Nr. 27
Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements
Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung
Jochen Wiedemann
Bochum, Oktober 2007
Institut für Sicherheit im E-Business (ISEB)
Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema „Sicherheit im E-Business“ entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüssel-faktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Heraus-forderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikatio-nen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwick-lung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kos-ten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirt-schaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung.
Ruhr-Universität Bochum
Institut für Sicherheit im E-Business (ISEB) www.iseb.ruhr-uni-bochum.de
Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D-44780 Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel
Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0)234 – 32 25325 Fax: +49 (0)234 – 32 14350 [email protected] [email protected]
Wiedemann, Jochen:
Gestaltung von IT-Notfallvorsorge im Kontext des Risiko-managements – Teil 2: Entwicklung von Gestaltungs-elementen am Beispiel einer TK-Unternehmung Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN 978-3-940412-05-8 © Institut für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Über-setzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftli-che Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfäl-tigt oder verbreitet werden.
Vorwort
Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung
eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische
Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V.
genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden
Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität
und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung
an die Ruhr-Universität Bochum fließen neueste wissenschaftliche Erkenntnisse
direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst
Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für
Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die
escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für
angewandte IT-Sicherheit mbh (GITS Projekt GmbH).
Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität
Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die
betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu
erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von
sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen For-
schungsaktivitäten und Kooperationen mit der Praxis sollen auch die
IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden.
Mit dem vorliegenden 27. Arbeitsbericht setzt das Institut für Sicherheit im
E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen
Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von
Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstal-
tungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und
Studierenden durchgeführt wurden.
Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiede-
mann* ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschafts-
informatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstüt-
zung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als
Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der
ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von
IT-Notfallvorsorge am Beispiel einer TK-Unternehmung. Die vorliegende Untersu-
chung entwickelt Elemente zur Gestaltung von IT-Notfallvorsorge. Die Notwendig-
keit der Erarbeitung derartiger Gestaltungselemente kann aus dem identifizierten
Handlungsbedarf in der betrieblichen Praxis abgeleitet werden, der im Arbeitsbe-
richt Nr. 26 des ISEB umfangreich analysiert wurde. Ziel ist der Aufbau eines
Gestaltungsmodells für IT-Notfallvorsorge, das in einer späteren Schrift vorgestellt
wird.
Bochum, Oktober 2007 R. Gabriel
K. Rüdiger
S. Sowa
* Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße 20 40221 Düsseldorf [email protected]
III
Abstract
Die Analyse der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen
Praxis, die im Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB)
veröffentlicht wurde, konnte umfangreichen Handlungsbedarf aufzeigen. Der
vorliegende Arbeitsbericht greift diesen Handlungsbedarf auf und entwickelt
Gestaltungselemente, die zur Erreichung einer angemessenen IT-Notfallvorsorge
genutzt werden können. Die Untersuchung orientiert sich beispielhaft an der
Geschäftsprozessarchitektur einer TK-Unternehmung, um einzelne Aspekte in
einem praktischen Anwendungsbezug zu konkretisieren.
Neben einer Untersuchung der IT-Abhängigkeit von Geschäftsprozessen werden
dazu interne sowie externe Einflussfaktoren für die Gestaltung von
IT-Notfallvorsorge analysiert. Anschließend werden mit Hilfe eines quantitativen
Modells zur ökonomischen Bewertung von Folgeschäden bei IT-Ausfall und einer
Untersuchung potenzieller Notfallszenarien weitere Gestaltungselemente erarbeitet.
Der Arbeitsbericht schließt mit einer umfassenden Analyse von unterschiedlichen
Alternativen der IT-Risikosteuerung im spezifischen Kontext der IT-Notfallvorsorge.
Die Nutzung der erarbeiteten Gestaltungselemente kann die effiziente Erreichung
von effektiver IT-Notfallvorsorge unter besonderer Berücksichtigung ökonomischer
Aspekte unterstützen. Offen bleibt die aufbau- und ablauforganisatorische Zusam-
menführung dieser Elemente in einem Gestaltungsmodell für IT-Notfallvorsorge, die
in einer weiteren Untersuchung zu erfolgen hat.
Keywords
Business Continuity Management, Business Impact Analyse, Disaster
Recovery, Folgeschadenanalyse, Hot/Warm/Cold Standby, IT-Notfallvorsorge,
IT-Risikosteuerung, Kundenwert, Notfallszenarien, Telekommunikationsmarkt
V
Inhaltsverzeichnis
VORWORT................................................................................... I
ABSTRACT ................................................................................. III
ABBILDUNGSVERZEICHNIS ........................................................... IX
TABELLENVERZEICHNIS ............................................................... XI
ABKÜRZUNGSVERZEICHNIS .........................................................XIII
1 EINLEITUNG...................................................................... 1
2 DIE TK-UNTERNEHMUNG ALS BEISPIELHAFTES UNTERSUCHUNGSOBJEKT ................................................... 5
2.1 EINFÜHRUNG IN DAS LEISTUNGSANGEBOT UND DIE MARKT- UND
WETTBEWERBSSITUATION VON TK-UNTERNEHMUNGEN ......................................5
2.2 EINORDNUNG UND BEDEUTUNG DER IT EINER TK-UNTERNEHMUNG IM
KONTEXT DER NOTFALLVORSORGE .................................................................9
2.3 GESCHÄFTSPROZESSE EINER BEISPIELHAFTEN TK-UNTERNEHMUNG .......................12
3 UNTERSUCHUNGSRAHMEN DER GESCHÄFTSPROZESSE IM KONTEXT DER IT-NOTFALLVORSORGE..................................19
3.1 GEGENSTAND UND STRUKTUR DER ANALYSE ANHAND EINES ILLUSTRATIVEN
BEISPIELS ..................................................................................................19
3.2 LEITFRAGEN UND DEREN BEISPIELHAFTE BEANTWORTUNG ..................................22
3.2.1 Unterstützung durch IT..............................................................23
3.2.2 Unterstützung durch Personal....................................................24
3.2.3 Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern .....................................................................24
3.2.4 Umsatzabhängigkeit ..................................................................25
3.3 KRITISCHE WÜRDIGUNG DES UNTERSUCHUNGSRAHMENS .................................26
VI
4 INTERNE UND EXTERNE EINFLUSSFAKTOREN BEI DER GESTALTUNG DER IT-NOTFALLVORSORGE ............................ 29
4.1 UNTERNEHMUNGSINTERNE UND -EXTERNE EINFLUSSFAKTOREN ...........................29
4.2 KONKRETISIERUNG BESONDERS RELEVANTER EINFLUSSFAKTOREN AM BEISPIEL
EINER TK-UNTERNEHMUNG..........................................................................34
5 MODELL ZUR FOLGESCHADENANALYSE FÜR DIE BEWERTUNG DER ÖKONOMISCHEN AUSWIRKUNG BEI IT-AUSFALL ..................................................................... 37
5.1 METHODIK DES MODELLS ZUR FOLGESCHADENANALYSE ...................................37
5.2 VORGELAGERTE STRUKTURIERUNG VON SCHADENSPHASEN ...............................40
5.3 STUFE 1: ABLEITUNG VON SCHADENSDIMENSIONEN ANHAND EINES
BEISPIELHAFTEN GESCHÄFTSPROZESSES ...........................................................42
5.4 STUFE 2: AUFSTELLUNG EINES BEWERTUNGSMODELLS ANHAND EINES
BEISPIELHAFTEN GESCHÄFTSPROZESSES ...........................................................48
5.5 STUFE 3: DURCHFÜHRUNG DER BEWERTUNG ANHAND EINES BEISPIELHAFTEN
GESCHÄFTSPROZESSES.................................................................................50
5.5.1 Schadensdimension ‚Mehrarbeit’ ...............................................51
5.5.2 Schadensdimension ‚Zusatzpersonal’ .........................................52
5.5.3 Schadensdimension ‚Verlust eines einzelnen Umsatzes’ .............53
5.5.4 Schadensdimension ‚Verlust von Nutzungsentgelten’.................55
5.5.5 Schadensdimension ‚Kundenverlust’ ..........................................56
5.5.6 Zusammenfassende Betrachtung der Schadensdimensionen.......58
5.6 KRITISCHE WÜRDIGUNG DES MODELLS ZUR FOLGESCHADENANALYSE .................60
VII
6 UNTERSUCHUNG UND BEWERTUNG MÖGLICHER NOTFALLSZENARIEN.........................................................63
6.1 AGGREGATION VON NOTFALLSZENARIEN ANHAND DER
GEFÄHRDUNGSKATALOGE INNERHALB DES IT-GRUNDSCHUTZES ..........................63
6.2 WEITERE STRUKTURIERUNG DER NOTFALLSZENARIEN ........................................67
6.3 ABLEITUNG MÖGLICHER KLASSEN VON NOTFALLDAUERN ..................................69
6.4 ZUSAMMENFASSENDE BEWERTUNG UND BESONDERHEITEN DER IDENTIFIZIERTEN
NOTFALLSZENARIEN....................................................................................72
7 ALTERNATIVEN DER IT-RISIKOSTEUERUNG UND DEREN BEWERTUNG ...................................................................79
7.1 AKTIVE IT-RISIKOSTEUERUNG .......................................................................80
7.1.1 Risikovermeidung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................80
7.1.2 Risikominderung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................82
7.1.3 Risikobegrenzung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................86
7.2 PASSIVE IT-RISIKOSTEUERUNG ......................................................................88
7.2.1 Risikoversicherung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................88
7.2.2 Risikotragung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................93
7.2.3 Risikoakzeptanz und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................95
7.2.4 Überblicksdarstellung der Handlungsmöglichkeiten....................97
7.3 KRITISCHE WÜRDIGUNG DER ALTERNATIVEN DER IT-RISIKOSTEUERUNG .............101
8 ZUSAMMENFASSUNG......................................................103
LITERATURVERZEICHNIS ............................................................. XV
IX
Abbildungsverzeichnis
Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65).........................................................................6
Abbildung 2.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66) ...........12
Abbildung 2.3: Abhängigkeiten des Geschäftsprozesses ................................13
Abbildung 2.4: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8) .......................................................................14
Abbildung 3.1: Arten von Abhängigkeiten zum Geschäftsprozess..................20
Abbildung 4.1: Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge............................................................30
Abbildung 5.1: Methodik des Modells zur Folgeschadenanalyse ...................38
Abbildung 5.2: Schadensphasen im Zeitverlauf .............................................40
Abbildung 5.3: Systematik von Schadensdimensionen in den Kategorien Umsatzverlust und Kostensteigerung.....................................43
Abbildung 5.4: Kumulierter Folgeschaden zur Schadensdimension ‚Mehrarbeit’ ..........................................................................52
Abbildung 5.5: Kumulierter Folgeschaden zur Schadensdimension ‚Zusatzpersonal’ ....................................................................53
Abbildung 5.6: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust eines einzelnes Umsatzes’ ........................................54
Abbildung 5.7: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust von Nutzungsentgelten’ ...........................................56
Abbildung 5.8: Kumulierter Folgeschaden zur Schadensdimension ‚Kundenverlust’ .....................................................................58
Abbildung 5.9: Kumulierter Gesamt-Folgeschaden je Schadensdimension im Median ............................................................................59
Abbildung 5.10: Kumulierter Gesamt-Folgeschaden (Minimum, Median, Maximum) ............................................................................60
Abbildung 6.1: Notfallszenarien – G 1 Höhere Gewalt ..................................64
Abbildung 6.2: Notfallszenarien – G 3 Menschliche Fehlhandlungen.............65
Abbildung 6.3: Notfallszenarien – G 4 Technisches Versagen........................66
Abbildung 6.4: Notfallszenarien – G 5 Vorsätzliche Handlungen...................66
X
Abbildung 6.5: Kriterien zur weiteren Strukturierung der Notfallszenarien .....67
Abbildung 6.6: Klassen von Notfalldauern.....................................................69
Abbildung 6.7: Erdbebenrisiko (Quelle: MDR (2006b), S. 1).........................73
Abbildung 6.8: Überflutungsrisiko (Quelle: MDR (2006a), S. 1) ...................74
Abbildung 7.1: Hebel zur Risikominderung....................................................82
Abbildung 7.2: Einordnung der Instrumente in Matrix der Risikosteuerungsoptionen....................................................100
XI
Tabellenverzeichnis
Tabelle 3.1: Klassifikationsschema für IT-Abhängigkeit..............................21
Tabelle 3.2: Teilprozesse bei Hauptprozess ‚1.3 Auftragsabwicklung Endkundengeschäft’ ..............................................................22
Tabelle 3.3: Leitfragen ‚Unterstützung durch IT’.......................................23
Tabelle 3.4: Leitfragen ‚Unterstützung durch Personal’ .............................24
Tabelle 3.5: Leitfragen ‚Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern’ ................................................................25
Tabelle 3.6: Leitfragen ‚Umsatzabhängigkeit’ ...........................................26
Tabelle 5.1: Überblick der Schadensphasen ..............................................41
Tabelle 5.2: Systematik allgemeiner Schadensdimensionen.......................44
Tabelle 5.3: Abhängigkeiten der Schadensdimensionen im Bereich Kostensteigerung ..................................................................48
Tabelle 5.4: Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste .....................................................................49
Tabelle 5.5: Daten zur Schadensdimension ‚Mehrarbeit’ ..........................51
Tabelle 5.6: Daten zur Schadensdimension ‚Zusatzpersonal’.....................53
Tabelle 5.7: Daten zur Schadensdimension ‚Verlust eines einzelnen Umsatzes’ .............................................................................54
Tabelle 5.8: Daten zur Schadensdimension ‚Verlust von Nutzungsentgelten’ ...............................................................55
Tabelle 5.9: Daten zur Schadensdimension ‚Kundenverlust’......................57
Tabelle 5.10: Folgeschäden pro Tag je Ausfall und Schadensdimension in Tausend Euro ....................................................................59
Tabelle 6.1: Gefährdungskataloge ............................................................64
Tabelle 6.2: Notfallszenarien und deren Wirkung .....................................68
Tabelle 6.3: Qualitative Einschätzung der Notfalldauern...........................71
Tabelle 6.4: Qualitative Einschätzung der Eintrittswahrscheinlichkeit ........77
Tabelle 7.1: Beispielhafte Maßnahmen zur Risikovermeidung...................81
Tabelle 7.2: Überblick der Handlungsalternativen.....................................98
XIII
Abkürzungsverzeichnis
AGB Allgemeine Geschäftsbedingungen
AKNZ Akademie für Krisenmanagement, Notfallplanung und Zivilschutz
AktG Aktiengesetz
ARPU Annual Return Per User
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht
BIA Business Impact Analysis
BMWA Bundesministerium für Wirtschaft und Arbeit
BNA Bundesnetzagentur
BSI Bundesamt für Sicherheit in der Informationstechnik
CLV Customer Lifetime Value
CObIT Control Objectives for Information and related Technology
CRM Customer Relationship Management
DOO Degraded Operations Objective
DR Disaster Recovery
DSL Digital Subscriber Line
DTAG Deutsche Telekom AG
DV Datenverarbeitung
EDV Elektronische Datenverarbeitung
FMEA Failure Mode and Effects Analysis
HP Hewlett Packard
IP Internet Protocol
XIV
IPRI International Performance Research Institute
IT Informationstechnik
ITIL IT Infrastructure Library
IT-SHB IT-Sicherheitshandbuch
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
KPN Koninklijke PTT Nederland
MaRisk Mindestanforderung für die Umsetzung von Risikomanagement
MORR Manufacturing Operations Recovery Resumption
MTBF Mean Time Between Failure
MTTF Mean Time To Fail
MTTR Mean Time To Repair
NFS Notfallszenario
NGN Next Generation Network
NRO Network Recovery Objective
RPO Recovery Point Objective
RTO Recovery Time Objective
SFK Störfallkommission
SOX Sarbanes-Oxley
TAL Teilnehmeranschlussleitung
TKG Telekommunikationsgesetz
TÜV Technischer Überwachungsverein
USV Unterbrechungsfreie Stromversorgung
VoIP Voice over IP
1
1 Einleitung
Je nach Anforderung der Unternehmungsleitung an den maximal vertretbaren
Verlust an geschäftskritischen Daten1 und die Wiederanlaufzeit2 der IT-Systeme für
die Fortführung der Geschäftsprozesse einer Unternehmung während und nach
einem IT-Notfall ergibt sich eine hohe Schwankungsbreite der Kosten für präventive
und reaktive Vorsorgemaßnahmen. Beispielsweise könnte eine vollständige
Redundanz3 der IT-Systeme an einem Zweitstandort eine sehr hohe
IT-Verfügbarkeit gewährleisten. Dies würde jedoch eine signifikante Erhöhung der
zugehörigen IT-Betriebskosten nach sich ziehen.4 Diese Kosten steigen überpropor-
tional bei zunehmender Anforderung an o. g. Wiederanlaufzeit bei der Wahl einer
rein technischen Lösung zur Erreichung von Systemredundanz. Diese Abhängigkeit
zeigt, dass die Entscheidung für technische Maßnahmen einen wesentlichen
Kostenfaktor darstellen kann5 und deshalb alle Möglichkeiten alternativer Steue-
rungsinstrumente für IT-Risiken betrachtet werden müssen.
Die hohe Bedeutung von IT-Notfallvorsorge wird auch im aktuellen Lagebericht zur
IT-Sicherheit in Deutschland seitens des Bundesamtes für Sicherheit in der Informa-
tionstechnik (BSI) betont: „Das Sicherstellen der Kontinuität von Geschäftsprozes-
sen (Business Continuity) im Krisenfall und die Entwicklung präventiver Maßnah-
men zeigt sich deshalb als wesentliche Management-Aufgabe -- schließlich können
durch Betriebsausfall gewaltige Kosten entstehen (…).“6 Auch Takahashi stellt die
Notwendigkeit von IT-Notfallvorsorge und deren signifikanten Einfluss auf das
1 Meist als Recovery Point Objective (RPO) bezeichnet.
2 Meist als Recovery To Operations (RTO) bezeichnet.
3 Für eine Darstellung von (formalen) Konzepten für IT-Redundanz für Disaster Recovery vgl. Shao (2004), S. 1380ff.
4 Erfahrungswerte des Autors aus der fünfjährigen Beratungspraxis.
5 Für ein Projektbericht zu Business Continuity bei einem deutschen Finanzdienstleister (WestLB) und die damit verbundene kostenorientierte Gestaltung von IT-Notfallvorsorge vgl. Naujoks (2001), S. 1ff.
6 BSI (2007b), S. 45.
2
IT-Budget fest.7 Nach seiner Untersuchung im Jahr 2006 sehen 43 Prozent der
europäischen Unternehmungen den Bereich ‚Security and disaster recovery' als
einen der drei wichtigsten Einflussfaktoren auf das IT-Budget8 in den nächsten
Jahren bis 2011 an. Dies wird von Krojnewski/Nagel in einer Studie aus dem Jahre
2006 bestätigt.9 Nach ihrer Studie bewerten IT-Entscheider die Aktivität ‚Purcha-
sing or upgrading disaster recovery and business continuity capabilities’ als höchste
Priorität innerhalb der IT-Organisation.
Damit betonen alle drei angesprochenen Veröffentlichungen sowohl die hohe
Bedeutung von IT-Notfallvorsorge durch das Risiko eines ökonomischen Folgescha-
dens bei IT-Ausfall als auch die potenziell hohen Kosten von umfangreicher
IT-Notfallvorsorge.
Trotz der hohen Bedeutung zeigt sich jedoch innerhalb der betrieblichen Praxis,
dass der Gestaltungsprozess von IT-Notfallvorsorge vielfältigen Schwierigkeiten
unterworfen ist. Diese organisatorischen und methodischen Schwierigkeiten
wurden vom Autor der vorliegenden Arbeit umfassend untersucht und im Arbeits-
bericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB) veröffentlicht.10
Hierbei ließ sich wesentlicher betrieblicher Handlungsbedarf ableiten, der eine
Forschungslücke in der Wirtschaftsinformatik darstellt und damit in der vorliegen-
den Untersuchung aufgegriffen wird.
7 Vgl. Takahashi (2006), S. 4, Umfrage unter 90 europäischen Unternehmungen, mehrfache Nennungen waren möglich.
8 Nach einer Untersuchung in Nordamerika wird etwa 7 - 9 Prozent des IT-Budgets für IT-Sicherheit aufgewendet. Explizite Angaben für Aufwendungen im Bereich der IT-Notfallvorsorge werden in der Untersuchung nicht angeführt. Vgl. Kark (2007), S. 3f.
9 Vgl. Krojnewski/Nagel (2006), S. 3.
10 Vgl. Wiedemann (2007b), S. 76ff.
3
Untenstehend wird der identifizierte Handlungsbedarf thesenförmig in fünf
Punkten dargestellt. Er dient im Verlauf der weiteren Arbeit als Gestaltungsgrund-
lage:
1. In der betrieblichen Praxis besitzen IT-Systeme eine hohe Komplexität, viele
Abhängigkeiten und werden örtlich verteilt eingesetzt. Dies beeinflusst wesent-
lich den Aufwand einer umfassenden IT-Risikobewertung und beschränkt da-
durch deren praktische Anwendungsmöglichkeiten.
2. Die hohe Dynamik (i. S. e. Modifikationsrate) betrieblicher IT-Systeme führt zu
einem ständigen Anpassungsbedarf der Risikobewertung durch sich verändern-
de Abhängigkeiten und die Nutzung unterschiedlicher Technologien.
3. Die betriebliche Anwendbarkeit quantitativer (statistischer) Methoden zur
Risikobewertung ist eingeschränkt durch eine ungenügend vorhandene Daten-
grundlage zur Bewertung der Eintrittswahrscheinlichkeiten, insbesondere für
seltene Ereignisse mit hoher Auswirkung.
4. Studien und Veröffentlichungen zu ökonomischen Auswirkungen bei IT-Ausfall
zeigen sehr unterschiedliche Einschätzungen und beschreiben nur unzureichend
die zugrunde liegenden Berechnungsmodelle sowie getroffene Annahmen.
5. Offizielle Standards berücksichtigen selten die Möglichkeiten alternativer
Instrumente zur IT-Risikosteuerung (z. B. Risikoversicherung) und bieten keine
leicht anwendbaren Hilfsmittel, die eine betriebliche Nutzung positiv beeinflus-
sen.
Ausgehend von diesem Handlungsbedarf ist das Ziel des vorliegenden Arbeits-
berichts die Erarbeitung von Gestaltungselementen zur Vorbereitung eines verbes-
serten Gestaltungsmodells für IT-Notfallvorsorge, das in einem nächsten Schritt
entwickelt wird. Zentrale Elemente der vorliegenden Arbeit sind ein Modell für die
quantitative Folgeschadenanalyse bei IT-Ausfall sowie die umfangreiche Untersu-
chung alternativer Möglichkeiten zur IT-Risikosteuerung, die über o. g. technische
Maßnahmen zur Erreichung von Systemredundanz hinausgehen.
Die vorliegende Arbeit orientiert sich an folgender Struktur. In Kapitel 2 werden
ökonomische Grundlagen der Geschäftsprozessarchitektur einer allgemeinen
4
TK-Unternehmung untersucht, die für eine Nutzung als beispielhaftes Untersu-
chungsobjekt herangezogen wird. Diese beispielhafte Nutzung ermöglicht dabei
die Konkretisierung einzelner Gestaltungselemente, um deren Anwendbarkeit in
der betrieblichen Praxis zu unterstützen.11 Anschließend erfolgen in Kapitel 3 bis 7
die Erarbeitung der folgenden Gestaltungselemente:
- Analysemodell der Geschäftsprozesse im Kontext der IT-Notfallvorsorge;
- Untersuchung der internen und externen Einflussfaktoren bei der Gestaltung
von IT-Notfallvorsorge;
- Modell zur Folgeschadenanalyse für die Bewertung der ökonomischen Auswir-
kung bei IT-Ausfall;
- Untersuchung und Bewertung möglicher Notfallszenarien;
- Bewertung von Alternativen der IT-Risikosteuerung.
