Logo des Repositoriums
 

HMD 54(1) - Februar 2017 - IT-Risikomanagement

https://dl.gi.de/handle/20.500.12116/10748

Autor*innen mit den meisten Dokumenten  

Knoll, Matthias
5
Adelmeyer, Michael
1
Anke, Jürgen
1
Beißel, Stefan
1
Berning, Wilhelm
1
Auflistung nach:

Neueste Veröffentlichungen

1 - 10 von 15
  • Zeitschriftenartikel
    IT-Risikomanagement im Zeitalter der Digitalisierung
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
    Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit IT und erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Risiken. Denn die Digitalisierung schafft, etwa über die Einführung neuer Produkte und Geschäftsmodelle, eine Vielzahl neuer Möglichkeiten zur Sammlung und Verwendung eigener und fremder Daten, zur Überwachung oder zum (Cyber‑)Angriff auf Unternehmen sowie Privathaushalte. Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion.Als eine wichtige Grundvoraussetzung gilt das Bewusstsein für Risiken. Denn nur wenn wir gemeinsam die Situation richtig einschätzen, kann die passende Behandlungsstrategie gefunden werden. Hierfür ist das Verständnis für Ursache-Wirkungsketten hinter Risiken ein weiterer wichtiger Baustein. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer IT-Lösungen richtig erkannt und eingeschätzt werden. Ein systematischer, wiederholt ausgeführter Risikomanagement-Prozeses unterstützt und koordiniert dabei alle Bemühungen zur Risikobeherrschung. Erst auf diesem Fundament schließlich können weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden.AbstractIn the age of digital transformation IT gains more and more importance in our life and work, and therefore requires increased interdisciplinary focus on new and upcoming risks. More than ever new products and business models are combined with a high potential to collect and process own and external data, to observe and to attack companies as well as households. This article introduces the basics of it risk management, addresses current topics and drafts ideas for further discussion.One basic prerequisite for good risk management is awareness. Only proper and collective attention for risks allows adequate risk assessment and treatment. Another important element in risk management is understanding cause effect chains. Especially non-technical vulnerabilities need to be accurately assessed since they have high relevance. A continuous risk management process is necessary to prevent negligence of important issues and to promote control of risks. These instruments aid further considerations about target-oriented and cool-headed debates about risks in the digital age.
  • Zeitschriftenartikel
    IT-Risikomanagement
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
  • Zeitschriftenartikel
    Informationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Decker, Karsten M.
    Informationssicherheit ist kein IT-Problem und kann nicht auf die IT-Abteilung reduziert werden. Eine wirksame Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit muss in der ganzen Organisation verankert werden. Um dieser Herausforderung effizient zu begegnen, ist ein risikobasiertes Vorgehen erforderlich. Dazu muss zunächst der organisatorische Kontext bestimmt werden. Bei der Durchführung des Risikomanagementprozesses ist die Qualität der Risikoidentizfierung ausschlaggebend. Risiken, die hier nicht identifiziert werden, fehlen in der nachfolgenden Risikoanalyse und -bewertung und somit auch bei der Risikohehandlung. Für die methodische Risikoidentifizierung existieren verschiedene Ansätze, von denen zwei vorgestellt werden: der vorwiegend wirkungsorientierte Ereignis-basierte Ansatz und der ursachenorientierte auf Werten, Bedrohungen und Schwachstellen basierte Ansatz. Damit die Umsetzung der Risikoidentifizierung in der Praxis gelingt, müssen verschiedene Voraussetzungen erfüllt sein. Ausschlaggebend ist, dass die oberste Leitung ihre Führungsrolle umfassend und wirksam wahrnimmt. Die zentrale Herausforderung ist, den Umfang der Risikoidentifizierung handhabbar zu halten. Dazu haben sich in der Praxis die Vorgehensweisen der Fokussierung und Vergröberung bewährt. Unabhängig vom gewählten Ansatz zur Risikoidentifizierung ist auf jeden Fall ein fundiertes Beurteilungsvermögen unerlässlich. Mittels des Prozesses der fortlaufenden Verbesserung kann schliesslich ein anfänglich grobes, aber eindeutiges Bild der Informationssicherheitsrisiken Schritt für Schritt verfeinert und den aktuellen Anforderungen und Bedrohungen angepasst werden.AbstractInformation security is not an IT problem and cannot be reduced to the IT department. Effective protection of confidentiality, integrity and availability must be anchored throughout the organization. To address this challenge efficiently, a risk-based approach is required. To this end, the organizational context must first be determined. When applying the risk management process, the quality of risk identification is crucial. Risks that are not identified here are missing in the subsequent risk analysis and risk evaluation and thus also in risk treatment. There are various approaches for methodological risk identification, two of which are presented: the predominantly effect-oriented event-based approach, and the cause-oriented approach based on the consideration of assets, threats and vulnerabilities. In order to implement risk identification in practice, various prerequisites must be fulfilled. It is crucial that top management takes its leadership role comprehensively and effectively. The key challenge is to keep the scope of risk identification manageable. To this end, the approaches of focusing and coarsening have proved successful in practice. Irrespective of the chosen approach to risk identification, a profound assessment capacity is essential. By means of the process of continual improvement, an initially high level but clear picture of the information security risks can be refined step by step and adapted to the current requirements and threats.
