| Vorwort zur 1. und 2. Auflage | 6 |
| Vorwort zur 3. Auflage | 8 |
| Inhaltsverzeichnis | 10 |
| Einführung | 17 |
| 1.1 Warum beschäftigen wir uns mit Risiken? | 17 |
| 1.2 Risiken bei unternehmerischen Tätigkeiten | 18 |
| 1.3 Inhalt und Aufbau dieses Buchs | 19 |
| Teil A Grundlagen erarbeiten | 21 |
| Elemente für die Durchführung eines RisikoManagements | 22 |
| 2.1 Fokus und Kontext Risiko-Management | 23 |
| 2.2 Definition des Begriffs „Risiko“ | 24 |
| 2.3 Anwendung Risiko-Formeln | 28 |
| 2.4 Subjektivität bei Einschätzung und Bewertung der Risiken | 29 |
| 2.5 Hilfsmittel zur Einschätzung und Bewertung der Risiken | 30 |
| 2.5.1 Risiko-Bewertungs-Matrix | 30 |
| 2.5.2 Kriterien zur Schadenseinstufung | 31 |
| 2.5.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio | 35 |
| 2.5.4 Risiko-Katalog | 36 |
| 2.5.5 Risiko-Aggregation | 37 |
| 2.6 Risiko-Organisation, Kategorien und Arten von Risiken | 39 |
| 2.6.1 Bedrohungslisten | 42 |
| 2.6.2 Beispiele von Risiko-Arten | 42 |
| 2.7 Zusammenfassung | 44 |
| 2.8 Kontrollfragen und Aufgaben | 45 |
| Risiko-Management als Prozess | 46 |
| 3.1 Festlegung Risiko-Management-Kontext | 48 |
| 3.2 Durchführung der Risiko-Analyse | 49 |
| 3.2.1 Analyse-Arten | 49 |
| 3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess | 52 |
| 3.2.3 “Value at Risk” als Risiko-Masszahl | 54 |
| 3.2.4 Analyse-Methoden | 57 |
| 3.2.5 Such-Methoden | 59 |
| 3.2.6 Szenario-Analyse | 60 |
| 3.3 Durchführung von Teil-Analysen | 61 |
| 3.3.1 Schwächen-Analyse | 61 |
| 3.3.2 Impact-Analyse | 62 |
| 3.4 Risiko-Bewertung | 63 |
| 3.5 Risiko-Bewältigung | 64 |
| 3.6 Risiko-Überwachung, Überprüfung und Reporting | 66 |
| 3.7 Risiko-Kommunikation | 67 |
| 3.8 Kriterien für Prozesswiederholungen | 68 |
| 3.9 Anwendungen eines Risiko-Management-Prozesses | 68 |
| 3.10 Zusammenfassung | 69 |
| 3.11 Kontrollfragen und Aufgaben | 70 |
| Teil B Anforderungen berücksichtigen | 72 |
| Risiko-Management, ein Pflichtfach der Unternehmensführung | 73 |
| 4.1 Risiko-Management integriert in das Führungssystem | 73 |
| 4.2 Corporate Governance | 76 |
| 4.3 Anforderungen von Gesetzgebern und Regulatoren | 78 |
| 4.3.1 Gesetz KonTraG in Deutschland | 78 |
| 4.3.2 Obligationenrecht in der Schweiz | 79 |
| 4.3.3 Swiss Code of best Practice for Corporate Governance | 81 |
| 4.3.4 Basel Capital Accord (Basel II) | 82 |
| 4.3.5 Sarbanes-Oxley Act (SOX) der USA | 90 |
| 4.3.6 EuroSOX | 93 |
| 4.4 Risiko-Management: Anliegen der Kunden und der Öffentlichkeit | 94 |
| 4.5 Hauptakteure im unternehmensweiten Risiko-Management | 95 |
| 4.6 Zusammenfassung | 98 |
| 4.7 Kontrollfragen und Aufgaben | 99 |
| Risiko-Management integriert in das ManagementSystem | 100 |
| 5.1 Integrierter unternehmensweiter Risiko-ManagementProzess | 101 |
| 5.2 Normatives Management | 103 |
| 5.2.1 Unternehmens-Politik | 103 |
| 5.2.2 Unternehmens-Verfassung | 104 |
| 5.2.3 Unternehmens-Kultur | 104 |
| 5.2.4 Mission und Strategische Ziele | 104 |
| 5.2.5 Vision als Input des Strategischen Managements | 105 |
| 5.3 Strategisches Management | 105 |
| 5.3.1 Strategische Ziele | 107 |
| 5.3.2 Strategien | 111 |
| 5.4 Strategie-Umsetzung | 111 |
| 5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC) | 111 |
| 5.4.2 Unternehmensübergreifende BSC | 116 |
| 5.4.3 Balanced Scorecard und CobiT für die IT-Strategie | 116 |
| 5.4.4 IT-Indikatoren in der Balanced Scorecard | 118 |
| 5.4.5 Operatives Management (Gewinn-Management) | 122 |