Aufbauend auf diesen Gestaltungselementen kann in einer nachfolgenden separa-
ten Untersuchung mit Hilfe der Ergebnisse aus dem vorliegenden Arbeitsbericht ein
Modell aufgebaut werden, das für die Gestaltung von IT-Notfallvorsorge unter
besonderer Berücksichtigung ökonomischer Aspekte genutzt werden kann.
11 Die beispielhafte Anwendung der Gestaltungselemente anhand einer TK-Unternehmung erfolgt dabei in den Kapiteln 3, 4 und 5. Die Kapitel 6 und 7 werden ohne konkreten Unterneh-mungsbezug bearbeitet, da hier eine TK-spezifische Ausprägung nur begrenzt möglich ist.
5
2 Die TK-Unternehmung als beispielhaftes Unter-suchungsobjekt
Im vorliegenden Kapitel werden zunächst die ökonomischen Grundlagen einer
Unternehmung aus der Telekommunikationsbranche (TK-Unternehmung) als
Vorbereitung der weiteren Untersuchung erarbeitet. Dazu erfolgt im ersten Schritt
eine einführende Darstellung des Leistungsangebots sowie der Markt- und Wett-
bewerbssituation. Anschließend wird die Bedeutung der IT innerhalb einer
TK-Unternehmung analysiert, um diese in den weiteren Untersuchungsrahmen
einordnen zu können. Um die Auswahl eines möglichen Untersuchungsaspekts für
die spätere beispielhafte Bearbeitung vorzubereiten, werden danach die wertschöp-
fenden Geschäftsprozesse einer TK-Unternehmung betrachtet und deren grundsätz-
licher Bedarf an IT-Notfallvorsorge geprüft.
2.1 Einführung in das Leistungsangebot und die Markt- und Wettbewerbssituation von TK-Unternehmungen
Nach der Liberalisierung und Deregulierung12 des TK-Marktes13 im Jahre 199814
war in Deutschland ein deutliches Marktwachstum auf insgesamt 67,5 Mrd. Euro
12 Zur Entwicklung der Deregulierung der Telekommunikationswirtschaft vgl. Welfens/Jungmittag (2001), S. 33ff.; „Die Regulierung der liberalisierten Telekommunikationsmärkte wird in aller Regel als eine temporäre Aufgabe interpretiert: die staatliche Einflussnahme soll nur solange bestehen bleiben, bis der Markt in die Phase eines sich selbst tragenden Wettbewerbs einge-treten ist.“ Scheele/Kühl (2003), S. 39.
13 Der TK-Markt nutzt für die wertschöpfenden Geschäftsprozesse sogenannte Telekommunikati-onssysteme, die eine spezielle Art von Informationssystemen darstellen und bei denen die Kommunikation über weite Distanzen im Vordergrund steht. Eine mögliche Definition lautet wie folgt: „Telekommunikationssystem: = Informationssystem mit einer weiten, eventuell glo-balen Ausdehnung und mit einem offenen Zugang (i. d. R. Berechtigungsnachweis), bestehend aus den Systemkomponenten Menschen (Benutzer bzw. Teilnehmer), Aufgaben (Anwendun-gen) und DV-Technologien (Hard- und Softwaretechnologien), die in ihrem Zusammenwirken vielfältige Nutzungsmöglichkeiten der Telekommunikation (Informationsübertragung über (welt)weite Strecken) gewährleisten.“ Gabriel (1996), S. 6.
14 1998 trat das Telekommunikationsgesetz (TKG) in Kraft, das als nationale Regelung für alle TK-Unternehmungen relevant ist, die Netze betreiben und Dienste anbieten, um ihren Kunden Telekommunikation zu ermöglichen, vgl. Lux (2005), S. 158; Lange (2005), S. 138ff.
6
Umsatzerlöse im Jahre 2005 zu verzeichnen (vgl. Abbildung 2.1).15 Dies stellt eine
Steigerung um über 50 Prozent verglichen mit den Erlösen von 44,2 Mrd. Euro im
Jahr 1998 dar. Die angesprochenen Umsatzerlöse werden momentan durch
insgesamt etwa 223.500 Beschäftige im TK-Markt, davon 55.900 Mitarbeiter
außerhalb der Deutschen Telekom AG (DTAG) erwirtschaftet.16
0,0
10,0
20,0
30,0
40,0
50,0
60,0
70,0
80,0
1998 1999 2000 2001 2002 2003 2004 2005
Jahr
Um
satz
erö
se i
n M
illi
ard
en
Eu
ro
Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65)
Im Hinblick auf das Leistungsangebot innerhalb des TK-Marktes lassen sich vier
Gruppen von TK-Diensten unterscheiden, die stationär oder mobil17 angeboten
werden können und von Gabriel wie folgt unterschieden werden:18
- Kommunikationsdienste bieten die Möglichkeit zum Nachrichten- bzw.
Informationsaustausch zwischen Teilnehmern;
15 Vgl. Bundesnetzagentur (2006), S. 65.
16 Im Rahmen des Personalumbauprogramms von 2005 sollen bis Ende 2008 etwa 32.000 Mitarbeiter die DTAG verlassen. Vgl. DTAG (2006), S. 104.
17 Vor allem die zunehmende Mobilität und Flexibilität im Privat- wie auch Berufsleben führen zu erhöhter Nachfrage von mobilen Informations- und Kommunikationsdiensten, vgl. zu Definitio-nen und Besonderheiten der mobilen Ökonomie insbesondere Reichwald et al. (2002), 5ff.
18 Vgl. Gabriel (1996), S. 21f.
7
- Informationsdienste erlauben einen gezielten Zugriff auf Inhalte in multi-
medialer Form;
- Unterhaltungsdienste stellen eine (interaktive) Zugriffsmöglichkeit auf
Fernseh- und Rundfunkprogramme zur Verfügung;
- Funktionsdienste bieten die Ausführung bestimmter Funktionen, z. B.
Reisebuchungen, Bankgeschäfte.
Diese Dienstleistungen werden von Netzbetreibern technologisch unterstützt durch
- Telefonnetze mit Digital Subscriber Line (DSL)19;
- Mobilfunknetze20 (zunehmend mit Breitbandmöglichkeit) und
- alternative Kanäle wie (rückkanalfähige) Kabelnetze21, Powerline22 sowie
Satellit.
Neben den o. g. Netzbetreibern nehmen sogenannte Wiederverkäufer am Markt
teil.23 Diese vertreiben beispielsweise DSL-Anschlüsse, deren Nutzungsrechte bei
der DTAG erworben wurden, unter eigenem Namen und auf eigene Rechnung.24
Auf dem deutschen TK-Markt herrscht ein starker Wettbewerbsdruck.25 Speziell die
DTAG hat in den letzten Jahren signifikante Herausforderungen beim Ausbau ihres
Kundenstamms im Bereich der DSL-Anschlüsse zu verzeichnen.26 Insbesondere im
Segment DSL treten Wettbewerber in den Markt ein, die entweder eine eigene
Infrastruktur aufgebaut haben oder die DSL-Netze der DTAG anmieten, um diese
19 Zu den technischen Grundlagen des DSL-basierten Internetzugangs in Deutschland vgl. van der Velden (2007), S. 22ff.
20 Zur Untersuchung von Eigenschaften der mobilen Telekommunikationsindustrie vgl. Gruber (2005), S. 10ff.
21 Vgl. Scheele/Kühl (2003), S. 31ff.
22 Vgl. Scheele/Kühl (2003), S. 35ff.
23 Für eine umfangreiche Einordnung der Teilnehmer am TK-Markt in strategische Gruppen vgl. Gabriel (1996), S. 34ff.
24 Vgl. Immenga (2001), S. 63f.
25 Vgl. Langenfurt (2001), S. 159ff.
26 Der verschärfte Wettbewerb und der technologische Fortschritt führen aktuell zu einem Preisrückgang sowohl im Festnetz als auch im Mobilfunk. Vgl. DTAG (2006), S. 103.
8
weiterzuverkaufen und darüber einen Internetzugang anzubieten.27 Aber auch der
Mobilfunkmarkt hat mit einer Penetrationsrate von 100 Prozent (insgesamt 84,3
Mio. Teilnehmer) im dritten Quartal 2006 eine deutschlandweite Durchdringung
erreicht.28 Damit ergibt sich hier gleichfalls ein starker Verdrängungswettbewerb,29
der eine hohe Leistungs- und Servicequalität an der Endkundenschnittstelle
bedingt.30 Da zudem die Erlöse pro Kunde im Mobilfunk immer weiter sinken,
stellen die Anbieter inzwischen verstärkt die langfristige Kundenbindung in den
Mittelpunkt ihrer Unternehmungsstrategie.31
Neben der angespannten Wettbewerbssituation ist der Markt durch ständigen
Innovationswandel gekennzeichnet. Dabei lassen sich folgende – vor allem
technologisch ausgelöste32 – unterschiedliche Trends beobachten:
- Die Möglichkeit der Nutzung des Breitbandanschlusses für Voice over IP
(VoIP)33 sowohl im Privat- als auch im Geschäftskundenbereich hat aktuell
eine Verschiebung des diesbezüglichen Marktanteils und damit einen Rückgang
der Festnetzkommunikation zur Folge.
27 Vgl. van der Velden (2007), S. 112f.
28 Vgl. Bundesnetzagentur (2006), S. 70.
29 Ausführungen zu den Anfängen der Telekomkrise im Jahre 2000 und sich daraus ergebender strategischer Perspektiven vgl. Welfens/Jungmittag (2001), S. 60ff.
30 „Gaining new customers depends on many factors, including network coverage and quality, customer satisfaction, product offerings and handset range but a key factor is often the pricing of handsets and tariffs. In general, as penetration rates rise in a market, competition intensifies as operators invest more in retaining their existing customers whilst offering incentives to po-tential new customers.” Vodafone (2006), S. 44.
31 „Unter dem Stichwort Customer Relationship Management (CRM) werden dabei Ansätze subsumiert, die einerseits die Verbundenheit des Kunden mit dem Unternehmen stärken, ande-rerseits aber auch die Gebundenheit des Kunden intensivieren sollen“ Scheele/Kühl (2003), S. 29.
32 Zur Technologieentwicklung im Kontext des Risikomanagements empfiehlt Werners (1993), S. 26. „Technologische Entwicklungen sind folglich auch dann zu beurteilen und ihr Einsatz im Unternehmen zu erwägen, wenn keine offensichtlichen Bedingungen ihre Einsatzplanung er-fordern. Risikomanagement muss daher ständiger Bestandteil der strategischen Unterneh-mensplanung und insbesondere der strategischen Technologieplanung sein.“
33 Zur Konvergenz von Sprach- und Datendiensten vgl. BMWA (2002), S. 32.
9
- Weiterhin ist auf allen Märkten ein Umbau der technischen Netze zu einem
Next Generation Network (NGN)34 zu beobachten, das ein Angebot von
Diensten (weitestgehend) unabhängig von der zugrunde liegenden Infrastruktur
macht. Ein solches NGN wird im Rahmen einer Entwicklung realisiert, die als
IP-Konvergenz bezeichnet wird und ein sogenanntes All-IP-Netz aufbaut, das
auf Internet-Technologien basiert und damit keine herkömmliche
TK-Infrastruktur nutzt.35
- Unter dem Begriff Triple-Play wird eine Dienstleistung verstanden, die (IP-)Tele-
fonie, Internet und Fernsehangebot im Rahmen eines Produkts vereint und
dabei entsprechende Synergiepotenziale (z. B. Video on Demand) zu bündeln
versucht.
Als Fazit kann festgestellt werden, dass Unternehmungen innerhalb des TK-Marktes
aufgrund der Höhe an Umsatzerlösen, des ausgeprägten Wettbewerbs und der
vielfältigen technologischen Trends als besonders relevante Untersuchungsgegen-
stände des IT-Risikomanagements bzw. der IT-Notfallvorsorge angesehen werden
können. Sie bieten Telekommunikationsdienste am Markt an und sehen in der
Sicherheit ihrer IT-Systeme eine große Herausforderung, die von hoher betriebs-
wirtschaftlicher Bedeutung ist.
2.2 Einordnung und Bedeutung der IT einer TK-Unter-nehmung im Kontext der Notfallvorsorge
TK-Unternehmungen zeichnen sich durch eine intensive Nutzung von Technologien
aus, deren innovativer Wandel die Branche stetig verändert.36 Dadurch entsteht
34 Vgl. Cohen (2006), S. 45; Pech (2006), S. 114.
35 Für eine Darstellung der Konvergenz-Vision von IBM und eine Einteilung in fünf unterschiedli-che Klassen (Voice & Data, Fixed & Mobile, Telecoms & Media, Telco & IT, Device) sowie eine Bewertung der dadurch entstehenden Auswirkungen auf den Markt vgl. Cohen (2006), S. 42f.
36 Vgl. Calderbank (2006), S. 69ff.
10
eine geschäftskritische technologische Abhängigkeit, was eine hohe Relevanz im
Hinblick auf die IT-Sicherheit37 und speziell IT-Notfallvorsorge zur Folge hat.
Im Jahresbericht 2006 der DTAG wird diese Risikosituation wie folgt beschrieben:
„Die von der DTAG selbst genutzten und im Wettbewerb angebotenen Produkte,
Dienstleistungen und IT/TK-Netze können z. B. durch Hackerangriffe, Sabotage,
Ausfall der Energieversorgung, Naturkatastrophen, technische Fehler oder andere
Ereignisse zeitweise ausfallen oder in ihrer Funktion beeinträchtigt werden.“38
Diese Einschätzung zeigt eine Vielfalt unterschiedlicher Gefährdungsarten, die als
Bedrohungspotenzial für die Qualität der Geschäftsabwicklung der DTAG angese-
hen werden.
Auch die niederländische TK-Unternehmung Koninklijke PTT Nederland (KPN)
betont in ihrem Jahresbericht 2006 explizit die möglichen ökonomischen Aus-
wirkungen infolge einer Beeinträchtigung der Technologieunterstützung: „Network
interruptions or service slowdowns caused by local or global system failures,
misuse of our network and related applications as a result of inadequate security,
may result in reduced user traffic, reduced revenue and harm to our reputation and
business operations.”39 Damit wird bei KPN vor allem der Umsatz- und Ansehens-
verlust40 als primärer ökonomischer Schaden bei Störungen innerhalb des
TK-Netzes und zugehöriger IT-Anwendungen betont.
Der Jahresbericht der DTAG bezeichnet das bedrohte Objekt als IT/TK-Netz. Hier
wird die für die weitere Arbeit notwendige Unterscheidung zwischen IT und
TK-Netz angesprochen, wobei wie folgt abgegrenzt werden kann:
- Als TK-Netz wird die eigentliche Kommunikationsinfrastruktur bezeichnet, die
Datenübertragung (z. B. Sprach- und Bilddaten) ermöglicht. Dies umfasst bei
Festnetzbetreibern die Teilnehmeranschlussleitung (TAL) sowie die Backbone-
37 Zur Diskussion der mangelnden Sicherheit in den Netzen vgl. Gabriel (1996), S. 45.
38 DTAG (2006), S. 105.
39 KPN (2006), S. 16.
40 Dabei ist der Ansehensverlust i. S. e. Reputationsrisikos als Bestandteil der sogenannten operationellen Risiken anzusehen. Vgl. Romeike (2004), S. 101.
11
Architektur.41 Bei Mobilfunkunternehmen stellt das TK-Netz vornehmlich die
Funkinfrastruktur mitsamt der Anbindung an das Weitverkehrsnetz dar. Das
TK-Netz ist demnach direkt an der Wertschöpfung beteiligt und damit unmit-
telbar an der Kundenschnittstelle sichtbar.
- Im Gegensatz dazu unterstützt das IT-System einer TK-Unternehmung entweder
anderweitige nicht infrastrukturbasierte Aktivitäten (z. B. Kundenbetreuung)
oder bildet notwendige direkte Schnittstellen zum TK-Netz (z. B. für die Ab-
rechnungssysteme42). Aus diesem Grund wird das IT-System vornehmlich als
interne Dienstleistung genutzt.
Durch die in Abschnitt 2.1 angesprochene IP-Konvergenz (d. h. Veränderung zum
All-IP-Network43) der Technologien wird sich zukünftig die oben beschriebene
Abgrenzung zwischen IT und TK immer weniger vornehmen lassen. Dieser
Konvergenztrend und die damit einhergehende Verzahnung von IT und TK-Netz
erhöhen weiter die bereits vorhandene Komplexität und damit die technologische
IT-Abhängigkeit, deren Bedeutung zunehmend erfolgskritisch einzuschätzen ist.
Der Schwerpunkt dieser Untersuchung wird im Folgenden auf die IT im Rahmen
der Gestaltung der Notfallvorsorge gelegt.44 Anderweitige Untersuchungen und
Modelle für den Bereich Notfallvorsorge im Bereich des TK-Netzes finden sich
beispielsweise bei Jrad et al.45
41 Als Backbone-Architektur werden die Übertragungswege bezeichnet. Diese Übertragungswege umfassen die Einrichtungen der verschiedenen Übertragungsmedien (Kabel, Richtfunk, etc.), wobei diese insbesondere nach geografischen Kriterien und nach Kapazitäten zu unterscheiden sind. Vgl. Immenga et al. (2001), S. 7; BMWA (2002), S. 28.
42 Andere Beispiele für IT-Systeme mit Schnittstellen zum TK-Netz sind Systeme zur technischen Entstörung oder der Schritt der technischen Bereitstellung eines Anschlusses (engl. Provisio-ning). Für einen weitergehenden Überblick von IT-Anwendungssystemen im Dienstleistungsbe-reich vgl. Mertens et al. (2001), S. 128ff.
43 KPN (2006), S. 14.
44 TK-Anlagen (speziell die Festnetzinfrastruktur) sind Teil der sogenannten kritischen Infrastruktu-ren in Deutschland und unterliegen damit besonderen gesetzlichen Vorschriften zum Katastro-phenschutz. Vgl. BSI (2005), S. 4; BMWA (2002), S. 15.
45 Vgl. Jrad et al. (2004), S. 107ff.
12
2.3 Geschäftsprozesse einer beispielhaften TK-Unternehmung
Nach dem Verständnis der vorliegenden Arbeit ist das betriebliche Risikomanage-
ment an den Geschäftsprozessen ausgerichtet; d. h. Gegenstand der Gestaltung
der IT-Notfallvorsorge ist die Prävention und die Begrenzung der ökonomischen
Auswirkung auf die wertschöpfenden Prozesse bei Eintritt eines IT-Notfalls durch
Reaktion. Aus diesem Grund ist ein umfassendes Verständnis der Geschäftsprozes-
se notwendig, das im vorliegenden Abschnitt am Beispiel einer TK-Unternehmung
aufgebaut werden soll.
Die folgende Analyse ist an das allgemeine Prozessmodell von Porter angelehnt,
der alle betrieblichen Tätigkeiten anhand einer Wertkette (vgl. Abbildung 2.2)
darstellt und darin primäre sowie unterstützende Tätigkeiten46 unterscheidet, die
sogenannte Wertaktivitäten bezeichnen.47
Eingangs-
logistikOperationen
Marketing &
Vertrieb
Ausgangs-
logistik
Kunden-
dienst
Primäre Aktivitäten
Beschaffung
Technologieentwicklung
Pesonalwirtschaft
Unternehmensinfrastruktur
Unter-
stützende
Aktivitäten
Gew
innspanne
Gew
innspanne
Abbildung 2.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66)
Die Kernelemente der primären Aktivitäten umfassen nach Porter die unterschiedli-
chen Stufen (von der Eingangslogistik bis hin zum Kundendienst) einer Wertschöp-
46 Primäre Aktivitäten befassen sich mit der Herstellung des Produkts, unterstützende Tätigkeiten halten die primären Aktivitäten aufrecht.
47 Vgl. Porter (2000), S. 67ff.
13
fung mit Fokus auf industrielle Unternehmungen. Diese primären Aktivitäten
werden unterstützt durch die Beschaffung, Technologieentwicklung, Personalwirt-
schaft und die Unternehmungsinfrastruktur. Die Wertaktivitäten entsprechen in der
Terminologie dieser Arbeit den wertschöpfenden Geschäftsprozessen. Auf der
rechten Seite der Abbildung ist die Gewinnspanne dargestellt. Diese stellt die
Differenz des Gesamtwerts der Unternehmung zu den Kosten der Durchführung
der Wertaktivitäten dar und ist Gegenstand der Maximierung im Sinne der
wertorientierten Unternehmungsstrategie. Dies verdeutlicht die Abhängigkeit der
Wertorientierung von den internen Kosten der Wertaktivitäten einer Unterneh-
mung.
Um die Funktion der Geschäftsprozesse zu erfüllen, setzen diese nach Porter
gekaufte Inputs, menschliche Ressourcen (Arbeits- und Führungskräfte), d. h.
Personal, sowie Technologie ein (vgl. Abbildung 2.3).48
Geschäftsprozess
GekaufteInputs
Menschliche Ressourcen
Technologie
Geschäftsprozess
GekaufteInputs
Menschliche Ressourcen
Technologie
Abbildung 2.3: Abhängigkeiten des Geschäftsprozesses
Die Sichtweise von Porter erlaubt eine direkte Verknüpfung mit dem Untersu-
chungsgegenstand dieser Arbeit, d. h der IT-Notfallvorsorge. Betrachtet man die IT
als Teilbereich der eingesetzten Technologie, so wird deutlich, dass eine Beein-
trächtigung der IT und der damit verbundenen Sicherheitsziele eine signifikante
ökonomische Auswirkung auf die Wertentwicklung der Unternehmung darstellen
kann.
Konkretisiert man nun die Wertkette auf den beispielhaften Untersuchungsgegen-
stand einer TK-Unternehmung, so kann das Branchenprozessmodell49 des Interna-
48 Vgl. Porter (2000), S. 69.
14
tional Performance Research Institute (IPRI) herangezogen werden.50 In diesem
Modell werden die Betrachtungsebenen Geschäfts-, Haupt- und Teilprozess51
unterschieden, um die wesentlichen Aufgabenfelder einer TK-Unternehmung52 zu
beschreiben (vgl. Abbildung 2.4).
Innovations-
und Produkt-
management
Kunden-
betreuung undFakturierung
Vorleistungs-management
Netzaufbau-und Betrieb
IT-Management
Unterstützungs-prozesse
Vertrieb und
VermarktungVermarktung Vertrieb Geschäfts- und Privatkunden
Auftragsabwicklung
Endkundengeschäft
Produktmanagement Vertragsmanagement Auftragsabwicklung Netzbetreiber
Kundenbeziehungs-
management
Qualitätsmanagement
Kundenservice
Kundenseitiges
EntstörungsmanagementFakturierung
InnovationsmanagementTechnisches
QualitätsmanagementProduktkonfiguration
Tarifierung und
Rabatttierung
Netzplanung und
Aufbau
Netz-
bereitstellung
Netz-
komponenten-
management
Wartung und
Instandhaltung
Technisches
Entstörungs-
management
Netzdaten-
management
IT-Planung IT-Betrieb
Strategie Finanzen Controlling Personal FacilityStakeholder
Mgmt.
Qualitäts-,
Prozess-
mgmt.
Sicherheit-,
Betrugs-
mgmt.
Abbildung 2.4: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8)
Die Arbeitsinhalte dieser sieben Geschäftsprozesse und deren IT-Abhängigkeit
können wie folgt beschrieben werden:53
49 Das hier vorgestellte Branchenprozessmodell wurde dazu entwickelt, einzelne Bestandteile von Kosten der Leistungserstellung im Kontext der Prüf- und Regulierungsaufgaben zu ermitteln. Das Modell sowie die Kalkulationsmethodik befanden sich zum Zeitpunkt der Erstellung der vorliegenden Arbeit im Abstimmungsprozess mit den beteiligten deutschen TK-Unternehmungen. Für den Zweck einer beispielhaften Betrachtung einer allgemeinen TK-Unternehmung im Kontext der vorliegenden Arbeit erscheint dieser Entwurf jedoch aus-reichend geeignet. Zu offenen Diskussionspunkten vgl. IPRI (2006b), S. 20ff.
