Zusammenfassung
Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit IT und erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Risiken. Denn die Digitalisierung schafft, etwa über die Einführung neuer Produkte und Geschäftsmodelle, eine Vielzahl neuer Möglichkeiten zur Sammlung und Verwendung eigener und fremder Daten, zur Überwachung oder zum (Cyber‑)Angriff auf Unternehmen sowie Privathaushalte. Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion.
Als eine wichtige Grundvoraussetzung gilt das Bewusstsein für Risiken. Denn nur wenn wir gemeinsam die Situation richtig einschätzen, kann die passende Behandlungsstrategie gefunden werden. Hierfür ist das Verständnis für Ursache-Wirkungsketten hinter Risiken ein weiterer wichtiger Baustein. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer IT-Lösungen richtig erkannt und eingeschätzt werden. Ein systematischer, wiederholt ausgeführter Risikomanagement-Prozeses unterstützt und koordiniert dabei alle Bemühungen zur Risikobeherrschung. Erst auf diesem Fundament schließlich können weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden.
Abstract
In the age of digital transformation IT gains more and more importance in our life and work, and therefore requires increased interdisciplinary focus on new and upcoming risks. More than ever new products and business models are combined with a high potential to collect and process own and external data, to observe and to attack companies as well as households. This article introduces the basics of it risk management, addresses current topics and drafts ideas for further discussion.
One basic prerequisite for good risk management is awareness. Only proper and collective attention for risks allows adequate risk assessment and treatment. Another important element in risk management is understanding cause effect chains. Especially non-technical vulnerabilities need to be accurately assessed since they have high relevance. A continuous risk management process is necessary to prevent negligence of important issues and to promote control of risks. These instruments aid further considerations about target-oriented and cool-headed debates about risks in the digital age.
Literatur
Beißel S (2016) Differenzierung von Rahmenwerken des IT-Risikomanagement. In: Knoll M (Hrsg) IT-Risikomanagement. Springer Vieweg, Wiesbaden. doi:10.1365/s40702-016-0281-2
Brynjolfsson E, McAfee A (2014) The Second Machine Age: Wie die nächste digitale Revolution unser aller Leben verändern wird. Plassen, Kulmbach
BSI (2013) IT-Grundschutz Glossar. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html. Zugegriffen: 20. Sep 2016
Decker K (2016) Informationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts. In: Knoll M (Hrsg.) IT-Risikomanagement. Springer Vieweg, Wiesbaden. doi:10.1365/s40702-017-0288-3
Elky S (2007) An introduction to information system risk management. SANS Institute, Swansea
Erben RF, Romeike F (2005) Risiko-Kultur – Risikomanagement – nur eine Alibifunktion? RiskNews 2005. https://www.risknet.de/uploads/tx_bxelibrary/Risikokultur-Erben-Romeike-RISKNEWS-2005.pdf. Zugegriffen: 21. Sep 2016
Hiles AN (2010) The definitive handbook of business continuity management, 3. Aufl. Wiley, Hoboken
ISACA (2013a) Information technology assurance framework, 2. Aufl. ISACA, Rolling Meadows
ISACA (2013b) COBIT 5 for Risk. ISACA, Rolling Meadows
ISACA (2013c) ISACA-Leitfaden IT-Risikomanagement – leicht gemacht mit COBIT. ISACA Germany Chapter e. V., dpunkt.verlag, Kelkheim, Heidelberg
ISO (2009) ISO 31000:2009 – Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements
ISO (2013) ISO/IEC 27001:2013 – Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen
ISO (2016) ISO/IEC 27000:2016 – Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie
Knoll M (2014) Praxisorientiertes IT-Risikomanagement. dpunkt.verlag, Heidelberg
Königs H‑P (2013) IT-Risikomanagement mit System: Praxisorientiertes Management von Informationssicherheits- und IT-Risiken, 4. Aufl. Springer Vieweg, Wiesbaden
Kungwani P (2014) Risk management- an analytical study. J Bus Manag 16(3):83–89
Mattern F (2001) Pervasive/ubiquitous computing. https://www.gi.de/service/informatiklexikon/detailansicht/article/pervasiveubiquitous-computing.html. Zugegriffen: 2. Dez 2016
NIST (2011) Managing information security risk. NIST Special Publication, Gaithersburg, S 800–839
Scherschel FA (2016) Goldeneye Ransomware greift gezielt Personalabteilungen an. https://www.heise.de/security/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html. Zugegriffen: 22. Dez 2016
Schmidt K (2011) IT-Risikomanagement. In: Tiemeyer E (Hrsg), S. 547–583
Seibold H (2006) IT-Risikomanagement. Oldenbourg, München Wien
Sprenger F, Engemann C (Hrsg) (2015) Internet der Dinge: Über smarte Objekte, intelligente Umgebungen und die technische Durchdringung der Welt. transcript, Bielefeld
Waidner M, Backes M, Müller-Quade J (Hrsg) (2013) Entwicklung sicherer Software durch Security by Design. Fraunhofer Verlag, Stuttgart
Zoller P (2014) IT-Risiko versus IT-Sicherheit. http://www.risknet.de/themen/risknews/it-risiko-versus-it-sicherheit. Zugegriffen: 20. Sep 2016
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Knoll, M. IT-Risikomanagement im Zeitalter der Digitalisierung. HMD 54, 4–20 (2017). https://doi.org/10.1365/s40702-017-0287-4
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-017-0287-4
Schlüsselwörter
- IT-Risiko
- Informationssicherheits-Risiko
- Chance
- Risikomanagement-Prozess
- Risiko-Bewusstsein
- Maßnahmen
- Digitale Revolution
- Malware
- Cyberkriminalität