| 5.4.6 Policies und Pläne | 122 |
| 5.4.7 Risikopolitische Grundsätze | 124 |
| 5.5 Zusammenfassung | 125 |
| 5.6 Kontrollfragen und Aufgaben | 126 |
| Teil C IT-Risiken erkennen und bewältigen | 127 |
| Informations- und IT-Risiken | 128 |
| 6.1 Veranschaulichung der Risikozusammenhänge am Modell | 128 |
| 6.2 Informationen — die risikoträchtigen Güter | 130 |
| 6.3 System-Ziele für den Schutz von Informationen | 132 |
| 6.4 Informations-Sicherheit versus IT-Sicherheit | 135 |
| 6.5 IT-Risiko-Management, Informations-Sicherheit und Grundschutz | 136 |
| 6.6 Zusammenfassung | 137 |
| 6.7 Kontrollfragen und Aufgaben | 137 |
| Informations-Sicherheit und Corporate Governance | 138 |
| 7.1 Management von IT-Risiken und Informations-Sicherheit | 138 |
| 7.1.1 IT-Governance und Informations-Sicherheit-Governance | 139 |
| 7.1.2 Informations-Sicherheit-Governance | 141 |
| 7.2 Organisatorische Funktionen für Informations-Risiken | 145 |
| 7.2.1 Chief Information Officer (CIO) | 146 |
| 7.2.2 Chief (Information) Security Officer | 146 |
| 7.2.3 IT-Owner und IT-Administratoren | 148 |
| 7.2.4 Information Security Steering Committee | 149 |
| 7.2.5 Checks and Balances durch Organisations-Struktur | 149 |
| 7.3 Zusammenfassung | 152 |
| 7.4 Kontrollfragen und Aufgaben | 153 |
| IT-Risiko-Management in der Führungs-Pyramide | 154 |
| 8.1 Ebenen der IT-Risiko-Management-Führungspyramide | 155 |
| 8.1.1 Risikound Sicherheits-Politik auf der Unternehmens-Ebene | 155 |
| 8.1.2 Informations-Sicherheits-Politik und ISMS-Politik | 156 |
| 8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen | 158 |
| 8.1.4 IT-Sicherheits-Architektur und -Standards | 160 |
| 8.1.5 IT-Sicherheitskonzepte | 163 |
| 8.2 Zusammenfassung | 164 |
| 8.3 Kontrollfragen und Aufgaben | 166 |
| IT-Risiko-Management mit Standard-Regelwerken | 167 |
| 9.1 Bedeutung der Standard-Regelwerke | 167 |
| 9.2 Übersicht über wichtige Regelwerke | 169 |
| 9.3 Risiko-Management mit der Standard-Reihe ISO/IEC 2700x | 174 |
| 9.3.1 Informations-Sicherheits-Management nach ISO/IEC 27001 | 175 |
| 9.3.2 Code of Practice ISO/IEC 27002 | 182 |
| 9.3.3 Informations-Risiko-Management mit ISO/IEC 27005 | 186 |
| 9.4 IT-Risiko-Management mit CobiT | 189 |
| 9.5 BSI-Standards und Grundschutzkataloge | 196 |
| 9.6 Zusammenfassung | 199 |
| 9.7 Kontrollfragen und Aufgaben | 200 |
| Methoden und Werkzeuge zum IT-RisikoManagement | 201 |
| 10.1 IT-Risiko-Management mit Sicherheitskonzepten | 201 |
| 10.1.1 Kapitel „Ausgangslage“ | 205 |
| 10.1.2 Kapitel „Systembeschreibung und Schutzobjekte“ | 206 |
| 10.1.3 Kapitel „Risiko-Analyse“ | 208 |
| 10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse | 211 |
| 10.1.5 Kapitel „Anforderungen an die Sicherheitsmassnahmen“ | 213 |
| 10.1.6 Kapitel „Beschreibung der Sicherheitsmassnahmen“ | 214 |
| 10.1.7 Kapitel „Umsetzung der Sicherheitsmassnahmen“ | 215 |
| 10.1.8 Iterative und kooperative Ausarbeitung der Kapitel | 217 |
| 10.2 Die CRAMM-Methode | 218 |
| 10.3 Fehlermöglichkeitsund Einfluss-Analyse | 224 |
| 10.4 Fehlerbaum-Analyse | 226 |
| 10.5 Ereignisbaum-Analyse | 231 |
| 10.6 Zusammenfassung | 232 |
| 10.7 Kontrollfragen und Aufgaben | 235 |
| Kosten/Nutzen-Relationen der Risikobewältigung | 239 |
| 11.1 Formel für Return on Security Investments (ROSI) | 241 |
| 11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen | 243 |
| 11.3 Ermittlung der Kosten der bewältigten Risiken | 246 |