50 Vgl. IPRI (2006a), S. 7ff.
51 Eine TK-Unternehmung wurde in 7 Geschäftsprozesse, 30 Hauptprozesse und 157 Teilprozesse untergliedert. Vgl. dazu IPRI (2006a), S. 42ff.
52 Dabei geht das Modell von IPRI von einer integrierten TK-Unternehmung aus, d. h. einer Unternehmung, die zugleich als Carrier (d. h. Netzanbieter) als auch als Provider (d. h. Dienst-anbieter) am Markt agiert. Vgl. IPRI (2006a), S. 10.
53 Vgl. Zaborski (2007), S. 28ff.
15
1. Der Prozess Vertrieb und Vermarktung umfasst Aktivitäten von der Erstel-
lung des Marketingkonzepts über die individuelle Betreuung der Geschäfts- und
Privatkunden im Rahmen des Vertriebs bis hin zur Auftragsannahme beim End-
kunden. Bezüglich potenzieller IT-Ausfälle und Störungen sind in erster Linie die
beiden Hauptprozesse Vertrieb und Auftragsabwicklung zu nennen, da diese
eine direkte Kundenschnittstelle bilden und gerade in einem intensiven Wett-
bewerbsumfeld54 wie dem des TK-Marktes als langfristiger Erfolgsfaktor ange-
sehen werden können.
2. Das Innovations- und Produktmanagement beinhaltet sämtliche produkt-
bezogenen Prozesse von der Innovation55 über das technische Qualitätsmana-
gement und die Konfiguration bis zur Kalkulation von Preisen. In Bezug auf
einen IT-Ausfall ist hier der Prozess der Produktkonfiguration als besonders
gefährdet anzusehen. Eine Unterbrechung dieser Prozesse könnte eine Verzö-
gerung im Installations- und Konfigurierungsprozess des Kundenauftrags bewir-
ken und damit eine zeitnahe Bereitstellung von Anschlüssen verhindern.
3. Die Kundenbetreuung und Fakturierung umfasst kundenbezogene Prozesse
von der Betreuung über die Qualitätssicherung und das kundenseitige Ent-
störungsmanagement bis hin zur Fakturierung. Aufgrund der immer komplexer
werdenden Technologie und der Verzahnung unterschiedlicher Dienste bzw.
Anwendungen rückt die Kundenbetreuung immer stärker in den strategischen
Fokus einer TK-Unternehmung.56
54 Vgl. Abschnitt 2.1.
55 Im Bereich der Innovation wird zwischen Produkt- und Verfahrensinnovation unterschieden. Dabei zielt die Produktinnovation darauf ab, die Produktleistung zu verbessern, und die Ver-fahrensinnovation erreicht eine Kostensenkung. Meist folgen beide Innovationsarten im Pro-dukt-Lebenszyklus nacheinander. Vgl. Porter (2000), S. 259f.
56 Zur Darstellung der umfangreichen Anforderungen im Bereich der Kundenbetreuung und deren Schwierigkeiten vgl. Pech (2006), S. 116. Nicht nur die technologische Komplexität und Ver-schiedenartigkeit der genutzten Endgeräte beeinflussen den Betreuungsaufwand, auch die erhöhten Anforderungen an die Rechnungsstellung führen zu neuen Herausforderungen.
16
4. Das Vorleistungsmanagement umfasst sämtliche Prozesse bezogen auf
Vorleistungen57 für andere TK-Unternehmungen von der Produktentwicklung
über den Vertragsabschluss bis zur Auftragsabwicklung. Ein IT-Ausfall kann
speziell dann hohe ökonomische Auswirkungen im Bereich der Vorleistung
haben, wenn dadurch kritische Geschäftsprozesse (z. B. Bereitstellung) der
Wiederverkäufer nachhaltig gestört werden.58
5. Der Netzaufbau und -betrieb umfasst alle Prozesse von der Netzplanung
über die Bereitstellung, das Komponentenmanagement und die Wartung bis
hin zur technischen Entstörung und dem Netzdatenmanagement. Im Sinne der
in Abschnitt 2.2 erfolgten Abgrenzung von IT und TK-Netz werden die netzbe-
zogenen Aspekte im Rahmen der vorliegenden Arbeit nicht behandelt.
6. Das IT-Management betrifft sämtliche indirekt zum TK-Netzbetrieb benötigten
IT-bezogenen Prozesse von der Planung bis zum Einsatz.59 Dabei beinhaltet die
IT-Planung auch die Gestaltungsaspekte der IT-Notfallvorsorge, wie sie in der
vorliegenden Untersuchung behandelt werden. Der IT-Ausfall bezieht sich somit
auf die IT-Systeme zur Erbringung der für die Geschäftsprozesse notwendigen
technischen Dienstleistungen.
7. Die Unterstützungsprozesse fassen alle weiteren Bereiche von der Planung
über die Finanzen, das Controlling, das Personal- und Anlagenmanagement
sowie die Betreuung der externen Kontakte bis hin zum übergeordneten Quali-
täts- und Prozessmanagement zusammen.
Nach der Darstellung der wesentlichen Geschäftsprozesse kann nun in Anlehnung
an Porter (vgl. Abbildung 2.3) der notwendige Einsatz von gekauften Inputs,
menschlichen Ressourcen (d. h. Personal) und Technologie bewertet werden:
57 Eine Vorleistung kann durch eine Zusammenschaltung von Netzen erreicht oder durch die Miete von Leitungen erworben werden. Vgl. Immenga (2001), S. 62f.
58 Ein Beispiel ist die enge Verknüpfung von Wiederverkäufern (z. B. von DSL oder Teilnehmeran-schlussleitung) mit der DTAG. Verzögerungen in der Bereitstellung von Vorleistungen können zu Vertragsstrafen führen.
59 Zur Darstellung strategischer und operativer Aufgaben des Informationsmanagements vgl. Gabriel/Beier (2003), S. 67ff.
17
- Aufgrund des Dienstleistungscharakters einer TK-Unternehmung werden
sogenannte gekaufte Inputs nur in begrenztem Umfang verarbeitet. Im wei-
testen Sinne könnten hier Medieninhalte genannt werden, die über das Netz
vertrieben und verbreitet werden.60
- Betrachtet man die TK-Branche, so kann speziell im Zusammenhang mit der
Kundenbetreuung (sowie teilweise in den Bereichen Vertrieb und Vermarktung)
ein umfangreicher Einsatz von Personal festgestellt werden. So beschäftigt die
DTAG kundennah etwa 45.000 Mitarbeiter, davon 10.000 im Bereich der Call
Center und 35.000 beim technischen Kundendienst.61
- Als besonders relevant ist die IT- sowie TK-Technologie anzusehen, die als
wesentlicher Bestandteil der Wertschöpfung gelten kann. Ihre Bedeutung wird
verstärkt durch die technologischen Veränderungen hinsichtlich unterschiedli-
cher Konvergenztrends62 und die Bestrebung einer möglichst vollständigen
Automatisierung63 IT-gestützter Teilprozesse, z. B. der Bereitstellung von An-
schlussaufträgen.
Das dargestellte Prozessmodell von IPRI ist im Weiteren die Grundlage für die
beispielhafte Durchführung der Folgeschadenanalyse in Kapitel 5.
60 Zum Beispiel Mobile TV. Vgl. DTAG (2006), S. 51.
61 Vgl. DTAG (2006), S. 78. Zusätzlich sind mehrere Tausend Mitarbeiter im Bereich der T-Punkt Gesellschaft (TPG) im Filialgeschäft angestellt.
62 Vgl. Abschnitt 2.2.
63 Vor allem im Bereich der Bereitstellung herrscht das Bestreben, eine möglichst automatisierte Auftragslenkung zu erreichen. Dadurch kann in erster Linie im Zusammenhang mit Wiederver-käufern eine enge Integration unternehmungsübergreifender Geschäftsprozesse realisiert wer-den.
19
3 Untersuchungsrahmen der Geschäftsprozesse im Kontext der IT-Notfallvorsorge
Ausgehend von den in Abschnitt 2.3 betrachteten wertschöpfenden Geschäftspro-
zessen einer TK-Unternehmung wird im Folgenden ein Untersuchungsrahmen
vorgestellt, der eine Analyse von Abhängigkeiten der Geschäftsprozesse im
Hinblick auf die IT-Notfallvorsorge ermöglicht. Dabei wird die Abhängigkeit der
Bereiche IT, Personal, Kunden- und Geschäftspartner sowie Umsatz anhand von
Leitfragen untersucht. Abschließend erfolgt eine kritische Würdigung des vorge-
stellten Untersuchungsrahmens.
3.1 Gegenstand und Struktur der Analyse anhand eines illustrativen Beispiels
Der Gegenstand des folgenden Modells ist die Vorbereitung der quantitativen
Folgeschadenanalyse und der Bewertung von Notfallszenarien.
Dazu werden für die weitere Betrachtung der Geschäftsprozesse unterschiedliche
Abhängigkeiten64 aufgezeigt, die bei der Untersuchung von Gestaltungsaspekten
im Rahmen der IT-Notfallvorsorge zu berücksichtigen sind.65 Diese Abhängigkeiten
werden auch von Allerkamp wie folgt angesprochen: „Die Automatisierung von
Prozessen, die Verschmelzung der Infrastruktur mit den Wertschöpfungsketten, die
Mobilität der Mitarbeiter und durch Partner erbrachte Leistungen verlangen eine
Gesamtsicht auf das Unternehmen.“66 Damit weist Allerkamp auf die enge
Verzahnung der wertschöpfenden Geschäftsprozesse mit unterstützenden Ressour-
64 Die Untersuchung dieser Abhängigkeiten entspricht dem ersten Schritt des Evaluationsmodells von Schneier zur Beantwortung der folgenden Frage: „What assets are you trying to protect?“ Schneier (2004), S. 289.
65 Einen ähnlichen Ansatz verfolgen auch Wagschal/Huth im Rahmen ihres Konzepts zur geschäftsprozessbasierten Notfallplanung. Sie empfehlen die umfassende Untersuchung der eingesetzten Produktionsfaktoren (entscheidungsauslösende Informationen, Werkstoffe, Be-triebsmittel, Aufgabenträger). Vgl. Wagschal/Huth (2005), S. 61 sowie ähnlich im Bereich der prozessorientierten Risikoanalyse bei Tandler (2006), S. 2ff.
66 Allerkamp (2007), S. 2.
20
cen hin, die im Rahmen einer umfassenden Notfallvorsorge berücksichtigt werden
muss.
Für die weitere Betrachtung werden in den folgenden Abschnitten Leitfragen67
erarbeitet, die eine Analyse der o. g. Abhängigkeiten ermöglichen (vgl. Abbildung
3.1).
Geschäftsprozess
Umsatz
Personal IT
Kunde bzw.
Geschäftspartner
Geschäftsprozess
Umsatz
Personal IT
Kunde bzw.
Geschäftspartner
Abbildung 3.1: Arten von Abhängigkeiten zum Geschäftsprozess
Die Abbildung zeigt Abhängigkeiten auf, die mögliche Auswirkungsbereiche von
IT-Notfällen aus der Perspektive des Geschäftsprozesses darstellen können. Danach
werden die Geschäftsprozesse sowohl durch Personal als auch durch IT unter-
stützt – je nach Untersuchungsbereich (d. h. Geschäftsprozess) jedoch zu unter-
schiedlichen Anteilen. Durch diese Unterstützung entstehen interne Kosten.68 Der
Geschäftsprozess kann darüber hinaus eine Abhängigkeit von Kunden bzw.
Geschäftspartnern aufweisen, die im Kontext der Notfallvorsorge zu untersuchen
ist. Weiterhin ist die Abhängigkeit vom Umsatz für eine Bewertung der ökonomi-
schen Auswirkung im IT-Notfall dargestellt, die die zweite wesentliche Säule neben
den o. g. internen Kosten darstellt.
67 Ähnliche Leitfragen finden sich auch innerhalb einer Balanced Scorecard des IV-Controlling, vgl. Gabriel/Beier (2003), S. 147.
68 Zu Möglichkeiten der internen Leistungsverrechnung (z. B. Kostenumlage oder Verrechnungs-preise) vgl. Gabriel/Beier (2003), S. 122ff.
21
Hinsichtlich der oben identifizierten IT-Abhängigkeit schlägt Haase folgendes
Klassifikationsschema für IT-Systeme vor (vgl. Tabelle 3.1), das allerdings auf den
Zusatzaufwand bei IT-Ausfall und weniger auf die potenziellen Umsatzverluste
fokussiert.69
Bedeutung Beschreibung
Unter-stützend
Bei IT-Ausfall ist die Fachaufgabe bei geringem Mehraufwand mit anderen Mitteln (z. B. manuell) zu erfüllen. Der Ausfall des Verfahrens ist auch für einen langen Zeitraum tolerierbar.
Wichtig Die Fachaufgabe ist nur mit deutlichem Mehraufwand mit anderen Mitteln zu erfüllen. Der Ausfall des Verfahrens ist längere Zeit tolerierbar.
Wesentlich Die Menge der anfallenden Vorgänge/Informationen lässt lediglich ein fragmentarisches Erfüllen der Fachaufgabe mit den verfügbaren Ressourcen zu. Der Ausfall des Verfahrens ist nur für eine begrenzte Zeit tolerierbar.
Hochgradig notwendig
Die Fachaufgabe kann ohne IT-Einsatz überhaupt nicht durchgeführt werden. Kritische Applikationen können nicht durch manuelle Verfahren ersetzt werden. Die Ausfalltoleranz ist aufgrund des Schadenpotenzials sehr gering.
Tabelle 3.1: Klassifikationsschema für IT-Abhängigkeit
Nach dem vorgestellten Klassifikationsschema ergeben sich vier Arten von
IT-Abhängigkeiten (unterstützend, wichtig, wesentlich und hochgradig notwendig).
Wichtige Unterscheidungsmerkmale sind dabei die Möglichkeit der Nutzung von
manuellen Ersatzprozessen sowie der technische Automatisierungsgrad.
Zur weiteren Verdeutlichung werden diese Abhängigkeiten im Folgenden am
Beispiel des Geschäftsprozesses Vertrieb/Vermarktung, der bereits in Abschnitt 2.3
näher beschrieben wurde, analysiert. Hierzu soll der Hauptprozess ‚1.3 Auftrags-
abwicklung Endkundengeschäft’ illustrativ betrachtet werden (vgl. dazu die
Übersicht der zugehörigen Teilprozesse in Tabelle 3.2). Dieser Hauptprozess
umfasst die Betreuung der gesamten Auftragsabwicklung des Endkundengeschäfts
von der Auftragsannahme bis zur Auftragsfertigstellung.
69 Vgl. Haase (2007), S. 14.
22
Nr. Teilprozess Beschreibung
1.3.1 Auftragsannahme Annehmen eingehender Kundenaufträge, diese ins System eingeben und weiterleiten.
1.3.2 Einfordern einer Kundenvorauszah-lung70
Anfordern einer Vorauszahlung und Weiterleiten an Fakturierungsprozess.
1.3.3 Rufnummernreser-vierung
Annehmen der Wunschrufnummer/ des Rufnummernkreises des Kunden, auf Verfügbarkeit überprüfen und reservieren.
1.3.4 Zuweisung oder Portieren von Nummer/ Name/ Adresse
Zuweisen der Rufnummer zu einem Namen und einer Adresse oder Durchführen einer vom Kunden beantragten Portierung einer Nummer zu seinem Namen oder seiner Adresse.
1.3.5 Auftragsweiterlei-tung und Nachver-folgung des Auftragsstatus
Dokumentieren des Status der Auftragsabwicklung und Weiterleiten des Auftrags an den Produktkonfigurationspro-zess.
1.3.6 Auftragsfertigstel-lung und Kunden-benachrichtigung
Informieren des Kunden über die Fertigstellung seines Auftrags.
1.3.7 Einrichten der Fakturierung
Einleiten und Konfigurieren des Standardfakturierungsprozes-ses für sämtliche Folgezahlungen.
Tabelle 3.2: Teilprozesse bei Hauptprozess ‚1.3 Auftragsabwicklung Endkundenge-schäft’
Der Teilprozess ‚1.3.1 Auftragsannahme’ soll nun exemplarisch das Analyseobjekt
für die beispielhafte Anwendung des Untersuchungsrahmens bilden.
3.2 Leitfragen und deren beispielhafte Beantwortung
In diesem Abschnitt wird der o. g. Teilprozess ‚1.3.1 Auftragsannahme’ im Hinblick
auf die Abhängigkeiten von IT, Personal, Kunden- bzw. Geschäftspartnern und
Umsatz(potenzial) analysiert. Durch die Erarbeitung von Leitfragen sollen Untersu-
chungsdimensionen beschrieben werden, welche für eine grobe Analyse der
Geschäftsprozesse genutzt werden können.
70 Nach Kenntnis des Autors ist der Teilprozess 1.3.2 als optional zu betrachten, da nicht alle TK-Unternehmungen zwingend eine Vorauszahlung im Ablauf vorsehen.
23
3.2.1 Unterstützung durch IT
Für die Untersuchung der Geschäftsprozesse und deren IT-Unterstützung71
hinsichtlich der IT-Notfallvorsorge werden im Folgenden die entsprechenden
Leitfragen vorgeschlagen und beispielhaft beantwortet. Ziel dabei ist die Untersu-
chung der Abhängigkeit72 des Geschäftsprozesses von der IT-Verfügbarkeit.73
Nr. Leitfrage Beispielhafte Beantwortung
1. Durch welche IT-Komponenten wird der betrachtete Prozess unterstützt?
- Customer Relationship Management (CRM)74
- Produktkatalog
2. Welche weiteren Prozesse werden durch die identifizierten IT-Komponenten unterstützt?
- 3.1.1 Kundenbeziehungsmanagement
3. Welche Abhängigkeiten zu anderen IT-Komponenten bestehen (Eingabe bzw. Ausgabe-Abhängigkeit)?
- Ausgabe zu Auftragsverwaltung
4. Wie sind die einzelnen IT-Komponenten örtlich verteilt?
- CRM zentral an Standort A
- Produktkatalog zentral an Standort B
- Auftragsverwaltung dezentral an Standort A und C
5. Welche jährlichen Einsatzkosten pro IT-Komponente können anteilig zugeordnet werden?
- CRM = 5,0 Mio. Euro (etwa 10 Prozent der Gesamtkosten)
- Produktkatalog = 0,2 Mio. Euro (etwa 50 Prozent der Gesamtkosten)
Tabelle 3.3: Leitfragen ‚Unterstützung durch IT’75
71 Zur Analyse des Grades der IT-Abhängigkeit von den wertschöpfenden Geschäftsprozessen vgl. auch von Rössing (2005), S. 179.
72 Zur konzeptionellen Darstellung von Abhängigkeiten innerhalb von IT-Systemen vgl. Laprie (1995), S. 2ff.
73 Bereits in verhältnismäßig frühen Untersuchungen zur Risikoanalyse innerhalb der Informati-onstechnik wird die Abhängigkeit der Geschäftsprozesse von den IT-Komponenten analysiert. Rainer et al. empfehlen hierzu sowohl die Untersuchung der direkten Abhängigkeiten als auch die Auswirkungen auf andere Prozesse bzw. organisatorische Einheiten. Für die anschließende Risikoanalyse wird ein 8-stufiges Verfahren empfohlen, das quantitative und qualitative Me-thoden kombiniert. Vgl. Rainer et al. (1991), S. 140ff.
74 Ein CRM-System kann in die Klasse der operativen DV-Anwendungssysteme eingeordnet werden.
75 Weitere mögliche Leitfragen für die Bewertung der technischen Aspekte im Rahmen der IT-Notfallvorsorge können einer ähnlichen Übersicht entnommen werden, vgl. Hirsch-mann/Romeike (2004), S. 17f.
24
Abschließend ist zu bemerken, dass eine umfassende Betrachtung aller beteiligten
IT-Systeme und deren Abhängigkeiten notwendig ist, da sowohl Geschäftsprozesse
als auch deren IT-Unterstützung oftmals miteinander verknüpft sind.76
3.2.2 Unterstützung durch Personal
Im Folgenden wird die Unterstützung durch Personal untersucht. Auch hierzu
werden Leitfragen vorgeschlagen und beispielhaft beantwortet.
Nr. Leitfrage Beispielhafte Beantwortung
1. Wie viel Personal unterstützt den Prozess und welche jährlichen Kosten fallen an?
- 200 Personaleinheiten77
- 60.000 Euro Personalvollkosten pro Jahr
2 Welcher Anteil des Geschäftspro-zesses kann bei Ausfall der IT-Unterstützung manuell bearbeitet werden? Unter welchen Bedingun-gen?
- Annahme der Aufträge möglich, jedoch mit erhöhtem Aufwand für eine Nachbearbei-tung z. B. 50 Prozent.
Tabelle 3.4: Leitfragen ‚Unterstützung durch Personal’
Die erarbeiteten Leitfragen haben zum Ziel, die Möglichkeiten der Nutzung
manueller Ersatzprozesse zu untersuchen. Hierbei sind notwendige Nebenbedin-
gungen und potenzielle Arbeitsszenarien zu analysieren.
3.2.3 Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern
Bei der Untersuchung der Geschäftsprozesse und deren Abhängigkeiten von
Kunden bzw. Geschäftspartnern ist zu beachten, dass insbesondere bei
TK-Unternehmungen die Erreichung einer hohen Kundenbindung zu den Hauptbe-
standteilen der Strategie gehört. Von Harrach stellt hierzu im Kontext von Vodafo-
ne D2 fest, dass das Kundenwertmanagement zentraler Dreh- und Angelpunkt für
76 Für einen entsprechenden Überblick von integrierten Anwendungssystemen vgl. Mertens et al. (2001), S. 96ff.
77 Es wird von 20.000 Aufträgen pro Tag mit einer Brutto-Bearbeitungszeit (inkl. Pausen, etc.) von durchschnittlich je fünf Minuten ausgegangen. Bei einem Arbeitstag von acht Stunden werden dafür etwa 200 Mitarbeiter benötigt.
25
die Umsetzung der Konzernstrategie ist und damit nachhaltig den Unterneh-
mungswert beeinflusst.78
Im Folgenden werden entsprechende Leitfragen vorgeschlagen und beispielhaft
beantwortet.
Nr. Leitfrage Beispielhafte Beantwortung
1. Welche Abhängigkeit (z. B. vertraglich) von Kunden liegt vor?
- Die Auftragsannahme ist ein kundenbezogener Prozess und stellt damit eine direkte Abhän-gigkeit zum Kunden dar.
- Der IT-Ausfall führt zu Kundenunzufrieden-heit.79
2. Welche Abhängigkeit (z. B. vertraglich) von Geschäftspart-nern liegt vor?
- Der betrachtete Teilprozess fokussiert auf Endkunden, damit ist keine direkte Abhängig-keit von Geschäftspartnern vorhanden.
Tabelle 3.5: Leitfragen ‚Externe Abhängigkeiten von Kunden bzw. Geschäftspart-nern’
Ziel dieser Leitfragen ist insbesondere die Untersuchung der Kundennähe und
damit der möglichen Auswirkungen auf Kundenzufriedenheit oder Ansehen der
Unternehmung. Ebenso sind vertragliche Aspekte zu betrachten, um haftungsrecht-
liche Besonderheiten eines Geschäftsprozesses zu berücksichtigen.
3.2.4 Umsatzabhängigkeit
Im Kontext der Umsatzabhängigkeit ist in erster Linie zu untersuchen, an welcher
Stufe des Wertschöpfungsprozesses eine Beeinträchtigung erfolgt, falls IT-Systeme
ausfallen. Dazu werden untenstehende Leitfragen vorgeschlagen.
78 Vgl. Scheele/Kühl (2003), S. 683.
79 Die Kundenbetreuung als sekundäre Dienstleistung stellt bei TK-Unternehmungen einen wichtigen Erfolgsfaktor zur Herstellung hoher Kundenzufriedenheit dar. Vgl. Rams (2001), S. 172.
