IT-Risikomanagement in Versicherungsunternehmen

Fakultät IV – Wirtschaft und Informatik
Arbeitspapier / Abteilung Wirtschaft
IT-Risikomanagement in Versicherungsunternehmen
Michael Wittek und Georg Disterer
Arbeitspapier 10-2010
ISSN Nr. 1436-1035 (print) ISSN Nr. 1436-1507 (Internet)
www.fh-hannover.de/f4
Fakultät für Wirtschafft und Inform
matik
Arbeitspa
apier 11/2010
0
IT-Ris
sikoman
nagemen
nt in Vers
sicherung
gsuntern
nehmen
Michael
M
Wi ttek und Georg
G
Disterer
Informationstechnologie (IT)) ist ein wesentliche
w
er Bestanddteil der GeG
endig zur E
Erfüllung der
d
schäftssstrategie viieler Unterrnehmen. IT ist notwe
Geschä
äftsziele un
nd bietet P
Potentiale zur
z Erfolgs
ssteigerungg. Allerdings
ist der Einsatz
E
von
n IT auch m
mit Risiken
n verbunde
en, die z.B . durch Stö
öroder Au
usfälle den
n täglichen
n Betrieb unterbreche
u
en und zuu finanzielle
en
Verluste
en führen können.
k
Da
aher ist es erforderlic
ch, ein gezzieltes Man
nagement der IT-Ris
siken zu b
betreiben, um
u diese frühzeitig
f
zzu erkenne
en
und sysstematisch zu steuern
n. Zugleich
h wird das IT-Risikom
manageme
ent
auch ve
erstärkt durch versch
hiedene ge
esetzliche Regelungeen geforde
ert.
Dieser Beitrag be
eschreibt e
ein Konzep
pt für das IT-Risikom
manageme
ent
bei Verssicherunge
en, das auss drei Kern
nelementen
n besteht: dem organisatoriscchen Rahm
men, den L
Leitlinien fü
ür das IT-R
Risikomanaagement und
dem IT--Risikoman
nagementp
prozess.
1 Ein
nführung in das IT-Risiikomanagem
ment
2 2 Ko
onzept für da
as IT-Risiko
omanageme
ent
3 3 Erffolgsfaktore
en der Umse
etzung des Konzepts
15 4 Fa
azit
18 Literatur
19 Seite 2
1 Einführung in das IT-Risikomanagement
Informationstechnologie (IT) ist „heute mehr denn je integraler Bestandteil der Unternehmensstrategie“1 und bietet Potentiale zur Erfolgssteigerung. Laut einer Studie des
Marktforschungsinstituts Gartner wachsen die IT-Investitionen weltweit im Jahr 2010 voraussichtlich um 4,6 Prozent auf 3.364 Milliarden US-Dollar.2 Durch die starke Abhängigkeit der Geschäftsprozesse von der IT-Unterstützung werden die Geschäftsrisiken
durch IT-Risiken erhöht, etwa dass Stör- oder Ausfälle den IT-Betrieb unterbrechen. Für
die angemessene Identifikation, Bewertung und Steuerung solcher IT-Risiken ist ein
gezieltes Risikomanagement erforderlich. Für Versicherungen resultiert die Notwendigkeit eines IT-Risikomanagements aus betrieblichen und regulatorischen Anforderungen.
Die betrieblichen Anforderungen leiten sich aus der Komplexität der IT-Infrastruktur und
der Organisation von Versicherungen ab. IT-Systeme unterstützen die Geschäftsprozesse wesentlich und sind oft unverzichtbare Grundlage der Leistungserbringung. Aufgrund dieser starken Abhängigkeit muss der Einsatz der IT-Systeme gezielt geplant, gesteuert und überwacht werden. Derartige IT-orientierten Steuerungs- und Kontrollmechanismen liegen im Fokus der IT-Governance.3 Wegen der steigenden Komplexität
der IT-Systeme steigt das Risiko, dass die Systeme den betrieblichen Anforderungen
nicht gerecht werden.
Zu den regulatorischen Anforderungen werden Gesetze, Normen und Standards gezählt. Unter IT-Compliance wird die Einhaltung dieser Anforderungen hinsichtlich der IT
verstanden.4 Zu wichtigen Regelungen im IT-Risikomanagement einer Versicherung
zählen u.a. Solvency II, MaRisk (VA) und KonTraG.5 Auch durch die häufig geänderte
Gesetzgebung steigt das Risiko, gegen regulatorische Anforderungen zu verstoßen.
Um diese Risiken angemessen zu beherrschen ist ein systematisches IT-Risikomanagement notwendig. Unter IT-Risikomanagement wird dabei die Gesamtheit der Maßnahmen zum bewussten Umgang mit IT-Risiken verstanden. Das in folgenden Kapiteln
beschriebene Konzept für ein IT-Risikomanagement ist im Rahmen einer Untersuchung
für ein Erstversicherungsunternehmen entstanden. Die Ergebnisse sollten auf andere
Versicherungen übertragbar sein.
1
2
3
4
5
Oberschmidt (2005) S. 66.
Vgl. Heise (2010).
Vgl. Teubner (2008) S. 400.
Vgl. Teubner (2008) S. 400.
Vgl. Gerpott/Hoffmann (2008) S.10, Königs (2009) S. 64, MaRisk (2009) S. 3.
Seite 3
2 Kon
nzept für das
d IT-Ris
sikomanag
gement
Laut einer aktuelllen Studie weist das Risikoman
nagement vieler deuttscher Untternehmen
n
edarf auf.6 Eine erfol greiche un
nd effektive
e Entwickluung, Umse
etzung und
d
Verbessserungsbe
langfrisstige Etabliierung des
s Managem
ments von Risiken - insbesonddere von IT
T-Risiken erweistt sich oft als ein kom
mpliziertes V
Vorhaben und erford
dert eine syystematisc
che Vorge-henswe
eise7. Das vorliegend
de Konzep
pt unterstützt eine so
olche Vorgeehensweis
se und be-steht a
aus drei Elementen. Den Kern bilden ein
n geeignetter organissatorischerr Rahmen,,
Leitlinie
en für das für das IT--Risikoman
nagement sowie ein IT-Risikom
manageme
entprozesss
mit den
n dazugehö
örigen Prozessphase
en und -aktivitäten (s
siehe Abbilddung 1).
Abbildu
ung 1: Konzzept für das IT-Risikoma
anagement
2.1 Ziiele, Nutze
en und Ein
nflussfakttoren des Konzepts
s
Das Ko
onzept für ein IT-Ris
sikomanag ement in Versicheru
V
ungen wirdd im Sinne eines un-ternehm
mensüberg
greifenden Systems verstande
en, das ein
n systemattisches und kontinu-ierliche
es Manage
ement der IT-Risiken gewährleis
stet. Ziel is
st die Ausggestaltung und konti-6
7
Vgl. H
Herre/Tüllner (2010) S. 10.
Vgl. A
Ahrendts/Marto
on (2008) S. 53-54.
5
Seite 4
nuierlicche Weiterrentwicklun
ng eines a
angemesse
enen IT-R
Risikomanaagements, um einen
n
kontrollierten und
d effektiven
n Umgang
g mit IT-Ris
siken und den Beitraag zu den Unterneh-mensziielen durch
h geeignette Unterstü
ützung derr Geschäfttsprozessee sicherzus
stellen. Zu
u
den Rissiken zähle
en beispielsweise Scchäden oder Verluste
e durch Auus- oder Sttörfälle derr
IT-Systteme oder fehlerhafte
es Verhalte
en von Mittarbeitern. Zusätzlichh lassen sic
ch betrieb-liche Ziele ableite
en. Diese umfassen beispielsw
weise die Verbesseru
V
ung der IT
T-Services,,
d kürzeren Wiederheerstellungs
szeiten derr
die an geringeren Ausfall- oder Störzzeiten und
IT-Systteme abge
elesen werd
den kann.
Das Ko
onzept für das IT-Ris
sikomanag ement, wie
e in Abbildung 2 darggestellt, ba
aut auf fol-genden
n Inhalten auf:
a

