch verifiziert.AbstractBusiness Process Compliance (BPC) is defined as the adherence of requirements (such as laws, standards, internal guidelines etc.) in the conception and execution of business processes. Ensuring BPC can become a complex and cost-intensive issue for companies. In order to avoid the deterioration of the competitive position by BPC it is necessary to quantitatively control compliance risks taking into account efficiency. The results of this paper show that BPC supports the management of compliance risks within the scope of risk identification, risk aversion and risk monitoring. It becomes apparent that an efficiency-oriented management of compliance risks requires risk quantification, which BPC approaches cannot support to date. Moreover, the analysis shows that financial approaches are suitable for quantifying monetary compliance risks and enable efficiency measurement as well as partly efficiency optimization of BPC. The possibilities and limitations of the practical applicability of these approaches are discussed and empirically verified.
  • Zeitschriftenartikel
    Fraud-Detection im Gesundheitswesen: Data-Mining zur Aufdeckung von Abrechnungsbetrug
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Könsgen, Raoul; Stock, Steffen; Schaarschmidt, Mario
    Im Gesundheitswesen belaufen sich die Betrugskosten auf circa 5,6 Prozent, die Tendenz ist weiter steigend (Neuber 2011). Für Deutschland würde dies im Jahr 2014 etwa 18,3 Mrd. Euro an Betrugskosten bedeuten (Statistisches Bundesamt 2016). Steigende Krankenversicherungsbeiträge und eine neue Auffassung von gesetzlicher medizinischer Grundversorgung sind die Folgen. Es handelt sich bei Abrechnungsbetrug um eine besonders sozialschädliche Form der Wirtschaftskriminalität, da die Integrität des Gesundheitswesens insgesamt negativ beeinflusst wird (Bundeskriminalamt 2004). Zudem stehen Krankenversicherungen in einer dynamischen Umwelt und bei stetig steigendem Konkurrenzdruck vor der Herausforderung ihre Kosten zu senken. Die Abrechnungsdatensätze der Ärzte unterliegen regelmäßiger Änderungen und werden zunehmend komplexer. Dies führt dazu, dass es für die Rechenzentren der Krankenversicherungen zunehmend schwieriger sein wird, Informationen zur Aufdeckung von Abrechnungsbetrug zu extrahieren. Data-Mining zählt zu den Analysemethoden von Business Analytics und wird zur Mustererkennung in großen Datenbeständen verwendet. Die vorliegende Arbeit liefert einen Erkenntnisbeitrag zu Umsetzungsmöglichkeiten eines Fraud-Detection-Systems, auf Basis einer Data-Mining-Assoziationsanalyse.AbstractThe health care fraud costs in Germany totaled 21 bn euro in 2014 (Statistisches Bundesamt 2016) and the numbers continue to grow. Rising health care contributions and a new view with regard to basic medical care are the consequences. From the the German Federal Criminal Office point of view, accounting fraud is a socially harmful conduct. At the same time, health insurances face the challenge to reduce their costs. The accounting data from medical doctors are subjected to continuous change and become increasingly complex. Due to this, it becomes more difficult to extract useful information out of this enormous volume of data. Data-mining is part of the analysis methods of business analytics and is used to pattern recognition. The intention of this paper a new contribution to implementation possibilities of a fraud-detection-system that is based on data-mining-association-analysis.
  • Zeitschriftenartikel
    Informationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Decker, Karsten M.