26
Nr. Leitfrage Beispielhafte Beantwortung
1. Inwieweit ist bei einem gestörten Ablauf innerhalb des Prozesses eine Auswirkung auf den Umsatz zu erwarten?
- Gefahr des einzelnen Auftragsverlusts
- Gefahr des gesamten Kundenverlusts, falls ein Kunde aufgrund von Unzufriedenheit alle vertraglichen Verpflichtungen auflöst
- Gefahr des kurzfristigen Umsatzverlustes durch Verzögerung der Bereitstellung80
2. Welche Bedeutung haben die potenziell verlorenen Umsätze für das Kerngeschäft der Unterneh-mung?
- Die potenziellen Umsatzverluste (Nut-zungsentgelte) betreffen das Kerngeschäft einer TK-Unternehmung.
- Eine direkte Auswirkung auf den wichtigs-ten Geschäftsprozess Netzbetrieb ist jedoch nicht festzustellen.
Tabelle 3.6: Leitfragen ‚Umsatzabhängigkeit’
Die Umsatzabhängigkeit ist zentraler Analysepunkt der Untersuchung von Abhän-
gigkeiten im Zusammenhang mit IT-Ausfällen. Je intensiver eine Beteiligung an den
wesentlichen wertschöpfenden Kerngeschäftsprozessen vorliegt, desto erfolgskriti-
scher ist die IT-Abhängigkeit einzuschätzen.
3.3 Kritische Würdigung des Untersuchungsrahmens
Mit dem vorgestellten Untersuchungsrahmen kann mit begrenztem Aufwand eine
Bewertung der IT-Abhängigkeit eines Geschäftsprozesses erfolgen. Eine solche
Einschätzung kann beispielsweise genutzt werden, um Aufwandsbegrenzungen für
eine folgende tiefer gehende Untersuchung festzulegen. Dies kann maßgeblich zur
Effizienz des Gestaltungsprozesses für eine IT-Notfallvorsorge beitragen. Hierbei
sind insbesondere die anteiligen IT-Kosten zu berücksichtigen.
Es muss allerdings eingeschränkt werden, dass keine Untersuchung von techni-
schen Systemabhängigkeiten durchgeführt wird, die eine Betrachtung unterschied-
80 Bei einer verzögerten Bereitstellung eines Anschlusses entfallen einerseits Grundgebühren und andererseits Nutzungsentgelte.
27
licher Notfallszenarien auf Mikro-Ebene vorbereitet.81 Eine solche Analyse wird im
vorliegenden Kontext auch nur begrenzt empfohlen, da insbesondere bei komple-
xen und vernetzten IT-Systemen eine solche Betrachtung aufwändig ist.82
Demgegenüber kann jedoch mit verhältnismäßig geringem Aufwand eine Einschät-
zung der Auswirkung eines IT-Ausfalls auf die Geschäftsprozesse erreicht werden.
Zudem erlaubt das Modell eine schnelle Aufnahme von quantitativen Größen, um
deren Einordnung in den Gesamtkontext zu ermöglichen und diese für eine spätere
Wirtschaftlichkeitsbetrachtung bereitzustellen. So wird beispielsweise ein Richtwert
der anteiligen IT-Kosten des untersuchten Geschäftsprozesses ermittelt. Dieser
Richtwert kann später gemeinsam mit der Abschätzung des Folgeschadens bei
IT-Ausfall und der Kosten der unterschiedlichen Instrumente der IT-Risikosteuerung
als Referenz zur Entscheidungsunterstützung herangezogen werden.
81 Dabei wird davon ausgegangen, dass eine technische Detailbetrachtung innerhalb der IT-Sicherheitskonzeption erfolgt, in deren Rahmen grundlegende IT-Sicherheitsmaßnahmen gestaltet werden. Ziel der hier betrachteten Voranalyse zur Gestaltung einer IT-Notfallvorsorge ist dabei die Identifikation strategischer Gestaltungsansätze, bei der eine Analyse auf Makro-Ebene ausreicht.
82 Vgl. Grabowski et al. (2000), S. 651.
29
4 Interne und externe Einflussfaktoren bei der Gestaltung der IT-Notfallvorsorge
Die Anforderungen an die Gestaltung einer IT-Notfallvorsorge lassen sich aus
unterschiedlichen Einflussfaktoren ableiten, die in Abschnitt 4.1 allgemein unter-
sucht und anschließend für den Gegenstand einer TK-Unternehmung in Abschnitt
4.2 TK-spezifisch analysiert werden.
4.1 Unternehmungsinterne und -externe Einflussfaktoren
Ein umfangreiches Verständnis der Einflussfaktoren im Kontext der
IT-Notfallvorsorge ist notwendig, um bei dessen Gestaltungsprozess relevante
Anforderungen sowie die Beteiligten und deren Interessen berücksichtigen zu
können.
Dabei stellt die Ableitung von Einflussfaktoren eine Detaillierung der Ziele des
betrieblichen Risikomanagements dar. Im Folgenden werden dazu unternehmungs-
interne und -externe Einflussfaktoren83 differenziert (vgl. Abbildung 4.1), die je
nach Unternehmungskontext in unterschiedlicher Kombination und Ausprägung
vorliegen können.
83 Zur empirischen Untersuchung von internen und externen Einflussfaktoren im Bereich der Notfallvorsorge vgl. auch Lalwani (2006), S. 8. Nach dieser Umfrage sieht der Großteil der Befragten die Kundenzufriedenheit und die gesetzlichen Anforderungen als wichtigste externe Einflussfaktoren an.
30
Einfluss-
faktoren
Intern
Extern
Richtlinien
Nachbereitung von
internen Notfällen
Prüfungsfest-
stellungen
� Richtlinie der IT-Sicherheit
� Richtlinie zu (IT-)Risikomanagement
� Ausfall eines geschäftskritischen IT-
Systems
� Interne Revision
� Wirtschaftsprüfung
Kunden bzw.
Geschäftspartner
� Lieferkette
� Elektronischer Geschäftsverkehr
Kunden bzw.
Geschäftspartner
� Lieferkette
� Elektronischer Geschäftsverkehr
Gesetze und
Regularien
� Aktiengesetz
� MaRisk, Sarbanes-Oxley
Gesetze und
Regularien
� Aktiengesetz
� MaRisk, Sarbanes-Oxley
Offizielle Standards� IT-Grundschutz-Kataloge
� CObIT, ITIL
Offizielle Standards� IT-Grundschutz-Kataloge
� CObIT, ITIL
Branchenvergleich� Aussage eines Analysten
Branchenvergleich� Aussage eines Analysten
Nachbereitung von
externen Notfällen
� IT-Ausfall bei einer
KonkurrenzunternehmungNachbereitung von
externen Notfällen
� IT-Ausfall bei einer
Konkurrenzunternehmung
Abbildung 4.1: Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge
Interne Einflussfaktoren ergeben sich meist aus Abläufen oder Vorgaben, zu
denen sich die Unternehmung selbst verpflichtet hat.
- Viele Unternehmungen unterziehen sich der Prüfung interner Prozesse bzw.
Vorgaben. Hieraus können sich Feststellungen ergeben, die beispielsweise
durch die interne Revision beschrieben werden, welche im Rahmen ihrer Tätig-
keiten geschäftskritische IT-Risiken identifiziert, die eine Weiterbearbeitung
erfordern. Auch externe Prüfer (z. B. Beratungen, Wirtschaftsprüfungen84) kön-
nen im Rahmen ihrer Aufgaben einen Handlungsbedarf definieren, der von der
Geschäftsleitung aufgenommen und nachbearbeitet werden muss.
84 Auf dem deutschen Markt sind vier große (oftmals auch bezeichnet als Big Four) Wirtschaf-tungsprüfungsgesellschaften (d. h. Deloitte & Touche, KPMG, PricewaterhouseCoopers, Ernst & Young) tätig, die meist mit einem Schwerpunkt auf Sarbanes-Oxley auch Aspekte der IT-Notfallvorsorge betrachten. Vgl. Deloitte (2007); KPMG (2007); PwC (2007); EY (2007).
31
- Weiterhin definieren Unternehmungen Richtlinien85 im Bereich der IT-Sicherheit
oder des IT-Risikomanagements, aus denen sich konkrete Anforderungen für
die IT-Notfallvorsorge ableiten lassen; diese Richtlinien können beispielsweise
an die IT-Grundschutz-Kataloge angelehnt sein.86
- Auch in der Nachbereitung von intern aufgetretenen und geschäftskritischen
Notfällen erfolgt i. A. eine direkte Umsetzung von Vorsorgemaßnahmen für
IT-Notfälle. So kann eine aufgetretene interne Störung innerhalb des IT-Systems
mit signifikanter ökonomischer Auswirkung den Anstoß für eine erneute Prü-
fung der Effektivität der bestehenden IT-Notfallvorsorge darstellen.
Externe Anforderungen treten aufgrund unterschiedlicher externer Ursachen auf
und können verpflichtenden Charakter haben.
- Eine solche verpflichtende Anforderung kann sich durch Kunden- bzw. Ge-
schäftspartner ergeben, falls über vertragliche Vereinbarungen ein bestimmter
Reifegrad an IT-Notfallvorsorge zur Risikoüberwälzung abgestimmt ist.87 Als ein
Beispiel kann die extern eingekaufte IT-Dienstleistung genannt werden, bei der
die Dienstgütevereinbarung einen adäquaten IT-Notfallbetrieb oder eine Ver-
tragsstrafe bei Nicht-Einhaltung einfordert.
- Andere Anforderungen resultieren aus verpflichtenden gesetzlichen Vorgaben88,
wie beispielsweise aus dem AktG oder KonTraG.89 Hierbei kann indessen fest-
85 Diese Richtlinien werden aus der IT-Sicherheitsstrategie abgeleitet. „Die Sicherheitsstrategie eines Systems oder einer organisatorischen Einheit legt die Menge von technischen und orga-nisatorischen Regeln, Verhaltensrichtlinien, Verantwortlichkeiten und Rollen sowie Maßnah-men fest, um die angestrebten Schutzziele zu erreichen.“ Eckert (2003), S. 20. Neben der dargestellten strategischen Ebene müssen im Bereich der IT-Sicherheit insbesondere auch takti-sche und operative Aufgaben durchgeführt werden. Vgl. Werners/Klempt (2005), S. 2f.
86 Zum Beispiel Maßnahme ‚6.1 Erstellung einer Übersicht von Verfügbarkeitsanforderungen’, vgl. BSI (2007a), Abschnitt Maßnahmen-Kataloge.
87 Beispielsweise fordert MaRisk, dass bei Banken, die externe IT-Dienstleister beauftragen, eine abgestimmte IT-Notfallplanung durchzuführen ist, die den vollständigen Prozess der Leistungs-erbringung umfasst.
88 Die Verantwortlichkeiten im Bereich der IT-Sicherheit (und damit auch der IT-Notfallvorsorge) können aus gesetzlichen Anforderungen abgeleitet werden. Dabei wird zwischen Regelungs- bzw. Handlungsbedarf und Kontrollpflichten unterschieden. Beteiligte sind der Aufsichtsrat, der Vorstand, der Datenschutzbeauftragte und der IT-Leiter. Für weitere Einzelheiten speziell auch zu Aspekten der persönlichen Haftung, vgl. BITKOM (2005), S. 8ff.
32
gestellt werden, dass diese Vorgaben keine direkte Umsetzung von (techni-
schen) Notfallmaßnahmen selbst fordern, sondern lediglich die Durchführung
einer angemessenen90 IT-Notfallvorsorge im Rahmen des betrieblichen Risiko-
managements unter Berücksichtigung von Wirtschaftlichkeitsaspekten. Dies
kann beispielsweise zur Folge haben, dass aufgrund hoher Kosten für die Not-
fallvorsorge und weil die Bedrohungslage als gering eingeschätzt wird, die Um-
setzung von Maßnahmen als nicht notwendig angesehen wird. Auch regulatori-
sche Vorgaben wie Sarbanes-Oxley (SOX)91, Basel II92 oder MaRisk93
behandeln den Aspekt der Notfallvorsorge. Insbesondere SOX hat zu einer
deutlich gestiegenen Sichtbarkeit von IT-Sicherheit innerhalb der Geschäftslei-
tungen geführt. Dies unterstreicht eine aktuelle Untersuchung von Gordon
et al., die empirisch nachweisen, dass SOX zu einer vermehrten Veröffentli-
chung von Unternehmungsaktivitäten im Bereich der IT-Sicherheit geführt
hat.94 Allerdings sind innerhalb der Sektion 40495 von SOX nur rudimentäre
Vorgaben hinsichtlich der Durchführung der IT-Notfallvorsorge für buchfüh-
rungsrelevante IT-Systeme ableitbar. Ähnlich wie bei den o. g. gesetzlichen
Vorgaben wird auch hier keine Umsetzung von spezifischen Maßnahmen ge-
fordert. Lediglich MaRisk fordert bei einer Nutzung externer IT-Dienstleister
89 Vgl. Köhler (2007), S. 334.
90 Allerkamp (2007), S. 1: „Konsequenzen aus Compliance-Verpflichtungen gehören in die kostenorientierte Business Continuity Planung“.
91 Vgl. Köhler (2007), S. 337.
92 Vgl. ausführlich Hofmann (2006), S. 93ff.; Lux (2005), S. 161.
93 „Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß mög-licher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweili-gen Verantwortlichen mitzuteilen.“ BaFin (2006), S. 10; vgl. ähnlich auch bei Hofmann (2006), S. 121.
94 Vgl. Gordon et al. (2006), S. 2ff.
95 Zur konzeptionellen Beschreibung der Einrichtung sowie Dokumentation eines internen Kontrollsystems nach Sektion 404 von SOX und zu empirischen Erkenntnissen für deutsche Unternehmungen vgl. Glaum et al. (2006), S. 43ff.
33
eine abgestimmte Notfallplanung, die jedoch auch nicht explizit die Umsetzung
einer technischen Ersatzinfrastruktur bedingt.
- Möglicherweise ergibt sich auch extern ausgelöster Handlungsbedarf durch eine
ungenügende Vorsorge im Branchenvergleich. Damit könnten signifikante
Wettbewerbsnachteile bei Eintritt eines Ereignisses entstehen, das mehrere
Unternehmungen betrifft.
- Ebenso kann eine Verpflichtung zur Einhaltung offizieller Standard (z. B. ITIL,
CObIT) eine daran angelehnte Vorgehensweise zur Erreichung einer
IT-Notfallvorsorge zur Folge haben. Hierzu werden die Richtlinien der Standards
an die unternehmungsspezifischen Gegenbenheiten angepasst.
- Auch nach Eintritt eines Großschadens in einer fremden Unternehmung kann
die Sensibilität innerhalb der eigenen Geschäftsleitungen steigen. Gerade tragi-
sche Großereignisse (z. B. der Terroranschlag auf das World Trade Center im
Jahr 2001)96 werden oftmals zum Anlass genommen, den Reifegrad der eige-
nen Notfallvorsorge zu prüfen. Hierbei besteht jedoch die Gefahr einer Über-
bewertung aufgrund kurzfristig und situationsspezifisch erhöhter Wahrnehmung
einer geschäftskritischen Bedrohungslage.
Zusammenfassend lässt sich festhalten, dass eine Vielzahl unterschiedlicher
Einflussfaktoren mit meist wenig konkreten Anforderungen identifiziert werden
können. Dies unterstreicht die Notwendigkeit einer Detaillierung im jeweiligen
Unternehmungskontext, die im Folgenden TK-branchenspezifisch durchgeführt
wird.
96 Die amerikanische Börse hat im Nachgang des Terroranschlags vom 11. September 2001 ein sogenanntes „Interagency Paper“ veröffentlicht, in dem die Robustheit des US-Finanzsystems gegenüber Krisen untersucht wurde. In diesem wurde den Unternehmungen aus der Finanz-dienstleistungsbranche geraten, binnen angemessener Frist adäquate Notfallvorsorgemaßnah-men umzusetzen. Vgl. von Rössing (2005), S. 42; zu den Auswirkungen des Terroranschlags auf die Versicherbarkeit betreffender Risiken vgl. Goßner (2002), S. 6f.
34
4.2 Konkretisierung besonders relevanter Einflussfaktoren am Beispiel einer TK-Unternehmung
Im vorausgehenden Abschnitt wurden unterschiedliche potenzielle Einflussfaktoren
im Kontext der IT-Notfallvorsorge allgemein beschrieben, von denen im Folgenden
einzelne Punkte näher am Beispiel einer TK-Unternehmung analysiert werden.97 Da
der Schwerpunkt dieser Untersuchung auf dem IT-System liegt,98 wird hier explizit
nicht das TK-Netz und dessen spezifische Anforderungen an die Notfallvorsorge
betrachtet.
- Ein interner Einflussfaktor, der viele Unternehmungen veranlasst, die vorhande-
ne Gestaltung ihrer IT-Notfallvorsorge zu überprüfen, besteht in der Aufarbei-
tung eines bereits vorgefallenen IT-Ausfalls oder einer signifikanten Störung. Im
Hinblick auf eine TK-Unternehmung könnte dies beispielsweise kundennahe
Prozesse wie die Beratung im Call Center oder die Auftragsannahme in einer
Filiale betreffen, die ohne IT-Unterstützung nur begrenzt möglich sind. Alterna-
tiv könnten buchführungsrelevante Controlling-Prozesse zum Monatsende
durch den Ausfall notwendiger, Daten liefernder IT-Systeme massiv gestört
werden. Vor allem wenn diese Störungen der Geschäftsführung bekannt wer-
den, erreicht das Qualitätsmerkmal IT-Verfügbarkeit und damit verbundene
Aspekte der Notfallvorsorge eine deutlich erhöhte Sichtbarkeit.
- Ähnliche Relevanz ergibt sich für die IT-Notfallvorsorge im Zuge von Unter-
nehmungsaktivitäten, die kritische externe Schnittstellen zu Geschäftspartnern
oder Kunden bedienen. Besonders wenn vertragliche Verpflichtungen eine hohe
Dienstgüte vorsehen und Strafzahlungen vereinbart wurden, muss ein Vorsor-
geniveau erreicht werden, das im angemessenen Verhältnis zu den betroffenen
Wertschöpfungsaktivitäten steht. Beispielsweise vertreiben einige Netzbetreiber
(z. B. DTAG) Teile ihrer Infrastruktur an sogenannte Wiederverkäufer. Hierbei
ist speziell die Verfügbarkeit der Bereitstellungsprozesse von hoher Bedeutung.
97 In der betrieblichen Praxis ist eine solche umfassende Aufnahme der Anforderungen als erfolgskritisch für den gesamten Gestaltungsprozess der IT-Notfallvorsorge anzusehen.
98 Vgl. Abschnitt 2.2.
35
Oftmals werden hierzu hohe Vertragsstrafen festgelegt, die die Notwendigkeit
einer hochverfügbaren IT-Unterstützung verstärken. Andere Beispiele können
im Endkundensegment genannt werden, wo in den Allgemeinen Geschäftsbe-
dingungen (ABG) maximale Entstörzeiten festgeschrieben sind, die bei Nicht-
Einhaltung eine Gutschrift erfordern.99
- Gesetzliche Anforderungen aus AktG und KonTraG sind insofern relevant, als
hier ein sogenanntes Risikomanagement-System eingefordert wird, das be-
standsgefährdende Risiken100 erkennen und steuern soll. Dies umfasst auch
IT-Risiken und in erster Linie solche mit hoher Auswirkung, d. h. Notfälle. Wich-
tig für die Unternehmung ist hierbei die Etablierung von Arbeitsabläufen unter
Beteiligung der Fachverantwortlichen, die Arbeitsergebnisse und Entscheidun-
gen dokumentieren. Eine besondere und interpretationsbedürftige Sachlage
ergibt sich aus Sarbanes-Oxley für TK-Unternehmungen, die selbst oder deren
Teilgesellschaften an den amerikanischen Börsen notiert sind. Hierbei wird ge-
fordert, dass alle IT-Systeme, die buchführungsrelevante Informationen verar-
beiten,101 sowohl in Funktionalität als auch im Rahmen ihrer Datenverfügbar-
keit so aufgebaut sind, dass notwendige Arbeitsprozesse zeitgerecht und
ordnungsgemäß erfolgen können.
- Ein weiterer Einflussfaktor kann sich aus einem Branchenvergleich ergeben, der
beispielsweise extern durch eine Beratungsunternehmung oder intern durch
einen Abgleich mit Aussagen von Industrie-Analysten102 aufgekommen ist.
Hierbei ist eine weitestgehende Vergleichbarkeit der betrachteten Geschäfts-
99 So beispielsweise oftmals bei privaten DSL-Anschlüssen.
100 Für eine Unternehmung ist dabei das finanzielle Ausmaß der Bestandsgefährdung (d. h. Wesentlichkeitsgrenze) ausgehend von Finanz-, Ertrags- und Vermögensgrößen zu bestimmen. Dabei ist die Wesentlichkeitsgrenze kaskadenförmig entlang der Risikomanagement-Organisation auf die einzelnen Betrachtungsbereiche abzubilden. Vgl. Wolf (2003), S. 53f.
101 In der betrieblichen Praxis ist die Auswahl der relevanten IT-Systeme oftmals strittig. Der Interpretationsspielraum betrifft sowohl die Buchführungsrelevanz der betroffenen IT-Systeme als auch die konkret notwendige Ausprägung der Notfallvorsorge. Hierzu ist für die Unerneh-mung eine enge Abstimmung mit den zuständigen Wirtschaftsprüfungsgesellschaften notwen-dig, um deren Anforderungen an eine Prüfung zu genügen.
102 Industrie-Analysten untersuchen branchenspezifische bzw. technologische Momentaufnahmen und Entwicklungen, vgl. dazu Gartner (2007); IDC (2007); Forrester (2007).
36
prozesse und zugehöriger Rahmenbedingungen notwendig. Beispielsweise kann
eine TK-Unternehmung einen Wettbewerbsvorteil erlangen, wenn bei einer
überregionalen und nicht physischen Gefährdungslage (z. B. Computervirus) die
eigenen IT-Systemen eine Auftragsbearbeitung ermöglichen, wohingegen die
Konkurrenz mehrtägige Ausfälle zu verzeichnen hat.
- Die Relevanz offizieller Standards (wie ITIL, CObIT, IT-Grundschutz-Kataloge)
ist auch bei TK-Unternehmungen unterschiedlich einzuschätzen. Dabei orientie-
ren sich deutsche Unternehmungen wie die DTAG am IT-Grundschutz,103 nicht
originär-deutsche Unternehmungen beziehen sich meist auf internationale
Standards, die aber in beiden Fällen spezifisch für den jeweiligen Kontext aus-
geprägt werden.
Zusammenfassend lässt sich im Rahmen der TK-spezifischen Betrachtung feststel-
len, dass bei TK-Unternehmungen nur wenige spezifische Einflussfaktoren zu
identifizieren sind, insbesondere können keine IT-relevanten gesetzlichen Vorgaben
abgeleitet werden.104 Aus diesem Grund ergibt sich der wesentliche Einflussfaktor
aus der speziellen Geschäftsprozessarchitektur. Beispielsweise ist das Kundenkon-
taktmanagement, das von hochverfügbaren IT-Systemen unterstützt wird, speziell
für eine TK-Unternehmung wichtig, da insbesondere an der Kundenschnittstelle
zurzeit ein erheblicher Verdrängungswettbewerb zu beobachten ist.
103 Die DTAG ist beim Bundesamt für Sicherheit in der Informationstechnik als Anwender des IT-Grundschutzes registriert. Andere TK-Unternehmungen (z. B. Vodafone, Arcor, E-Plus, O2) sind hier nicht aufgeführt. Vgl. BSI (2007c).
104 TK-relevante Anforderungen hinsichtlich Störungen, die zu einer erheblichen Beeinträchtigung von Telekommunikationsnetzen führen, enthalten die Sicherheitskataloge der Regulierungsbe-hörde, vgl. Geppert et al (2002), S. 394ff.