Reg
gulatorische Anford
derungen : Hierzu zählen
z
Vo
orgaben w
wie gesetz
zliche Ver-pflicchtungen oder
o
Eigen
nverpflichtu
ungen des
s Unterneh
hmens, diee ein IT-Risikomana-gem
ment erford
dern. Zu einschlägige
en Gesetze
en und Vorschriften ggehören u.a.: Solva-bilitä
äts- bzw. Eigenmitte
elvorschriftten nach Solvency
S
II, Minderaanforderun
ngen nach
h
MaR
Risk (VA), Anforderu
ungen nach
h Kontrolle
e und Tran
nsparenz nnach KonTraG sowie
e
Anfo
orderungen wie GoB
BS, GDPdU
U oder SOX
X.

Metthoden un
nd Framew
works: Die
e inhaltlich
he Ausges
staltung dees IT-Risik
komanage-men
nts erfolgt anhand vo
on Standarrds und No
ormen, die sich in deer Praxis be
ewährt ha-ben
n. Dazu geh
hören z.B. das Frame
ework zur IT-Govern
nance nachh CobIT, diie bewähr-agement na
ach ITIL, der
d Standaard für das IT Service
e
ten Praktiken des IT Serrvice Mana
Man
nagement ISO 2000
00, der S
Standard für das IT
T-Sicherheiitsmanagement ISO
O
270
000 sowie weitere
w
Ansätze wie BSI-Stand
dard, Framework Mannagement of Risk.
Abbiildung 2: An
nforderunge
en und Meth
hoden im IT--Risikomanaagement
Seite 5
2.2 Organisatorischer Rahmen
In Versicherungen werden Aufgaben des Risikomanagements meist konzernweit von
Organisationseinheiten wie dem Konzernrisikomanagement o.ä. übernommen. Diese
Einheiten stehen in der Gesamtverantwortung für das Risikomanagement und delegieren Teile davon an fachlich spezialisierte, dezentrale Risikocontroller; etwa bezüglich
der IT an den IT-Risikomanager. Das Konzernrisikomanagement definiert zentrale Anforderungen hinsichtlich des Managements von IT-Risiken, für dessen Ausübung der ITRisikomanager dezentral im Rahmen des IT-Risikomanagements zuständig ist. Das ITRisikomanagement ist somit als eine unterstützende Funktion des Konzernrisikomanagements anzusehen, die wesentliche Aufgaben im IT-Bereich übernimmt und dem Konzernrisikomanagement zuarbeitet. Dafür ist eine Abstimmung zwischen IT-Risikomanagement und Konzernrisikomanagement in folgenden Punkten notwendig:

Aufbau und Weiterentwicklung des IT-Risikomanagementprozesses

Mitwirkung/Koordination bei der Identifikation, Analyse/Bewertung und Steuerung
von IT-Risiken sowie bei der Initiierung und Abstimmung von Maßnahmen

Entwicklung und Pflege von Frühwarn-/Controllingsystemen, Reporting an die Leitung des IT-Bereichs und an das Konzernrisikomanagement