    Informationssicherheit ist kein IT-Problem und kann nicht auf die IT-Abteilung reduziert werden. Eine wirksame Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit muss in der ganzen Organisation verankert werden. Um dieser Herausforderung effizient zu begegnen, ist ein risikobasiertes Vorgehen erforderlich. Dazu muss zunächst der organisatorische Kontext bestimmt werden. Bei der Durchführung des Risikomanagementprozesses ist die Qualität der Risikoidentizfierung ausschlaggebend. Risiken, die hier nicht identifiziert werden, fehlen in der nachfolgenden Risikoanalyse und -bewertung und somit auch bei der Risikohehandlung. Für die methodische Risikoidentifizierung existieren verschiedene Ansätze, von denen zwei vorgestellt werden: der vorwiegend wirkungsorientierte Ereignis-basierte Ansatz und der ursachenorientierte auf Werten, Bedrohungen und Schwachstellen basierte Ansatz. Damit die Umsetzung der Risikoidentifizierung in der Praxis gelingt, müssen verschiedene Voraussetzungen erfüllt sein. Ausschlaggebend ist, dass die oberste Leitung ihre Führungsrolle umfassend und wirksam wahrnimmt. Die zentrale Herausforderung ist, den Umfang der Risikoidentifizierung handhabbar zu halten. Dazu haben sich in der Praxis die Vorgehensweisen der Fokussierung und Vergröberung bewährt. Unabhängig vom gewählten Ansatz zur Risikoidentifizierung ist auf jeden Fall ein fundiertes Beurteilungsvermögen unerlässlich. Mittels des Prozesses der fortlaufenden Verbesserung kann schliesslich ein anfänglich grobes, aber eindeutiges Bild der Informationssicherheitsrisiken Schritt für Schritt verfeinert und den aktuellen Anforderungen und Bedrohungen angepasst werden.AbstractInformation security is not an IT problem and cannot be reduced to the IT department. Effective protection of confidentiality, integrity and availability must be anchored throughout the organization. To address this challenge efficiently, a risk-based approach is required. To this end, the organizational context must first be determined. When applying the risk management process, the quality of risk identification is crucial. Risks that are not identified here are missing in the subsequent risk analysis and risk evaluation and thus also in risk treatment. There are various approaches for methodological risk identification, two of which are presented: the predominantly effect-oriented event-based approach, and the cause-oriented approach based on the consideration of assets, threats and vulnerabilities. In order to implement risk identification in practice, various prerequisites must be fulfilled. It is crucial that top management takes its leadership role comprehensively and effectively. The key challenge is to keep the scope of risk identification manageable. To this end, the approaches of focusing and coarsening have proved successful in practice. Irrespective of the chosen approach to risk identification, a profound assessment capacity is essential. By means of the process of continual improvement, an initially high level but clear picture of the information security risks can be refined step by step and adapted to the current requirements and threats.
  • Zeitschriftenartikel
    IT-gestützte Methodik zum Management von Datenschutzanforderungen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Anke, Jürgen; Berning, Wilhelm; Schmidt, Johannes; Zinke, Christian
    Die datenschutzkonforme Handhabung von Daten ist für Unternehmen mit komplexen IT-Landschaften eine große Herausforderung. Datenschutzverstöße stellen rechtliche und finanzielle Risiken dar, insbesondere durch die umsatzabhängigen Bußgelder, die in der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehen sind. Die Sicherstellung der Datenschutzkonformität in betrieblichen Anwendungssystemen ist bislang aufwändig und nur in geringem Umfang automatisiert. In diesem Beitrag wird ein Lösungsansatz vorgestellt, der die durchgängige Dokumentation, Durchsetzung und Kontrolle von Datenschutzanforderungen für betriebliche Anwendungssysteme gewährleisten soll, um eine nachhaltige Datenschutzkonformität zu erreichen. Dazu schlagen wir eine Methodik vor, die organisatorische Prozesse sowie technische Komponenten miteinander verbindet, um die Verwaltung von Datenschutzanforderungen stärker in das unternehmensweite IT-Management zu integrieren.AbstractHandling data in a legally compliant manner is a major challenge for companies with complex IT landscapes. The violation of data protection acts poses legal and financial risks, particularly due to the turnover-dependent fines, which are provided for in the new European General Data Protection Regulation. Ensuring the compliance with data protection acts in enterprise software systems is currently a time-consuming and costly task with a very low level of automation. In this contribution, we present an approach for the consistent documentation, enforcement and monitoring of data protection requirements in enterprise software systems. For that, we propose a methodology, which links organizational processes and technical components to integrate the management of data protection rules with company-wide IT-management.
