"Enterprise Security" im Wandel der Zeit: das Risikomanagement

In den letzten zwei Dekaden hat sich das Thema Risikomanagement im Bereich der operationellen Risiken so dynamisch und vielschichtig entwickelt wie kaum ein anderes. Damit einher geht, dass Unternehmen heutzutage eine Vielzahl von Maßnahmen zu ergreifen haben, um den Anforderungen internationaler Richtlinien und sonstigen regulatorischen Bestimmungen hinsichtlich Kapitalrücklagen und risikoreicher Aktivitäten gerecht zu werden.

Für die Absicherung der unternehmenskritischen Risiken und der Steuerung der Informationstechnologie setzt sich in den Unternehmen zunehmend der risikoorientierte Ansatz aus dem Blickwinkel der Geschäftsprozesse durch. Damit findet ein weitreichender Paradigmenwechsel statt - nicht zuletzt für den CISO.

Damals in den 90er Jahren begann alles mit einfachen Paketfiltern und der Erkenntnis, dass Computer Schwachstellen haben, die von Dritten ausgenutzt werden könnten. Heute dagegen kommt kein Unternehmen mehr um eine Zentralisierung des firmeninternen Risikomanagements herum; freilich unter Einbeziehung der operationellen Risiken und nicht ohne die Erstellung von Berichten zur Gesamtrisikolage auf Unternehmensebene. Erforderlich hierfür ist eine Risikoaggregation in allen Risikobereichen. Jedoch sind die operationellen Risiken weitaus schwieriger zu ermitteln als Markt- und Finanzrisiken, da eine Datenbasis in der Regel fehlt und die Eintrittswahrscheinlichkeit für ein bestimmtes operationelles Risikoereignis bis heute ad hoc nicht ohne weiteres bestimmt werden kann. Hinsichtlich der Bestimmung der Eintrittswahrscheinlichkeit haben sich bislang die beiden kontroversen Lager der qualitativen und der quantitativen Risiken herausgebildet.

In diesem Workshop wollen wir die Entwicklung des Risikomanagements im Bereich der operationellen Risiken bis zur heutigen Diskussion der qualitativen und quantitativen Risiken aufzeigen und das Für und Wider der verschiedenen Ansätze diskutieren. Weiterhin werden praxisorientierte pragmatische Ansätze präsentiert, ohne auf einen theoretischen Hintergrund zu verzichten.

Dieser Workshop wird gemeinsam organisiert vom CAST e.V. und der Fachgruppe Management von Informationssicherheit (SECMGT) der Gesellschaft für Informatik e.V. (GI).