HMD (2017) 54:4–20 DOI 10.1365/s40702-017-0287-4 EINFÜHRUNG

IT-Risikomanagement im Zeitalter der Digitalisierung Matthias Knoll

Eingegangen: 17. Oktober 2016 / Angenommen: 5. Januar 2017 / Online publiziert: 26. Januar 2017 © Springer Fachmedien Wiesbaden 2017

Zusammenfassung Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit IT und erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Risiken. Denn die Digitalisierung schafft, etwa über die Einführung neuer Produkte und Geschäftsmodelle, eine Vielzahl neuer Möglichkeiten zur Sammlung und Verwendung eigener und fremder Daten, zur Überwachung oder zum (Cyber-)Angriff auf Unternehmen sowie Privathaushalte. Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion. Als eine wichtige Grundvoraussetzung gilt das Bewusstsein für Risiken. Denn nur wenn wir gemeinsam die Situation richtig einschätzen, kann die passende Behandlungsstrategie gefunden werden. Hierfür ist das Verständnis für Ursache-Wirkungsketten hinter Risiken ein weiterer wichtiger Baustein. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer ITLösungen richtig erkannt und eingeschätzt werden. Ein systematischer, wiederholt ausgeführter Risikomanagement-Prozeses unterstützt und koordiniert dabei alle Bemühungen zur Risikobeherrschung. Erst auf diesem Fundament schließlich können weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden. Schlüsselwörter IT-Risiko · Informationssicherheits-Risiko · Chance · Risikomanagement-Prozess · Risiko-Bewusstsein · Maßnahmen · Digitale Revolution · Malware · Cyberkriminalität

M. Knoll () Hochschule Darmstadt, Darmstadt, Deutschland E-Mail: [email protected]

K

IT-Risikomanagement im Zeitalter der Digitalisierung

5

IT Risk Management in the Age of Digital Transformation Abstract In the age of digital transformation IT gains more and more importance in our life and work, and therefore requires increased interdisciplinary focus on new and upcoming risks. More than ever new products and business models are combined with a high potential to collect and process own and external data, to observe and to attack companies as well as households. This article introduces the basics of it risk management, addresses current topics and drafts ideas for further discussion. One basic prerequisite for good risk management is awareness. Only proper and collective attention for risks allows adequate risk assessment and treatment. Another important element in risk management is understanding cause effect chains. Especially non-technical vulnerabilities need to be accurately assessed since they have high relevance. A continuous risk management process is necessary to prevent negligence of important issues and to promote control of risks. These instruments aid further considerations about target-oriented and cool-headed debates about risks in the digital age. Keywords IT Risk · Information Security Risk · Chance · Risk Management · Risk Awareness · Digital Revolution · Malware · Cyber Crime · Controls

1 Grundlagen des IT-Risikomanagements 1.1 Der Risikobegriff

Wir leben im sogenannten „Zeitalter der Digitalisierung“. IT und der neue Produktionsfaktor „Information“ tragen in diesem Kontext unterschiedliche, auch vollkommen neuartige Chancen und Risiken in alle Lebens- und Arbeitsbereiche hinein (Brynjolfsson und McAfee 2014). Diese aus dem Finanzsektor bekannte (Kungwani 2014) sowohl positive, als auch negative Sicht beschreibt die Möglichkeit, durch ein zukünftiges Ereignis einen Gewinn oder Nutzen zu erzielen, aber auch einen Schaden zu erleiden (Königs 2013; Schmidt 2011; Seibold 2006). Es lassen sich entsprechend zwei zueinander komplementäre Begriffe unterscheiden: 1. Zum einen sind mit der Digitalisierung zahlreiche Chancen verbunden. Neue Produkte und Dienstleistungen entstehen, das Zusammenleben wird durch zunehmende Vernetzung und neue Kommunikationswege bereichert. Wir profitieren insgesamt von der technologischen Entwicklung und den sie begleitenden gesellschaftlichen Veränderungen. Die Welt wird „smart“ (Sprenger und Engemann 2015). So binden Unternehmen ihre Kunden beispielsweise nicht mehr nur über wiederholte Produktkäufe an sich, sondern gestalten Dienstleistungen mit Hilfe von IT auf Basis ihrer Produkte, ob in „intelligenten“ Fabriken, im Verkehr, dem Gesundheitswesen, der Energieversorgung, in unseren Haushalten oder im ganz persönlichen Alltag. Das garantiert eine intensivere Kundenbindung und eine un-

K

6

M. Knoll

beschreiblich große Datenmenge, auf die (Stichwort In-Memory-Datenbanken) sehr schnell für die unterschiedlichsten Zwecke zurückgegriffen werden kann. 2. Zum anderen werden diese Entwicklungen durch eine Vielzahl neuer Risiken begleitet, die ausschließlich, sehr weitgehend oder in dieser Dimension nur deshalb existieren, weil es so zahlreiche Digitalisierungsbestrebungen gibt, etwa – Angriffe aus dem Internet auf sogenannte Kritische Infrastrukturen (bspw. Energieversorgung, Gesundheitseinrichtungen) oder unseren privaten Alltag. – Nichtverfügbarkeit unentbehrlich gewordener digitaler „Helfer“ durch nicht ausgereifte Entwicklung aufgrund zu schneller Produktlebenszyklen. – Datenschutzrisiken durch missbräuchliche Verwendung der Flut neuer Daten. Der Mensch, aber auch Unternehmen, werden zunehmend „gläsern“. Oft ist unklar, wem die Daten überhaupt gehören, wer welche Rechte daran hat, wie im Falle von Verstößen vorzugehen ist und was letztlich wirklich passiert, wenn Daten in die falschen Hände geraten. Diese Differenzierung zwischen Chancen und Risiken ist in der Diskussionen zum Thema wichtig. Denn wer auf bestimmte Chancen bewusst verzichtet, hat bestimmte Risiken nicht zu tragen. Andererseits lassen sich die neuen Möglichkeiten der Digitalisierung nur erschließen, wenn gewisse Risiken nach Abwägung der Vorund Nachteile bewusst eingegangen werden. So beugt eine solche Betrachtung einer ausschließlich pessimistischen und bedenkenorientierten Haltung vor. Denn nur, wenn auch die positive Seite der Digitalisierung gesehen wird, etwa Wettbwerbsvorteile, eine damit einhergehende Vergrößerung des Kundenkreises, effizientere Prozesse oder Kostenersparnisse und damit letztlich Gewinnchancen, lassen sich risikobehaftete Entscheidungen sinnvoll treffen. Bereits zu Beginn der Digitalisierung in den späten Sechziger- und frühen Siebzigerjahren des 20. Jahrhunderts wurde der aus dem betriebswirtschaftlichen Kontext bekannte Risikobegriff auf die neu entstehende Informationstechnologie übertragen. Die in der aktuelleren Literatur zahlreichen, meist ähnlichen aber selten deckungsgleichen Definitionen (ISO 2016; ISO 2013; NIST 2011, ISACA 2013b, ISACA 2013c, BSI 2013, Elky 2007; Zoller 2014; Knoll 2014) greifen alle den Bezug zu Informationssystemen auf. Ein Informationssystem ist als ein soziotechnisches System aufzufassen, das aus menschlichen, organisatorischen und technischen Elementen besteht. Die menschlichen Elemente umfassen alle Personen, die Informationstechnologien entwickeln oder nutzen. Dies ist wichtig, denn ein hoher Prozentsatz von Risiken in diesem Kontext hat ihren Ursprung gerade nicht in technischen Zusammenhängen. Die organisatorischen Elemente beschreiben Aufbau- und Ablaufaspekte, also Organisationsstrukturen und Prozesse im Kontext des Einsatzes von Informationstechnologie. Die technischen Elemente schließlich umfassen die gesamte Hard- und Software sowie alle unterstützenden technischen Ressourcen, etwa Klimatisierung und spezielle Gebäude. In der Praxis haben sich mit Bezug zu Informationssystemen zwei Perspektiven herausgebildet. Der Begriff IT-Risiko einerseits argumentiert eher technisch, ausgehend von der Informationstechnologie hin zu denjenigen, die sie anwenden. Der Begriff Informationssicherheitsrisiko andererseits argumentiert eher Inhalte-orien-