37
5 Modell zur Folgeschadenanalyse für die Bewer-tung der ökonomischen Auswirkung bei IT-Ausfall
Ein zentraler Untersuchungsbereich im Kontext der IT-Notfallvorsorge besteht in
der Bewertung der ökonomischen Auswirkung bei IT-Ausfall, die im Rahmen einer
Folgeschadenanalyse möglich ist.105 Im angelsächsischen Sprachgebrauch wird eine
solche Analyse meist als Business Impact Analysis (BIA) bezeichnet.106 In der
Literatur wird deren Bedeutung stets betont, ein umfassendes und strukturiertes
Modell, das auf quantitativen Größen basiert, wird dagegen bei kaum einem Autor
vorgestellt.107 Dies führt in der Konsequenz zu einer Vielzahl ungenauer Einschät-
zungen108 der ökonomischen Auswirkung bei IT-Ausfall und damit zu dem Hand-
lungsbedarf, der bereits an anderer Stelle109 abgeleitet wurde.
Gegenstand der folgenden Analyse ist die Erarbeitung eines strukturierten Modells
zur Folgeschadenanalyse und dessen beispielhafte Anwendung auf den Teilprozess
‚1.3.1 Auftragsannahme’.110
5.1 Methodik des Modells zur Folgeschadenanalyse
In der bisherigen Untersuchung wurde für die Gestaltung der IT-Notfallvorsorge
bereits die Bedeutung einer Orientierung an den wertschöpfenden Geschäftspro-
105 Für einen Beispielbericht einer Business Impact Analysis (BIA) mit einem IT-übergreifenden Betrachtungsschwerpunkt vgl. von Rössing (2005), S. 484.
106 Vgl. Köhler (2007), S. 147.
107 Für ein einfaches Berechnungsmodell vgl. Dübendorfer et al. (2004), S. 3f. Ein weiteres schematisches Modell für die Berechnung einer Kostensteigerung bei IT-Ausfall liefert der Bran-chenverband BITKOM, eine Bewertung von Umsatzverlusten wird hierbei jedoch nicht durch-geführt. Vgl. BITKOM (2006), S. 2.
108 Für Beispiele von kaum belastbaren empirischen Untersuchungen vgl. Eagle Rock Alliance (2001), S. 1; Patterson (2002), S. 3f.
109 Vgl. Wiedemann (2007b), S. 76ff.
110 Für ein weiteres Fallbeispiel aus der betrieblichen Praxis vgl. Wiedemann (2007a), S. 513ff.
38
zessen festgestellt.111 Auch die nun vorgestellte Folgeschadenanalyse beruht auf
diesem Entwurfsprinzip, um eine ökonomische Bewertung im Rahmen eines
dreistufigen Verfahrens vorzunehmen (vgl. Abbildung 5.1).
Stufe 3
Durchführung der
Bewertung
Stufe 2
Erarbeitung eines
Bewertungsmodells
Stufe 1
Ableitung von
Schadensdimensionen
Abbildung 5.1: Methodik des Modells zur Folgeschadenanalyse
Die Ziele und Aufgaben der drei Stufen:
1. Stufe: Aus Sicht des Geschäftsprozesses werden Schadensdimensionen112
abgeleitet, die unterschiedliche Arten von Auswirkungen beschreiben.113 Eine
mögliche Schadensdimension ist der Umsatzverlust, als eine weitere Dimension
könnte die Kundenunzufriedenheit genannt werden.114 Diese Identifikation muss
spezifisch für jeden Geschäftsprozess im Unternehmungskontext erfolgen.
2. Stufe: Anschließend wird für jede Schadensdimension ein möglichst quantitati-
ves Bewertungsmodell aufgestellt, das eine ökonomische Untersuchung der
Auswirkung ermöglicht. Hilfreich ist hier vor allem die Rückführung von indirekten
Schadensdimensionen auf quantifizierbare Größen mit direkt messbarer ökonomi-
scher Relevanz.115 Beispielsweise könnte der Ansehensverlust auf einen Kundenver-
lust und damit auf die Dimension Umsatzverlust abgebildet werden. Eine andere
111 Andere Ansätze vernachlässigen die Orientierung an den Geschäftsprozessen und haben zum Ziel, direkt eine (ordinale oder kardinale) Bewertung der IT-Systeme durchzuführen, ohne dabei die ökonomische Auswirkung eines IT-Ausfalls zu betrachten, vgl. Hofmann (2006), S. 228f.
112 Aktuelle Veröffentlichungen im angelsächsischen Bereich sprechen in diesem Zusammenhang von sogenannten „Critical Impact Factors“. Vgl. Su et al. (2006), Kap. 2.2.
113 Für Beispiele zu Folgen des IT-Ausfalls vgl. BITKOM (2006), S. 1.
114 Zur quantitativen Schadenmetrik vgl. Königs (2005), S. 16.
115 Zur Darstellung der Problemfelder des Messens und Bewertens von Informations- und Kommunikationssystemen, vgl. Pietsch (1999), S. 28ff.
39
Möglichkeit besteht darin, „weiche“ Dimensionen (z. B. Ansehensverlust) entweder
mit einem Überschlag zu beziffern oder auf einer Ordinalskala116 einzuschätzen.
3. Stufe: Im letzten Schritt erfolgt nun die quantitative ökonomische Bewertung.
Hierbei wird entweder auf vorhandenes Datenmaterial (z. B. aus der Prozesskos-
tenrechnung117 und/oder historische Umsatzzahlen) zurückgegriffen oder es
werden Schätzwerte durch Fachverantwortliche für die Geschäftsprozesse ermittelt.
Für die Datenerhebung können Befragungen, Interviews oder Dokumentationsana-
lysen durchgeführt werden.118 Die individuelle Einschätzung der Genauigkeit der
Schätzung i. S. e. Schwankungsbreite ist dabei zu dokumentieren.
Für die Durchführung einer Folgeschadenanalyse benennt von Rössing zwei
kritische Erfolgsfaktoren:119 Einerseits ist eine richtige und möglichst ausführliche
Datenerhebung notwendig, andererseits müssen mehrere Abteilungen einer
Unternehmung an der Auswertung mitarbeiten, um eine objektive Bewertung zu
ermöglichen.
Zusammenfassend lässt sich feststellen, dass bei der Anwendung der vorgestellten
Stufen ein angemessenes Maß an Genauigkeit und der dafür benötigte Aufwand in
ein Verhältnis zu setzen sind, welches das Wertschöpfungspotenzial des betrachte-
ten Geschäftsprozesses berücksichtigt. Dabei sollte die Ermittlung einer Größen-
ordnung des möglichen ökonomischen Schadens im Vordergrund stehen, um einen
Richtwert für die Investitionsentscheidung im Rahmen der Gestaltung der
IT-Notfallvorsorge zu erhalten.
116 Falls kein Überschlag möglich ist, kann das Ergebnis der Folgeschadenanalyse zweistufig gezeigt werden. Einerseits wird eine quantitative Schätzung der Folgeschäden dargestellt, an-dererseits erfolgt eine qualitative Einschätzung indirekter Auswirkungen, um damit geschäftskri-tische Abhängigkeiten identifizieren zu können.
117 In einem Call Center liegt beispielsweise meist sehr ausführliches Datenmaterial vor (z. B. Kosten pro Geschäftsfall, Dauer der Bearbeitung pro Geschäftsfall, Lösungsquote von Anfra-gen, Auslastung pro Mitarbeiter, Wartezeit des Kunden).
118 Zu grundsätzlichen Möglichkeiten der Datenerhebung vgl. Lehner et al. (1991), S. 247ff.
119 Vgl. von Rössing (2005), S. 61.
40
5.2 Vorgelagerte Strukturierung von Schadensphasen
Um die unterschiedlichen möglichen Schäden und deren Eintrittszeitpunkte
untersuchen zu können, ist eine schematische Einteilung eines IT-Notfallszenarios
im Zeitverlauf notwendig (vgl. Abbildung 5.2). Dabei wird die Dienstgüte120 d auf
der y-Achse in einer Funktion d = f(t) dargestellt.
Dienst-
güte d
Zeit t
a %
b %
P2
P3
P4
P5
Stabilisierung abgeschlossent6
Wiederherstellung abgeschlossent5
Entscheidung über Maßnahmen getroffent4
Notfall erkanntt3
Maximale negative Auswirkung erreichtt2
Notfall tritt eint1
EreignisZeitpunkt
Stabilisierung abgeschlossent6
Wiederherstellung abgeschlossent5
Entscheidung über Maßnahmen getroffent4
Notfall erkanntt3
Maximale negative Auswirkung erreichtt2
Notfall tritt eint1
EreignisZeitpunkt
P6
100 %
P1
t1
t2
t3
t4
t5
t6
d = f (t)
Abbildung 5.2: Schadensphasen im Zeitverlauf
Nach Eintritt eines Notfalls in t1 (P1) wird die maximale negative ökonomische
Auswirkung (Dienstgüte d = b %) in t2 (P2) erreicht.121 Diese Zeitdauer kann kurz
sein und wird im Rahmen der folgenden Untersuchung vernachlässigt. Die
120 Die Dienstgüte bezeichnet die Qualität eines Dienstes in Prozent.
121 Die maximale negative Auswirkung, d. h. minimale Dienstgüte bei Totalausfall, liegt vor bei d = 0 %.
41
Entdeckung des Notfalls kann in t3 (P3) erfolgen, wonach anschließend über
Sofortmaßnahmen bzw. nächste Schritte zur IT-Wiederherstellung122 zum Zeit-
punkt t4 (P4) entschieden wird.123 Anschließend werden die physische (Hardware)
und/oder nicht-physische (Software) Wiederherstellung der Einsatzfähigkeit des IT-
Systems in t5 (P5) mit Dienstgüte d = b % abgeschlossen. Nun kann eine weitere
Phase der Stabilisierung der Geschäftsprozesse (bzw. IT-Systeme) notwendig sein,
um anschließend in t6 (P6) den Normalbetrieb wieder aufnehmen zu können
(d = 100%).124 Die Darstellung des Notfallverlaufs sollte ergänzt werden um die
Bemerkung, dass eine IT-Wiederherstellung eine umfassende organisatorische
Koordination benötigt, die im Rahmen eines Notfallprozesses definiert sein
muss.125
Aus der Betrachtung eines Notfallszenarios im Zeitverlauf lassen sich nun drei
übergeordnete Schadensphasen ableiten, die einen ähnlichen Zustand bzw. Verlauf
der IT-Dienstgüte und damit der Restqualität des IT-gestützten Geschäftsprozesses
zeigen (vgl. Tabelle 5.1).
Nr. Anfang Ende Schadensphase
1 t2 t4 Maximalausfall auf minimale Dienstgüte d = b %
2 t4 t5 Wiederherstellung der IT-Systeme auf Dienstgüte d = a %
3 t5 t6 Stabilisierung und Rückführung auf Dienstgüte d = 100 %
Tabelle 5.1: Überblick der Schadensphasen
122 Für weitere Informationen zur Erstellung von Wiederanlauf- und Geschäftsfortführungsplänen vgl. Hofmann (2006), S. 230ff.
123 Ausgehend von der Lagebeurteilung erfolgt die Plan-Aktivierung. Für eine Übersicht entspre-chender Kriterien vgl. Königs (2005), S. 213f.
124 Eine ähnliche Strukturierung liefert der Branchenverband BITKOM und empfiehlt dazu die Beantwortung der vier nachfolgend aufgeführten Fragen. (1) In welchem Zeitraum muss die Anwendung wieder zur Verfügung stehen (RTO = Recovery Time Objective)? (2) Wie groß ist der maximal tolerierbare Datenverlust (RPO = Recovery Point Objective)? (3) In welchem Zeitraum muss die Anwendung wieder über das Netzwerk zugreifbar sein (NRO = Network Recovery Objective)? (4) Über welchen Zeitraum kann die Anwendung im eingeschränkten Betrieb (z. B. langsamere Antwortzeiten) betrieben werden (DOO = Degraded Operations Objective)? Vgl. BITKOM (2006), S. 2.
125 Vgl. Yuan/Detlor (2005), S. 95ff.
42
Innerhalb der 1. Schadensphase liegt Maximalausfall mit einer minimalen Dienstgü-
te d = b % vor; im Rahmen der Ergreifung von Maßnahmen zur
IT-Wiederherstellung in der 2. Schadensphase erfolgt eine (sukzessive) Verbesse-
rung auf Dienstgüte d = a %. Anschließend wird die IT in der 3. Schadensphase
stabilisiert und in den Normalbetrieb rückgeführt.
Die erarbeiteten o. g. Schadensphasen werden nun bei der Ableitung der Scha-
densdimensionen für eine weitere Strukturierung sowie Bewertung genutzt.
5.3 Stufe 1: Ableitung von Schadensdimensionen anhand eines beispielhaften Geschäftsprozesses
Nach der Ableitung allgemeiner Schadensdimensionen werden diese im vorliegen-
den Abschnitt spezifisch für den ausgewählten beispielhaften Teilprozess ‚1.3.1
Auftragsannahme’ analysiert (vgl. Abschnitt 5.1 und Abbildung 5.1).
Betrachtet man wissenschaftliche Veröffentlichungen und empirische Studien
unterschiedlicher Autoren, ist keine einheitliche Strukturierung von Schadensdi-
mensionen erkennbar.126 Gerade jedoch für den Zweck einer ökonomischen
Bewertung ist eine möglichst vollständige und überschneidungsfreie Darstellung
notwendig. Um anschließend Aspekte der Wirtschaftlichkeit einer
IT-Notfallvorsorge analysieren zu können, ist zudem eine quantitative Bewertung
vorzunehmen, die im betriebswirtschaftlichen Kontext vor allem den Abfluss von
Liquidität (d. h. Kostensteigerung) und verringerte Einzahlungen durch Umsatzver-
luste berücksichtigen sollte. In Abbildung 5.3 wird dazu eine Systematik für
Schadensdimensionen vorgeschlagen, wobei Normalbetrieb und Notfall unter-
schieden werden.
126 Su et al. nennen vier Schadensdimensionen (Finanzieller Verlust, Produktivitätsverlust, Ansehensverlust, Haftungsschäden).Vgl. Su et al. (2006), Kap. 2.2. Für einen weiteren Über-blick unterschiedlicher Klassifizierungsmöglichkeiten vgl. auch Zaborski (2007), S. 55ff.
43
Normalbetrieb Notfall
Umsatzverlust
Kostensteigerung
-x%
+y%
Verlust eines einzelnen Umsatzes
Verlust von Nutzungsentgelten/Grundgebühren
Verlust eines Neu- bzw. Bestandskundens
Mehrarbeit (Nacharbeit) und Überstunden
Zusatzpersonal
Vertragsstrafen
Umsatz
Kosten
z. B.
z. B.
Abbildung 5.3: Systematik von Schadensdimensionen in den Kategorien Umsatzver-lust und Kostensteigerung
Die identifizierten Schadensdimensionen können nun je Schadensphase qualitativ
bewertet werden (vgl. Tabelle 5.2). Dabei wird die Übersicht ergänzt um eine
weitere Schadenskategorie „Unzufriedenheit“, die nicht direkt monetär bewertbar
ist.
Schadensphase127 Schadens-kategorie
Schadensdimension
1 2 3
Kostensteigerung für die Geschäftsprozesse - - -
- Mehrarbeit (Nacharbeit) und Überstunden � � �
- Zusatzpersonal - � �
- Vertragsstrafen - - �
Kosten-steige-rung128
- Interne bzw. externe Kommunikation - � �
- Verlust eines einzelnen Umsatzes � � �
- Verlust von Nutzungsentgelten/Grundgebühren � � �
Umsatz-verlust
- Verlust eines Neu- bzw. Bestandskunden � � �
127 Vgl. Tabelle 5.1.
128 Kosten für die IT-Wiederherstellung (Sachkosten, Personalkosten und Kosten für evtl. eingesetzte externe Dienstleister) werden nicht betrachtet.
44
Schadensphase127 Schadens-kategorie
Schadensdimension
1 2 3
Unzufriedenheit der Geschäftsinteressenten129 - - -
- Kunden130 (Umsatz, externe Kommunikation131) - � �
- Mitarbeiter (Effizienz, interne Kommunikation) - � �
Unzu-friedenheit
- Anleger (Börsenwert132, externe Kommunikation) - � �
Tabelle 5.2: Systematik allgemeiner Schadensdimensionen
In der Tabelle werden die drei Schadenskategorien Kostensteigerung, Umsatz-
verlust und Unzufriedenheit unterschieden. In den drei rechten Spalten ist
weiterhin eine Einschätzung der Relevanz der jeweiligen Schadensdimension pro
Schadensphase nach Einschätzung des Autors dargestellt.133 Die Größe der Raute
beschreibt damit die qualitative Höhe der Auswirkung, ein Bindestrich bezeichnet
eine vergleichsweise geringe Ausprägung. Dabei ist die Schadensphase unabhängig
von der Notfalldauer, die einen weiteren Einflussfaktor für die Schadensentwick-
lung darstellt.
Insbesondere während der zweiten Schadensphase der Wiederherstellung werden
überdurchschnittliche Kostensteigerungen realisiert, da hier die Nicht-Verfügbarkeit
der IT-Systeme durch manuelle Ersatzprozesse kompensiert werden muss – falls
möglich. Umsatzverluste treten in allen Phasen auf, wobei grundsätzlich der
Verlust einzelner Posten den Verlust eines gesamten Kunden überwiegt. Im Bereich
der weichen Schadensdimensionen (Unzufriedenheit) ist interne und externe
129 Im Sinne eines sogenannten Stakeholders.
130 Rams versteht Kundenunzufriedenheit als Nachkaufphänomen, in dem sich widerspiegelt, wie der Kunde Produkte oder Dienstleistungen beurteilt, mit denen er zuvor Erfahrungen gesam-melt hat. Insofern stellt Zufriedenheit das Ergebnis einer ex-post Beurteilung dar und setzt ein konkretes, selbsterfahrenes Konsumerlebnis voraus.“ Rams (2001), S. 58.
131 In seinem Thesenpapier zur Krisenkommunikation fordert Obermeier: „Es müssen Anstrengun-gen unternommen werden, die Schäden in Bezug auf Corporate Identity, Corporate Image und das Branchenimage abzuwenden.“ Obermeier (2001), S. 16.
132 Für den japanischen Markt konnten Auswirkungen von IT-Sicherheitsvorfällen auf den Börsenkurs innerhalb der folgenden zehn Tage empirisch nachgewiesen werden. Vgl. Ishiguro et al. (2006), S. 1ff. Nur geringe Abhängigkeiten wurden in einer Untersuchung im amerikani-schen Markt beobachtet. Vgl. Campbell et al. (2003), S. 431ff.
133 Die qualitative Einschätzung wird gestützt von Erfahrungswerten aus Beratungsprojekten des Autors innerhalb der vergangenen fünf Jahre.
45
Kommunikation vor allem vermehrt während der Wiederherstellung notwendig. Ein
mittelfristiger Ansehensverlust ist bei Anlegern tendenziell erst in einer späteren
Schadensphase zu erwarten.
Wie schon oben angesprochen, wird hierzu empfohlen, dass Dimensionen aus der
Schadenskategorie Unzufriedenheit auf andere Bereiche übertragen werden, um
eine monetäre Quantifizierung durchführen zu können. Beispielsweise könnte die
Unzufriedenheit von Kunden an einem Umsatzverlust oder am Umfang der
durchzuführenden externen Kommunikation gemessen werden.
Im Weiteren erfolgt die beispielhafte Konkretisierung für den ausgewählten
Teilprozess. Um in der nachstehenden Darstellung die Relevanz der Schadensdi-
mensionen bewerten zu können, müssen hierzu im ersten Schritt Annahmen über
einen möglichen Ablauf während eines IT-Ausfalls für die Bearbeitung der Ge-
schäftsprozesse getroffen werden. Dazu wird für das exemplarische Notfallszenario
nun folgender Kontext definiert, der notwendig ist, um ein realistisches Szenario
für die operative Bearbeitung des Teilprozesses im IT-Notfall zu konstruieren:
1. Beide unterstützenden IT-Komponenten (Customer Relationship Manage-
ment134 und Produktkatalog) haben einen Totalausfall zu verzeichnen.
2. Ausschließlich das Privatkundensegment (d. h. Endkunden) ist betroffen, Groß-
bzw. Geschäftskunden i. S. d. Wiederverkäufers135 werden über das Vorleis-
tungsmanagement136 bedient.
3. Aufträge können im Normalbetrieb sowohl im Call Center oder in der Filiale
über Mitarbeiter angenommen sowie selbstständig durch den Kunden per In-
ternet oder Brief aufgegeben werden.
4. Trotz Ausfall der IT-Unterstützung ist eine lokale Arbeit an den Arbeitsplatz-
rechnern möglich und die Telefonanlage, Mail- sowie Faxfunktionalität stehen
zur Verfügung.
134 Mertens et al. (2001), S. 101.
135 Vgl. Geppert et al. (2002), S. 303f.
136 Vgl. Abschnitt 2.3.
46
5. Eine lange Notfalldauer (über 10 Tage)137 wird meist durch Großereignisse
ausgelöst, die hohe Medienpräsenz haben und dadurch aktiv an die Kunden
kommuniziert werden können. Dies kann möglicherweise Kunden- und Um-
satzverluste begrenzen.
6. Es erfolgt keine gesonderte Betrachtung von kritischen Zeitperioden (Weih-
nachten, Werbeaktionen, etc.). Diese liegen häufig vor und führen zu keiner
Schwankung von Aufträgen über 10 bis 20 Prozent.138
7. Die Datensicherung erfolgt bei den IT-Komponenten an einem zweiten
Standort, d. h. ein Verlust von bestehenden Kunden- bzw. Auftragsdaten ist
nicht zu erwarten.
Damit ergibt sich folgendes Szenario für die Bearbeitung der Auftragsannahme bei
IT-Ausfall:
Die Aufträge im Call Center und der Filiale werden bestmöglich manuell ohne
IT-Unterstützung aufgenommen. Aufgrund der höheren Bearbeitungszeit können
nicht alle Anfragen bearbeitet werden. Auch können manche Aufträge nur
teilweise oder gar nicht aufgenommen werden, da wesentliche Informationen
(z. B. Zusatzdaten aus dem Produktkatalog) nicht vorhanden sind. Gemeinsam mit
den Aufträgen per Post bzw. Internet werden diese gepuffert und je nach Kunden-
segment139 manuell in das System für Auftragslenkung eingepflegt. Dabei gehen
weitere Aufträge verloren, da Rückfragen erforderlich sind und hierfür der Kunde
nicht erreichbar ist. Für die manuelle Auftragseingabe werden Überstunden genutzt
und kurzfristig Zusatzpersonal aus Zeitarbeitsfirmen eingestellt.
Aus dem dargestellten Szenario und auf Basis der oben definierten Grundannah-
men ergibt sich folgende Ausprägung der Schadensdimensionen:
137 Zur Kategorisierung unterschiedlicher Notfalldauern vgl. Abschnitt 6.3.
138 Vodafone nennt erhöhten Sprachumsatz zur Weihnachtszeit, Mehreinnahmen im internationa-len Roaming in den Sommermonaten und einen geringeren Monatsumsatz im kurzen Februar, vgl. Vodafone (2006), S. 44.
139 Kundensegmente lassen sich aus Kundenwerten ableiten, vgl. dazu Abschnitt 5.5.5.
47
- Im Bereich der Kostensteigerung fallen sowohl Überstunden als auch weitere
Ausgaben für Zusatzpersonal an. Aufgrund der ausschließlichen Bearbeitung
von Privatkunden sind keine Vertragsstrafen zu erwarten.140 Zusätzliche interne
Kommunikation und ggf. Bonuszahlungen zum Ausgleich der Überstunden sind
notwendig, um die Mitarbeiterunzufriedenheit aufgrund hoher Arbeitsbelastung
zu reduzieren.141
- Hinsichtlich eines Umsatzverlustes sind alle drei identifizierten Schadensdi-
mensionen denkbar. In erster Linie besteht bei Aufträgen zu Endgeräten eine
erhöhte Wahrscheinlichkeit des direkten Verlusts, da hier zahlreiche alternative
Beschaffungskanäle (z. B. Elektronik-Warenhaus) genutzt werden können.
