Upload
dotram
View
215
Download
0
Embed Size (px)
Citation preview
ibi research · Prof. Dr. Dieter Bartmann
Operational Risk- und IT-Security-Management– Gemeinsamkeiten und Unterschiede
GI, Fachgruppe
Management der Informationssicherheit
Möglichkeit der Identifikation und Bewertung von IT-Sicherheitsrisiken im Rahmen der operationellen Risiken nach Basel II?
ibi research · Prof. Dr. Dieter Bartmann
Vorstellung
über michStefan Kronschnabl, Dipl. W-Inf. Univ.Wissenschaftlicher Mitarbeiter ibi researchForschungsschwerpunkt IT-Security Management, Leitung: Professor Dr. Erhard Petzel
über das ibi research
Einrichtung zur Forschung und Umsetzung der Forschungsergebnisse in die Finanzwirtschaft
Gemäß Satzung fließen die Ergebnisse der ibi research unmittelbar in die Lehre der Universität ein
Umgekehrt stützen sich die Arbeiten im ibi research auf die Forschung des Lehrstuhls
Gesellschafter: MLP, Sparkassenverband Bayern und Prof. Bartmann
© ibi research | Seite 3ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 3
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Inhalt
1. Motivation und Einführung2. Risiko und Risikomanagement
2.1 Zielsetzung des Risikomanagements
2.2 Risikobegriff und Risikoarten
2.3 Risikomanagementkreislauf
3. Operationelle Risiken in Basel II3.1 Basel II Kompakt
3.2 Kategorisierung operationeller Risiken in Basel II
3.3 Bewertungsverfahren operationeller Risiken nach Basel II
4. IT-Sicherheitsrisiken4.1 Definition und Standards
4.2 Kategorisierung von IT-Sicherheitsrisiken
4.3 Problematik beim IT-Sicherheitsmanagement
5. IT-Sicherheitsrisiken und operationelle Risiken im Vergleich5.1 Kategorisierung – Gemeinsamkeiten und Unterschiede
5.2 Management Modelle – Gemeinsamkeiten und Unterschiede
5.3 Ableitung eines Verfahrens zur Bewertung von IT-Sicherheitsrisken nach Basel II
6. Fazit und Ausblick
© ibi research | Seite 4ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 4
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
1. Motivation und Einführung
Zunehmende Bedeutung der IT
Ohne funktionierenden IT keine Bankgeschäfte möglich (Überlebensfähigkeit ohne IT: 2-3 Tage [Schamberger])
Bedrohungen durch IT-Risiken nehmen zu [CERT, CSI]
§25a Abs.1 KWG: IT-Sicherheit liegt in der Verantwortung des Managements - nach einem Sicherheits-Vorfall wird ex-ante geprüft!
Notwendigkeit der Etablierung eines geeigneten ISMS mit konkreten Verfahren
in Wissenschaft und Praxis kaum erforscht und manifestiert
Werte schaffen
IT Prozesse
Werte stärken
IT Usability
Werte sichern
IT Security als Business Enabler
Geschäftsprozesse
Erfolgreiche wirtschaftliche Unternehmung
© ibi research | Seite 5ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 5
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
1. Motivation und Einführung
Das mit dem Betrieb von IT-Systemen verbundene Risiko ist Teil des operationellen Risikos in Banken
Die IT-Sicherheitsrisiken sind Teil des Betriebsrisikos
Sicherheitsziele: Verfügbarkeit, Vertraulichkeit oder Integrität
Baseler Ausschuss weist der IT-Sicherheit wesentliche Bedeutung bei der Verminderung der operationellen Risiken zu [vgl. Sound Practices]
Maßnahmenorientiert wird das Thema IT-Sicherheit zudem in den „Risk Management Principles for Electronic Banking“ behandelt
© ibi research | Seite 6ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 6
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und AusblickMögl. negative Ratings aufgrund von IT-Risiken
Mögl. Kundenwechsel aufgrund mangelnden Vertrauens
Notwendiges EK für chancenbehaftete Geschäfte fehlt
Kreditinstitut mit erheblichen IT-Sicherheitsrisiken
Kreditinstitut mit erhöhten Kreditzinsen
Rating Agentur / andere Kreditinstitute
Rating Agentur / andere Kreditinstitute
Kunden wechseln das Kreditinstitut.