K

IT-Risikomanagement im Zeitalter der Digitalisierung

7

tiert, ausgehend von den (Geschäfts-)Prozessen und den mit ihnen befassten Rollen im Unternehmen hin zu notwendigen technischen Voraussetzungen. Beide Sichtweisen haben ihre Berechtigung, um ihnen gerecht zu werden, verwendet dieser Beitrag den neutralen Begriff „Risiko“. Ein Risiko lässt sich auf Basis dieser Überlegungen zusammenfassend als ein potenzielles, plötzlich eintretendes, ungewisses Ereignis in der Zukunft definieren. Dabei führt eine interne oder externe Bedrohung aufgrund einer Schwachstelle des Informationssystems zu negativen materiellen und/oder immateriellen Auswirkungen auf Ziele des Unternehmens, seine Geschäftstätigkeit und die seiner Partner. Bedrohungen und Schwachstellen können dabei kurz-, mittel- und langfristig wirken. 1.2 Bedrohungen und Schwachstellen

Bedrohungen sind mögliche Ursachen eines unerwünschten Vorfalls, der zu einem Schaden an einem Informationssystem führen kann (ISO 2013). Auch sie können sowohl technischen, als auch nicht-technischen Ursprungs sein. Eine Bedrohung kann etwa Materialermüdung, ein Unwetter, ein Erdbeben, kriminelles Personal oder ein (Cyber-)Angriff auf das Unternehmen sein. Schwachstellen hingegen sind Schwächen eines Wertes oder einer Maßnahme (ISO 2016) innerhalb des Informationssystems, ebenfalls technischen oder nichttechnischen Ursprungs. Sie werden auch als Verwundbarkeiten bezeichnet. Schwachstellen können sein: ●

●

●

● ●

● ●

●

●

der fehlerhafte oder unangemessene Einsatz von Infrastrukturkomponenten oder Anwendungssystemen in einem bestimmten Umfeld, die Verwendung minderwertiger Bauteile in technischen Systemen, versäumte Wartung, unangemessene Ausstattung oder fehlerhafter Entwurf von Räumlichkeiten für die IT, Programmierfehler in der Software, falsche, zu wenige oder nachlässige Tests eine fehlerhafte Konfigurationen durch Unwissen oder Nachlässigkeit, nicht oder fehlerhaft ausgeführte Updates, unachtsame Nutzer, die arglos Anhänge in Mails unbekannter Absender öffnen, ungenau definierte Prozesse in Entwicklung und IT-Betrieb (organisatorische Schwächen), das unbewusste Fehlverhalten des anwendenden Personals in den Fachbereichen oder Unachtsamkeiten des IT-Personals, etwa die Redseligkeit eines Administrators.

Schwachstellen muss durch geeignete Strategien und Maßnahmen begegnet werden (vgl. Abb. 1 und die Risikostrategien in Abschn. 2.3). Hier liegt eine der Herausforderungen für das IT-Risikomanagement im Zeitalter der Digitalisierung. Durch die deutlich komplexeren Strukturen in der IT sind Bedrohungen, aber auch Schwachstellen vielfältiger, komplexer, dadurch oftmals schwerer zu erkennen und deutlich aufwändiger zu umgehen beziehungsweise zu beheben. Das gesamte Per-

K

8

M. Knoll

Risikostrategie (Behandlung)

Maßnahmen - technisch und organisatorisch Risikobeurteilung Bedrohung

technische Schwachstellen

organisatorische Schwachstellen

(IT-System)

(Prozesse, Personal)

(Identifikation, Analyse, Bewertung)

Risiko

(technisch und organisatorisch)

Abb. 1 Bedrohungen und Schwachstellen

sonal muss immer besser geschult werden, um Fehlverhalten zu vermeiden und bei Risikoeintritt schnell und richtig handeln zu können. Beispielhafte Risiken auf dieser Basis sind: ●

●

●

●

der Ausfall eines wichtigen Anwendungssystems oder die Zerstörung von Unternehmensdaten, bedingt durch technisches Versagen oder gezielte Angriffe von außen (etwa Ransomware, sog. „elektronische Erpressung“ durch Verschlüsselungstrojaner wie etwa „Goldeneye“, vgl. Scherschel 2016). die Zweckentfremdung von PCs und schlecht gesicherten „Smart Devices“, wie etwa WLAN-Kameras und Smart-TV durch Installation von Schadsoftware. das Ausspähen von sensiblen Unternehmensdaten oder der von Kunden anvertrauten Daten durch persönliche oder indirekte Beeinflussung des Personals durch Dritte (sog. „Social Engineering“, etwa in sozialen Netzwerken oder durch persönlichen Kontakt). das Mithören des Datenverkehrs, insbesondere in Drahtlosnetzwerken.