Denkbar ist ebenso, dass sowohl Bestandskunden als auch potenzielle Neukun-
den einen Anschlussauftrag bei einer anderen TK-Unternehmung abschließen.
Dies kann sich auf einen einzelnen Auftrag beziehen oder zu einem vollständi-
gen Bestandskundenverlust führen. Weiterhin ist bei einer Auftragsverzögerung
ein direkter Umsatzverlust (Nutzungsentgelt und Grundgebühr) während der
Nicht-Verfügbarkeit bzw. Verzögerung des neuen Anschlusses möglich.
- Schäden aus der Kategorie Unzufriedenheit werden indirekt im Bereich der
Kostensteigerungen und Umsatzverluste quantifiziert, um mittelbare Auswir-
kungen wie beispielsweise Kundenunzufriedenheit durch monetäre Schätzun-
gen unterlegen zu können. Eine solche Modellierung erfolgt auch bei von Rös-
sing: „Für die Business Impact Analysis ist der Reputationsverlust in erster Linie
Auslöser für damit zusammenhängende Umsatz- und Gewinnverluste.“142 Eine
solche Verknüpfung wird auch im folgenden Bewertungsmodell vorgeschlagen,
um eine monetäre Quantifizierung von Unzufriedenheit zu ermöglichen.
140 Bei anderen Geschäftsprozessen einer TK-Unternehmung könnten Vertragsstrafen jedoch eine signifikante Komponente des Folgeschadens darstellen. Beispielsweise erfordert der Entstörpro-zess einer TK-Netzkomponente eine vordefinierte maximale Bearbeitungszeit, da ansonsten Entschädigungen bzw. Gutschriften der Grundgebühren an den Kunden ausgezahlt werden müssen.
141 Weiterhin muss zusätzliche unternehmungsexterne Kommunikation durchgeführt werden, um den Ansehensverlust bei Anlegern und Kunden möglichst gering zu halten.
142 von Rössing (2005), S. 95.
48
Die identifizierten Ausprägungen der Schadensdimensionen bilden im Folgenden
die Grundlage für ein quantitatives Bewertungsmodell.
5.4 Stufe 2: Aufstellung eines Bewertungsmodells anhand eines beispielhaften Geschäftsprozesses
Für die Aufstellung des Bewertungsmodells müssen im ersten Schritt Schadensdi-
mensionen konkretisiert und deren Abhängigkeiten für den Zweck einer Quantifi-
zierung ermittelt werden. Diese Abhängigkeiten können anschließend verknüpft
und mit Daten für eine Berechnung unterlegt werden. Dabei werden zwei Arten
von Daten hinsichtlich ihrer Qualität unterschieden. Einerseits werden Grundda-
ten herangezogen, die der Unternehmung direkt und belastbar vorliegen. Anderer-
seits werden Schätzdaten genutzt, die durch Fachexperten gemeinsam bestimmt
werden und dadurch einer höheren Schwankungsbreite unterliegen.
Ausgehend von den vorgelagerten Untersuchungen ergeben sich nun folgende zu
quantifizierende Schadensdimensionen im Bereich der Kostensteigerung in Abhän-
gigkeit der Ausfalldauer, für deren Bewertung weitere Abhängigkeiten vorgeschla-
gen werden:
Schadensdimension Abhängigkeiten - Grunddaten
Abhängigkeiten - Schätzdaten
Mehrarbeit kmehrarbeit(l)
- Anzahl agesamt der Aufträge pro Tag
- Interne Personalkosten pint inkl. Überstundenzuschlag für Call Center pro Tag in Euro
- Ø Dauer d der Bearbeitung pro Auftrag in Minuten
- Anteil anach der Mehrarbeit für die Nachbearbeitung in %
- Anteil i (l) der Nacharbeit durch internes Personal in Abhängigkeit der Ausfalldau-er l in %
Zusatzpersonal
kzusatzpersonal(l)
- Externe Personalkosten pext pro Tag in Euro
- Anteil e(l) der o. g. Mehrarbeit durch externes Personal in Abhängigkeit der Ausfalldauer l (mit e(l) = 1 - i(l) ) in %
Tabelle 5.3: Abhängigkeiten der Schadensdimensionen im Bereich Kostensteige-rung
49
Damit lassen sich die Kostensteigerung kmehrarbeit(l) und kzusatzpersonal(l) durch IT-Notfall in
Abhängigkeit der Ausfalldauer l nach Formel (1a) und (1b) berechnen.143 Die
Erklärung der Variablen kann hier als auch im Folgenden den dargestellten Tabellen
entnommen werden.
)(860
)()1(
)(860
)()1(int
lepada
lkb
lipada
lka
extnach
gesamt
onalzusatzpers
nach
gesamt
mehrarbeit
⋅⋅⋅
⋅
⋅
=
⋅⋅⋅
⋅
⋅
=
Im Zusammenhang mit Umsatzverlusten werden folgende konkrete Schadensdi-
mensionen und deren Abhängigkeiten identifiziert:
Schadensdimension Abhängigkeiten - Grunddaten
Abhängigkeiten - Schätzdaten
Verlust eines einzelnen Umsatzes (Endgeräte) vendgerät(l)
- Anzahl aendgeräte der Endgeräte-aufträge
- Ø Umsatz uendgerät pro Endgerät in Euro
- Anteil v(l) der verlorenen Endgeräteaufträge in Abhän-gigkeit von der Ausfalldauer l in %
Verlust von Nut-zungsentgelten durch Verzögerung vverzögerung(l)
- Anzahl aanschluss der Anschluss-aufträge
- Ø Umsatz uanschluss pro Anschluss pro Tag in Euro
- Anteil k(l) der verlorenen Anschlussaufträge (d. h. Kunden) in Abhängigkeit von der Ausfalldauer l in %
- Länge der Verzögerung g(l) in Abhängigkeit von der Ausfalldauer l in Tagen
Gesamtverlust eines Bestandskunden bzw. Neukunden vkundenverlust(l)
- Anzahl aanschluss der Aufträge pro Tag
- Anteil k(l) der verlorenen Anschlussaufträge (d. h. Kunden) in Abhängigkeit von der Ausfalldauer l in %
- Ø Kundenwert144 w in Euro
Tabelle 5.4: Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste
Folgende Berechnungen zur Bestimmung der Umsatzverluste nach Formel (2a),
(2b) und (2c) sind innerhalb der Schadensdimension Umsatzverlust in Abhängig-
keit von der Ausfalldauer l möglich:
143 Der Quotient 60 � 8 = 480 stellt die Minuten pro Arbeitstag dar.
144 Zur Einordnung des Konzepts des Kundenwerts in den Kontext der vorliegenden Arbeit vgl. Abschnitt 5.5.5.
50
)()()2(
)())(1()()2(
)()()2(
lkwalvc
lglkualvb
lvualva
anschlussustkundenverl
anschlussanschlussanschluss
endgerätendgerätendgerät
⋅⋅=
⋅−⋅⋅=
⋅⋅=
In einer zusammenfassenden Formel (3) kann nun anschließend der Gesamt-
Folgeschaden sgesamt nach einem IT-Notfall in Abhängigkeit von der Ausfalldauer l
bestimmt werden.
)()()(
)()()()3(
lvlvlv
lklkls
ustkundenverlanschlussendgerät
onalzusatzpersmehrarbeitgesamt
++
++=
Als Fazit kann festgestellt werden, dass sowohl unterschiedliche Grund- als auch
Schätzdaten notwendig sind, um eine monetäre Bewertung vornehmen zu können.
Dabei ist ein angemessenes Maß an Genauigkeit zu nutzen, die bei der Datenerhe-
bung im Rahmen der Schätzungen bewertet werden sollte.145 Diese Bewertung
kann anschließend für eine Sensitivitätsanalyse146 herangezogen werden.
5.5 Stufe 3: Durchführung der Bewertung anhand eines beispielhaften Geschäftsprozesses
Innerhalb der dritten Stufe des Bewertungsmodells erfolgen nun die Ausprägung
der identifizierten Abhängigkeiten sowie die Berechnung des zeitlichen Verlaufs des
Folgeschadens und dessen mögliche Schwankungsbreiten147 im Rahmen einer
vereinfachten Sensitivitätsanalyse. Dabei soll durch die Berücksichtigung von
Schwankungsbreiten die Einschätzung der Genauigkeit der Eingabeparameter
modelliert werden. Dazu wird jeweils eine maximale, mittlere und minimale
145 Für die empirische Untersuchung zu Durchführungswegen der Datenerhebung im Rahmen einer Folgeschadenanalyse nennt Continuity Central die folgenden zwei häufigsten Methoden: 25 % der Befragten gaben an, die Daten mithilfe eines Fragebogens zu ermitteln, wohingegen 10 % der Befragten Einzelgespräche angaben. Für die gesamte Übersicht an Durchführungswe-gen vgl. Continuity Central (2003), S. 5f.
146 Eine Sensitivitätsanalyse untersucht den Einfluss einzelner (Eingabe-)Parameter auf das Modellergebnis. Vgl. Romeike (2004), S. 127.
147 Vgl. Gordon/Loeb (2006), S. 99.
51
Schadenskurve ermittelt. Im Folgenden wird die Bewertung anhand des bereits
ausgewählten beispielhaften Geschäftsprozesses für eine illustrative
TK-Unternehmung durchgeführt. Die Datengrundlage wird z. T. der Literatur
entnommen oder basiert auf Schätzungen des Autors.148 Dabei werden 20.000
Aufträge pro Tag angenommen, die sich in 15.000 Anschlussaufträge und 5.000
Aufträge für Endgeräte aufteilen.
5.5.1 Schadensdimension ‚Mehrarbeit’
Hinsichtlich des oben definierten Notfallszenarios stellt die Mehrarbeit eine interne
Kostensteigerung dar, die durch Nacharbeit von manuell aufgenommenen Aufträ-
gen während und nach der IT-Wiederherstellung anfällt. Dabei wird angenommen,
dass ab dem vierten Ausfalltag zusätzlich externes Personal herangezogen wird.
Diese Kosten werden im Rahmen der Schadensdimension ‚Zusatzpersonal’
bewertet. Annahmen der vorliegenden Schadensdimension können aus folgenden
Übersicht entnommen werden (vgl. Tabelle 5.5).
Datenart Abhängigkeit Ausprä-gung
Schwan-kungsbreite
# der Aufträge pro Tag 20.000 - Grunddaten
Interne Personalkosten inkl. Überstundenzuschlag für Call Center pro Tag in Euro149
300 -
Ø Dauer der Nachbearbeitung pro Auftrag in Minuten
5 20 %
% Mehrarbeit für die Nachbearbeitung 50 % 10 %
% der Nacharbeit durch internes Personal (1.-3. Tag)
100 % 0 %
% der Nacharbeit durch internes Personal (4.-10. Tag)
75 % 20 %
Schätzdaten
% der Nacharbeit durch internes Personal (11.-30. Tag)
50 % 20 %
Tabelle 5.5: Daten zur Schadensdimension ‚Mehrarbeit’
148 Einschränkend ist zu bemerken, dass die folgende Bewertung eine Verdeutlichung der Berechnungsmethodik darstellt, die z. T. auf illustrative Daten zurückgreift.
149 Bei 60.000 Euro internen Personalvollkosten pro Mitarbeiter im Call Center und 220 Arbeitstagen mit 10 % Überstundenzuschlag ergibt sich ein täglicher Kostensatz von etwa 300 Euro.
52
Die Berechnung ergibt kumulierte Folgekosten nach 30 Tagen von etwa 0,57
Millionen Euro, deren Genauigkeit nach den getroffenen Annahmen ab dem 4. Tag
nachlässt (vgl. Abbildung 5.4). Dies ergibt einen durchschnittlichen150 täglichen
Folgeschaden von etwa 19.000 Euro. Hier und im Folgenden werden in der
Abbildung drei Verläufe (Maximum, Median und Minimum) angezeigt.
0
100
200
300
400
500
600
700
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesc
had
en
s (
in T
au
sen
d E
uro
)
Abbildung 5.4: Kumulierter Folgeschaden zur Schadensdimension ‚Mehrarbeit’
In der Abbildung ist eine verminderte Steigung der ökonomischen Auswirkung ab
dem 4. Ausfalltag zu erkennen, da hier Zusatzpersonal zum Einsatz kommt und
zusätzlich notwendige Nacharbeiten von internem Personal übernehmen kann.
5.5.2 Schadensdimension ‚Zusatzpersonal’
Die Kostensteigerung durch Nutzung von Zusatzpersonal tritt ab dem 4. Tag auf,
da dieses nach den getroffenen Annahmen ab diesem Zeitpunkt herangezogen
wird, um die Nachbearbeitung zu unterstützen. Dabei wird ein externer Kostensatz
von 160 Euro zugrunde gelegt (vgl. Tabelle 5.6).
150 Hier und auch im Folgenden wird ausgehend von der illustrativen Berechnung ein durchschnitt-licher täglicher Folgeschaden angegeben. Aufgrund der nicht linear steigenden Auswirkung wird damit jedoch der Schaden in den ersten Tagen leicht überbewertet, was für eine Ein-schätzung der Größenordnung aber als akzeptabel erscheint.
53
Datenart Abhängigkeit Ausprä-gung
Schwan-kungsbreite
Grunddaten Externe Personalkosten151 pro Tag in Euro 160 -
Mehrarbeit pro Tag nach Abschnitt 5.5.1 in Personentagen
104 0 %
% der Nacharbeit durch internes Personal (1.-3. Tag)
0 % 0 %
% der Nacharbeit durch externes Personal (4.-10. Tag)
25 % 20 %
Schätzdaten
% der Nacharbeit durch externes Personal (11.-30. Tag)
50 % 20 %
Tabelle 5.6: Daten zur Schadensdimension ‚Zusatzpersonal’
Damit ergibt sich ein zusätzlicher kumulierter Folgeschaden von etwa 0,16
Millionen Euro nach 30 Tagen (vgl. Abbildung 5.5). Dies führt zu einem durch-
schnittlichen täglichen Folgeschaden von etwa 5.000 Euro.
0
20
40
60
80
100
120
140
160
180
200
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in T
au
sen
d E
uro
)
Abbildung 5.5: Kumulierter Folgeschaden zur Schadensdimension ‚Zusatzpersonal’
5.5.3 Schadensdimension ‚Verlust eines einzelnen Umsatzes’
Bei der Schadensdimension ‚Verlust eines einzelnen Umsatzes’ werden im Kontext
des vorliegenden Szenarios alle Arten von Endgeräteaufträge betrachtet, die über
das Call Center abgewickelt werden. Dabei wird von etwa 5.000 Aufträgen und
151 Es wird ein Stundenlohn von externem Zusatzpersonal von 20 Euro angenommen. Dies ergibt bei einem 8-Stundentag einen Tagessatz von etwa 160 Euro.
54
einem durchschnittlichen Umsatz pro Endgerät152 von 100 Euro ausgegangen. Der
Anteil der verlorenen Aufträge sowie dessen Schwankungsbreite steigt mit längerer
Notfalldauer (vgl. Tabelle 5.7).
Datenart Abhängigkeit Ausprä-gung
Schwankungs-breite
# der Aufträge für Endgeräte pro Tag 5.000 - Grunddaten
Ø Umsatz pro Endgerät in Euro 100 -
% verlorener Aufträge (1.-3. Tag) 5 % 20 %
% verlorener Aufträge (4.-10. Tag) 10 % 40 %
Schätzdaten
% verlorener Aufträge (11.-30. Tag) 20 % 60 %
Tabelle 5.7: Daten zur Schadensdimension ‚Verlust eines einzelnen Umsatzes’
Mit den getroffenen Annahmen ergibt sich ein kumulierter Folgeschaden von etwa
2,4 Million Euro nach 30 Tagen (vgl. Abbildung 5.6). Dies entspricht einem
durchschnittlichen täglichen Folgeschaden von etwa 81.000 Euro.
0
500
1000
1500
2000
2500
3000
3500
4000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in T
au
sen
d E
uro
)
Abbildung 5.6: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust eines einzelnes Umsatzes’
Bei einem absehbar längeren Ausfall sind überproportional mehr Auftragsverluste
zu verzeichnen, da durch die längere Verzögerung häufiger die Ersatzbeschaffung
des Endkunden über alternative Kanäle auftritt.
152 Die Endgeräte umfassen Telefone, Telefonanlagen und sonstiges Zubehör.
55
5.5.4 Schadensdimension ‚Verlust von Nutzungsentgelten’
Im Bereich des Verlusts von Nutzungsentgelten (und ggf. Erstattungen von
Grundgebühren) sind diejenigen Aufträge relevant, die erfolgreich im Rahmen der
Mehrarbeit bereitgestellt werden. Ein durchschnittlicher täglicher Umsatz von
einem Euro wird angenommen.153 Die Länge der Verzögerung und deren Schwan-
kungsbreite steigt mit der Notfalldauer (vgl. Tabelle 5.8).
Datenart Abhängigkeit Aus-prä-gung
Schwankungs-breite
# nachbearbeiteter Anschlussaufträge pro Tag 15.000 Grunddaten
Ø Umsatz pro Anschluss pro Tag in Euro 1,0
% verlorener Anschlussaufträge (1.-3. Tag) 1 % -
% verlorener Anschlussaufträge (4.-10. Tag) 2 % -
% verlorener Anschlussaufträge (11.-30. Tag) 5 % -
Länge der Verzögerung (1.-3. Tag) 1,25 10 %
Länge der Verzögerung (4.-10. Tag) 1,50 25 %
Schätzdaten
Länge der Verzögerung (11.-30. Tag) 2,00 50 %
Tabelle 5.8: Daten zur Schadensdimension ‚Verlust von Nutzungsentgelten’
Nach den Berechnungen ergibt sich dadurch ein kumulierter Folgeschaden von
etwa 0,78 Millionen Euro nach 30 Tagen (vgl. Abbildung 5.7). Dies entspricht
einem durchschnittlichen täglichen Folgeschaden von etwa 26.000 Euro.
153 Abgeleitet aus Kundenwert, vgl. Abschnitt 5.5.5.
56
0
200
400
600
800
1000
1200
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in T
au
sen
d E
uro
)
Abbildung 5.7: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust von Nutzungsentgelten’
5.5.5 Schadensdimension ‚Kundenverlust’
Um eine Grundlage für die Schätzung des Kundenverlustes heranzuziehen, wird die
Anzahl der Auftragswünsche betrachtet, die aufgenommen und der Nacharbeit
zugeführt werden. Eine weitere Größe stellt der Kundenwert154 dar, der den
ökonomischen Wert eines Kunden für die TK-Unternehmung bezeichnet. Ein
einheitliches Begriffsverständnis liegt hierzu in der betriebswirtschaftlichen Literatur
nur begrenzt vor.155 Der für die vorliegende Arbeit geeignet erscheinende Ansatz
sieht den Kundenwert „als Summe der auf den aktuellen Zeitpunkt barwertigen
Überschüsse der mit dem Kunden potenziell abschließbaren Geschäfte über die
Dauer der Kundenbeziehung.“156 Damit könnte beispielsweise bei einer
TK-Unternehmung der zukünftig erwartete Umsatz eines Kunden über einen
154 Im angelsächsischen Raum wird der Kundenwert auch als Customer Lifetime Value (CLV) bezeichnet. Dies betont die notwendige Betrachtung über den gesamten Lebenszyklus eines Kunden. Zur überblickhaften Darstellung von theoretischen Aspekten und Beispielen aus der betrieblichen Praxis vgl. Andon et al. (2001), S. 259ff.
155 Für eine Übersicht unterschiedlicher terminologischer Ansätze zum Kundenwert vgl. Schroeder (2006), S. 3026ff. Für die Messung des ökonomischen Kundenwerts werden meist die zwei Dimensionen Kundenlebenszeit und -segmentierung betrachtet und nach unterschiedlichen Methoden bewertet. Vgl. Krafft/Rutsatz (2001), S. 241ff.
156 Schroeder (2006), S. 30.
57
Zeitraum von zwei Jahren als Kundenwert angenommen werden.157 Die
TK-Unternehmung O2 nennt im Jahresbericht 2005 einen Annual Return Per User
(ARPU) von 363 Euro in Deutschland.158 Das hier vorliegende Modell orientiert
sich an dieser Größe und geht damit von einem Kundenwert (Laufzeit zwei Jahre)
von etwa 700 Euro aus. Für die weitere Betrachtung wird in gegebenem Notfall-
szenario ein verhältnismäßig niedriger Kundenverlust angenommen, der mit der
Ausfalldauer ansteigt (vgl. Tabelle 5.9). Dies deckt sich mit der Einschätzung von
Rams, der in seiner empirischen Untersuchung nur einen geringen Zusammenhang
zwischen Kundenbindung und Kundenbetreuung im Mobilfunkmarkt festgestellt
hat.159 So überwiegt die kundenseitige Beurteilung von Netzqualität und Preisni-
veau die Bedeutung der Bewertung der Kundenbetreuung deutlich.
Datenart Abhängigkeit Ausprä-gung
Schwan-kungsbreite
Grunddaten # der Aufträge pro Tag 15.000 -
Kundenwert in Euro 700 20 %
% verlorener Aufträge (1.-3. Tag) 1 % 10 %
% verlorener Aufträge (4.-10. Tag) 2 % 25 %
Schätzdaten
% verlorener Aufträge (11.-30. Tag) 5 % 50 %
Tabelle 5.9: Daten zur Schadensdimension ‚Kundenverlust’
Unter den getroffenen Annahmen ergibt sich hiermit ein kumulierter Folgeschaden
von etwa 12,3 Millionen Euro nach 30 Tagen (vgl. Abbildung 5.8). Dies entspricht
einem täglichen Folgeschaden von durchschnittlich etwa 410.000 Euro.
157 Einen Überblick des Kundenwertmanagements bei D2 Vodafone gibt von Harrach (2001), S. 677.
158 Vgl. O2 (2005), S. 9.
159 Vgl. Rams (2001), S. 293.
58
0
2000
4000
6000
8000
10000
12000
14000
16000
18000
20000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in T
au
sen
d E
uro
)
Abbildung 5.8: Kumulierter Folgeschaden zur Schadensdimension ‚Kundenverlust’
Damit ist der Kundenverlust im Verhältnis zu anderen Schadensdimensionen trotz
der anteilig geringen Verluste unter den getroffenen Annahmen als besonders
relevant einzuschätzen. Dies entspricht auch der großen Bedeutung, die
TK-Unternehmungen der Kundenloyalität in der momentan angespannten Wett-
bewerbssituation beimessen.
5.5.6 Zusammenfassende Betrachtung der Schadensdimensionen
Die zusammenfassende Betrachtung zeigt die unterschiedlichen Schadensdimensi-
onen und deren beispielhafte Ausprägung im Zeitverlauf. Es ergibt sich ein
kumulierter Folgeschaden von etwa 15,5 Millionen Euro bei 30 Tagen IT-Ausfall.
Dabei übersteigen die Kundenverluste die interne Kostensteigerung um ein
Vielfaches (vgl. Abbildung 5.9).
59
0
2000
4000
6000
8000
10000
12000
14000
16000
18000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in M
io.
Eu
ro)
Mehrarbeit Zusatzpersonal Endgeräte Nutzungsentgelt Kundenverlust
Abbildung 5.9: Kumulierter Gesamt-Folgeschaden je Schadensdimension im Median
Die folgende tabellenförmige Darstellung der Folgeschäden s je Ausfalldauer l gibt
einen weiteren Überblick der Relevanz unterschiedlicher Schadensdimensionen in
dem konkreten TK-Zusammenhang (vgl. Tabelle 5.10).
