IT-Risiko-Management mit System


Rezension

Das IT-Risiko-Management ist ein Baustein im Gesamtrisiko-Prozess eines Unternehmens. Folgerichtig skizziert der Autor zunächst den gesamten Risiko-Management-Prozess und vertieft dann die spezifischen Anforderungen an das IT-Risiko-Management. Hierdurch unterscheidet sich das Buch von den meisten Publikationen, die sich mehr oder weniger isoliert mit dem Themenkomplex IT-Risiko-Management beschäftigen und sich daher nicht vom klassischen IT-Security-Ansatz gelöst haben. Wie der Autor korrekt darstellt, wäre eine isolierte Behandlung des IT-Risiko-Managements in der Umsetzung zum Scheitern verurteilt.

Im einführenden ersten Teil des Buches werden die Grundlagen eines ganzheitlichen Risiko-Managements skizziert. Im zweiten Teil werden die aktuellen rechtlichen und sonstigen Anforderungen an ein Risikomanagement sowie die Voraussetzungen und Prozesse beschrieben. Hierbei geht Königs unter anderem auf die verschiedenen Corporate-Governance-Kodizes, die Neue Baseler Eigenkapitalvereinbarung sowie den Sarbanes-Oxley-Act ein. Zielsetzung ist hierbei ein möglichst effektives Risikomanagement mit vertretbarem Aufwand aufzubauen und zu betreiben. Der detaillierten Beschreibung der IT-Risiken widmet sich schließlich der dritte Abschnitt des Buches. Der abschließende vierte Teil geht der Frage nach, wie die operationellen Risiken der Informationstechnologie in den gesamten Risiko-Management-Prozess des Unternehmens integriert werden können.

Das Buch setzt sich sehr intensiv mit den verschiedenen Methoden des allgemeinen Risiko-Managements sowie des IT-Risiko-Managements auseinander. Leider wird die kritische Würdigung der einzelnen Methoden dem Leser überlassen. So wird etwa die Methodik des Value at Risk skizziert und erwähnt, dass es sich um eine "insbesondere im Finanzbereich, gebräuchliche statistische Methode handelt". Eine kritische Würdigung unterbleibt. So baut etwa der VaR auf normalverteilten Risiko-Werten auf, da die entstehenden Modelle ansonsten zu komplex und dadurch nicht mehr handhabbar wären. Die (Risiko-)Welt folgt jedoch nur sehr selten der Gaußschen Glockenkurve. Insbesondere im Bereich der operationellen Risiken und IT-Risiken – als klassische Tail-Risiken – könnte man auch überspitzt formulieren, dass der Value at Risk genau den Bereich der Wahrscheinlichkeits-Verteilung nicht betrachtet, die für das Überleben eines Unternehmens (und damit für das Risikomanagement) besonders relevant ist. Ein Risiko-Messsystem, dass uns "blind" gegenüber anderen, vom Modell nicht erfassten Risiken macht, suggeriert uns eine falsche Sicherheit vor und ist daher auch als Risiko-Überwachungssystem fragwürdig.

Kontrollfragen nach jedem Kapitel unterstützen den Lernerfolg. Jedoch wird der eine oder andere Leser die Musterantworten vermissen. Im Anhang findet der Praktiker Muster-Ausführungsbestimmungen zum Informationsschutz sowie verschiedene Formulare zur Bewertung von IT-Risiken.

Das Buch kann jedem IT-Leiter, IT-Sicherheitsbeauftragten, Chief Information Officer, Projekt- oder Risikomanager empfohlen werden, der sich praxisbezogen mit den Methoden des IT-Risiko-Managements sowie der Integration in das unternehmensweite Risikomanagement beschäftigen möchte. Einzelne Grafiken (wie etwa Seite 178, 186) sollten bei zukünftigen Auflagen optimiert werden.

Zum Autor:

Hans-Peter Königs ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent für "Risiko-Management" an der Fachhochschule Zentralschweiz, Hochschule für Wirtschaft, Luzern in den Nachdiplomstudiengängen "Informationssicherheit" und "Risk Management".

Download Probekapitel "Risiko-Management-Prozesse im Unternehmen:  

Rezension von Frank Romeike


Details zur Publikation

Autor: Hans-Peter Königs
Seitenanzahl: 280
Verlag: Vieweg Verlag
Erscheinungsdatum: 2005

RiskNET Rating:

Praxisbezug
Inhalt
Verständlichkeit

sehr gut Gesamtbewertung

Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.