1.3 Systematisierung von Risiken

Risiken lassen sich auf verschiedenste Weise systematisieren. Eine Möglichkeit ist die Darstellung in einem Würfel (vgl. Abb. 2). Auf diese Weise lassen sich Risiken in drei Dimensionen darstellen: 1. Würfeloberseite: Entstehungsort (unternehmensintern oder extern bei Partnern, IT-Projekt oder IT-Betrieb). 2. Würfelvorderseite: betroffenes Informationssystem-Element (mit seinen Schwachstellen). 1. Stakeholder umfassen das IT-Personal ebenso, wie das Personal der Fachabteilungen, Kunden und Lieferanten, Behörden und die Öffentlichkeit. 2. Zu den Unternehmensdaten werden alle in den Geschäftsprozessen benötigten Daten gezählt, darunter auch diejenigen Daten, die im Rahmen neuer Ge-

K

IT-Risikomanagement im Zeitalter der Digitalisierung

9

Abb. 2 Risikowürfel (modifiziert nach Knoll (2014))

externe Risiken

interne Risiken

monetär alle Stakeholder des Unternehmens Unternehmensdaten Anwendungssysteme und IT-Infrastruktur

nichtmonetär

IT-Prozesse und IT-Organisation IT-Umfeld

schäftsmodelle beim Kunden gesammelt und ins Unternehmen übertragen werden. 3. Anwendungssysteme und IT-Infrastruktur beschreiben, womit Geschäftsprozesse und andere für das Unternehmen wichtige Prozesse unterstützt werden, auch bei Outsourcing-Anbietern und in der Cloud. Hierzu zählt neben den „üblichen“ Systemen, wie etwa ERP-, CRM- oder BI-Systeme, auch die sog. „Schatten-IT“, also etwa Excel-Anwendungen in den Fachabteilungen oder bislang „vergessene“ IT in Anlagensteuerungen. Auch hier müssen alle IT-Systeme einbezogen werden, die als Bestandteil neuartiger Produkte und Dienstleistungen direkt beim Kunden installiert und mit dem Unternehmen vernetzt sind. 4. IT-Prozesse und IT-Organisation beschreiben, nach welchen Regelungen die Leistungserstellung in der IT stattfindet und wie sie selbst organisiert ist, etwa Anwendungs- oder Geschäftsprozess-orientiert in Competence-Centern. Wiederum gilt es, neuartige Dienstleistungen und die damit verbundenen neuartigen Prozesse oder Prozessteile zu berücksichtigen. 5. Zum IT-Umfeld gehören die IT-relevanten Gebäude und andere Nicht-IT-Infrastruktur, die direkt oder indirekt Auswirkungen auf die IT haben (können), etwa Zäune, Überwachungseinrichtungen, spezielle Türen oder Brandschutzvorrichtungen. Sind eigene IT-Komponenten im Rahmen neuartiger Dienstleistungen bei Kunden installiert, müssen mögliche Lücken im IT-Umfeld dort mit einbezogen werden, um Auswirkungen auf diesem Weg verstehen und minimieren zu können. 3. Würfelseite: Auswirkungen. In der Regel wird die Einheit, in der Auswirkungen von Risiken angegeben werden, als Geldeinheit (monetär) festgelegt. Etwa die Wiederaufbaukosten nach einem Rechenzentrumsbrand. In anderen Fällen kann ein einheitenloser Punktwert, eine Anzahl oder ein Prozentsatz (nicht-monetär)

K

10

M. Knoll

verwendet werden. Typische Beispiele sind der Reputationsverlust nach einem Cyberangriff auf die Kundendaten, betroffene Personen, Umsatzrückgang oder die Reduktion des Marktanteils. Ein Beispiel zur Anwendung des Risikowürfels aus dem Bereich „Anwendungssysteme und Infrastruktur“: Sowohl in einem IT-Projekt, als auch im IT-Betrieb werden IT-Infrastrukturkomponenten und Anwendungssysteme eingesetzt. Im Projekt sind dies jedoch andere Komponenten und Anwendungen (z. B. Entwicklungsumgebungen), als im Betrieb (z. B. Job-Steuerungen, Firewalls). Entsprechend unterschiedlich können mögliche Risiken sein, die sich monetär oder nicht-monetär bewerten lassen. Die Auswirkungen von Risiken werden häufig als Business Impact bezeichnet, da sie die Geschäftstätigkeit beeinträchtigen (Hiles 2010). Aus Sicht der Fachabteilung ist ein Risiko umso größer, je höher der Business Impact ist. Dabei wird unterschieden, ●

● ●

wie hoch die (Gesamt-)Kosten beim Auftreten eines Risikos sind (Schadenskosten, einschließlich der Ausfallzeiten, Personalkosten sowie Maßnahmen für die Beherrschung nichtmonetärer Effekte, etwa Imageschäden), wie häufig/mit welcher Wahrscheinlichkeit das Risiko auftritt, wie viel Zeit die Beseitigung des eingetretenen Schadens in Anspruch nimmt.

Risiken im Kontext der Informationstechnologie, deren Auswirkungen auf die Geschäftstätigkeit – zunächst – gering zu sein scheinen, stellen für die Fachabteilung demzufolge auf den ersten Blick kein Risiko dar. Entsprechend gering kann das Bewusstsein („Awareness“) für solche Risiken und damit auch für den richtigen Umgang mit ihnen sein. Vorhandenes (externes) Wissen über solche Risiken wird bewusst ignoriert oder klein geredet. Ein solches Verhalten wird mit fortschreitender Digitalisierung zunehmend gefährlicher. Ziel muss es daher für Organisationen jeder Größe, Rechtsform und Branche sein, gemeinsam mit der IT-Abteilung und den externen IT-Partnern alle Risiken entsprechend ihrer Wesentlichkeit für die Organisation zu betrachten und zu behandeln. Die Wesentlichkeit eines Risikos richtet sich schwerpunktmäßig nach der Kritikalität der betroffenen Elemente des Informationssystems: ●

● ●

Unternehmensdaten (und damit auch das Know-how/die Kernkompetenz des Unternehmens, etwa Patente, Rezepte, Fertigungsverfahren, Algorithmen), Anwendungssysteme und IT-Infrastruktur, IT-Prozesse.