Kreditinstitut weist gesunkene Erträge aus
negatives Rating
Kreditinstitut ist gezwungen, Eigenkapitalquote und Kreditzinsen zu erhöhen.
weiter negatives Rating
1. Motivation und Einführung
© ibi research | Seite 7ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 7
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Zielsetzung: Risikominimierung durch aktives Risikomanagement
Identifi-zierteRisiken
(ohne Risikobe-handlung)
Verblei-bende
Risiken
(nach Risikover-meidung)
Verbleibende Risiken
(nach Risikover-
minderung)
Verblei-bende
Risiken
(nach Ver-meidung)
Restrisiken
Risiko-akzeptanz
Risiko-analyse
Stufenweise Risikoreduktion durchSteuerungsmaßnahmen
Strategie
vermeiden
vermindern
begrenzen
verlagern
Sicherheits-konzept
Notfallplan
Versicherung
2. Risiko und Risikomanagement
In Anlehnung an [Gaulke 2003]
© ibi research | Seite 8ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 8
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Definition
„Risiko als die Möglichkeit einer negativen Abweichung zwischen dem tatsächlich erreichten Ergebnis und dem erwarteten Ergebnis.“[Romeike 2004, S. 44]
Risiko als „Wagnis, eine Gefahr oder auch eine Verlustmöglichkeit bei einer unsicheren Unternehmung.“ [DUDEN 1983]
Risiko lat. Ris(i)co, eigentlich Klippe, die zu umschiffen ist
2. Risiko und Risikomanagement
Risiko bezeichnet den möglichen Eintritt eines Schadensereignisses, und ergibt sich als Summe der möglichen Schäden multipliziert mit den jeweiligen Eintrittswahrscheinlichkeiten.
Definition
PE = Probability of Loss Event (Schadenseintrittswahrscheinlichkeit)
LGE = Loss Given Event (Verlust bei Schadenseintritt)∑=
×=n
iii PELGERisiko
1)(
© ibi research | Seite 9ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 9
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Risikokategorien
Abhängigkeiten zwischen den dargestellten Risikoarten
• Unzureichende Sicherung der IT kann Manipulationen möglich machen
• Folge: finanzielle Schäden / Reputationsschäden
Risikokategorien
Marktrisiko Adressrisiko Operatio-nelles Risiko
Geschäfts-risiko
Finanz- & Kreditrisiko
Immobilien-risiko
Risiken aufgrund von
Zins-, Aktienkurs-
oder Wechselkurs-änderungen
Risiken aufgrund von unerwarteten Forderungs-Ausfällen o. Verschlech-terung der
Bonität
Risiken aufgrund von
mensch-lichem u.
technischem Versagen o.
externen Ereignissen
Risiken , aufgrund von
Veränder-ungen des Geschäfts-volumensoder der Margen
Risiken die sich aufgrund
von Marktwert-
schwankun-gen ergeben
Risiken der eigenen
Immobilien aufgrund von Marktpreis-schwankun-
gen
2. Risiko und Risikomanagement
© ibi research | Seite 10ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 10
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
3. Operationelle Risiken in Basel II
Basel II - Grundlagen und Überblick
Steuerungsinstrumente zur Schaffung eines Gleichgewichts zw. ökonomisch benötigtem EK und regulatorischen Vorgaben
Gründung 1975 von den Zentralratspräsidenten der G-10 Staaten, sowie Luxemburg; 1984 Beitritt der Schweiz
Konsultationspapiere als Grundlage der europäischen Gesetzgebung
• Umsetzung durch nationale Gesetze und Durchführungsverordnungen
• Institute haben die Möglichkeit gezielt Einfluss zu nehmen; Unterstützung mit methodischem Know-how durch Auswirkungsstudien
• Umsetzungs- und Steuerungsvorschriften als „lebendem Prozess“ [Bieg 2003]
© ibi research | Seite 11ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 11
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Einführung und Definition
„…the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events." [BIS 2001c, S.2]
„Rechtliche Risiken werden durch diese Definition folglich mit eingeschlossen, die Gruppe der strategischen Risiken, sowie Reputations- und Geschäftsrisiken dagegen nicht.“ [BIS 2001a, S.103]
„Operationelles Risiko = die Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder desVersagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten.“
Definition (4.1)
3. Operationelle Risiken in Basel II
© ibi research | Seite 12ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 12
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Ursachenkategorisierung
Mitarbeiter Infrastruktur & Technologie
Prozessmodelle
Dokumentation
ComplianceManagement
Externe Ereignisse
Fehlverhalten
Betrug
Kriminelle Handlungen
Organisations-Mängel
IT und IV
TerrorErdbeben
Kriminelle HandlungenGesetzes-
änderungen
Operationelle Risiken