IT-Ausfalldauer Schadensdimension
1. bis 3. Tag 4. bis 10. Tag 11. bis 30 Tag
Mehrarbeit 31 T€ 23 T€ 16 T€
Zusatzpersonal 0 T€ 3 T€ 7 T€
Endgeräte 25 T€ 50 T€ 100 T€
Nutzungsentgelt 19 T€ 22 T€ 29 T€
Kundenverlust 105 T€ 210 T€ 525 T€
Gesamtschaden pro Tag 180 T€ 308 T€ 677 T€
Tabelle 5.10: Folgeschäden pro Tag je Ausfall und Schadensdimension in Tausend Euro
Signifikante Folgeschäden lassen sich im Bereich der Endgeräte und des Kundenver-
lusts erkennen, Kostensteigerungen werden unter den gegebenen Annahmen als
verhältnismäßig gering eingeschätzt. Grundsätzlich ist von einem überproportional
höheren Folgeschaden bei längerer Notfalldauer auszugehen, da hier zusätzliche
Schadenseffekte zu erwarten sind.
60
Bei der Betrachtung der Schwankungsbreiten in der Gesamtdarstellung zeigt sich
ein Intervall von etwa 8,3 bis 22,6 Millionen Euro für den Gesamt-Folgeschaden
(vgl. Abbildung 5.10). Diese Größenordnung kann nun den Ausgangspunkt für
eine Wirtschaftlichkeitsbetrachtung der IT-Notfallvorsorge darstellen.
0
5000
10000
15000
20000
25000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
IT-Ausfalldauer l (in Tagen)
Fo
lgesch
ad
en
s (
in M
io. E
uro
)
Abbildung 5.10: Kumulierter Gesamt-Folgeschaden (Minimum, Median, Maximum)
Für eine weitere Betrachtung kann ein täglicher Durchschnittswert des Folgescha-
dens herangezogen werden. Ohne Berücksichtigung des exponentiellen Schaden-
verlaufs bewegt sich dieser zwischen 277.000 Euro und 754.000 Euro, im Median
bei 516.000 Euro.
5.6 Kritische Würdigung des Modells zur Folgeschaden-analyse
Bei der kritischen Betrachtung des vorgestellten und beispielhaft angewandten
Modells zur Folgeschadenanalyse ergeben sich nachfolgende Feststellungen:
- Sowohl die Datengrundlage als auch die Schätzungen können unterschiedliche
Genauigkeiten aufweisen, die möglicherweise zu einer hohen Schwankungsbrei-
te der Gesamtbewertung führen können. Hierbei besteht vor allem bei ungenü-
61
gender Integration relevanter Beteiligter160 und ohne ausführliche Dokumenta-
tion das Risiko, dass die Untersuchungsergebnisse nicht anerkannt werden.
- Eine weitere Schwierigkeit ergibt sich bei der Untersuchung von indirekten und
mittel- bzw. langfristigen Auswirkungen (z. B. Kundenunzufriedenheit), die nur
näherungsweise monetär messbar sind. Zwar wird in der vorliegenden Model-
lierung eine Abbildung auf die bezifferbare Auswirkung des Kundenverlusts
durchgeführt, doch ist ein solcher Übertrag sicherlich nicht in allen Anwen-
dungsfällen ohne Weiteres möglich.
- Auch birgt die Anwendung des Modells zur Folgeschadenanalyse die Schwie-
rigkeit, einen angemessenen Aufwand zur Bestimmung der Abhängigkeiten und
der Ermittlung der Daten einzusetzen und damit eine geeignete Genauig- bzw.
Belastbarkeit zu erhalten. Aufgrund der komplexen Zusammenhänge besteht
dabei für die Durchführenden das Risiko, sich in Einzelheiten und unnötigen
Fragestellungen zu verlieren.
- Bei der Betrachtung des beispielhaften Szenarios haben sich ähnliche Schadens-
kurven im Zeitverlauf ergeben. Ggf. sind jedoch bei Betrachtungen in anderen
Branchen bzw. Geschäftsprozessen alternative Verläufe denkbar.161
Weitere Schwierigkeiten bei einer praktischen Durchführung wurden im Rahmen
einer Untersuchung von Continuity Central identifiziert162 und können damit als
Erfolgsfaktoren angesehen werden:
- ungenügende Unterstützung seitens der Geschäftsführung;
- geringe Rücklaufquote bei der Datensammlung;
160 Grundsätzlich ist im Bereich der IT-Sicherheit die Miteinbeziehung sogenannter Stakeholder und eine geeignete Verteilung aller notwendigen Informationen als erfolgskritisch anzusehen. Zur Verknüpfung von IT-Sicherheit mit Wissensmanagement vgl. Kesh/Ratnasingam (2007), S. 103ff.
161 Beispielsweise ist ein logarithmischer Verlauf mit einem stark ansteigenden Folgeschaden in den ersten beiden Tagen und einer anschließend Abflachung denkbar.
162 Vgl. Continuity Central (2003), S. 10.
62
- wenig Kenntnis über Risiken, Abhängigkeiten und Geschäftsprozesse bei den
Beteiligten.
Demgegenüber stehen wesentliche Vorteile des vorgestellten Modells zur Folge-
schadenanalyse, die speziell bei der Untersuchung ökonomischer Aspekte bei der
Gestaltung von IT-Notfallvorsorge einen deutlichen Mehrwert darstellen können:
- Schon die Durchführung der Analyse selbst führt zu einem verbesserten
Verständnis der Schadensdimensionen und deren Abhängigkeiten, ohne
die exakten Endergebnisse im Detail zu betrachten.
- Weiterhin kann eine Größenordnung des potenziellen Schadens ermittelt
und damit die Bedeutung des Geschäftsprozesses sowie dessen
IT-Unterstützung quantitativ diskutiert werden.
- Auch führt eine abteilungsübergreifende Bearbeitung des Modells zur
Folgeschadenanalyse zu einem verbesserten Verständnis über den geschäftli-
chen Mehrwert von IT-Systemen innerhalb der Unternehmung. Dieses verbes-
serte Verständnis fördert zudem das Bewusstsein über die Bedeutung der
IT-Notfallvorsorge.163 Gerade die Wahrnehmung einer hohen Bedeutung der
IT-Notfallvorsorge durch die Führungsebene ist für einen nachhaltigen Erfolg
der ergriffenen Maßnahmen notwendig.164
163 Insbesondere eine umfassende Notfallvorsorge muss durch die Geschäftsleitung als strategi-sches Ziel definiert werden. Zur Übersicht über die jeweiligen institutionellen Einflussfaktoren vgl. Lalwani (2006), S. 8.
164 „Changing the corporate culture however is still a major effort and management needs to be convinced that it pays off to invest in business continuity, layered defences and survivable systems.“ Quichmayr (2004), S. 3.
63
6 Untersuchung und Bewertung möglicher Notfall-szenarien
Im Rahmen einer Risikobewertung ist ein Verständnis möglicher Notfallszenarien
(NFS) notwendig. Hierzu erfolgt im vorliegenden Kapitel eine ausführliche Betrach-
tung unterschiedlicher Gefährdungslagen.
Als Vorbereitung wird im ersten Schritt die Aggregation von Notfallszenarien
anhand der Gefährdungskataloge aus dem IT-Grundschutz durchgeführt, um diese
danach weiter in vier Klassen zu strukturieren. Anschließend werden daraus
Gruppen von Notfalldauern abgeleitet, die eine abgestufte Betrachtung ermögli-
chen. Im letzten Abschnitt werden die identifizierten Notfallszenarien und deren
Besonderheiten hinsichtlich einer Einschätzung ihrer jeweiligen Risiken qualitativ
bewertet.
6.1 Aggregation von Notfallszenarien anhand der Gefähr-dungskataloge innerhalb des IT-Grundschutzes
Um mögliche Notfallszenarien strukturiert analysieren zu können, werden diese im
Folgenden anhand der IT-Grundschutz-Kataloge aggregiert. Die Kataloge enthalten
Hintergrundinformationen zu potenziellen Gefährdungen im Bereich der
IT-Sicherheit. Dies schließt alle Verletzungen der IT-Sicherheitsziele mit ein, die zu
einem IT-Notfall führen können. Die Gefährdungen innerhalb des IT-Grundschutzes
sind in fünf Klassen strukturiert (vgl. Tabelle 6.1).165
165 Vgl. BSI (2007a), Abschnitt Gefährdungskataloge; Köhler (2007), S. 225.
64
Nr. Gefährdungskatalog Anzahl der enthaltenen Gefährdungen
1 Höhere Gewalt 17
2 Organisatorische Mängel 121
3 Menschliche Fehlhandlungen 85
4 Technisches Versagen 63
5 Vorsätzliche Handlungen 139
Tabelle 6.1: Gefährdungskataloge
Jede der o. g. Klassen enthält eine Liste von zugehörigen Gefährdungen mitsamt
einer ausführlichen Beschreibung. Im Rahmen der vorliegenden Untersuchung
wurden diese Listen analysiert und relevante Gefährdungen je Klasse im Kontext
der IT-Notfallvorsorge identifiziert, um diese weiter in übergeordneten Notfallsze-
narien zu aggregieren.166
Abbildung 6.1 zeigt hierzu auf der rechten Seite die aggregierten Notfallszenarien
in der Klasse Höhere Gewalt.
G 1.3 Blitz
G 1.4 Feuer
G 1.5 Wasser
G 1.11 Technische Katastrophen im Umfeld
G 1.13 Sturm
Personalausfall
(G 1.1)NFS 1.1
Personalausfall
(G 1.1)NFS 1.1
Naturkatastrophe
(G 1.3 / G 1.4 / G 1.5 / G 1.13)NFS 1.2
Naturkatastrophe
(G 1.3 / G 1.4 / G 1.5 / G 1.13)NFS 1.2
G 1.1 Personalausfall G 1.1 Personalausfall
Technische Katastrophen im Umfeld
(G 1.11)NFS 1.3
Technische Katastrophen im Umfeld
(G 1.11)NFS 1.3
Abbildung 6.1: Notfallszenarien – G 1 Höhere Gewalt
Neben dem Personalausfall (beispielsweise durch Streik oder Krankheit eines
IT-Experten) sind in erster Linie Naturkatastrophen167 mit einer Auswirkung auf ein
Rechenzentrum und damit auf die IT-Funktionsfähigkeit relevant. Eine weitere
166 Weitere Ausführungen zur Methodik der Untersuchung von IT-Gefährdungen aus den IT-Grundschutz-Katalogen im Kontext von Ursache-Wirkungs-Zusammenhängen vgl. Hofmann (2006), S. 71ff.
167 Für Beispiele von geschäftskritischen Notfallszenarien mit Auswirkungen auf TK-Unternehmungen vgl. Jrad et al. (2004), S. 109f.
65
mögliche Gefährdung besteht durch technische Katastrophen im lokalen Umfeld
einer IT-Einsatzstelle.168
In der Klasse Organisatorische Mängel konnten nur begrenzt169 wesentliche
Gefährdungen mit einem direkten Bezug zur IT-Notfallvorsorge innerhalb der
Grundschutz-Kataloge abgeleitet und aggregiert werden. Dies liegt in erster Linie
daran, dass viele organisatorische Gefährdungen mit potenziell geschäftskritischen
Konsequenzen in anderen Gefährdungskatalogen eingeordnet sind (z. B. Personal-
ausfall, Konfigurations- und Bedienungsfehler).
Abbildung 6.2 zeigt weitere Notfallszenarien in der Klasse Menschliche Fehl-
handlungen.
G 3.2 Fahrlässige Zerstörung von Gerät oder DatenG 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.38 Konfigurations- und BedienungsfehlerG 3.38 Konfigurations- und Bedienungsfehler
Konfigurations- und Bedienfehler sowie
fahrlässige Zerstörung (G 3.2 / G 3.38)NFS 3.1
Konfigurations- und Bedienfehler sowie
fahrlässige Zerstörung (G 3.2 / G 3.38)NFS 3.1
Abbildung 6.2: Notfallszenarien – G 3 Menschliche Fehlhandlungen
Mögliche Szenarien umfassen unbeabsichtigte oder fahrlässige Fehlhandlungen in
Bezug zu Hard- oder Software. Dies schließt Konfigurations- und Bedienfehler mit
ein. Die angesprochenen menschlichen Fehlhandlungen können sowohl Informati-
onstechnik direkt oder indirekt Versorgungseinrichtungen (z. B. Klimaanlage oder
Stromversorgung) betreffen. Dabei werden vorsätzliche Fehlhandlungen jedoch
explizit ausgenommen, da diese in einer gesonderten Klasse behandelt werden.170
168 Als ein mögliches Szenario könnte hierzu ein Chemieunfall in der Nähe eines Rechenzentrums genannt werden, der eine ordnungsgemäße Wartung der IT-Systeme verhindert, da Betriebs-personal keinen physischen Zugang erlangen kann.
169 Alternative Einschätzungen sind möglich, da sich aufgrund der komplexen Ursache-Wirkungs-Zusammenhänge eine eindeutige Ereigniskette nur schwer vorab definieren lässt. „So kann beispielsweise eine vorsätzliche Handlung durch organisatorische Mängel und gleichzeitig durch das technische Versagen einer Sicherheitseinrichtung ermöglicht sein.“ Hofmann (2006), S. 72.
170 Vgl. Abbildung 6.4.
66
Abbildung 6.3 zeigt weiterhin die Ergebnisse der Aggregation innerhalb der Klasse
Technisches Versagen.
G 4.9 Ausfall der internen StromversorgungG 4.9 Ausfall der internen Stromversorgung
G 4.1 Ausfall der StromversorgungG 4.1 Ausfall der Stromversorgung
G 4.2 Ausfall interner VersorgungsnetzeG 4.2 Ausfall interner Versorgungsnetze
G 4.7 Defekte DatenträgerG 4.7 Defekte Datenträger
G 4.31 Ausfall oder Störung von NetzkomponentenG 4.31 Ausfall oder Störung von Netzkomponenten
G 4.38 Ausfall von Komponenten eines Netz- und
Systemmanagementsystems
Versorgungsausfall
(G 4.1 / G 4.2 / G 4.9)NFS 4.1
Versorgungsausfall
(G 4.1 / G 4.2 / G 4.9)NFS 4.1
Systemdefekt
(G 4.7 / G 4.31 / G 4.38)NFS 4.2
Systemdefekt
(G 4.7 / G 4.31 / G 4.38)NFS 4.2
Abbildung 6.3: Notfallszenarien – G 4 Technisches Versagen
Wie in der Abbildung dargestellt, lassen sich die Gefährdungen auf zwei Szenarien
eingrenzen. Einerseits kann ein Notfall durch einen Versorgungsausfall (z. B.
Klimaanlage oder Stromversorgung) eintreten, andererseits können das technische
IT-System bzw. einzelne Komponenten selbst ausfallen. Letzteres Szenario wird
allgemein als Systemdefekt beschrieben.
Abschließend wird in Abbildung 6.4 die Aggregation der Klasse Vorsätzliche
Handlungen dargestellt.
G 5.1 Manipulation/ Zerstörung von IT-Geräten
oder Zubehör
G 5.1 Manipulation/ Zerstörung von IT-Geräten
oder Zubehör
G 5.5 VandalismusG 5.5 Vandalismus
G 5.6 AnschlagG 5.6 Anschlag
G 5.21 Trojanische PferdeG 5.21 Trojanische Pferde
G 5.23 Computer-VirenG 5.23 Computer-Viren
Vorsätzliche physische Zerstörung
(G 5.1 / G 5.5 / G 5.6 / G 5.102)NFS 5.1
Vorsätzliche physische Zerstörung
(G 5.1 / G 5.5 / G 5.6 / G 5.102)NFS 5.1
Vorsätzliche nicht physische
Gefährdung (G 5.21 / G 5.23 / G 5.102)NFS 5.3
Vorsätzliche nicht physische
Gefährdung (G 5.21 / G 5.23 / G 5.102)NFS 5.3
G 5.102 SabotageG 5.102 Sabotage
Abbildung 6.4: Notfallszenarien – G 5 Vorsätzliche Handlungen
Hierbei erfolgt die wesentliche Unterscheidung durch das Zielobjekt einer vorsätzli-
chen Handlung. Ist Technik selbst betroffen, so wird von einer physischen Zerstö-
67
rung gesprochen. Eine nicht physische Gefährdung liegt hingegen vor, wenn der
Angriff der Software-Komponente gilt.
Fasst man die Ausführungen zusammen, so können insgesamt acht Notfallszena-
rien identifiziert werden, die nun den Ausgangspunkt für eine weitere Strukturie-
rung und Untersuchung darstellen.171
6.2 Weitere Strukturierung der Notfallszenarien
Für ein besseres Verständnis der Auswirkung bei Eintritt eines Notfallszenarios, das
für eine Risikobewertung erforderlich ist, wird weiter nach den in Abbildung 6.5
skizzierten Kriterien strukturiert.
Notfallszenario
Standort-
ausfall
Physischer
Schaden
Komponenten-
ausfall
Nicht physischer
Schaden
Standort-
ausfall
Komponenten-
ausfall
Abbildung 6.5: Kriterien zur weiteren Strukturierung der Notfallszenarien
Dabei wird wirkungsbezogen einerseits unterschieden, ob es sich um einen
physischen172 oder nicht physischen Schaden handelt, d. h., ob eine Neubeschaf-
fung von Technik notwendig ist oder nicht. Andererseits wird das mögliche
Ausmaß des Notfalls differenziert, indem zwischen Standort173- und Komponen-
tenausfall unterschieden wird. Bei einem Standortausfall ist das gesamte Rechen-
171 Zur alternativen Kategorisierung der IT-Gefährdungen aus den IT-Grundschutz-Katalogen über den Untersuchungsgegenstand der IT-Notfallvorsorge hinaus vgl. Hofmann (2006), S. 79ff.
172 Im Sinne eines Sachschadens.
173 Eine weitere Unterscheidung wäre möglich in einen einzelnen oder mehrfachen Standortausfall bei einem überregional vernetzten IT-System.
68
zentrum betroffen, bei einem Komponentenausfall lediglich einzelne IT-Systeme
oder deren Komponenten.
In einem weiteren Schritt werden die aggregierten Notfallszenarien aus Abschnitt
6.1 auf ihre Wirkung hinsichtlich o. g. Strukturierung betrachtet (vgl. dazu Tabelle
6.2).
Physisch Nicht physisch Gruppe Nr. Notfallszenario
Standort Kompo-nente
Standort Kompo-nente
1 1.3 Technische Katastro-phen im Umfeld
� �
1.1 Personalausfall � �
2 5.2
Vorsätzliche nicht physische Gefähr-dung
� �
3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung
� � � 3
4.1 Versorgungsausfall � � �
1.2 Naturkatastrophe � �
4.2 Systemdefekt � � 4
5.1 Vorsätzliche physische Zerstörung
� �
Tabelle 6.2: Notfallszenarien und deren Wirkung
Damit lassen sich vier Gruppen von Notfallszenarien beschreiben.
- Gruppe 1 wirkt ausschließlich physisch oder nicht physisch am gesamten
Standort, beispielsweise durch einen Flugzeugabsturz.
- Gruppe 2 wirkt ohne physischen Schaden an der IT selbst, beispielsweise
durch Überwachungsschwierigkeiten aufgrund der Krankheit eines besonders
qualifizierten IT-Mitarbeiters oder durch einen Computervirus, der ausschließlich
eine Schädigung an Daten oder Software herbeiführt.
- Gruppe 3 kann außer der physischen Schädigung des Gesamtstandorts alle
anderen identifizierten Auswirkungen zur Folge haben.
- Gruppe 4 wirkt ausschließlich mit physischer Schädigung.
Die durchgeführte Analyse unterschiedlicher Notfallszenarien zeigt, dass vielfältige
Ursachen und Wirkungen betrachtet werden müssen, die mit ihren unterschiedli-
69
chen Ausprägungen eine hohe Komplexität für eine Durchführung der Risikobewer-
tung aufweisen. Dennoch stellt diese weitere Gruppierung eine hilfreiche Systema-
tik dar, um Schadensauswirkungen beurteilen zu können.
6.3 Ableitung möglicher Klassen von Notfalldauern
Betrachtet man die Auswirkung als Risikodimension, so kann die Notfalldauer
(d. h. Zeitdauer bis zur nahezu vollständigen IT-Wiederherstellung174) als eine
darauf bezogene bedeutende Abhängigkeit identifiziert werden.175 Dazu werden
kurze, mittlere und lange Notfalldauern anhand der Szenarien aus Abschnitt 6.2
abgeleitet. Dies dient einer weiteren Vereinfachung und der besseren Zuordnung
möglicher Steuerungsinstrumente.
Notfallszenario
Standort-
ausfall
Physischer
Schaden
Komponenten-
ausfall
Nicht physischer
Schaden
Standort-
ausfall
Komponenten-
ausfall
Notfall-
dauer
Mittel
4-10 Tage
Lang
11-30 Tage
Kurz
1-3 Tage
Abbildung 6.6: Klassen von Notfalldauern
174 Zur Darstellung eines IT-Notfalls im Zeitverlauf vgl. Abschnitt 5.2.
175 Aufgrund der Abhängigkeit der Schadenshöhe von der Ausfalldauer kann beispielsweise mit steigender Notfalldauer ein überdurchschnittlicher Umsatzverlust auftreten.
70
Die Einteilung seitens des Autors und die zugrunde liegenden Annahmen werden
im Folgenden beschrieben:
- Lange Notfalldauern (etwa 11 bis 30 Tage) sind tendenziell die Folge einer
physischen Zerstörung wesentlicher Teile eines Standorts, beispielsweise auf-
grund einer Naturkatastrophe oder eines Großbrandes. Eine Begrenzung durch
Annahme einer maximalen Notfalldauer von z. B. 30 Tage ist insofern möglich,
als bei vorhandener Datensicherung und hoher Unterstützung seitens der Ge-
schäftsleitung ein Wiederaufbau mit Ersatzinfrastruktur in einigen Wochen
realisierbar erscheint.176
- Mittlere Notfalldauern (etwa 4 bis 10 Tage) können nach einem physischen
Schaden an einem oder mehreren IT-Komponenten auftreten, die wiederbe-
schafft und für den Einsatz vorbereitet werden müssen. Eine weitere mögliche
Ursache für eine mittlere Notfalldauer stellt ein nicht physischer Schaden eines
Standorts dar.177
- Kurze Notfalldauern (etwa 1 bis 3 Tage) treten meist nach einem nicht
physischen Schaden an einzelnen IT-Komponenten auf, z. B. ausgelöst durch
einen Computervirus.178 Denkbar ist auch ein geringfügiger physischer Scha-
den, z. B. Kabelbrand im Großrechner und Zerstörung einzelner Bauteile. Wei-
terhin besteht die Möglichkeit eines begrenzten nicht physischen Standortaus-
falls, der in wenigen Tagen behoben werden kann, z. B. ein Defekt in der
Klimaanlage.
Die o. g. Einteilung erlaubt eine weitere strukturierte Betrachtung von Notfallszena-
rien bei unterschiedlichen Notfalldauern ausgehend von physischen und nicht
physischen Schadensszenarien. Damit kann die Gruppierung der Notfallszenarien
aus Abschnitt 6.2 und die Klassifizierung von Notfalldauern ergänzt werden, um
176 Einschätzung von IT-Führungskräften gegenüber dem Autor der vorliegenden Arbeit.
177 Beispielsweise eine Absperrung aufgrund einer polizeilichen Ermittlung.
178 Vgl. Eckert (2003), S. 32ff.
71
eine näherungsweise Einschätzung179 der Auswirkung eines Szenarios zu bestim-
men (vgl. Tabelle 6.3). Hierzu wird ein positiver Zusammenhang zwischen Notfall-
dauer und ökonomischer Auswirkung angenommen, der auch im Rahmen der
Folgeschadenanalyse in Kapitel 5 bestätigt werden konnte.