1.4 Elemente des IT-Risikomanagements

Im Außenverhältnis trägt die oberste Leitungsebene des Unternehmens stets die gesamte Verantwortung für Risiken. Auch wenn dieser zentrale Grundsatz bis heute offenbar noch nicht in allen Unternehmen bekannt zu sein scheint, ist er unumstößlich.

K

IT-Risikomanagement im Zeitalter der Digitalisierung

11

Die klare Regelung der Verantwortung im Innenverhältnis nach Eintritt eines Risikos ist wichtigste Grundlage. Einbezogen hierbei sind auch alle zuliefernden externen Partner, etwa Outsourcing-Unternehmen und Cloud-Anbieter. Ein „Abwälzen“ der Verantwortung ist auch dann unzulässig, wenn das Unternehmen scheinbar keinen Einfluss auf das Geschehen hatte. Denn in einem solchen Fall ist das Versäumnis des Unternehmens auf konzeptioneller Ebene zu verorten – es fehlte eine Strategie und eine zugehörige Richtlinie mit definierten Prozessen zur Prävention und zum „richtigen“ Umgang mit solchen Situationen. Aus diesem Grund haben viele Unternehmen eine Organisationsstruktur für den richtigen Umgang mit Risiken eingerichtet (Königs 2013, ISO 2013). In ihr sind Risiko-Eigentümer (Risk Owner) in den Fachabteilungen für diejenigen Risiken direkt verantwortlich, die von Anwendungssystemen und den betreffenden Daten ausgehen oder sie bedrohen. Die Risiko-Eigentümer sind thematisch oder regional einem Risiko-Manager zugeordnet, an den sie berichten. Er koordiniert in ihre Richtung zudem alle Aktivitäten. Auch in KMU kann eine solche Organisationsstruktur eingerichtet werden. Solche Unternehmen haben einen Risiko-Manager, der für diese Aufgabe einen Teil seiner Arbeitszeit verwendet. Gerade bei zunehmender IT-Durchdringung dieser Unternehmen sind die Risiko-Eigentümer wie in großen Unternehmen auf die einzelnen Fachabteilungen verteilt. Die Disziplin, die sich mit den notwendigen Überlegungen zur Beherrschung von Risiken aus der Entwicklung, dem Betrieb, der Nutzung und der Außerbetriebnahme von Anwendungssystemen und IT-Infrastruktur befasst, wird IT-Risikomanagement genannt (Knoll 2014, ISACA 2013a). Dabei gilt: Die konkrete Ausgestaltung und die gewählten Werkzeuge und Dokumente (vgl. Abschn. 3) sind stets den Gegebenheiten anzupassen (sog. „Tayloring“). Die grundlegenden Aspekte und Abläufe sind jedoch überall gleich – und gleich wichtig. Jede Organisation ist ohne Ausnahme betroffen. Das IT-Risikomanagement besteht aus mehreren Elementen, die wie der Risikobegriff selbst vom unternehmensweiten bzw. betriebswirtschaftlichen Risikomanagement abgeleitet sind (Erben und Romeike 2005): ●

●

●

●

Management-Committment in allen Führungsebenen für das Thema Risiko. Besteht es nicht, sind die nachfolgenden Punkte obsolet. Risikobewusstsein (sog. „Risikogespür“, „Awareness“). Je ausgeprägter das Risikobewusstsein, desto größer ist die Wahrscheinlichkeit, bislang unentdeckte Risiken zu identifizieren oder neuartige Risiken rasch zu bemerken Risikokultur. Sie beschreibt den Umgang mit Risiken. Risiken betreffen das gesamte Personal und müssen interdisziplinär betrachtet werden. Ein offener, konstruktiver und besonnener Umgang mit eingetretenen Risiken und deren künftige Vermeidung ist ein Zeichen für gute IT-Risikokultur. „Totschweigen“ von Risiken und Beschränkung auf die Suche eines Schuldigen deuten hingegen auf eine wenig entwickelte Risikokultur hin. Für besondere Fälle sollte die anonyme Möglichkeit bestehen, Risiken zu melden. Risikoneigung und Risikoakzeptanz. Wer risikofreudiger ist (hohe Risikoneigung) akzeptiert höhere Risiken, daher hängen diese beiden Elemente in gewis-

K

12

●

●

●

●

M. Knoll

sem Umfang voneinander ab. Die Risikoakzeptanz enthält zudem Informationen darüber, bis zu welcher monetären Grenze Schäden durch eingetretene Risiken überhaupt getragen werden könnten (durch eigene Mittel oder eine Versicherung). klar formulierte Ziele für den Umgang mit Risiken. Sie ergeben sich aus den vorgenannten drei Elementen, oftmals auch als IT-Risikopolitik zusammengefasst. Aufbauorganisation des IT-Risikomanagements. Sie ist an diese Ziele angepasst. Risikorichtlinie. Sie beschreibt zusammenfassend und verbindlich für das gesamten Unternehmen sowie seine zuliefernden Partner alle Regelungen für den Umgang mit Risiken (Risikostrategien, vgl. Abschn. 2.3) und liegt entweder in gedruckter oder elektronischer Form (Intranet) allen Beteiligten vor. dem IT-Risikomanagement-Prozess mit den einzelnen Teilschritten und den Risikostrategien (vgl. Abschn. 2).

Eine zunehmende Zahl von Gesetzen, Normen und Standards fordern mittlerweile die Einrichtung eines Risikomanagements und machen Vorgaben bezüglich der Ausgestaltungstiefe und -breite (vgl. auch den Beitrag von Beißel 2016 in dieser Ausgabe). Zur Vermeidung von Nachteilen aus einem fehlenden Risikomanagement im Kontakt mit Dritten, etwa höhere Zinsen bei Fremdkapitalbeschaffung, Ausschluss von Ausschreibungen oder Imageverluste, richten vermehrt auch diejenigen Unternehmen ein Risikomanagement mit dem Fokus auf Informationstechnologie ein, die dazu durch gesetzliche oder aufsichtsrechtliche Vorgaben nicht verpflichtet wären.