Prozesse & Organisation
3. Operationelle Risiken in Basel II
© ibi research | Seite 13ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 13
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Ereigniskategorisierung
Interner Betrug
Externer Betrug
Geschäfts-unter-
brechung
Kunden / Partner / Geschäft
Vertrieb / Prozess-manage-
ment
Unbe-fugte
Handlun-gen
Diebstahl und
Betrug
Diebstahl und
Betrug
System-sicher-heit
System-fehler
System-ausfall
Verletz-ung von Offenle-gungs-
pflichten,
Geschäftspraktiken
Transak-tions-fehler
Melde-fehler
Sach-schäden
Katas-trophen
Andere Ereig-nisse
Beschäftigungs-praxis
Operationelle
Risiken
Beschäf-tigungs-
ver-hältnis
Arbeits-sicher-heit
3. Operationelle Risiken in Basel II
© ibi research | Seite 14ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 14
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Überblick über die einzelnen Bewertungsmodelle
Drei verschiedenen Methoden zur Bestimmung der Risiken
Methoden bauen stufenweise aufeinander auf
Unterschied: Komplexität, Sensitivität und Messgenauigkeit der Risiken
gering hochAufwand und Risikosensibilität
Eigenkapital-anforderung
hoch
gering
Basisindikator-ansatz
Standardansatz
Fortgeschrittene Bemessungsansätze
Fortgeschrittene
Bemessungsansätze ->
geringere EK-
Hinterlegung ->
Anreiz zur Verbesserung
des RM
[BearingPoint 2003]
3. Operationelle Risiken in Basel II
© ibi research | Seite 15ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 15
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
4. IT-Sicherheit und IT-Sicherheitsrisiken
Die klassischen Schutzziele der IT-Sicherheit
• Sicherstellung der Korrektheit (Unversehrtheit) der Daten (Datenintegrität) bzw. der korrekten Funktionsweise von Systemen (Systemintegrität)
• Verhinderung unbefugter oder unabsichtlicher Veränderung
Integrität (Vollständigkeit)
• Schutz vor unbefugter Beeinträchtigung der Funktionalität eines Systems oder einer Anwendung
• Daten und Informationen müssen im Rahmen der vereinbarten Betriebszeit jederzeit verfügbar und funktionsbereit sein
Verfügbarkeit
• Schutz vor unberechtigter Kenntnisnahme • Inhalt einer Nachricht ist nur Absender und Empfänger bekannt• Kenntnisnahme der Inhalte einer Nachricht durch unberechtigte
Dritte wird verhindert
Vertraulichkeit (Geheimhaltung)
Die Schutzziele der IT-Sicherheit
© ibi research | Seite 16ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 16
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Kategorisierung von IT-Sicherherheitsrisiken / IT-GSHB
Kategorisierung von IT-Sicherheitsrisiken durch Gefährdungskategorien
Darstellung gemäß des Gefahrenkatalogs des BSI
Höhere Gewalt
Organisator-ische Mängel
Menschliche Fehler
Technisches Versagen
Vorsätzliche Handlungen
IT -Sicherheitsrisiken
Feuer, Hochwasser, Stromausfall, Erdbebeben, Blitzschlag
Fehlende Zugangs-kontrollen
Fehlendes Sicherheits-bewusstsein
Software-und
Hardware-fehler
Spionage, Sabotage,
Viren, Würmer, Trojaner
4. IT-Sicherheit und IT-Sicherheitsrisiken
© ibi research | Seite 17ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 17
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Risikoanalyse nach IT-GSHB
Zunächst Durchführung einer Schutzbedarfsanalyse
Identifizierung kann sich dabei nach [IDW 2003] grundsätzlich auf wesentliche Elemente des IT-Systems beschränken
Schutzbedarf niedrig-mittel Schutzbedarf hoch
Schutzbedarfsanalyse
Grundschutz gewährleisten
-z.B. nach IT-
Grundschutzhandbuch
Detaillierte Risikoanalyse durchführen
-Problem: Kein genaues
Verfahren vorgestellt
4. IT-Sicherheit und IT-Sicherheitsrisiken
© ibi research | Seite 18ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 18
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Erstellung eines Konzepts zur Schutzbedarfsanalyse
Klarheit über Notwendigkeit von Verfügbarkeit, Integrität und Vertraulichkeit
Einteilung in vordefinierte Stufen (gering – mittel – hoch)
Aufführung unterstützender Fragen und Beispiele zur Einstufung
Risikoanalyse bei hohem Schutzbedarf
Problem: Kein Verfahren vorgegeben - Idee: Kombination mit Basel II
Verfügbarkeit
Integrität
Vertraulichkeit
Hoch Stufe 2
Mittel Stufe 1
GeringStufe 0
4. IT-Sicherheit und IT-Sicherheitsrisiken
© ibi research | Seite 19ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 19
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und AusblickDie Herausforderung liegt darin, das ORM und das klassische ISMS besser zu integrieren.
