An dieser Stelle möchte ich alle Interessenten des Workshops begrüßen und gleichzeitig einladen diesen Workshop zu buchen. Ich moderiere den Workshop "Enterprise Security" nun zum dritten Mal in Folge. Auch wenn der Workshop-Titel in den Jahren gleich geblieben ist, wurden jeweils unterschiedliche Themen behandelt. In diesem Jahr liegt das Thema Risikomanagement im Fokus. Dies nimmt innerhalb des Informationssicherheitsmanagements eine Sonderstellung ein. Generell nimmt seine Bedeutung zu. Grund genug für CAST sich die Entwicklungen in der Forschung, in der Praxis und in den Standards näher anzusehen.

Die Assoziationen rund um den Begriff "Risiko" sind vielfältig und changieren je nach Interessenlage der zugrundegelegten Forschungsdisziplin. Risiko ist jedoch untrennbar mit menschlicher Entscheidungsfähigkeit verbunden, insbesondere mit der Notwendigkeit, auch bei unvollständigem Wissen über die Konsequenzen unseres Handelns eine Handlungsoption wählen zu müssen. Somit ist Risiko auch und unter anderem der – seit der frühen Neuzeit systematische – Versuch, die Zukunft in die Gegenwart zu integrieren. Allen Risikodefinitionen liegen bestimmte gemeinsame Elemente zugrunde: Einerseits unterscheiden sie zwischen Realität und Möglichkeit, andererseits gehen sie davon aus, daß die Folgen menschlichen Handelns zwar begrenzt vorhersehbar, jedoch entsprechend diesen Einsichten auf jeden Fall beeinflußbar sind.

Grundlage jeder wirtschaftlichen Steuerung von Risiken ist ihre realitätsnahe Quantifizierung. Nur so können Chancen und Risiken gegenübergestellt werden. In dem Vortrag wird deshalb dargestellt, wie mit einem prozessbasierten Ansatz mittels Simulationen sowohl die Erlös- und Kostengrößen als auch die Risiken evaluiert werden können.

IT-Outsourcing-Projekte stellen hohe Anforderungen an das IT-Risikocontrolling. Der Vortrag zeigt, welche Gefahren mit solchen Projekten verbunden sind und wie mit ihnen systematisch umzugehen ist.

Investitionen in die Sicherheit der IT stellen einen immensen Kostenfaktor dar. Ein wirtschaftlich sinnvolles Verhältnis zwischen Investitionskosten und entsprechendem Investitionsnutzen ist daher unumgänglich. Der Vortrag zeigt auf, wie dieses Problem compliancekonform gelöst werden kann.

Die Umsetzung von risikoorientierten Maßnahmen erfordert teilweise einen hohen Zeitbedarf. Deshalb wird in der Praxis intensiv nach geeigneten Indikatoren gesucht, welche zukunftsbezogene Aussagen über die Entwicklung von Risiken ermöglichen. Es wird aufgezeigt, wie ein solches Indikatorenmodell zu konstruieren ist, welche Indikatoren in Betracht zu ziehen sind und wo derzeit die Grenzen dieser Modelle liegen.

Rechtliche Anforderungen stellen heute bei vielen Unternehmen die primäre Motivation dar, um ein IT-Risikomanagement zu etablieren. Im Vortrag wird die Bedeutung von IT-Governance und Compliance beleuchtet und Strategien vorgestellt, wie diese erreicht werden kann.

Nach dem MaRisk, KonTraG, uns ISO27001 ist auch das IT-Risikomanagement an Standards auszurichten. Die relevanten Standards sind weitgehend unabhängig voneinander entstanden und teilweise nicht kompatibel. Im Vortrag wird die Bedeutung und Reichweite verschiedener Standards untersucht und ein Integrationskonzept vorgestellt, welches als Grundlage für die Entwicklung eines standardkonformen IT-Risikomanagements geeignet ist. Das IT-Risikocontrolling stellt dabei eine wichtige Schnittstelle zum IT-Controlling dar.