2 Der Risikomanagement-Prozesses Der Risikomanagement-Prozess besteht aus 5 + 3 Schritten (vgl. Abb. 3, ISO 2009, NIST 2011, Elky 2007). 2.1 Festlegen des Kontextes

Im ersten Schritt wird der Kontext, in dem Risiken identifiziert, analysiert, bewertet und behandelt werden, festgelegt. Der Kontext ●

●

●

beschreibt damit möglichst genau die Ziele der Organisation für die Durchführung des Risikomanagementprozesses, bestimmt die externen und internen Themen sowie die Erfordernisse und Erwartungen externer und interner interessierter Parteien, die bei der Handhabung von Risiken beachtet werden müssen und legt den Anwendungsbereich sowie die Risikokriterien für die anderen Teilprozesse fest.

Dies erfordert genaue Kenntnisse des Unternehmens, seiner Geschäftsmodelle und -prozesse sowie seines Umfeldes.

K

IT-Risikomanagement im Zeitalter der Digitalisierung

13

fortlaufende Verbesserung

Ermittlung/Festlegung des Kontextes

Analyse

Bewertung IT-Risiko-

IT-RisikoControlling

IT-Risikoberichtswesen, Kommunikation und Beratung

Identifikation

beurteilung

Behandlung (IT-Risiko-Strategien)

fortlaufende Verbesserung

Abb. 3 Der IT-Risikomanagemenet-Prozess

2.2 Risikobeurteilung

1. Schritt: Hier werden alle denkbaren Risiken identifiziert (ISO 2013, ISO 2009). Die Herausforderung besteht darin, kein Risiko zu übersehen. Zwar existiert, je länger der IT-Risikomanagement-Prozess angewandt wird, bereits eine Sammlung von Risiken. Mit Blick auf die raschen und umfassenden Veränderungen ist es dennoch keine leichte Aufgabe. Hinsichtlich der Vollständigkeit der Betrachtungen kann hierbei, wie auch bei der folgenden Analyse, der Einsatz von Szenarien helfen. Ein Szenario ist eine stets auf das Unternehmen zugeschnittene Beschreibung eines Vorgangs im Kontext einer typischen Situation aus dem Arbeitsalltag. Ein Beispiel für ein solches Szenario wäre etwa die Notwendigkeit, Daten im Rahmen mehrerer Geschäftsprozesse mit Partnern über das Internet auszutauschen. Aufgrund ihrer Anschaulichkeit sind Szenarien insbesondere bei der Zusammenarbeit mit Fachabteilungen sehr beliebt. Allerdings ist die Entwicklung geeignet detaillierter Szenarien mit nicht zu unterschätzendem Aufwand verbunden. Eine Alternative aus eher technischer Perspektive ist eine Risikoidentifika-

K

14

M. Knoll

tion, die von einem Inventar wichtiger IT-Vermögenswerte („IT assets“) ausgeht, also einer Zusammenstellung aller Server, Drucker, Router und anderer Komponenten der IT-Infrastruktur. Problematisch ist hier der Aspekt der Vollständigkeit und Aktualität eines solchen Inventars (vgl. hierzu ausführlich den Beitrag von Decker 2016 in diesem Heft). 2. Schritt: In ihm werden die identifizierten IT-Risken analysiert. Dazu werden die möglichen Folgen bei Eintritt der identifizierten Risiken und die realistischen Eintrittswahrscheinlichkeiten der identifizierten Risiken abgeschätzt sowie das jeweilige Risikoniveau bestimmt (Wie hoch ist die Wahrscheinlichkeit bzw. das Niveau?). Die Problematik hierbei besteht im Fehlen verlässlicher oder vergleichbarer Daten. Schließlich ist jeder erleichtert, wenn das Risiko nicht eintritt, und tritt es doch einmal ein, versucht jedes Unternehmen, die „Sache“ still und rasch „aus der Welt zu schaffen“. Veröffentlichte Fälle sind meist so rudimentär beschrieben, dass eine genaue Diagnostik aus der Ferne unseriös sein muss. Bestenfalls kann das ein Anhaltspunkt sein. Weitere Einschätzungen können unter Umständen auch (Rück-)Versicherungen zur Verfügung stellen. Insgesamt sind jedoch Erfahrung und ein persönliches Netzwerk für den wechselseitigen Austausch die wichtigsten Hilfsmittel. 3. Schritt: Nun werden die Risiken hinsichtlich der möglichen Schadenswirkung bewertet (Wie groß ist die Schadenswirkung, welche Folgen hat sie für das Unternehmen?). Auch in diesem Schritt stellt sich die Frage nach verlässlichen Daten, allerdings kann ein gutes Controlling zumindest die monetären Schäden relativ gut bezifferen. Mit den dann vorliegenden Informationen lässt sich nun für jedes Risiko die Wesentlichkeit und damit die Priorität der Behandlung bestimmen. Alle wesentlichen Risiken haben hinsichtlich ihrer Behandlung oberste Priorität. Diese drei Schritte werden oftmals zusammenfassend als Risikobeurteilung (engl.: IT Risk Assessment) bezeichnet, auch wenn Analyse und Bewertung zwei grundverschiedene Fragen beantworten. Aus diesem Grund sollten diese beiden Teilprozesse klar voneinander getrennt werden. Insbesondere in kleineren Unternehmen ist eine explizite Trennung in Analyse und Bewertung jedoch aus vielerlei Gründen nicht immer umsetzbar, da beispielsweise alle drei Schritte von einer Person durchgeführt werden. In großen Unternehmen hingegen werden in den meisten Fällen aufgrund notwendiger Detailkenntnisse zahlreiche unterschiedliche Experten hinzugezogen. Das Ergebnis einer solchen Risikobeurteilung ist eine priorisierte Sammlung aller Risiken. Jedes Risiko ist dabei detailliert beschrieben und hinsichtlich seiner Eigenschaften (insbes. Beschreibung, Eintrittswahrscheinlichkeit, Schadenswirkung, Verantwortlicher) dokumentiert. Für die Kommunikation wird meist vereinfachend die Risikomatrix verwendet, die Risiken graphisch übersichtlich darstellt (vgl. Abb. 4). Dabei ist die Wahl der Risikoklassen (hier 5 × 5) ebenso wie die Wahl der Achsenbezeichnungen unternehmensspezifisch. Erfahrungswerte zeigen jedoch, dass eine 3 × 3-Matrix die gröbste sinnvolle Unterteilung darstellt, weil darunter zu viele Informationen verloren gehen würden. Eine Matrix mit mehr als 6 × 6 Klassen hin-