Probleme vor allem auf der Prozess- und Organisationsebene
Einbindung von IT-Sicherheitsrisiken in die operationellen Risiken
Bewertung von IT-Sicherheitsrisiken nach der Methodik von Basel II
Vorgehensweise
Überblick über den Managementkreislauf
Erarbeitung eines Basel II und BSI konformen Kategorisierungsmodells
Überprüfung und Sicherstellung der Vollständigkeit
Entwicklung eines Modells zur Risikoanalyse von IT-Sicherheitsrisiken
5. IT-Sicherheitsrisiken und operationelle Risiken
© ibi research | Seite 20ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 20
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und AusblickRisikomanagement Kreislauf – Beispiel BS 7799-2
Do
Establish the
ISMS
Monitor and
Review the ISMS
Maintain and
Improve the ISMS
Implement and
Operate the ISMS
Plan
Check
Act
InterestedParties
ManagedInformation
Security
InterestedParties
Information Security
Requirements and
Expectations
5. IT-Sicherheitsrisiken und operationelle Risiken
© ibi research | Seite 21ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 21
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Entscheidungs-orientierte
Information für das RM
Festlegung der Ziele, Inhalte und Infrastruktur des Risikomanagements für operationelle Risiken• Risikopolitik, -ziele und –grenzwerte
• Risikomanagementprozess und –verantwortung
Risikoanalyse – Identifikation und Bewertung
(Ersterhebung durch Risikoworkshop / Self Assessment)
Risikosteuerung / Implementierung RMS
Entwicklung von Risikostrategien zur Erreichung einer Risikoreduktion
Überwachung des Risikomanagementsystems
(Aufbau eines Frühwarnsystem / Risikoreporting)
Weiterentwicklung des Risikomanagements
Maßnahmenplanung /
Umsetzungsplanung
5. IT-Sicherheitsrisiken und operationelle Risiken
Risikomanagement Kreislauf – Beispiel OpRisk
© ibi research | Seite 22ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 22
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und AusblickVergleich der Ursachenkategorisierungen nach Basel II und BSI
Vergleich verdeutlicht gewisse Überschneidung
Höhere Gewalt
Organisator-ische Mängel
Menschliche Fehler
Technisches Versagen
Vorsätzliche Handlungen
BSI IT-Grundschutzhandbuch
Prozesse und Organisation
MitarbeiterInfrastruktur Technologie
Externe Ereignisse
Basel II – Operationelles Risiko = ?