  • Zeitschriftenartikel
    Kontrollierte Nutzung von Schatten-IT
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kopper, Andreas; Westner, Markus; Strahringer, Susanne
    Basierend auf einer systematischen und umfangreichen Analyse von Praxisbeiträgen zum Thema Schatten-IT, die zwischen September 2015 und August 2016 erschienen sind, beschreibt der vorliegende Artikel Governance-Aspekte zu diesem Phänomen. Er ergänzt damit vorhergehende akademische Studien. Es zeigt sich, dass unter Praktikern der Eindruck vorherrscht, dass IT-Abteilungen unter zunehmendem Druck stehen, schneller auf sich ändernde Anforderungen aus den Fachbereichen reagieren zu müssen. Können IT-Abteilungen diesen Erwartungen nicht entsprechen, beschaffen sich Fachbereiche und Nutzer selbst Lösungen in Form von Schatten-IT. Als mögliche Antwort darauf kann sich die IT-Abteilung agiler organisieren und die IT-Architektur im Unternehmen modernisieren. Eine weitere Möglichkeit besteht darin, sich das innovative Potenzial von Schatten-IT zunutze zu machen und deren Umsetzung aktiv durch organisatorische und technische Maßnahmen zu unterstützen. IT-Sicherheitsmanagement und technische Schutzmechanismen können helfen, die so entstandenen Lösungen abzusichern und die Risiken zu minimieren. Nach vorherrschender Ansicht entwickelt sich die IT-Abteilung als Konsequenz aus all diesen Maßnahmen zu einem nutzerorientierten, internen Service-Provider und strategischen Partner für die Fachbereiche.AbstractBased on a systematic and comprehensive analysis of practitioner articles published between September 2015 and August 2016 about the topic Shadow IT, this paper describes governance aspects to this phenomenon. By doing so, it complements previous academic studies in the field. It turns out that practitioners have the prevailing impression that IT departments are under increasing pressure to respond faster to changing demands from the business units. If IT departments are not able to meet those expectations, business units and end users obtain solutions themselves in the form of Shadow IT. In response, IT departments can transform into a more agile organization and modernize their IT architecture. Another possibility is to leverage the innovative potential of Shadow IT and support its implementation through active organizational and technical measures. IT security management and technical security mechanisms can help to secure the thus created solutions and minimize the risks. According to the prevailing view, as a consequence to these actions the IT department transforms itself to a more user-centric, internal service provider and strategic partner for the business.
  • Zeitschriftenartikel
    Differenzierung von Rahmenwerken des IT-Risikomanagements
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Beißel, Stefan
    Rahmenwerke des IT-Risikomanagements erleichtern die systematische Identifikation, Analyse und Bewältigung von Bedrohungen und Risiken im IT-Umfeld. Ohne einen effektiven Umgang mit Risiken steigt die Gefahr, dass ein Unternehmen mit signifikanten Schäden konfrontiert wird und aufgrund der Folgen sogar seine Geschäftstätigkeit einstellt. Rahmenwerke erleichtern nicht nur die quasi obligatorische Anwendung eines IT-Risikomanagements, sondern bieten auch weitere Vorteile aus Sicht des Ressourceneinsatzes und der Qualität. Durch die Nutzung von Rahmenwerken werden z. B. die Transparenz und Vergleichbarkeit der Aktivitäten und Ergebnisse im IT-Risikomanagement erhöht. Grundsätzlich sind Rahmenwerke zwar stark zu empfehlen, allerdings ist die Vielzahl der verfügbaren Rahmenwerke schwer überschaubar und auf den ersten Blick sind diese kaum differenzierbar. Es stellt sich also die Frage, welches Rahmenwerk tatsächlich zum Unternehmen passt. Dieser Artikel erleichtert die Auseinandersetzung mit Rahmenwerken des IT-Risikomanagements, indem er verbreitete Rahmenwerke vorstellt und außerdem ihre Unterschiede und