Enterprise Security: Unternehmensführung und Risikomanagement

Wie die letzten Monate der Finanzkrise lehrten, scheint es der Königsweg in die Krise zu sein, vorhandene Risiken so lange konsequent zu ignorieren, bis sich allenthalben die Überzeugung durchsetzt, dass ohnehin nichts passieren kann, weil noch nie etwas passiert ist (was so gut wie nie stimmt) und eigentlich auch gar nichts passieren darf (was so gut wie immer stimmt).

Geschürt durch derartige Auffassungen gerät das Risikomanagement ins Blickfeld der Unternehmen und der -ffentlichkeit. Es gewinnt heutzutage mehr und mehr an Bedeutung auch in Unternehmen, die nicht der Finanzdienstleistung hinzuzurechnen sind. Ebenso schwemmt die Finanzkrise die Defizite im Risikomanagement an die Oberfläche. Verfahren und Methoden, die bisher angewendet wurden scheinen nun nicht mehr ausreichend zu sein. Als Konsequenz hält eine risikoadjustierte Ausrichtung in der Unternehmensführung Einzug. Es wird u.a. eine Verbesserung bei den Risikoberichten gefordert, die im Wesentlichen in der unzureichenden detaillierten Risikoinformationen hinsichtlich der Vorgehensweise ihrer Bewertung und Nutzung bei der Unternehmensführung sowie in der fehlenden Bestimmung des Gesamtrisikoumfangs (Risikoaggregation) begründet ist. So sind beispielsweise Angaben in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen der analysierten Risiken vorzunehmen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken zu einem bestandsgefährdenden Risiko aggregieren können.

Doch wie sieht diese oben erwähnte Konsequenz für die operationellen Risiken aus? Welche neuen Normen und Standards sind in diesem Sinne interessant für die Unternehmen im Bereich der IT? Welche theoretischen und pragmatischen Lösungen lassen sich finden, um mit diesen Trend mitzuhalten. Wie könnte ein Management des operationellen Risikos vor diesen Hintergrund aussehen? Welche Konsequenzen lassen sich direkt für die IT ausmachen? Wie sieht die Wechselwirkung zwischen Risikomanagement und Unternehmensführung in Bezug auf die IT aus? Auf welche Erfahrungen kann zurückgegriffen werden? Reicht das allseits beliebte Grundschutzhandbuch noch aus?

Diesen Entwicklungen und den sich abzeichnenden Trend will der Workshop "Enterprise Security" mit unterschiedlichen Beiträgen beleuchten. Es werden, wie in den Workshops zuvor und in dieser Reihe üblich, neue Forschungsergebnisse wie auch pragmatische Umsetzungen und Erfahrungen diskutiert.

In diesem Jahr wird der Workshop "Enterprise Security" in Zusammenarbeit mit der Risk Management Association e.V. (RMA) und der RiskNet GmbH veranstaltet werden.