Fazit: Die beiden Kategorisierungsmodelle sind über die unteren Ebenen inhaltlich deckungsgleich
5. IT-Sicherheitsrisiken und operationelle Risiken
© ibi research | Seite 23ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 23
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Idee: Risikoanalyse durch zwei komplementäre Verfahren
Technik-basierte Risikoanalyse-Verfahren
Nicht Technik-basierte Risikoanalyse-Verfahren
Damit: Erreichung eines mögl. vollständigen und realitätsnahen Risikoabbilds
Erfüllung der spezifischen Anforderungen von IT-Sicherheitsrisiken
Gesamtheit der IT-Sicherheitsrisiken
Identifizierte Risiken anhand
nicht Technik-basierter Risikoanalyse-
Verfahren
IdentifizierteRisiken anhand
Technik-basierter Risikoanalyse-
Verfahren
5. IT-Sicherheitsrisiken und operationelle Risiken
© ibi research | Seite 24ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 24
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
Verfahren zur Technik basierten Risikoanalyse:
Penetrationstests
Security Scanner
Verfahren zur Nicht Technik basierten Risikoanalyse:
Self-Assessment anhand des Kriterienkatalog nach Basel II
• Risikolisten zur Gewährleistung der Vollständigkeit
• Einsatz numerischer Größen bei der Bewertung
• Bewertung des primären/sekundären Schadenspotenzials
• Ermittlung der jeweiligen Durchschnittswerte für PE und LGE
• Ermittlung der Werte für den realistisch gesehen „schlimmsten Fall“ für PE und LGE je Einzelrisiko [Schuppenhauer 1998]
5. IT-Sicherheitsrisiken und operationelle Risiken
© ibi research | Seite 25ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 25
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
(PE)in Jahren
Toleranz-bereich
Schäden beobachten, Häufungen begegnen
Schutzmaßnahmentreffen, Schaden-sausmaß
reduzieren
Versichernrealistische worst caseErgebnisse
Durchschnittliche Ergebnisse
(LGE)in EURO
> 10Mio
5 - 10Mio
250T - 5Mio
50T - 250 T
< 50T
> 10 5 - 10 2 - 5 1 - 2 < 1> 10 5 - 10 2 - 5 1 - 2 < 1(PE)in Jahren
(LGE)in EURO
> 10Mio
5 - 10Mio
250T - 5Mio
50T - 250 T
< 50T
In Anlehnung an Secaron AG
5. IT-Sicherheitsrisiken und operationelle Risiken
Ergebniss-Darstellung - Abbildung in Form einer Risikomatrix
Möglichkeit der Darstellung individueller Akzeptanzlinie
Visualisierung von Schwellenwerten / Handlungsbedarfen
© ibi research | Seite 26ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 26
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
OpRisk- und IT-Security-Management in den Management Grundkonzepten identisch
OpRisk- und IT-Security-Management sind vergleichbar kategorisiert
OpRisk- und IT-Security-Management erfahren Motivationsschub durch Basel II und MaRisk
Kommunizieren der Vorteile ist ausschlaggebend für den Erfolg
Etablierung einer offenen Risikokultur
Akzeptanz durch den Vorstand
Kommunikation des Themas im Unternehmen - Sensibilisierung der Mitarbeiter
Risikomanagement bleibt auf der Strecke, wenn der „Risikofaktor Mensch“[Schneier 2003] nicht mitspielt
6. Fazit und Ausblick
© ibi research | Seite 27ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 27
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und Ausblick
BaFin hat Entwicklung der MaRisk angekündigt - Zusammenführung bisher geltender Regelungen
Basel II: Säule 2 - spezifische Risiken
MaRisk
§ 25aKWG
Konkretisierung
Erweiterungen
Vstl. künftiger Konkretisierungen
Kreditrisiken, Operationelle Risiken, Marktrisiken,Zinsänderungsrisiken, Liquiditätsrisiken, sonstige Risiken
Bisher:
MaH MaK MaIR RS 11/2001
Konkretisierung
6. Fazit und Ausblick
© ibi research | Seite 28ibi research · Prof. Dr. Dieter Bartmann
Stefan Kronschnabl, 28. Januar 2005 © ibi research | Seite 28
1. Motivation und Einführung
2. Risiko und Risikomanagement
3. Operationelle Risiken in Basel II
4. IT-Sicherheitsrisiken5. IT-Sicherheitsrisiken
und operationelle Risiken im Vergleich
6. Fazit und AusblickNext Steps to do:
Anwendung des Verfahrens in der Praxis
Analyse der Integrationsmöglichkeit in ein gesamtheitlichesManagement Modell (z.B. in Anlehnung an das ISMS nach BS7799)
Möglichkeiten der Kosten-Nutzen-Berechnung evaluieren / ROSI
Sicherheit kostet Zeit und Geld – fehlende Sicherheit die Zukunft!
Vielen Dank für Ihre Aufmerksamkeit
6. Fazit und Ausblick