Einsatzmöglichkeiten erläutert. Es wird unter anderem beschrieben, mit welchem Rahmenwerk man die schnellsten Ergebnisse erzielen kann, welches für Begriffsdefinitionen geeignet ist, welches sich auf Akteure, Szenarien oder Vermögenswerte bezieht und mit welchem der Reifegrad von Prozessen beurteilt werden kann. Manchmal eignet sich auch eine Kombination von ausgewählten Rahmenwerken, um die individuelle Situation und die Erwartungen eines Unternehmens am besten abzudecken.AbstractFrameworks for IT risk management facilitate the systematical identification, analysis and coping of threats and risks in the IT environment. Without an effective handling of risks, the danger will increase that a company will have to face significant damages and, because of the consequences, might even have to cease business operations. Frameworks facilitate not only the quasi-mandatory application of IT risk management, but also offer other advantages from the view of resource use and quality. By using frameworks, e.g. the transparency and comparability of activities and results in IT risk management will be increased. In general, frameworks are highly recommended, but the large number of available frameworks is difficult to understand and, at first sight, they can hardly be differentiated. This raises the question of what framework actually fits into the company. This article facilitates the confrontation with frameworks of IT risk management by introducing common frameworks and explaining their differences and possible applications. Among other things, it describes which framework can be used to obtain the fastest results, which framework is suitable for definitions, which framework refers to actors, scenarios or assets, and with which framework the maturity level of processes can be assessed. Sometimes also a combination of selected frameworks is suitable to cover the individual situation and the expectations of a company in the most suitable way.
  • Zeitschriftenartikel
    IT-gestützte Methodik zum Management von Datenschutzanforderungen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Anke, Jürgen; Berning, Wilhelm; Schmidt, Johannes; Zinke, Christian
    Die datenschutzkonforme Handhabung von Daten ist für Unternehmen mit komplexen IT-Landschaften eine große Herausforderung. Datenschutzverstöße stellen rechtliche und finanzielle Risiken dar, insbesondere durch die umsatzabhängigen Bußgelder, die in der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehen sind. Die Sicherstellung der Datenschutzkonformität in betrieblichen Anwendungssystemen ist bislang aufwändig und nur in geringem Umfang automatisiert. In diesem Beitrag wird ein Lösungsansatz vorgestellt, der die durchgängige Dokumentation, Durchsetzung und Kontrolle von Datenschutzanforderungen für betriebliche Anwendungssysteme gewährleisten soll, um eine nachhaltige Datenschutzkonformität zu erreichen. Dazu schlagen wir eine Methodik vor, die organisatorische Prozesse sowie technische Komponenten miteinander verbindet, um die Verwaltung von Datenschutzanforderungen stärker in das unternehmensweite IT-Management zu integrieren.AbstractHandling data in a legally compliant manner is a major challenge for companies with complex IT landscapes. The violation of data protection acts poses legal and financial risks, particularly due to the turnover-dependent fines, which are provided for in the new European General Data Protection Regulation. Ensuring the compliance with data protection acts in enterprise software systems is currently a time-consuming and costly task with a very low level of automation. In this contribution, we present an approach for the consistent documentation, enforcement and monitoring of data protection requirements in enterprise software systems. For that, we propose a methodology, which links organizational processes and technical components to integrate the management of data protection rules with company-wide IT-management.