K

IT-Risikomanagement im Zeitalter der Digitalisierung

sehr wahrscheinlich, < 1 Jahr

wahrscheinlich, > 1 – 3 Jahre

eher wahrscheinlich, > 3 – 5 Jahre

eher unwahrscheinlich, > 5 – 50 Jahre

sehr unwahrscheinlich, > 50 – 100 Jahre

Schadenshöhe

15

unwesentliches oder Bagatellrisiko ohne Handlungsbedarf Kleinrisiko mittleres Risiko, unter Umständen Handlungsbedarf

bestandsgefährdend, existenzbedrohend

hohes Risiko, Großrisiko, dringender Handlungsbedarf

hoch schwerwiegend

sehr hohes Risiko, Katastrophenrisiko, zwingender Handlungsbedarf

mittel

Technisches Problem bei der redundant eingerichteten Datensicherung

gering

Ausfall eines zentralen Routers (Pfeil zeigt Anwendung einer risikovermindernden Maßnahme)

klein, unbedeutend

Cyberangriff auf ein Rechenzentrum

Eintrittswahrscheinlichkeit Risikoakzeptanzlinie

Abb. 4 Risikomatrix (modifiziert nach Knoll 2014, S. 26)

gegen differenziert zu fein und gerät dadurch in Gefahr, eine Genauigkeit abzubilden, die selten existiert. 2.3 Behandlung von Risiken – Risikostrategien

Im Anschluss daran erfolgt im 5. Schritt die Behandlung der Risiken. Alle Risiken müssen unter Berücksichtigung betriebswirtschaftlicher Grundsätze jeweils möglichst individuell betrachtet werden. Hierzu stehen vier Risiko-Strategien zur Verfügung: 1. Vermeiden – kann meist nur durch Verzicht auf bestimmte Vorteile oder Möglichkeiten (Chancen, siehe Abschn. 1) erreicht werden. 2. Verringern/Reduzieren/Abschwächen (auch: „Mitigieren“, engl. „to mitigate“) – Eintrittswahrscheinlichkeiten und/oder Schadenshöhen werden deutlich reduziert. 3. Transferieren – etwa auf zuliefernde externe Partner oder Versicherungen, wobei die Verantwortung für die transferierten Risiken stets beim abgebenden Unternehmen verbleibt. (ISO 2009) spricht daher auch von Risikoteilung. 4. Akzeptieren – unter Beachtung der eigenen Risikoneigung, -akzeptanz und -tragfähigkeit. Die zur Umsetzung der Strategien ausgewählten Maßnahmen (sog. „Kontrollen“, engl. „Controls“) müssen angemessen und wirksam sein. Angemessen ist eine Maßnahme dann, wenn sie ein sinnvolles Kosten-Nutzen-Verhältnis aufweist. Wirksam ist sie, wenn das zu behandelnde Risiko mit Hilfe dieser Maßnahme nachweisbar

K

16

M. Knoll

entweder vermieden, deutlich verkleinert oder über einen Transfer im operativen Umgang vom Unternehmen ferngehalten werden kann. Ein vollständiges Verringern aller Risiken oder gar Vermeiden ist unmöglich. Letzteres würde absolute Sicherheit bedeuten, die es niemals geben kann und wird. Ein Ignorieren einzelner Risiken, etwa aus Gründen fehlender Ressourcen oder mangelnder Sachkenntnis, ist nicht ratsam. 2.4 Unterstützende Aktivitäten im Risikomanagement-Prozess

Die fünf zentralen Schritte des IT-Risikomanagement-Prozesses werden durch drei sie begleitende Schritte flankiert: 1. das Risikoberichtswesen, eine sorgfältige Kommunikation aller Erkenntnisse und Ergebnisse sowie eine Beratung aller betroffenen Stakeholder im Umgang mit den Ergebnissen. Dieser Schritt stellt zunächst und im Idealfall weitgehend automatisiert einen regelmäßigen ausführlichen IT-Risikobericht zusammen. In großen Unternehmen werden auf die jeweiligen Zielgruppen zugeschnittene (Teil-)Berichte erstellt. Dieser IT-Risikobericht ist dann Grundlage für die Kommunikation mit den für das jeweilige IT-Risiko verantwortlichen IT-Risiko-Eigentümern. Insbesondere, wenn Maßnahmen nicht den gewünschten Erfolg zeigen oder wichtige Maßnahmen zur Risikobehandlung fehlen, unterstützt dieser Schritt auch mit einer Beratung in der richtigen Auswahl und Anwendung von Maßnahmen. 2. das Risiko-Controlling. Es begleitet die Risikobeurteilung und -behandlung und stellt über geeignete Risiko-Kennzahlen Informationen zu Angemessenheit und Wirksamkeit der ausgewählten Maßnahmen zur Verfügung. Zudem stellt es betriebswirtschaftliche und technische Strukturen zur Definition und Messung von Risikokennzahlen bereit. Schließlich unterstützt es die Darstellung des Fortschritts bei der Umsetzung von Maßnahmen zur Behandlung und bei der Verbesserung von Kontrollen durch eine Vorher-Nachher-Darstellung des jeweiligen Risikos in der Risikomatrix (vgl. den Pfeil in Abb. 4). 3. die ständige Verbesserung aller sieben Schritte des IT-Risikomanagement-Prozesses. Da es ständig neue Risiken gibt, muss laufend überprüft werden, ob die verfügbaren Instrumente in allen Schritten des IT-Risikomanagement-Prozesses noch immer angemessen und wirksam sind. Bei Bedarf erfolgt eine Überarbeitung oder ein Austausch. Dieser IT-Risikomanagement-Prozess wird zyklisch durchlaufen, in der Regel einmal jährlich. Mit zunehmender Digitalisierung und den damit einhergehenden schnellen Veränderungen kann eine häufigere Ausführung durchaus sinnvoll oder gar zwingend notwendig werden. Bei jedem neuen Durchlauf wird vorrangig gefragt: ●

● ●

Wo gab es im Unternehmen Veränderungen, die sich auf die IT auswirken könnten? Wo gab es in der IT selbst (auch bei externen Partnern) Veränderungen? Wie hat sich das Umfeld des Unternehmens hinsichtlich der Risikosituation verändert?

