Die Unternehmen sehen sich neuerdings zunehmend einem ganzen Bündel verschiedenartiger operationeHer Risiken sowie Markt- und Finanzrisiken gegenüber. Eine wichtige Kategorie der operationeBen Risiken sind die IT-Risiken, dies vor allem deshalb, weil die meisten Unternehmen immer stärker von der Informationstechnologie abhängig sind (z.B. Spitäler, Banken, Presse). Die Anforderungen an die "Corporate Covernance" des Unternehmens legen den obersten Aufsichts-und Führungsgre­ mien funktionstüchtige Prozesse für ein gesamtheitliebes und integratives Risiko-Management nahe. Das IT-Risiko­ Management ist ein Baustein im Gesamtrisiko-Prozess eines Un­ ternehmens. Die Verantwortlichen der Informations-Technologie (IT) eines Unternehmens müssen die Sicherheit der Informatio­ nen und der IT -Systeme vermehrt an den Risiken orientieren, da eingetretene Schadensereignisse nicht nur stark zu Buche schla­ gen, sondern sogar den Bestand eines Unternehmens gefährden. Da die Sicherheitsmassnahmen einen beträchtlichen Teil des IT­ Budgets ausmachen, müssen die IT-Verantwortlichen vermehrt den Nutzen solcher Sicherheits-Aufwendungen rechtfertigen. Für unnötigen Überschutz ist in der Regel kein Budget vorhanden. Zur Rechtfertigung der Kosten für die Sicherheitsmassnahmen müssen diese den vorhanden Risiken systematisch gegenüberge­ stellt werden können. Folgerichtig werden in diesem Buch der gesamte Risiko­ Management-Prozess in einem Unternehmen aufgezeigt und in diesem Rahmen die Methoden und Werkzeuge des IT-Risiko­ Managements behandelt. Eine vom Gesamtrisiko-Prozess eines Unternehmens isolierte Behandlung des IT-Risiko-Managements könnte der Sache nicht gerecht werden und wäre in der Umset­ zung längerfristig zum Scheitern verurteilt. Das Buchvermittelt, dass IT-Risiko-Management nicht alleinige Aufgabe und Verantwortlichkeit einer IT-Abteilung sein kann, sondern dass es im Rahmen der Unternehmens-Strategie- und Risiko-Management-Prozesses durch die Führung des Unterneh­ mens geprägt und getragen werden muss.

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent für "Risiko-Management" an der FH Zentralschweiz, Hochschule für Wirtschaft, Luzern in den Nachdiplomstudiengängen "Informatiksicherheit" und "Risk Management".

1 Einführung.- A.- 2 Elemente für die Durchführung eines Risiko-Managements.- 3 Risiko-Management als Prozess.- B.- 4 Risiko-Management, ein Pflichtfach der Unternehmensführung.- 5 Risiko-Management integriert in das Management-System.- C.- 6 Informations- und IT-Risiken.- 7 Informations-Sicherheit und Corporate-Governance.- 8 IT-Risiko-Management in der Führungs-Pyramide.- 9 IT-Risiko-Management mit Standard-Regelwerken.- 10 Methoden und Werkzeuge zum IT-Risikomanagement.- D.- 11 Risiko-Management-Prozesse im Unternehmen.- 12 Geschäftskontinuitäts-Planung und IT-Notfallplanung.- 13 Risiko-Management im Lifecycle von Informationen und Systemen.- 14 Sourcing-Prozesse.- A.l Beispiele von Risiko-Arten.- A.2 Muster Ausführungsbestimmung für Informationsschutz.- A.3 Formulare zur Einschätzung von IT-Risiken.- Literatur.- Abkürzungsverzeichnis.- Stichwortverzeichnis.