  • Zeitschriftenartikel
    Nutzer präferieren den Schutz ihrer Daten
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Buck, Christoph; Stadler, Florian; Suckau, Kristin; Eymann, Torsten
    Persönliche Daten und damit die Privatsphäre der Nutzer werden als das „Öl des 21. Jahrhunderts“ bezeichnet und als neue Güterklasse definiert. Im Zuge der zunehmenden Befriedigung von Alltagsbedürfnissen im Rahmen digitaler Anwendungen, umgesetzt durch Vernetzung und Sensorik, bieten sich anhand von bspw. Smart Mobile Devices und mobilen Applikationen zahlreiche Möglichkeiten der Aufnahme, Speicherung und Verwertung personenbezogener Daten. Diese wertvollen Daten geben Nutzer beim Bezug mobiler Applikationen in vielen Fällen ohne vergleichbare Gegenleistung preis. Zahlreiche Forschungsarbeiten konnten bisher nur eine geringe Zahlungsbereitschaft bei Nutzern für den Erhalt ihrer Privatsphäre identifizieren, was die Autoren des vorliegenden Artikels auf die komplexe Beschaffenheit des Wertes von informationeller Privatsphäre zurückführen. Aus diesem Grund wird nicht der monetäre Gegenwert für den Erhalt der Nutzerinformationen, sondern deren Einstufung in der Präferenzordnung beim Bezug mobiler Applikationen gemessen. Die Ergebnisse der durchgeführten Choice-Based Conjointanalyse zeigen eine deutliche Nutzerpräferenz für den Erhalt ihrer Privatsphäre. Die Einstufung des Erhalts von informationeller Privatsphäre als kaufrelevante Eigenschaft von mobilen Applikationen führt zu zahlreichen Implikationen für Forschung und Praxis.AbstractInformation privacy and personal data in information systems are referred to as the ‚new oil‘ of the 21st century. The mass adoption of smart mobile devices, sensor-enabled smart IoT-devices, and mobile applications provide virtually endless possibilities of gathering users’ personal information. Previous research suggests that users attribute very little monetary value to their information privacy. The current paper defines privacy as a complex and abstract value users are not able to put a monetary price tag on. Therefore, the article provides a choice-based conjoint analysis using privacy as one of the four most imortant attributes of mobile applications. The results of the preference structure oft he users emphasize a high relevance in users’ preference structure when downloading an app. Thus, privacy could used as a part of the value proposition of apps sold to privacy-concerned users.
  • Zeitschriftenartikel
    Rezension „Fit für die Prüfung: Wirtschaftsinformatik“
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Knoll, Matthias
  • Zeitschriftenartikel
    Softwarenutzung im Umbruch: Von der Software-Lizenz zum Cloudbasierten Business Process Outsourcing
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Brassel, Stefan; Gadatsch, Andreas
    Bislang war die Rollenverteilung eindeutig geregelt: Die Beschaffung von „Standardsoftware“ war eine Aufgabe für die IT-Leitung. Im Kern war es ein Bestellprozess für Softwarelizenzen. Die Unternehmensführung (CEO) konnte sich darauf konzentrieren, die Unternehmensstrategie zu entwickeln und in diesem Zusammenhang das Budget für die IT bereitzustellen. Strategisch in der Unternehmensführung diskutiert, wurden lediglich Softwarebeschaffungsprojekte mit Einfluss auf sämtliche Unternehmensabläufe- wie z. B. die Einführung eines ERP-Systems. Die rasch zunehmende Digitalisierung verändert aber nicht nur die Arbeitsweise in den Unternehmen, sondern auch das IT-Management selbst. Aufgrund der veränderten Produktpolitik großer Softwareanbieter wie z. B. Microsoft sind zukünftige Investitionsentscheidungen über den Einsatz von Standardsoftware keine reinen Beschaffungsvorgänge mehr, sondern strategische Entscheidungen über die Auslagerungen von Prozessen (Business Process Outsourcing) und damit verbunden auch mit den zusammenhängenden Daten. Der Softwareanbieter von morgen ist ein Prozessdienstleister, der neben der Hard- und Software auch noch Teilprozesse (z. B. Kommunikation, Dokumentenmanagement) für die Unternehmen bereitstellt.AbstractUp to now the roles were distinct: Standard software sourcing was a main task of the IT-Management department (CIO). The CEO was able to concentrate on his role of developing a company strategy and managing the IT budget. The upcoming digitalization changes not only the kind of work in companies. It changes the IT-Management himself. Reasoning by the changed product policy of the big software provider like Microsoft the decisions of IT-Software investments are not only a purchasing processes. The situation changes to a decision going to Business Process Outsourcing of processes and the involved data. The software provider of the future is more a process provider who services processes like communication, document management and more in addition to the hard- and software for the companies.
  • Zeitschriftenartikel
    IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kraft, Reiner; Stöwer, Mechthild
    Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best-Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best-Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.AbstractNowadays, industrial processes are more and more based on a wide range of information technology (IT). This development contributes significantly to greater flexibility and efficiency of industrial production. However, this sector also inherits the vulnerability to threats typically associated with IT, such as malware or hacker attacks. The resulting risks intensify, the more the IT applications are linked, and the more interfaces they have across business or location boundaries. In the area of office IT, generally accepted IT security standards exist; also a large number of measures have been established for the mitigation of IT risks. However, these best practices cannot be applied unaltered in industrial environments. The paper describes the reasons for this and the special challenges of IT risk management in production environments. Furthermore, it provides an overview of existing best practice documents for information security management in industrial environments and shows how well-established procedures for IT risk management can be applied in this area as well. Finally, the example of remote maintenance is used to illustrate the application of these procedures. In this context, best practices for the mitigation of risks associated with remote maintenance are outlined.