  • Zeitschriftenartikel
    IT-Risikomanagement
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
  • Zeitschriftenartikel
    IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kraft, Reiner; Stöwer, Mechthild
    Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best-Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best-Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.AbstractNowadays, industrial processes are more and more based on a wide range of information technology (IT). This development contributes significantly to greater flexibility and efficiency of industrial production. However, this sector also inherits the vulnerability to threats typically associated with IT, such as malware or hacker attacks. The resulting risks intensify, the more the IT applications are linked, and the more interfaces they have across business or location boundaries. In the area of office IT, generally accepted IT security standards exist; also a large number of measures have been established for the mitigation of IT risks. However, these best practices cannot be applied unaltered in industrial environments. The paper describes the reasons for this and the special challenges of IT risk management in production environments. Furthermore, it provides an overview of existing best practice documents for information security management in industrial environments and shows how well-established procedures for IT risk management can be applied in this area as well. Finally, the example of remote maintenance is used to illustrate the application of these procedures. In this context, best practices for the mitigation of risks associated with remote maintenance are outlined.
  • Zeitschriftenartikel
    IT-Risikomanagement im Zeitalter der Digitalisierung
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
    Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit IT und erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Risiken. Denn die Digitalisierung schafft, etwa über die Einführung neuer Produkte und Geschäftsmodelle, eine Vielzahl neuer Möglichkeiten zur Sammlung und Verwendung eigener und fremder Daten, zur Überwachung oder zum (Cyber‑)Angriff auf Unternehmen sowie Privathaushalte. Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion.Als eine wichtige Grundvoraussetzung gilt das Bewusstsein für Risiken. Denn nur wenn wir gemeinsam die Situation richtig einschätzen, kann die passende Behandlungsstrategie gefunden werden. Hierfür ist das Verständnis für Ursache-Wirkungsketten hinter Risiken ein weiterer wichtiger Baustein. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer IT-Lösungen richtig erkannt und eingeschätzt werden. Ein systematischer, wiederholt ausgeführter Risikomanagement-Prozeses unterstützt und koordiniert dabei alle Bemühungen zur Risikobeherrschung. Erst auf diesem Fundament schließlich können weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden.AbstractIn the age of digital transformation IT gains more and more importance in our life and work, and therefore requires increased interdisciplinary focus on new and upcoming risks. More than ever new products and business models are combined with a high potential to collect and process own and external data, to observe and to attack companies as well as households. This article introduces the basics of it risk management, addresses current topics and drafts ideas for further discussion.One basic prerequisite for good risk management is awareness. Only proper and collective attention for risks allows adequate risk assessment and treatment. Another important element in risk management is understanding cause effect chains. Especially non-technical vulnerabilities need to be accurately assessed since they have high relevance. A continuous risk management process is necessary to prevent negligence of important issues and to promote control of risks. These instruments aid further considerations about target-oriented and cool-headed debates about risks in the digital age.