K

IT-Risikomanagement im Zeitalter der Digitalisierung

17

3 Instrumente für das IT-Risikomanagement Für jeden Schritt im IT-Risikomanagement-Prozess lassen sich geeignete Methoden und Werkzeuge einsetzen. Wegen der Vielzahl der Methoden und Instrumente sei aus Platzgründen auf die weiterführende Literatur verwiesen (Königs 2013; Knoll 2014). Vielfach werden diese Methoden und Werkzeuge auch durch geeignete Software unterstützt. Die Bandbreite reicht dabei von einfachen, aber weit verbreiteten Vorlagen für Office-Programme, bis zu komplexen Lösungen, die ausschließlich IT-Risikomanagement oder das gesamte IT-Governance-Risk-Compliance-Management abdecken. Vielfach sind solche Werkzeuge Teil großer Anwendungssysteme (meist ERP-Systeme). Portale im Internet, wie etwa SoftGuide oder Capterra bieten eine erste Orientierung bei der Auswahl der für das Unternehmen passenden Lösung. Um Risiken zu beherrschen, können zudem viele Anregungen aus Normen (etwa ISO 31000, ISO 27005) oder Standards (etwa COBIT 5, M_o_R), weiteren Quellen, etwa Fachliteratur, sowie persönlichen Kontakten oder dem Internet (vgl. Tab. 1) hilfreich sein. Allerdings ist eine unveränderte Übernahme solcher meist allgemeinen Inhalte selten möglich. Eine Anpassung an die individuellen Verhältnisse und damit einhergehend der Aufbau eigenen Wissens und eigener Erfahrungen ist zwingend notwendig, auch wenn mitunter das Gegenteil suggeriert werden sollte. Denn häufig müssen etwa Begriffe in die Sprachwelt des eigenen Unternehmens übertragen werden. Hier können schon scheinbar kleine Unterschiede zu großen Missverständnissen und Akzeptanzproblemen führen. Auch sind inhaltliche Details Tab. 1 Weiterführende Informationsquellen zum IT-Risikomanagement. (Teilweise werden Mitgliedschaften vorausgesetzt, Stand: Oktober 2016) Organisation

Website

Association of Insurance and Risk Managers (AIRMIC) Bundesamt für Sicherheit in der Informationstechnik

www.airmic.com www.bsi.bund.de

BITKOM e. V.

www.bitkom.org

CASED und CRISP Computer Security Division des National Institute of Standards and Technology

https://www.crisp-da.de/ Csrc.nist.gov

Continuity CENERAL Deutscher CERT-Verbund

www.continuitycentral.com www.cert-verbund.de

Federation of European Risk Management Associations (FERMA)

www.ferma.eu

Forum of Incident Response and Security Teams Fraunhofer SIT

www.first.org www.sit.fraunhofer.de

Help Net Security

www.helpnetsecurity.com

The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)

ics-cert.us-cert.gov

Information Systems Audit and Control Association (ISACA) – COBIT 5 RiskNet – The Risk Management Network

www.isaca.org, www.isaca.de

SANS Institute

isc.sans.edu, software-security.sans.org

www.risknet.de

K

18

M. Knoll

zu (IT-)Prozessen und der eingesetzten Hardware und Software, insbesondere Anwendungssystemen, auf Übereinstimmung zu prüfen und gegebenenfalls anzupassen. Dies betrifft auch verwendete Systematisierungen, Klassifizierungen, Einheiten, Farbcodes und Symbole. Und schließlich müssen in jedem Fall Besonderheiten im eigenen Unternehmen ergänzt werden. Dabei handelt es sich meist um Spezifika aus der Geschäftstätigkeit, die im Dialog mit den betroffenen Fachabteilungen ermittelt werden müssen.

4 IT-Risikomanagement im Zeitalter der Digitalisierung Vorherzusagen, was das IT-Risikomanagement in den nächsten Jahren beschäftigen wird, ist schwierig bis unmöglich, zu dynamisch sind die Entwicklungen in den Geschäftsmodellen, der Technik und auf der dunklen Seite des Internet. Analog zum Begriff „pervasive computing“ (Mattern 2001), der die fortschreitende Durchdringung unseres Alltags mit vernetzter IT beschreibt, ist es daher naheliegend, auch von alles durchdringendem Risikomanagement („pervasive information security risk“ oder „pervasive information system risk“) zu sprechen. Risikomanagement muss für uns alle selbstverständlich werden, niemand darf sich seiner Verantwortung entziehen. Denn von der wachsenden Verantwortung sind alle betroffen, die Software, für welchen Einsatzzweck auch immer, erstellen, testen, installieren und nutzen. Unternehmen und ihr Personal ebenso, wie wir alle im Privaten. Denn oftmals sind es gerade private Geräte, die für Angriffe auf Unternehmen genutzt werden. Will man Vorhersagen wagen, könnten Cloud-Anbieter stärker in den Fokus geraten. Denn mit zunehmender Verlagerung von Anwendungssystemen und vor allem Daten in die Cloud wird ein erfolgreicher Angriff noch lohnender. Gelingt ein entsprechend neuartiger Angriff, sind zudem, je nach Größe des Cloud-Anbieters, zahlreiche Unternehmen gleichzeitig betroffen. Aber auch medizinische Geräte und andere kritische Elemente des „Internet der Dinge“ werden für Angreifer zunehmend interessanter. Für autonom fahrende Autos, Ampelanlagen, Regelungen für Klimaanlagen, Schließsysteme und andere Funktionen im Kontext von Smart City, Smart Home, Smart Living und anderen „smarten“ Disziplinen der vormals „klassischen“ IT ebenfalls eine fatale Entwicklung. Neue Formen von Malware und Malvertising, insbesondere für Mobilgeräte, könnten aufgrund der intensiven Nutzung von Smartphones und Tablets den Alltag der betroffenen Benutzer, aber auch mobile (Geschäfts-)Prozesse empfindlich stören. In diesem Kontext könnte auch die Digitale Erpressung zunehmen. Und schließlich könnten die zunehmenden Funktionalitäten von Programmierschnittstellen, gerade in Anwendungssystemen, für neue Risiken sorgen. Zum einen könnten unternehmensinterne wie -externe Angreifer diese neuen Funktionen gezielt ausnutzen, um Schaden anzurichten, zum anderen könnten überforderte Anwender versehentlich fehlerhafte Programme erstellen und damit Prozesse und Daten manipulieren oder leicht zugängliche Schwachstellen schaffen. Der „Gegner“ scheint übermächtig. Gleichzeitig wird Personal mit entsprechend neuartigem Spezialwissen fehlen. Was also kann getan werden, ohne den Fortschritt