Entwicklung und Durchführung von Maßnahmen zur Risikosensibilisierung.
Das IT-Risikomanagement verfügt dabei über Schnittstellen zu anderen Arbeitsbereich
innerhalb und außerhalb der IT, z.B. zu den ITIL-Prozessen IT Service Continuity Management und IT Security Management sowie den Fachbereichen. Zur klaren Definition
und Abgrenzung der Verantwortungsbereiche dienen Rollen, die in Tabelle 1 mit den
Aufgaben und Zuordnungen aufgelistet sind.
Rolle
Aufgaben
Abteilung
Dezentraler
Risikomanager
Verantwortlich für den fachspezifischen Bereich im Risikomanagement. Hinsichtlich der IT-Risiken ist der ITRisikomanager für die Ausgestaltung und Durchführung der
Prozessaufgaben zuständig
Tragen die Verantwortung für IT-Risiken (Verluste infolge
von IT-Risiken; Einhaltung von Vorgaben; laufende Steuerung der IT-Risiken). Die Zuordnung erfolgt fachspezifisch
Verantwortlich für die operative Durchführung der Aufgaben
im Service Continuity Management nach ITIL.
Verantwortlich für die operative Durchführung der Aufgaben
im Security Management nach ITIL
Zuständig für die konzernweite Ausgestaltung und Gesamtkoordination des Risikomanagements
IT-Bereich
Risikoverantwortliche
IT Service Continuity
Manager
IT Security Manager
Konzernrisikomanager
Tabelle 1: Rollen im IT-Risikomanagement
fachspezifisch
IT-Bereich
IT-Bereich
Konzernrisikomanagement
Seite 6
2.3 Le
eitlinien fü
ür das IT-R
Risikoman
nagementt
Grundla
age des IT
T-Risikoma
anagemen
nts ist die Definition strategisccher Vorga
aben.8 Ziell
dieser Festlegungen ist es
s, allgemeiine Rahme
enbedingungen für ddie operatiive Durch-g des IT-R
Risikomana
agements zzu schaffe
en. Die stra
ategische Ausrichtun
ng des IT-führung
Risikom
manageme
ents ist in verschiede
v
enen Leitlin
nien zu dok
kumentiereen. Zu dies
sen zählen
n
die IT-Risiko-Policy, die Be
eschreibun
ng der IT-Risiko-Kon
ntrollaktivitä
täten und die IT-RM
M
bung. Dies
se drei Leiitlinien bau
uen aufeinander auf,, sind kons
sistent zu-Prozesssbeschreib
einande
er und werden durch
h weitere L
Leit- oder Richtlinien beeinflussst. Abbildu
ung 3 stelltt
die Abh
hängigkeite
en der gülttigen und vverbindlichen Dokum
mente dar.
Abbildung 3: Zu
usammenha
ang der Leitllinien im IT-Risikomanaagement
Die lan
ngfristigen Ziele ein
ner Versich
herung sin
nd in eine
er Unterneehmensstra
ategie be-schrieb
ben. Die eiinzelnen Strategien
S
d
der definie
erten Gesc
chäftsfelde r leiten sic
ch aus derr
Unterne
ehmensstrrategie ab. Die Gescchäftsproz
zesse einer Versicheerung werd
den in ho-hem Maße durch
h IT untersttützt. Zur S
Sicherung der Unters
stützung w
werden die Vorgaben
n
etrieblichen
n Einsatz der
d IT in ein
ner IT-Stra
ategie defin
niert.
zum be
8
Vgl. S
Seibold (2006)) S. 135.
Seite 7
Die Risikostrategie einer Versicherung ist ein verbindlicher Handlungsleitfaden für das
Management von Risiken jeglicher Art und wird als Ergänzung der Unternehmensstrategie angesehen. Die IT Risiko Policy beschreibt die strategische Ausrichtung des ITRisikomanagements. Sie ist konsistent zu der Risikostrategie und der IT-Strategie. Die
Umsetzung des IT-Risikomanagements ist in einer Arbeitsanweisung, den sogenannten
IT-Risiko-Kontrollaktivitäten beschrieben. Die Prozessbeschreibung dokumentiert grafisch und verbal die Prozessaktivitäten im IT-Risikomanagement einer Versicherung.
Die IT Risiko Policy, die IT-Risiko-Kontrollaktivitäten und die Prozessbeschreibung bilden gemeinsam die verbindlichen Leitlinien für das IT-Risikomanagement
Die Existenz und Umsetzung einer IT Risiko Policy ist die Grundlage des IT-Risikomanagements.9 Sie regelt die Rahmenbedingungen für die erfolgreiche Durchführung des
IT-Risikomanagements und beschreibt dabei strategische Grundsätze, wie z.B. die Ausrichtung und Ziele des IT-Risikomanagements. Ferner dient diese Policy zur Schaffung
und Schärfung des Risikobewusstseins bzw. der Risikotransparenz. Die IT Risiko Policy
unterliegt einer regelmäßigen Prüfung und wird laufend aktualisiert. In der nachfolgenden Tabelle ist der Inhalt einer IT Risiko Policy beschrieben.
Inhalt
Einführung
Grundlagen des ITRM
System des IT-RM
IT-Risikokultur und
-kommunikation
Beschreibung
 beschreibt die Ziele und den Aufbau der IT Risiko Policy
 definiert den Gültigkeitsbereich der IT Risiko Policy
 beschreibt die Ziele und Notwendigkeit des IT-Risikomanagements
 umfasst eine einheitliche Definition des Risikobegriffs
 klassifiziert IT-Risiken nach einheitlich definierten IT-Risikoklassen
 definiert Skalierungen von Eintrittswahrscheinlichkeit und Schadenshöhe
zur Bewertung der IT-Risiken
 beschreibt die organisatorischen Rahmenbedingungen (Eingliederung des
IT-RM und Rollen im IT-RM)
 beschriebt im Überblick den IT-Risikomanagementprozess und die dazugehörigen Prozessphasen und -aktivitäten
 beschreibt die wesentlichen Schnittstellen im IT-Risikomanagements
 definiert den Rahmen für die unternehmensweite Risikokultur und Risikokommunikation hinsichtlich der IT-Risiken
Tabelle 2: Inhalt der IT Risiko Policy
Die Anweisungen zu den Kontrollaktivitäten definieren und beschreiben die Umsetzung
des IT-Risikomanagements. Unter Kontrollaktivitäten werden Maßnahmen und Methoden verstanden, die sicherstellen, dass in der IT Risiko Policy definierte Vorgaben hinsichtlich des IT-Risikomanagements auf allen Ebenen des Unternehmens in geeigneter
9
Vgl. Seibold (2006) S. 135.
Seite 8
Form umgesetzt werden. Die Kontrollaktivitäten basieren auf der IT Risiko Policy und
sind als derer Ergänzung anzusehen. In der nachfolgenden Tabelle ist der Inhalt der ITRisiko-Kontrollaktivitäten beschrieben.
Inhalt
Einführung
Kontrollaktivitäten für
die Umsetzung des
IT-RM
Weitere Aspekte im
IT-RM
Beschreibung
 beschreibt die Ziele und den Aufbau der IT-Risiko-Kontrollaktivitäten
 definiert den Gültigkeitsbereich der IT-Risiko-Kontrollaktivitäten
 beschreibt die Aufgaben- und Verantwortungsbereiche des ITRisikomanagers
 definiert das Prinzip der Funktionstrennung im IT-RM
 beschreibt die Kontrollaktivitäten für die operative Umsetzung und Durchführung des IT-Risikomanagements
 beschreibt den Inhalt des Prozesscontrollings
 definiert die Risikoindikatoren zur Steuerung der IT-Risiken und des ITRisikomanagementprozesses
 umfasst einen Ressourcen- und Zeitplan für die Umsetzung des IT-RM
Tabelle 3: Inhalt der IT-Risiko-Kontrollaktivitäten
Die Prozessbeschreibung für das IT-Risikomanagement ist an der IT Risiko Policy sowie den Kontrollaktivitäten auszurichten und wird als Ergänzung dieser Dokumente angesehen. Der IT-Risikomanagementprozess ist für Dokumentationszwecke ggf. in einem Prozessmodellierungstool abzubilden. Die Prozessbeschreibung umfasst eine einfache und übersichtliche Darstellung der Prozesselemente im IT-Risikomanagement.
Prozessrollen und Prozessphasen inklusive der dazugehörigen Prozessaufgaben sind
die wesentlichen Elemente, die in diesem Dokument beschrieben und dargestellt werden. In nachfolgender Tabelle ist der Inhalt der IT-RM Prozessbeschreibung aufgeführt.
Inhalt
Beschreibung