  • Zeitschriftenartikel
    IT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Adelmeyer, Michael; Petrick, Christopher; Teuteberg, Frank
    Neben den Vorteilen von Cloud-Diensten ergeben sich durch ihren Einsatz häufig Risiken für die IT-Sicherheit von Unternehmen. Durch das am 12. Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sollen Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. In diesem Kontext gilt es zu klären, welche Anforderungen Cloud-Betreiber als Dienstleister Kritischer Infrastrukturen umzusetzen haben oder inwiefern diese per Definition des IT-Sicherheitsgesetzes als Betreiber Kritischer Infrastrukturen angesehen werden können. Im Rahmen des IT-Risiko- und Sicherheitsmanagements bei Kritischen Infrastrukturen entstehen bei der Auslagerung von (zentralen) Prozessen und Funktionen zudem Unklarheiten, wie der Einsatz von Cloud-Dienstleistungen zu bewerten ist und welcher Handlungsbedarf auf die Cloud-Betreiber zukommt, zum Beispiel durch das geforderte Mindestsicherheitsniveau der IT-Systeme. In dem Beitrag werden ein Anforderungskatalog an Cloud-Dienstleistungen zur Umsetzung des IT-Sicherheitsgesetzes auf Grundlage von Experteninterviews entwickelt sowie Implikationen für das IT-Risikomanagement von Cloud-Dienstleistungen dargestellt. Abschließend werden Handlungsempfehlungen für Cloud-Betreiber und Betreiber Kritischer Infrastrukturen gegeben.AbstractAlongside the benefits of cloud computing IT security risks arise from the use of cloud services. The German act to increase the safety of information technology systems, which was issued on June 12, 2015, requires critical infrastructures to improve the protection of their IT against cyber-attacks. In this context, the requirements cloud operators have to implement as service providers of critical infrastructures, or whether they can be viewed as operators of critical infrastructures by definition of the IT security law, have to be clarified. Furthermore, concerning the IT risk management of critical infrastructures, questions arise when outsourcing (central) processes and functions to the cloud. Regarding this, the overall use of cloud services and the actions cloud operators have to take, for example in order to meet the required minimum level of safety of IT systems, have to be assessed. In this article, a requirements catalog for cloud services and service providers to implement the requirements of the IT security law is developed on the basis of expert interviews. Furthermore, implications for the IT risk management of cloud services and recommendations for cloud providers and critical infrastructures are presented.
  • Zeitschriftenartikel
    Kontrollierte Nutzung von Schatten-IT
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kopper, Andreas; Westner, Markus; Strahringer, Susanne
    Basierend auf einer systematischen und umfangreichen Analyse von Praxisbeiträgen zum Thema Schatten-IT, die zwischen September 2015 und August 2016 erschienen sind, beschreibt der vorliegende Artikel Governance-Aspekte zu diesem Phänomen. Er ergänzt damit vorhergehende akademische Studien. Es zeigt sich, dass unter Praktikern der Eindruck vorherrscht, dass IT-Abteilungen unter zunehmendem Druck stehen, schneller auf sich ändernde Anforderungen aus den Fachbereichen reagieren zu müssen. Können IT-Abteilungen diesen Erwartungen nicht entsprechen, beschaffen sich Fachbereiche und Nutzer selbst Lösungen in Form von Schatten-IT. Als mögliche Antwort darauf kann sich die IT-Abteilung agiler organisieren und die IT-Architektur im Unternehmen modernisieren. Eine weitere Möglichkeit besteht darin, sich das innovative Potenzial von Schatten-IT zunutze zu machen und deren Umsetzung aktiv durch organisatorische und technische Maßnahmen zu unterstützen. IT-Sicherheitsmanagement und technische Schutzmechanismen können helfen, die so entstandenen Lösungen abzusichern und die Risiken zu minimieren. Nach vorherrschender Ansicht entwickelt sich die IT-Abteilung als Konsequenz aus all diesen Maßnahmen zu einem nutzerorientierten, internen Service-Provider und strategischen Partner für die Fachbereiche.AbstractBased on a systematic and comprehensive analysis of practitioner articles published between September 2015 and August 2016 about the topic Shadow IT, this paper describes governance aspects to this phenomenon. By doing so, it complements previous academic studies in the field. It turns out that practitioners have the prevailing impression that IT departments are under increasing pressure to respond faster to changing demands from the business units. If IT departments are not able to meet those expectations, business units and end users obtain solutions themselves in the form of Shadow IT. In response, IT departments can transform into a more agile organization and modernize their IT architecture. Another possibility is to leverage the innovative potential of Shadow IT and support its implementation through active organizational and technical measures. IT security management and technical security mechanisms can help to secure the thus created solutions and minimize the risks. According to the prevailing view, as a consequence to these actions the IT department transforms itself to a more user-centric, internal service provider and strategic partner for the business.