Bookshop Detailansicht

Book Review

IT-Risiko-Management mit System

Hans-Peter Königs, 280 Seiten, Vieweg Verlag 2005.31.08.2005, 10:00

Das IT-Risiko-Management ist ein Baustein im Gesamtrisiko-Prozess eines Unternehmens. Folgerichtig skizziert der Autor zunächst den gesamten Risiko-Management-Prozess und vertieft dann die spezifischen Anforderungen an das IT-Risiko-Management. Hierdurch unterscheidet sich das Buch von den meisten Publikationen, die sich mehr oder weniger isoliert mit dem Themenkomplex IT-Risiko-Management beschäftigen und sich daher nicht vom klassischen IT-Security-Ansatz gelöst haben. Wie der Autor korrekt darstellt, wäre eine isolierte Behandlung des IT-Risiko-Managements in der Umsetzung zum Scheitern verurteilt.

Im einführenden ersten Teil des Buches werden die Grundlagen eines ganzheitlichen Risiko-Managements skizziert. Im zweiten Teil werden die aktuellen rechtlichen und sonstigen Anforderungen an ein Risikomanagement sowie die Voraussetzungen und Prozesse beschrieben. Hierbei geht Königs unter anderem auf die verschiedenen Corporate-Governance-Kodizes, die Neue Baseler Eigenkapitalvereinbarung sowie den Sarbanes-Oxley-Act ein. Zielsetzung ist hierbei ein möglichst effektives Risikomanagement mit vertretbarem Aufwand aufzubauen und zu betreiben. Der detaillierten Beschreibung der IT-Risiken widmet sich schließlich der dritte Abschnitt des Buches. Der abschließende vierte Teil geht der Frage nach, wie die operationellen Risiken der Informationstechnologie in den gesamten Risiko-Management-Prozess des Unternehmens integriert werden können.

Das Buch setzt sich sehr intensiv mit den verschiedenen Methoden des allgemeinen Risiko-Managements sowie des IT-Risiko-Managements auseinander. Leider wird die kritische Würdigung der einzelnen Methoden dem Leser überlassen. So wird etwa die Methodik des Value at Risk skizziert und erwähnt, dass es sich um eine "insbesondere im Finanzbereich, gebräuchliche statistische Methode handelt". Eine kritische Würdigung unterbleibt. So baut etwa der VaR auf normalverteilten Risiko-Werten auf, da die entstehenden Modelle ansonsten zu komplex und dadurch nicht mehr handhabbar wären. Die (Risiko-)Welt folgt jedoch nur sehr selten der Gaußschen Glockenkurve. Insbesondere im Bereich der operationellen Risiken und IT-Risiken – als klassische Tail-Risiken – könnte man auch überspitzt formulieren, dass der Value at Risk genau den Bereich der Wahrscheinlichkeits-Verteilung nicht betrachtet, die für das Überleben eines Unternehmens (und damit für das Risikomanagement) besonders relevant ist. Ein Risiko-Messsystem, dass uns "blind" gegenüber anderen, vom Modell nicht erfassten Risiken macht, suggeriert uns eine falsche Sicherheit vor und ist daher auch als Risiko-Überwachungssystem fragwürdig.

Kontrollfragen nach jedem Kapitel unterstützen den Lernerfolg. Jedoch wird der eine oder andere Leser die Musterantworten vermissen. Im Anhang findet der Praktiker Muster-Ausführungsbestimmungen zum Informationsschutz sowie verschiedene Formulare zur Bewertung von IT-Risiken.

Das Buch kann jedem IT-Leiter, IT-Sicherheitsbeauftragten, Chief Information Officer, Projekt- oder Risikomanager empfohlen werden, der sich praxisbezogen mit den Methoden des IT-Risiko-Managements sowie der Integration in das unternehmensweite Risikomanagement beschäftigen möchte. Einzelne Grafiken (wie etwa Seite 178, 186) sollten bei zukünftigen Auflagen optimiert werden.

Zum Autor:

Hans-Peter Königs ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent für "Risiko-Management" an der Fachhochschule Zentralschweiz, Hochschule für Wirtschaft, Luzern in den Nachdiplomstudiengängen "Informationssicherheit" und "Risk Management".

Download Probekapitel "Risiko-Management-Prozesse im Unternehmen:  

Rezension von Frank Romeike


Review details

Author: Hans-Peter Königs
Number of pages: 280
Publisher: Vieweg Verlag
Date of publication: 2005

RiskNET rating:

gut total rating

order now