Prozessdarstellung

IT-Risikomanagement
Einführung
umfasst die Ziele der IT-RM Prozessbeschreibung
definiert den Gültigkeitsbereich der IT-RM Prozessbeschreibung
beschreibt die Regeln der Prozessmodellierung des Unternehmens
umfasst die Spezifikation der Prozessrollen
beinhaltet die grafische Darstellung der Prozesse und kurze verbale Beschreibung der Prozessphasen und -aufgaben
Tabelle 4: Inhalt der IT-RM Prozessbeschreibung
2.4 IT-Risikomanagementprozess
Auf Basis der strategischen Vorgaben wird der Prozess im IT-Risikomanagement ausgerichtet. Effektives Management von IT-Risiken bedarf eines systematischen und kontinuierlichen Vorgehens. Für den langfristigen Erfolg reicht es nicht, verschiedene Ge-
Seite 9
setzesa
anforderun
ngen und Regularien
R
n einzuhaltten, da die
ese nur einnen groben
n Rahmen
n
definierren und be
ei der Ausg
gestaltung Interpretationsraum lassen.10 V
Vielmehr ist ein akti-ves Ma
anagementt der IT-Risiken erforrderlich. Dies wird du
urch die Koonzeption und konti-nuierlicche Weitere
entwicklun
ng des IT-R
Risikomana
agementprrozesses ssichergeste
ellt.
Der IT--Risikoman
nagementp
prozess istt an das in
n der Fachliteratur beewährte Prrozessmo-dell angelehnt un
nd bestehtt aus vier K
Kernphase
en, die in Abbildung
A
4 dargesttellt sind.11
Die Ke
ernphasen IT-Risiken
n identifizie
eren, bewe
erten, steuern und bberichten wurden
w
um
m
die pro
ozessüberg
greifenden Aktivitäten
n Risikoku
ultur und Risikokomm
R
munikation erweitert,,
die untternehmensweit ausz
zuführen ssind. Der IT
T-Risikoma
anagementtprozess is
st kreisför-mig darstellt, um die Kontin
nuität und d
die sich fortlaufend wiederhole
w
ende Ausfü
ührung dess
Prozessses zu verrdeutlichen
n.
Abb
bildung 4: IT
T-Risikoman
nagementprozess12
komanage
ementproze
ess umfasst die frühhzeitige und
d vollstän-Die ersste Phase im IT-Risik
dige Id
dentifikation
n von IT-R
Risiken un d erfolgt in Form vo
on regelmääßigen Se
elf-Assess-ments, Mitteilung von IT-Ris
siken durc h Mitarbeitter und Imp
pact-Analyysen.
Ziel de
er Self-Ass
sessmentts (Selbste
einschätzungen) ist es, durch regelmäß
ßige Befra-gung der Risikoverantwortliichen neue
e IT-Risike
en zu identtifizieren unnd die Einschätzung
g
alisieren. Viele
V
Risik
koverantwoortliche besitzen Ex-bereits erkannterr IT-Risiken zu aktua
pertenw
wissen bezzüglich derr eingesetzzten IT und
d können dadurch
d
funndierte Aussagen zu
u
10 Vgl. M
MaRisk (2009)) S. 3.
11 Vgl. P
Prokein (2008)) S. 15.
12 Eigen
ndarstellung in Anlehnung an Prokein (200
08) S. 16.
Seite 10
IT-Risiken treffen. Der IT-Risikomanager führt die Selbsteinschätzungen der IT-Risiken
aus Einzelbefragungen, Workshops und Fragebögen zusammen. Dabei schafft und fördert dieses Vorgehen das Risikobewusstsein der Mitarbeiter.
Eine weitere Methode zur Identifikation ist die Mitteilung von IT-Risiken durch die Mitarbeiter. Dadurch wird der offene Dialog über IT-Risiken sichergestellt. Mitteilungen von
IT-Risiken erfolgen individuell zwischen den Mitarbeitern und Vertretern des IT-Risikomanagements oder fachbereichsspezifisch zwischen Fachbereichen und IT-Risikomanagement.
Bei Änderung bestehender oder Implementierung neuer Informationstechnologie wird
geprüft, ob diese Vorgänge und Technologien mit Risiken verbunden sind, ob sie die
aktuelle Risikolage verändern und ob sie eventuell Auswirkungen auf vorhandene Steuerungsmaßnahmen haben. Die Prüfung erfolgt mittels einer Impact Analyse und stellt
die möglichen Ursachen bzw. Folgen eines Stör- oder Ausfalls von IT-Systemen fest.
Im Anschluss an die Identifikation der IT-Risiken werden diese im zweiten Schritt bezüglich der Eintrittswahrscheinlichkeit bzw. Schadenshöhe analysiert und bewertet. Die
Bewertung erfolgt mit einer Erhebungsunterlage zur Risikoanalyse. Diese Erhebungsunterlage kann mit Tabellenkalkulationen o.ä. erstellt werden, um die Erfassung, Bewertung, Dokumentation und Überwachung von IT-Risiken zu unterstützen.
Das Ergebnis der Risikoanalyse ist eine qualitative Netto-Bewertung13 der IT-Risiken
mit der die Ableitung angemessener Steuerungsmaßnahmen vorgenommen wird. Dabei
fließen die Auswirkungen bereits getroffener Steuerungsmaßnahmen in die Bewertung
der IT-Risiken ein.14
Die Analyse und Bewertung von IT-Risiken umfasst folgende Aktivitäten:

Risiko analysieren
◦ Risikoklasse und Gegenstand (z.B. Anwendung, System, Organisation) der Bewertung bestimmen
◦ IT-Risiken erfassen und beschreiben
◦ mögliche Ursachen und Folgen der IT-Risiken ermitteln

Risiko bewerten
13 Bei qualitativen Bewertungen erfolgt die Ermittlung der Eintrittswahrscheinlichkeiten und Schadenshöhen auf nominalen Skalen, z.B. mit den Ausprägungen „gering“, „mittel“, „hoch“ und „sehr hoch“. Bei Netto-Bewertungen
werden die Auswirkungen bereits eingeleiteter Maßnahmen mit berücksichtigt.
14 Vgl. MaRisk (2009) S. 29.
Seite 11
◦ Risikoverantwortlichen zuweisen
◦ Bewertung der Eintrittswahrscheinlichkeit und Schadenshöhe vornehmen
◦ Maßnahmen vorschlagen

Risikobewertung und -analyse dokumentieren
◦ Maßnahmenvorschlag dokumentieren
◦ Durchführung und Ergebnisse der Analyse dokumentieren
Eine weitere Methode für die Analyse und Bewertung von IT-Risiken ist die Szenarioanalyse. Diese greift bereits identifizierte IT-Risiken auf und baut auf der Planung und
Durchführung von IT-Notfallübungen auf. Ziel der Szenarioanalyse ist es, reale Risikoszenarien, die im Rahmen der regelmäßigen IT-Notfallübungen durch das IT Security
Management bzw. IT Service Continuity Management erarbeitet und simuliert werden,
durch die Bewertung der Eintrittswahrscheinlichkeiten und Schadenshöhen zu erweitern. Die Szenarioanalyse umfasst folgende Aktivitäten:

Planen
◦ organisatorischen Rahmen gestalten
◦ bereits identifizierte IT-Risiken aufgreifen

Durchführen
◦ Risikoszenarien erarbeiten und beschreiben
◦ Auswirkungen der Risikoszenarien bestimmen
◦ geeignete Steuerungsmaßnahmen definieren
◦ Abhängigkeiten der Risikoszenarien bestimmen
◦ Auswirkungen der Risikoszenarien auf IT übertragen

Dokumentieren
Eine weitere Methode für die Analyse und Bewertung von IT-Risiken ist die Datenanalyse ausgewählter ITIL-Prozesse. Bei einer Ausrichtung nach ITIL wird durch prozessübergreifende Verbesserungsmaßnahmen die Qualität und Transparenz der Prozesse
verbessert.15 Durch eine Analyse und Auswertung der Daten aus den ITIL-Prozessen
Incident Management, Problem Management und Change Management kann das IT-Risikomanagement mögliche IT-Risiken, z.B. durch Review der Major Incidents, gezielt
15 Vgl. Seibold (2006) S. 189.
Seite 12
identifizieren. Erkenntnisse aus der Analyse häufig auftretender Incidents sind auch für
die Einschätzung der Eintrittswahrscheinlichkeiten von IT-Risiken einzusetzen.
Die Ergebnisse aller Analysen fließen in die jährliche Risikovollerhebung des Konzernrisikomanagements ein, die alle wesentlichen Risiken einer Versicherung erfassen soll.
Das IT-Risikomanagement übernimmt dabei eine unterstützende Funktion und liefert
grundlegende Informationen.
Die Steuerung identifizierter und bewerteter IT-Risiken besteht aus aktiver Beeinflussung der Risiken, indem sie vermieden, reduziert, transferiert oder akzeptiert werden.16
Eine Vermeidung von IT-Risiken ist lediglich durch Aufgabe bzw. Unterlassung risikoreicher Aktivitäten möglich, da nur dadurch die Eintrittswahrscheinlichkeit und zu erwartende Schadenshöhe beseitigt werden. Eine derartig radikale Entscheidung wird nur gefällt werden, wenn die Verlustrisiken die Erfolgschancen deutlich überwiegen.17 Ein Beispiel ist die Nutzung des Internet als zusätzlichen Vertriebsweg für den Abschluss von
Versicherungen. Entscheidet eine Versicherung, ihre Produkte über das Internet zu vertreiben, so ist das Unternehmen zwangsläufig gewissen Risiken ausgesetzt und muss
für die Implementierung entsprechender Maßnahmen sorgen.
Ziel der Reduzierung von IT-Risiken ist es, Eintrittswahrscheinlichkeiten und Schadenshöhen der Risiken durch die Implementierung stabiler Prozesse sowie durch adhoc Maßnahmen zu verringern. Die Reduzierung von IT-Risiken umfasst:

IT Security Management: Dieser Prozess stellt die Vertraulichkeit, Verfügbarkeit und
Integrität von Informationen und Systemen sicher. Ziel des IT Security Managements ist es, sicherheitsrelevante IT-Risiken systematisch zu behandeln. Die
Schwerpunkte des Prozesses liegen in der Erstellung sowie Umsetzung von Sicherheitsrichtlinien, der Ableitung geeigneter Maßnahmen und der Sensibilisierung der
Mitarbeiter.

IT Service Continuity Management: Die Sicherstellung der Geschäftsprozesse in
Notfällen wird durch das IT Service Continuity Management abgedeckt. Mit Hilfe
dieses Prozesses werden geschäftskritische Prozesse identifiziert, analysiert und
bewertet. Schwerpunkt dieses Prozesses ist das IT-Notfallmanagement, das durch
16 Vgl. Königs (2005) S. 42.
17 Vgl. Prokein (2008) S. 89.
Seite 13
die Erstellung von IT-Notfallplänen eine schnellstmögliche Wiederherstellung der ITServices gewährleistet.

Skill-Management: Mitarbeiter verfügen über Expertenwissen, das aus Können, Fähigkeiten und Erfahrungen besteht. Dieses Wissen ist eine wesentliche Ressource
beim Betrieb von IT-Systemen und muss gezielt entwickelt und bewahrt werden.

Einzelmaßnahmen: Die ad-hoc Durchführung von Einzelmaßnahmen ist eine geeignete Möglichkeit, um schnell und flexibel auf IT-Risiken zu reagieren. Dazu zählen
technische (z.B. Erweiterung des Speichernetzwerks) und organisatorische Maßnahmen (z.B. schriftliche Anweisungen für den Umgang mit Notebooks), die die Eintrittswahrscheinlichkeit und/oder Schadenshöhe von Risiken reduzieren.
Beim Transfer von IT-Risiken werden diese Risiken und der damit gegebenenfalls
verbundene Schaden auf externe Träger übertragen. Dies kann durch den Abschluss
geeigneter Versicherungen geschehen, mit denen der Versicherer für den Schadensfall
zu bestimmten Leistungen verpflichtet wird. Wesentliche Aufgabe beim Risikotransfer
ist die Prüfung der Versicherbarkeit der IT-Risiken, die sich in der Praxis oft als kompliziert erweist.18
Die Geschäftsführung einer Versicherung kann die Akzeptanz von IT-Risiken entscheiden. Werden IT-Risiken bewusst akzeptiert, so ist die Entscheidung dazu zu dokumentieren. IT-Risiken werden i.d.R. bewusst akzeptiert, wenn sie unter einer durch
die Geschäftsführung festgelegten Risiko-Akzeptanzlinie liegen und somit nur einen geringen Schaden verursachen.
Im Zuge der Risikosteuerung schlägt der IT-Risikomanager Maßnahmen vor oder empfiehlt sie. Die Durchsetzung der Maßnahmen obliegt den Risikoverantwortlichen und der
Leitung des IT-Bereichs. Der Risikomanager überwacht und dokumentiert die Ergebnisse der Risikomaßnahmen.
Die Überwachung der identifizierten und bewerteten IT-Risiken erfolgt durch den Aufbau eines Frühwarnsystems, um erkannte Risiken systematisch zu überwachen und
den Eintritt von Schadenfällen frühzeitig zu erkennen sowie die Wirksamkeit der Steuerungsmaßnahmen sicherzustellen. Dafür werden regelmäßig Risikoindikatoren gemes-
18 Vgl. Grzebiela (2002) S. 47-48.
Seite 14
sen und ausgewertet, wobei zwischen zwei Arten von Indikatoren zu unterscheiden
ist19: Risikomesskennzahlen und Risikotreiber.
Typische Risikomesskennzahlen sind Größen, die zurückliegende Ereignisse oder Zeitperioden beschreiben, wie z.B. die Verfügbarkeit eines IT-Services oder Anzahl von
SLA-Verstößen im Vormonat. Mit derartigen Risikomesskennzahlen wird die Wirksamkeit von Steuerungsmaßnahmen kontrolliert. Risikotreiber hingegen sind vorlaufende
Messgrößen, die das zukünftige Risikopotenzial beschreiben. Unter der Annahme, dass
eine Zunahme der Komplexität der Systeme oder der Anzahl beteiligter Mitarbeiter zur
Steigerung von Risiken führen, so können Messgrößen für diese Werte auf Entwicklungen des Risikopotenzials hinweisen.
Ein weiterer wesentlicher Bestandteil des Frühwarnsystems ist ein funktionierendes Berichtswesen hinsichtlich des Managements von IT-Risiken. Der IT-Risikomanager ist dafür verantwortlich, dass die IT-Leitung und das Konzernrisikomanagement laufend über
die Risikolage und Entwicklungen im IT-Risikomanagement informiert werden. Hierfür
sind folgende Berichte anzufertigen:

Jährlicher Risikobericht an IT-Leitung und Konzernrisikomanagement, der die
Einschätzung der Risikolage, Risikolandkarte, Änderungen im IT-Risikomanagement
sowie eine Dokumentation der eingeleiteten Maßnahmen umfasst.

Quarteilweiser Risikobericht an die IT-Leitung, der die Veränderung der Risikolage beschreibt.