K

IT-Risikomanagement im Zeitalter der Digitalisierung

19

zu ignorieren, der schließlich neben Risiken viele Chancen bietet? Mehrere Punkte erscheinen von Bedeutung: 1. Schaffung und fortlaufender Erhalt eines möglichst ausgeprägten Bewusstseins für Risiken. Nur wer für die Folgen von Entwicklungen, Technologien und Einsatz-Szenarien sensibilisiert ist, kann verantwortungsbewusst mit IT umgehen, egal ob auf Entwickler- oder Anwenderseite. Gerade im privaten Umfeld könnten Kampagnen in den Medien und Schulen/Universitäten unterstützen. Und letztlich muss nicht alles, was möglich ist, (sofort) umgesetzt werden. 2. Ein fortlaufendes Investment in Aus- und Weiterbildung aller betroffenen Personen, sowohl des IT-Personals, als auch des Personals in den Fachabteilungen. Aber auch Anwender im privaten Bereich sollten einbezogen werden. Bewährte Konzepte könnten hierzu neu gedacht werden, etwa Lern-Apps für das Risikomanagement. Nur wenn alle in der Lage sind, Technologien richtig zu verstehen und anzuwenden und bei Risikoeintritt richtig zu reagieren, können Risiken frühzeitig erkannt oder gar vermieden werden. 3. Eine konsequente Umsetzung der risikoorientierten Denkens bereits von Beginn an, bei der Gestaltung von Prozessen und der Konzeption von IT-Systemen auf Infrastruktur- und Anwendungsebene. Dies lässt sich etwa durch Anwendung von Prinzipien wie „Privacy und Security by Design“ (Waidner, Backes, Müller-Quade 2013) und deren Übertragung auf das IT-Risikomanagement (etwa „Risikobeherrschung by Design“) realisieren. 4. Ein Intensivieren des Denkens in größeren Zusammenhängen, gerade mit Blick auf ganze Infrastrukturen, etwa in der Energieversorgung oder im Verkehr. Nicht ein einzelner Akteur sollte dabei im Zentrum stehen, sondern das Zusammenspiel aller Akteure und Systeme, auch wenn sie auf anderer Ebene miteinander konkurrieren. Ein wichtiges Ziel könnte künftig bei allen Überlegungen sein, die steigende Abhängigkeit von der IT durch verschiedenste Maßnahmen zu flankieren, um Kettenreaktionen und eine Ausbreitung von Störungen auch in zunächst nicht betroffene Bereiche hinein zu verhindern. In keinem Fall dürfen Angriffe das wirtschaftliche und gesellschaftliche Leben zum Erliegen bringen. Auch wenn entsprechende Schreckensszenarien bislang glücklicherweise eher unwahrscheinlich sind, besteht doch weiterhin Forschungsbedarf, um die eigene Autonomie niemals an Maschinen oder Angreifer abgeben zu müssen. Literatur Beißel S (2016) Differenzierung von Rahmenwerken des IT-Risikomanagement. In: Knoll M (Hrsg) ITRisikomanagement. Springer Vieweg, Wiesbaden. doi:10.1365/s40702-016-0281-2 Brynjolfsson E, McAfee A (2014) The Second Machine Age: Wie die nächste digitale Revolution unser aller Leben verändern wird. Plassen, Kulmbach BSI (2013) IT-Grundschutz Glossar. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html. Zugegriffen: 20. Sep 2016 Decker K (2016) Informationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts. In: Knoll M (Hrsg.) IT-Risikomanagement. Springer Vieweg, Wiesbaden. doi:10.1365/s40702-0170288-3 Elky S (2007) An introduction to information system risk management. SANS Institute, Swansea

K

20

M. Knoll

Erben RF, Romeike F (2005) Risiko-Kultur – Risikomanagement – nur eine Alibifunktion? RiskNews 2005. https://www.risknet.de/uploads/tx_bxelibrary/Risikokultur-Erben-Romeike-RISKNEWS2005.pdf. Zugegriffen: 21. Sep 2016 Hiles AN (2010) The definitive handbook of business continuity management, 3. Aufl. Wiley, Hoboken ISACA (2013a) Information technology assurance framework, 2. Aufl. ISACA, Rolling Meadows ISACA (2013b) COBIT 5 for Risk. ISACA, Rolling Meadows ISACA (2013c) ISACA-Leitfaden IT-Risikomanagement – leicht gemacht mit COBIT. ISACA Germany Chapter e. V., dpunkt.verlag, Kelkheim, Heidelberg ISO (2009) ISO 31000:2009 – Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements ISO (2013) ISO/IEC 27001:2013 – Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen ISO (2016) ISO/IEC 27000:2016 – Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie Knoll M (2014) Praxisorientiertes IT-Risikomanagement. dpunkt.verlag, Heidelberg Königs H-P (2013) IT-Risikomanagement mit System: Praxisorientiertes Management von Informationssicherheits- und IT-Risiken, 4. Aufl. Springer Vieweg, Wiesbaden Kungwani P (2014) Risk management- an analytical study. J Bus Manag 16(3):83–89 Mattern F (2001) Pervasive/ubiquitous computing. https://www.gi.de/service/informatiklexikon/ detailansicht/article/pervasiveubiquitous-computing.html. Zugegriffen: 2. Dez 2016 NIST (2011) Managing information security risk. NIST Special Publication, Gaithersburg, S 800–839 Scherschel FA (2016) Goldeneye Ransomware greift gezielt Personalabteilungen an. https://www.heise. de/security/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html. Zugegriffen: 22. Dez 2016 Schmidt K (2011) IT-Risikomanagement. In: Tiemeyer E (Hrsg), S. 547–583 Seibold H (2006) IT-Risikomanagement. Oldenbourg, München Wien Sprenger F, Engemann C (Hrsg) (2015) Internet der Dinge: Über smarte Objekte, intelligente Umgebungen und die technische Durchdringung der Welt. transcript, Bielefeld Waidner M, Backes M, Müller-Quade J (Hrsg) (2013) Entwicklung sicherer Software durch Security by Design. Fraunhofer Verlag, Stuttgart Zoller P (2014) IT-Risiko versus IT-Sicherheit. http://www.risknet.de/themen/risknews/it-risiko-versusit-sicherheit. Zugegriffen: 20. Sep 2016

K