| 11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen | 247 |
| 11.4.1 Grundzüge von Val IT | 249 |
| 11.4.2 Grundzüge von Risk IT | 251 |
| 11.5 Fazit zu Ansätzen der Sicherheits-Nutzen-Bestimmung | 254 |
| 11.6 Zusammenfassung | 254 |
| 11.7 Kontrollfragen und Aufgaben | 257 |
| Teil D Unternehmens-Prozesse meistern | 258 |
| Risiko-Management-Prozesse im Unternehmen | 259 |
| 12.1 Verzahnung der RM-Prozesse im Unternehmen | 259 |
| 12.1.1 Risiko-Konsolidierung | 261 |
| 12.1.2 Subsidiäre RM-Prozesse | 262 |
| 12.1.3 IT-RM und Rollenkonzepte im Gesamt-RM | 264 |
| 12.2 Risiko-Management im Strategie-Prozess | 266 |
| 12.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess | 267 |
| 12.2.2 Periodisches Risiko-Reporting | 270 |
| 12.3 Zusammenfassung | 270 |
| 12.4 Kontrollfragen und Aufgaben | 271 |
| Geschäftskontinuitäts-Management und IT-NotfallPlanung | 273 |
| 13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität | 274 |
| 13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan) | 275 |
| 13.1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan) | 277 |
| 13.1.3 Ausweichplan (Disaster Recovery Plan) | 277 |
| 13.1.4 IT-Notfall-Plan (IT Contingency Plan) | 278 |
| 13.1.5 Vulnerabilityund Incident Response Plan | 278 |
| 13.2 Business Continuity Mangement im Risk Management | 279 |
| 13.2.1 Start Gechäftskontinuitäts-Prozess | 281 |
| 13.2.2 Kontinuitäts-Analyse | 282 |
| 13.2.3 Massnahmen-Strategien | 285 |
| 13.2.4 Notfall-Reaktionen und Pläne | 287 |
| 13.2.4.1 Krisenmanagement | 287 |
| 13.2.4.2 Kriterien für Plan-Aktivierungen | 291 |
| 13.2.4.3 Ressourcen und externe Abhängigkeiten | 292 |
| 13.2.4.4 Plan-Zusammenstellung | 293 |
| 13.2.4.5 Kommunikationskonzept | 294 |
| 13.2.5 Tests, Übungen und Plan-Unterhalt | 295 |
| 13.2.5.1 Tests | 295 |
| 13.2.5.2 Übungsvorbereitungen und -Durchführungen | 296 |
| 13.2.6 Kontinuitäts-Überwachung, -Überprüfung und -Reporting | 298 |
| 13.3 IT-Notfall-Plan, Vulnerabilityund Incident-Management | 299 |
| 13.3.1 Organisation eines Vulnerabilityund Incident-Managements | 302 |
| 13.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess | 304 |
| 13.4 Zusammenfassung | 305 |
| 13.5 Kontrollfragen und Aufgaben | 307 |
| Risiko-Management im Lifecycle von Informationen und Systemen | 309 |
| 14.1 Schutz von Informationen im Lifecycle | 309 |
| 14.1.1 Einstufung der Informations-Risiken | 309 |
| 14.1.2 Massnahmen für die einzelnen Schutzphasen | 310 |
| 14.2 Risiko-Management im Lifecycle von IT-Systemen | 311 |
| 14.3 Synchronisation RM mit System-Lifecycle | 313 |
| 14.4 Zusammenfassung | 315 |
| 14.5 Kontrollfragen und Aufgaben | 316 |
| Risiko-Management in Outsourcing-Prozessen | 318 |
| 15.1 IT-Risiko-Management im Outsourcing-Vertrag | 319 |
| 15.1.1 Sicherheitskonzept im Sourcing-Lifecycle | 320 |
| 15.1.2 Sicherheitskonzept beim Dienstleister | 324 |
| 15.2 Zusammenfassung | 326 |
| 15.3 Kontrollfragen | 327 |
| Anhang | 328 |
| A.1 Beispiele von Risiko-Arten | 329 |
| A.2 Muster Ausführungsbestimmung für Informationsschutz | 333 |
| A.3 Formulare zur Einschätzung von IT-Risiken | 337 |
| A.4 Beispiele zur Aggregation von operationellen Risiken | 341 |
| A.4.1 Beispiel der Bildung eines VAR durch Vollenumeration | 341 |
| A.4.2 Beispiele für Verteilung von Verlusthöhen und Verlustanzahl | 343 |
| A.4.3 Aggregation mittels Monte-Carlo Methode | 344 |
| Literatur | 345 |
| Abkürzungsverzeichnis | 351 |
| Stichwortverzeichnis | 353 |