Ad-hoc Risikobericht an die IT-Leitung, der Auswirkungen extremer Ereignisse dokumentiert.
Neben der Überwachung der IT-Risiken wird auch der IT-Risikomanagementprozess
überwacht und kontinuierlich verbessert. Dies erfolgt im Prozesscontrolling, das die
Funktionsfähigkeit und Verbesserung des Prozesses sicherstellt. Das Prozesscontrolling umfasst die Festlegung und Auswertung der Key Perfomance Indicators (KPIs), die
laufende Aktualisierung der Dokumentationen zum IT-Risikomanagement und die regelmäßige Prüfungen des Prozesses zum Risikomanagement durch Auditoren.
19 Vgl. Seibold (2006) S. 126.
Seite 15
3 Erfolgsfaktoren der Umsetzung des Konzepts
Bei der Umsetzung des Konzepts für das IT-Risikomanagement sind mehrere Erfolgsfaktoren zu beachten. Zu den wesentlichen Erfolgsfaktoren im Management von ITRisiken zählen die Risikokultur und Risikokommunikation.20 Im IT-Risikomanagement
wirken diese Faktoren prozessübergreifend und beeinflussen alle Bereiche einer Versicherung. Die Etablierung einer Risikokultur hinsichtlich der IT umfasst die Aktivitäten:

Risikobewusstsein schaffen

aktive Hilfe der Mitarbeiter fördern

IT-Risiken kommunizieren.
Die dauerhafte und erfolgreiche Etablierung eines IT-Risikomanagements kann nur im
Rahmen
eines
unternehmensweiten
Risikomanagements
erfolgen.
Die
IT-
fachspezifischen Aufgaben sind zwar an das IT-Risikomanagement zu delegieren, die
Gesamtverantwortung für das Management von Risiken, einschließlich der IT-Risiken,
obliegt jedoch der Unternehmensleitung respektive dem Risikomanagement des Unternehmens.21 Entsprechend muss bei der Unternehmensleitung ein Grundverständnis für
IT-Risiken geweckt und Akzeptanz für das IT-Risikomanagement entwickelt werden.
Darüber hinaus ist ein ausgeprägtes Risikobewusstsein und Risikoverständnis auf allen
Ebenen einer Versicherung (Sachbearbeiter, Gruppen- und Abteilungsleitungen sowie
Geschäftsführung) zu schaffen und zu schärfen. Dadurch wird die Bereitschaft der Mitarbeiter gesteigert, am IT-Risikomanagementprozess teilzunehmen. Den Mitarbeitern
muss bewusst sein, warum und wie im Unternehmen IT-Risiken behandelt werden. Nur
so können sie aktiv an dem IT-Risikomanagementprozess mitwirken und zum Erfolg
beitragen.
Ein der wesentlichen Bestandteile einer ausgeprägten und risikoorientierten Kultur ist
die Kommunikation von Risiken. Die Risikokommunikation umfasst den Kommunikations- bzw. Informationsfluss bezüglich der Definition und Bedeutung von IT-Risiken. Offene und effektive Kommunikation der Risiken hängt stark von der Kommunikationsbereitschaft der beteiligten Personen ab und trägt zur Etablierung einer risikoorientieren
Kultur bei.
20 Vgl. Jahner/Krcmar (2005) S. 53.
21 Vgl. Königs (2005) S. 123ff.
Seite 16
6
A
Abbildung
5: Kommunik
kationsfluss
s im IT-Risik
komanagem
ment22
Der in Abbildung
g 5 dargesttellte kontiinuierliche Kommunikations- u nd Informa
ationsflusss
umfassst folgende
e Elemente
e, die zu ko
ommunizieren sind:

stra
ategische Grundsätz
ze hinsichttlich des Manageme
ents von IT-Risiken
n (z.B. IT-Risiiko-Policy, IT-Risiko-Kontrollakktivitäten, Risikobew
wusstsein uund Risiko
owahrneh-mun
ng),

Info
ormationen
n über den
n Stand d er Umsetz
zung des IT-Risikom
manageme
ents (i.S.v..
Prozesscontro
olling),

ope
erative Info
ormationen und Erge
ebnisse des IT-Risiko
omanagem
ments (z.B. Risikobe-richte, Maßna
ahmenverfo
olgung, Au
uflistung de
er Risikoind
dikatoren).
e Umsetzung des Ko
onzepts un
nd Etablieru
ung des IT
T-Risikomaanagementts müssen
n
Für die
ausreicchend perssonelle und techniscche Resso
ourcen bereitgestellt werden. Die
D für die
e
Ausführung der Prozessa
aktivitäten verantwortlichen Personen m
muss aus
sreichende
e
Fachke
enntnisse zum
z
Risiko
omanagem
ment vorwe
eisen könn
nen. Dies ggilt insbeso
ondere fürr
den Risikomanag
ger, desse
en Aufgabe
en über die Grenzen des IT-B
Bereiches hinausge-hen. Zu
u seinen wesentliche
w
en Aufgabe
en zählen:

Erarbeitung und Implem
mentierung der IT Risiko Policy,
22 Eigen
ndarstellung an
ngelehnt an Risk
R IT (2009) S
S. 20.
Seite 17

Konzeptionelle Entwicklung, Durchführung und kontinuierliche Verbesserung des ITRisikomanagementprozesses,

Entwicklung und Durchführung Maßnahmen zur Risikosensibilisierung,

Entwicklung und Pflege von Frühwarn- und Controllingsystemen,

Berichtserstattung an die IT-Leitung und das Konzernrisikomanagement,
Neben den personellen Ressourcen sind geeignete technische Ressourcen bereitzustellen. So können Entscheidungen im IT-Risikomanagement durch IT-Anwendungen
unterstützt werden, die Nutzeneffekte bieten wie z.B.: 23

Unterstützung zur Aktualisierung der Datenbasis

Unterstützung bei der Durchführung von Aufgaben im IT-Risikomanagementprozess

Transparenz und Nachvollziehbarkeit bei der Analyse und Bewertung von IT-Risiken

Hohe Flexibilität bei der Anpassung an Unternehmensprozesse

Dokumentation von Rollen und rollenbasierten Workflows

Unterstützung im Rahmen eines Frühwarnsystems

Schnittstellen zu weiteren Systemen

Gewährleistung der Revisionssicherheit.
Mit der einmaligen Umsetzung des beschriebenen Konzepts zum IT-Risikomanagement
ist der dauerhafte Erfolg nicht gesichert. Vielmehr ist IT-Risikomanagement als kontinuierlicher Prozess anzusehen, der stets angepasst und weiterentwickelt werden muss,
um veränderte Risikolagen zu erkennen, Arbeitsabläufe zu verbessern und den Ressourceneinsatz effizienter zu gestalten
23 Vgl. Oberschmidt (2005) S. 69-70.
Seite 18
4 Fazit
Aktives und effizientes IT-Risikomanagement gewinnt für Versicherungen an Bedeutung. Die Notwendigkeit des Managements von IT-Risiken ergibt sich aus der hohen
Komplexität der IT und der wachsenden Abhängigkeit der Geschäftsprozesse von der
IT-Unterstützung. Zudem sind Unternehmen durch regulatorische Anforderungen zum
IT-Risikomanagement verpflichtet.
Aus einer aktuellen Studie geht jedoch hervor, dass das Risikomanagement vieler deutscher Unternehmen Verbesserungsbedarf aufweist.24 Zu den Mängeln zählen vor allem
die unvollständige Dokumentation der Risikostrategie, die mangelhafte Prozessgestaltung im Risikomanagement, unzureichende Integration in alle Unternehmensbereiche
sowie die unzureichende Risikokultur.
Im Rahmen dieses Beitrags wurde ein Konzept beschrieben, das einen organisatorischen Rahmen, verschiedene Leitlinien für das IT-Risikomanagement und eine Prozessbeschreibung für das IT-Risikomanagement umfasst. Mit der Umsetzung des Konzepts sind Versicherungen in der Lage, relevante IT-Risiken frühzeitig zu erkennen und
angemessen zu bewerten, klar definierte Maßnahmen zu ergreifen, unternehmensweite
Kommunikation der IT-Risiken sicherzustellen und eine risikoorientierte Unternehmenskultur zu etablieren.
Das Konzept stellt eine Grundlage für die Etablierung eines wirkungsvollen IT-Risikomanagements dar, das ein systematisches Vorgehen anstelle von Einzelmaßnahmen
vorsieht. IT-Risikomanagement darf nicht sporadisch erfolgen, sondern muss als systematischer und kontinuierlicher Prozess in Versicherungen verankert sein, um einen angemessenen Umgang mit IT-Risiken zu gewährleisten. Daher ist mit einer einmaligen
Umsetzung die mittel- und langfristige Wirksamkeit des Managements von IT-Risiken
nicht gesichert. Vielmehr muss das IT-Risikomanagement flexibel sein, damit es kontinuierlich verbessert und weiterentwickelt werden kann, denn die betrieblichen und regulatorischen Anforderungen an das IT-Risikomanagement verändern sich ständig.
24 Vgl. Herre/Tüllner (2010) S. 10 und S. 14-21.
Seite 19
Literatur
Ahrendts, F., Marton, A., IT-Risikomanagement leben!: Wirkungsvolle Umsetzung für Projekte in
der Softwareentwicklung, Berlin: Springer, 2008.
BaFin (Hrsg.), Rundschreiben 3/2009 (VA) - Aufsichtsrechtliche Mindestanfor-derungen an das
Risikomanagement (MaRisk VA), 2009, in: Internet http://www.bafin.de/cln_152/SharedDocs/Downloads/DE/Service/Rundschreiben/2009/rs__0903__mariskva,templ
ateId=raw,property=publicationFile.pdf/rs_0903_mariskva.pdf; Zugriff am 2010-04-24.
Gerpott, T.J., Hoffmann, A.P., Risikomanagement in Unternehmen, in: WiSt Wirtschaftswissenschaftliches Studium, Bd. 37, 2008, Nr. 1, S. 7-13.
Grzebiela, T., Internet-Risiken: Versicherbarkeit und alternativer Risikotransfer, Wiesbaden:
Deutscher Universitäts-Verlag, 2002.
Heise Online (Hrsg.), Marktforscher prognostizieren Wachstum der IT-Ausgaben um 4,6 Prozent, 2008, in: Internet http://www.heise.de/newsticker/meldung/Marktforscher-prognostizieren-Wachstum-der-IT-Ausgaben-um-4-6-Prozent-911876.html; Zugriff am 2010-03-12.
Herre, U., Tüllner, J., Krise. Risiko. Management. Welche Konsequenzen ziehen deutsche Unternehmen aus der Wirtschaftskrise?, PricewaterhouseCoopers AG (Hrsg.), Frankfurt am
Main, 2010.
ISACA (Hrsg.), The Risk IT Framework Excerpt, 2009, in: Internet http://www.isaca.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=54814; Zugriff 2010-07-05.
Jahner, S., Krcmar, H., Risikokultur als zentraler Erfolgsfaktor für ein ganzheitliches IT-Risk Management, in: Information Management & Consulting, Bd. 20, 2005, Nr. 2, S. 47-54.
Königs, H.-P., IT-Risiko-Management mit System, 3. Aufl., Wiesbaden: Vieweg, 2009.
Oberschmidt, B., Risiko IT, in: Information Management & Consulting, Bd. 20, 2005, Nr. 2, S.
66-70.
Prokein, O., IT-Risikomanagement - Identifikation, Quantifizierung und wirt-schaftliche Steuerung, Wiesbaden: Gabler, 2008.
Seibold, H., IT-Risikomanagement, München: Oldenbourg, 2006.
Teubner, A., Informationstechnologie, Governance und Compliance, in: Wirtschaftsinformatik,
Bd. 51, 2009, Nr. 5, S. 400-407.