Gruppe Nr. Notfallszenario Ausfalldauer (in Tagen)
Qualitative Einschätzung
1 1.3 Technische Katastrophen im Umfeld 4 bis 30 Hoch
1.1 Personalausfall
2 5.2
Vorsätzliche nicht physische Gefährdung
1 bis 3 Niedrig
3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung 3
4.1 Versorgungsausfall
1 bis 10 Mittel
1.2 Naturkatastrophe 10 bis 30 Sehr hoch
4.2 Systemdefekt 4
5.1 Vorsätzliche physische Zerstörung
1 bis 10 Mittel
Tabelle 6.3: Qualitative Einschätzung der Notfalldauern
Bei technischen Katastrophen im Umfeld wird von einer Ausfalldauer von mindes-
tens vier Tagen ausgegangen, die bei einem großflächigen Ereignis auf bis zu 30
Tage ansteigen kann. Szenarien aus Gruppe 2 (Personalausfall und vorsätzliche
nicht physische Gefährdung) führen mit den getroffenen Annahmen zu einer
kurzen Ausfalldauer von maximal drei Tagen. Aufgrund der Möglichkeit einer
physischen Zerstörung sind Notfälle aus Gruppe 3 mit einer Maximaldauer von
zehn Tagen möglich. Naturkatastrophen werden mit einer sehr hohen Auswirkung
bewertet; die beiden weiteren Gefährdungen Systemdefekt und vorsätzliche
physische Zerstörung werden mit einer Notfalldauer von eins bis zehn Tagen
belegt.
Die durchgeführte Strukturierung und qualitative Einschätzung der Notfalldauern
stellt eine Vereinfachung dar, die zum Zweck einer generischen Klassifizierung
genutzt wird. Dabei ist zu beachten, dass die beispielhafte Nennung möglicher
179 In die vier Klassen niedrig, mittel, hoch und sehr hoch.
72
Zeitdauern vom Unternehmungskontext sowie der eingesetzten IT-Unterstützung
abhängt und aus diesem Grund im Einzelfall neu bewertet werden muss.180
6.4 Zusammenfassende Bewertung und Besonderheiten der identifizierten Notfallszenarien
Wie bereits untersucht wurde, ist eine belastbare statistische Datenbasis für die
Bewertung der Eintrittswahrscheinlichkeit von IT-Notfällen nicht vorhanden.181
Meist liegen nur Statistiken von Großschäden vor, die in einem bestimmten
Zeitraum aufgetreten sind.182 Als ein Beispiel kann eine empirische Untersuchung
von Datenmaterial eines amerikanischen Anbieters (38 Prozent Marktanteil) für
IT Disaster Recovery vorgestellt werden. Hierbei wurden 429 Notfallereignisse im
Zeitraum von 1981 bis 2000 analysiert, und es wurde festgestellt, dass 80 Prozent
der Ereignisse in die vier Klassen Naturkatastrophe, IT-Systemfehler, Stromausfall
und vorsätzliche Handlung eingeordnet werden können.183 Eine Wahrscheinlich-
keitsverteilung konnte daraus allerdings nicht abgeleitet werden.
Aus diesem Grund wird im Folgenden eine qualitative Bewertung der Notfallszena-
rien durchgeführt, die Besonderheiten herausarbeitet und weitere Anhaltspunkte
für eine detaillierte Einschätzung aus anderen Untersuchungen ableitet.
- Nr. 1.1 Personalausfall: IT-Notfälle aufgrund eines Personalausfalls sind in
erster Linie möglich, wenn einzelne hochkritische Komponenten des IT-Systems
nur von einem oder wenigen Mitarbeitern zuverlässig bedient werden können.
Auch in Kombination mit (über-)regionalen Katastrophen kann ein zusätzlicher
180 Eine wenig komplexe Rechnerarchitektur mit einfacher Netzwerktopologie lässt sich beispiels-weise deutlich schneller wieder aufbauen als ein umfangreicher IT-Systemverbund mit unter-schiedlichen eingesetzten Technologien und komplexen Schnittstellen.
181 Vgl. Wiedemann (2007b), S. 43ff.
182 Für eine Zusammenfassung der Großschäden im Jahr 2000 nach Schadenskategorien vgl. SwissRe (2001), S. 15.
183 Vgl. Lewis (2003), S. 203f.
73
Personalausfall eine Krise weiter verstärken, wenn beispielsweise Mitarbeiter
keine Möglichkeit haben, das Rechenzentrum zu erreichen.184
- Nr. 1.2 Naturkatastrophe: Im Bereich der Naturkatastrophen sind regionale
Unterschiede zu verzeichnen, wenn mögliche Eintrittswahrscheinlichkeiten be-
trachtet werden. So wird beispielsweise für Tokio in den nächsten 50 Jahren
ein starkes Erdbeben mit 90 Prozent Wahrscheinlichkeit angenommen;185 im
Bereich der sogenannten deutschen Schwächezone (Ostthüringen und
Westsachsen) wird hingegen nur von 10 Prozent Eintrittswahrscheinlichkeit bei
der Betrachtung der nächsten 50 Jahre ausgegangen (vgl. Abbildung 6.7).186
Abbildung 6.7: Erdbebenrisiko (Quelle: MDR (2006b), S. 1)
184 Vgl. Landry/Koger (2006), S. 12.
185 Vgl. Innovationsreport (2004), S. 1.
186 Zur Übersicht über die erwarteten Verluste durch mögliche Erdbebenschäden an Wohnbauten bei einer Eintrittswahrscheinlichkeit von 10 % in 50 Jahren in Deutschland vgl. Grünthal (2005), S. 7.
74
Im Bereich der Hochwasserkatastrophen187 sind nur besonders gefährdete Ge-
biete in Fluss- oder Meeresnähe betroffen, aufgrund der geringen Häufigkeit
lässt sich hier jedoch nur begrenzt eine Hochwassergefahr i. S. e. Eintrittswahr-
scheinlichkeit prognostizieren (vgl. Abbildung 6.8).188
Abbildung 6.8: Überflutungsrisiko (Quelle: MDR (2006a), S. 1)
- Nr. 1.3 Technische Katastrophen im Umfeld: Im Bereich technischer
Katastrophen kann beispielsweise auf eine ausführliche Untersuchung des TÜV
verwiesen werden, der für ein Chemiewerk in der geplanten Einflugschneise des
Frankfurter Flughafens die Eintrittswahrscheinlichkeit eines Absturzes statistisch
ermittelt hat. Die Untersuchung nimmt in dieser konkreten Situation eine Stör-
fallhäufigkeit von 2,9 x 10-5 bis 4,8 x 10-5 (ein Fall in 34.500 bis ein Fall in
20.900 Jahren) an.189 Eine weitere Einschätzung stammt vom Luftfahrtbundes-
187 Für Deutschland sieht die Hochwasserbilanz der vergangenen 15 Jahre wie folgt aus: 1993 an der Mosel, 1997 die Oderflut, 1999 ein ausgesprochenes Rheinhochwasser mit Rekordwerten am Oberrhein, 2002 die Elbekatastrophe, 2005 Katastrophenalarm in Bayern und Österreich durch Alpenhochwasser und 2006 Elbhochwasser mit Rekordwerten in Niedersachsen. Vgl. MDR (2006a).
188 Zur Darstellung der spezifischen Schwierigkeiten des Überschwemmungsrisikos und erster aktueller Ansätze einer Modellierung vgl. Benzin (2005), S. 250ff.
189 Vgl. SFK (2004), S. 5.
75
amt, das aussagt, dass seit 1972 außerhalb der unmittelbaren Nähe von Flug-
häfen sechs Flugzeuge ab einem Gewicht von 5,7 Tonnen bei Unfällen zerstört
wurden.190 Eine andere Stellungnahme zu technischen Katastrophen wurde
vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe getroffen: „Fäl-
le, bei denen das betroffene Betriebsgelände nach einem Unfall mit einem Ge-
fahrguttransporter auch nach einer Dauer von drei Tagen nicht wieder betreten
werden konnte bzw. Fälle, die eine langfristige und entsprechend großräumige
Evakuierung erforderlich machen, sind in Deutschland bisher nicht aufgetre-
ten.“191 Damit ergibt sich die Einschätzung eines geringen Risikos hinsichtlich
der technischen Katastrophen im Umfeld.
- Nr. 3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung:
Nach Einschätzung unterschiedlicher Studien sind auch Konfigurations- und
Bedienfehler mögliche Ursachen von IT-Notfällen. HP hat in diesem Zusam-
menhang ermittelt, dass 13 Prozent der ungeplanten Ausfallzeit auf menschli-
che Fehler zurückzuführen ist.192 Dieser Anteil kann sich jedoch weiter erhö-
hen, da durch die stetig wachsende Komplexität von IT-Systemen die
Verwundbarkeit weiter steigen wird.
- Nr. 4.1 Versorgungsausfall: Stromausfälle haben eine direkte Auswirkung
auf die IT-Funktionsfähigkeit, falls keine ausreichende unterbrechungsfreie
Stromversorgung (USV) verfügbar ist. Ebenso sind andere unterstützende Ein-
richtungen wie beispielsweise Klima- oder Lüftungsanlagen in hohem Maße von
technischen IT-Komponenten abhängig. Hiervon sind besonders weniger um-
fangreiche IT-Infrastrukturen betroffen, die keine umfassenden Grundsicherun-
gen vorhalten.
- Nr. 4.2 Systemdefekt: Ein Systemdefekt kann unterschiedliche technische
Ursachen haben. Einerseits sind Software- oder Hardware-Fehler möglich, ande-
rerseits können die Kommunikationsinfrastruktur und damit die Netzwerküber-
190 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.
191 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.
192 Vgl. HP Invent (2005), S. 5.
76
tragung gestört sein. Das Fazit einer diesbezüglichen Untersuchung von In-
fonetics lautet wie folgt: “Servers are the number one cause of downtime,
followed closely by applications and network.”193 Länger andauernde
IT-Ausfälle sind dagegen bei Systemdefekten nicht zu erwarten, da bei ausrei-
chender Datensicherung ein Ersatzsystem in wenigen Tagen aufgebaut werden
kann.
- Nr. 5.1 Vorsätzliche physische Zerstörung: Vorsätzliche Zerstörungen
haben je nach Ursache unterschiedlich hohe Auswirkungen zur Folge. Neben
verhältnismäßig geringen Schäden bei physischer Zerstörung einzelner
IT-Systemkomponenten sind auch umfangreichere Szenarien wie beispielsweise
Terroranschläge denkbar. Dabei ist deren Risiko abhängig von der möglichen
erreichbaren Außenwirkung und damit in Bezug auf die Eintrittswahrscheinlich-
keit je nach Branche und Standort unterschiedlich einzuschätzen. Speziell auf-
grund der aktuell angespannten weltpolitischen Lage ist hierbei jedoch tenden-
ziell von einer wachsenden Bedrohung auszugehen.194 Anschläge mit
ABC-Wirkstoffen, die eine langfristige und entsprechend großräumige Evakuie-
rung erforderlich machen, sind laut Bundesamt für Bevölkerungsschutz und
Katastrophenhilfe in Deutschland bisher nicht aufgetreten.195
- Nr. 5.2 Vorsätzliche nicht physische Gefährdung: Beispiele dieser
Gefährdung sind Computerviren, Würmer und trojanische Pferde,196 die in ihrer
Wirkung und dem ökonomischen Schadenspotenzial bedeutend sein können.
Speziell durch den hohen Grad an Vernetzung von IT-Systemen besteht hierbei
das Risiko einer schnellen globalen Ausbreitung und zudem einer unterneh-
mungsübergreifenden schadhaften Wirkung. Hierbei sind insbesondere auch
193 Infonetics (2003), S. 1.
194 Vgl. AKNZ (2005), S. 22f.
195 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.
196 Vgl. Eckert (2003), S. 32ff. (Computerviren), S. 42ff. (Würmer) und S. 46ff. (trojanische Pferde).
77
haftungsrechtliche Aspekte relevant, deren Ausmaß speziell bei internationalen
Schadensszenarien nur schwer bestimmbar ist.
Abschließend lassen sich zwei wesentliche Feststellungen treffen, die die Problema-
tik der nur begrenzt bekannten Eintrittswahrscheinlichkeiten bei IT-Risiken weiter
verdeutlicht. Einerseits ist die Risikohöhe individuell und von der geografischen und
politischen Lage abhängig. Andererseits ist selbst bei klaren Randbedingungen eine
quantitative Ermittlung von Eintrittswahrscheinlichkeiten entweder aufwandsinten-
siv (vgl. o. g. TÜV-Gutachten) oder nur sehr begrenzt möglich (z. B. Terrorrisi-
ken197).
Ausgehend von den oben getroffenen Feststellungen wird im Folgenden eine
unternehmungsunabhängige qualitative Bewertung198 der Notfallszenarien
durchgeführt (vgl. Tabelle 6.4).
Gruppe Nr. Notfallszenario Qualitative Einschät-zung der Eintrittswahr-scheinlichkeit
1 1.3 Technische Katastrophen im Umfeld Niedrig
1.1 Personalausfall Mittel 2
5.2 Vorsätzliche nicht physische Gefährdung Hoch
3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung
Sehr hoch
3
4.1 Versorgungsausfall Mittel
1.2 Naturkatastrophe Niedrig
4.2 Systemdefekt Sehr hoch 4
5.1 Vorsätzliche physische Zerstörung Niedrig
Tabelle 6.4: Qualitative Einschätzung der Eintrittswahrscheinlichkeit
Ebenso wie die qualitative Einschätzung der Notfalldauern je Szenario in Tabelle
6.3 ist auch die hier durchgeführte Risikoeinschätzung lediglich als Richtwert bzw.
Größenordnung zu verstehen.
197 Zur ausführlichen versicherungstechnischen Bewertung unterschiedlicher Deckungskonzepte für Terrorismusrisiken vgl. Benzin (2005), S. 1ff.
198 In die vier Klassen niedrig, mittel, hoch und sehr hoch.
79
7 Alternativen der IT-Risikosteuerung und deren Bewertung
Ausgehend von den grundsätzlichen Möglichkeiten der IT-Risikosteuerung werden
nun konkrete Instrumente für eine Gestaltung der IT-Notfallvorsorge analysiert und
bewertet.199 Dazu werden im Rahmen der Untersuchung sowohl präventive
Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit einer Bedrohung als
auch reaktive Maßnahmen zur Begrenzung der ökonomischen Auswirkung nach
Eintritt eines IT-Notfalls betrachtet. Diese Maßnahmen werden hinsichtlich ihres
Umsetzungsaufwands grob bewertet200 und entsprechend kategorisiert.
Damit stellt die weitere Untersuchung eine Detaillierung der folgenden drei
plakativen Grundregeln für den Umgang mit Risiko von Rosenkranz/Missler-Behr
dar:201
- Don’t risk more than you can afford to loose: Die Geschäftsleitung muss
klare Vorstellungen darüber haben, von welcher Höhe und Häufigkeit an eintre-
tende Schadensfälle gefährlich für die Unternehmung werden.
- Consider the odds: Die Risikohäufigkeit und -höhe muss abgeschätzt und bei
einer Entscheidung berücksichtigt werden.
- Don’t risk a lot for a little: Der Mitteleinsatz und das Resultat der Risiko-
maßnahmen müssen in einem ausgewogenen Verhältnis stehen.
Die weitere Struktur kann wie folgt beschrieben werden: In Abschnitt 7.1 werden
aktive Steuerungsmöglichkeiten untersucht, die eine Gestaltung am IT-System
199 Damit werden alternative Handlungsmöglichkeiten für die Gestaltung von IT-Notfallvorsorge aufgezeigt, die unterschiedliche Steuerungsinstrumente darstellen und im jeweiligen Unter-nehmungskontext auf ihre Eignung hin betrachtet werden müssen.
200 Ein vollständiges Modell zur Kostenschätzung von Instrumenten zur IT-Risikosteuerung wird in der vorliegenden Arbeit nicht erarbeitet. Ein solches Modell kann möglicherweise in einer wei-teren Untersuchung definiert werden, um wesentliche Kostentreiber und deren Abhängigkeiten zu analysieren. Ein Ausgangspunkt für technische Maßnahmen könnte dazu über ein Kennzah-lensystem zur IT-Wirtschaftlichkeit erfolgen, vgl. Kütz (2003), S. 125.
201 Vgl. Rosenkranz/Missler-Behr (2005), S. 277.
80
selbst ermöglichen, wohingegen in Abschnitt 7.2 passive Möglichkeiten betrachtet
werden, die vornehmlich finanziell ohne gestalterische Auswirkung bleiben.
Anschließend erfolgen in Abschnitt 7.2.4 eine Überblicksdarstellung aller Hand-
lungsalternativen sowie deren kritische Würdigung in Abschnitt 7.3.
7.1 Aktive IT-Risikosteuerung
Im vorliegenden Abschnitt wird nach Darstellung der Möglichkeit der aktiven
Risikovermeidung das Instrument der Risikominderung analysiert, das entweder als
Schadensverhütung oder als Schadensherabsetzung eingesetzt werden kann.
Abschließend werden unterschiedliche Möglichkeiten der Risikobegrenzung
untersucht.
7.1.1 Risikovermeidung und deren Bewertung im Kontext der IT-Notfallvorsorge
Einhaus schreibt: „Unter Risikovermeidung ist der Verzicht auf die Risiko tragende
Transaktion überhaupt zu verstehen.“202 Dabei wird Risikovermeidung meist zu
Anfang eines Gestaltungsprozesses genutzt, um wesentliche Risiken auszuschlie-
ßen, die beispielsweise standortbezogene physische Zerstörungen und damit
signifikante ökonomische Auswirkungen zur Folge haben können. Es könnten die
folgenden besonderen Umgebungseinflüsse beispielhaft in Betracht gezogen
werden:
- erhöhte Absturzgefahr in der Einflugschneise eines Flughafens;203
- Überflutungsrisiko in Flussnähe;
- Großbrandbedrohung in der Nähe einer Raffinerie.
Weitere aktive Möglichkeiten der Risikovermeidung sind denkbar und können
Aspekte der identifizierten Notfallszenarien aus Kapitel 6 beeinflussen und damit
Teilrisiken vermeiden (vgl. Tabelle 7.1).
202 Einhaus (2006), S. 75.
203 Vgl. auch Darstellung des TÜV-Gutachtens in Abschnitt 6.4.
81
Nr. Notfallszenario Beispielhafte Maßnahme zur Risikovermeidung
1.1 Personalausfall Vollständige Automatisierung
1.2 Naturkatastrophe Keine erdbebengefährdeten Gebiete
1.3 Technische Katastrophen im Umfeld Keine gefährdeten Unternehmungen im Umfeld
3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung
Vollständige Automatisierung
4.1 Versorgungsausfall Einsatz hochwertiger Komponenten
4.2 Systemdefekt Einsatz hochwertiger Komponenten
5.1 Vorsätzliche physische Zerstörung Nur begrenzt Vermeidung möglich, da vorsätzliche Handlung
5.2 Vorsätzliche nicht physische Gefähr-dung
Nur begrenzt Vermeidung möglich, da vorsätzliche Handlung
Tabelle 7.1: Beispielhafte Maßnahmen zur Risikovermeidung
Beispielsweise kann eine vollständige Automatisierung den Einfluss von menschli-
chen Fehlhandlungen oder Personalausfall vermeiden. Dabei sollte allerdings
beachtet werden, dass hierdurch ein weiteres Risiko durch eine verstärkte
IT-Abhängigkeit entstehen kann, das gesondert betrachtet werden muss. Auch
könnten technologiespezifische Ausfallrisiken vermieden werden, wenn besonders
hochwertige Komponenten eingesetzt werden.204 Im Bereich von vorsätzlichen
Bedrohungen ist hingegen eine Risikovermeidung nur begrenzt möglich, da die
Gefährdungsursache außerhalb des direkten Einflussraums einer Unternehmung
liegt.
Der Aufwand zur Bewertung der Möglichkeiten von aktiver Risikovermeidung ist
als gering einzuschätzen und erlaubt bei einzelnen Bedrohungen eine frühzeitige
Veränderung der Eintrittswahrscheinlichkeiten wesentlicher Risiken nahe Null.
Gerade bei Überlegungen der Standortwahl stehen i. A. nur wenige Alternativen
204 Die Qualität einer technischen Komponente wird über die Kennzahl Mean Time Between Failure (MTBF) gemessen, die die durchschnittliche Zeit zwischen zwei Ausfällen angibt. An-dere verwandte Kennzahlen sind Mean Time To Fail (MTTF) und Mean Time To Repair (MTTR). Vgl. Jrad et al. (2004), S. 108.
82
zur Verfügung, die hinsichtlich o. g. Risiken (z. B. Überflutung) untersucht werden
können.205
7.1.2 Risikominderung und deren Bewertung im Kontext der IT-Notfallvorsorge
Im Rahmen der Risikominderung können grundsätzlich zwei Hebel206 genutzt
werden (vgl. Abbildung 7.1).
Reaktive Senkung der Auswirkung
durch Schadenherabsetzung
Präventive Senkung der
Eintrittswahrscheinlichkeit durch
Schadenverhütung
RisikominderungRisikominderung
TechnischTechnisch
Nicht technischNicht technisch
TechnischTechnisch
Nicht technischNicht technisch
AusprägungHebelInstrument
Abbildung 7.1: Hebel zur Risikominderung
Maßnahmen zur Schadenverhütung wirken präventiv und reduzieren das Risiko
durch die Senkung der Eintrittswahrscheinlichkeit einer Bedrohung (z. B. Firewall).
Demgegenüber wirken Maßnahmen zur Schadenherabsetzung reaktiv und reduzie-
ren die ökonomische Auswirkung bei Eintritt einer Bedrohung (z. B. manueller
Ersatzprozess). Beide Ausprägungen können sowohl technische als auch nicht
technische Maßnahmen umfassen.
205 Hierbei ist speziell bei Nutzung von IT-Systemen zur Unterstützung erfolgskritischer Geschäfts-prozesse eine umfassende Betrachtung notwendig.
206 Ein Hebel stellt i. S. d. mathematisch-technischen Risikodefinition die Veränderung einer der zwei abhängigen Variablen (Eintrittswahrscheinlichkeit oder Auswirkung) dar.
83
Im Rahmen der Schadenverhütung kann nur begrenzt eine Veränderung des
Risikoprofils im spezifischen Bereich der IT-Notfallvorsorge vorgenommen werden,
da hier meist grundlegende Sicherheitsmaßnahmen zum Zuge kommen, die
beispielsweise den IT-Grundschutz-Katalogen entnommen werden können, um
einen Basisschutz zu erreichen.207 Dabei sind sowohl technische Maßnahmen (z. B.
Infrastruktur, Hard- und Software) als auch nicht technische Maßnahmen (z. B.
Personal, Organisation) im Betrachtungsumfang enthalten.208
Ein wesentlicher gestalterischer Handlungsspielraum der IT-Notfallvorsorge ergibt
sich im Bereich der Schadenherabsetzung. Entsprechende Maßnahmen stellen
meist den Arbeitsschwerpunkt dar, wenn IT-Notfallvorsorge im klassischen Sinne209
gestaltet wird. Auch Beispiele aus dem produzierenden Gewerbe zeigen ähnliche
Konzepte zur Fortführung der Geschäftskontinuität nach einem Notfall, der ohne
Ursache innerhalb der IT auftritt.210 Im angelsächsischen Sprachgebrauch wird für
Schadenherabsetzung der Begriff Disaster Recovery (DR) genutzt, der die (meist
technische) Konzeption für die Wiederherstellung nach einem IT-Notfall bezeich-
net.211 Grundsätzlich lassen sich hierbei drei Klassen von Maßnahmen unterschei-
den.
1. Vorhalten von (redundanter)212 technischer Infrastruktur:213 Ein zweites
IT-System als Ersatzlösung stellt eine häufig genutzte Notfallmaßnahme dar, da
207 „Das Ziel dieser IT-Grundschutz-Empfehlungen besteht darin, durch die Umsetzung von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausrei-chend ist (…).“ Werners/Klempt (2007), S. 293.
208 Vgl. BSI (2007a), Abschnitt Maßnahmen-Kataloge.
209 Als IT-Notfallvorsorge im klassischen Sinne wird die ausschließliche Auswahl technischer sowie reaktiver Wiederherstellungsmaßnahmen angesehen.
210 Zur Übersicht von Strategien für das produzierende Gewerbe im Rahmen eines sogenannten Manufacturing Operations Recovery and Resumption (MORR) Modells vgl. Iyer/Sarkis (1998), S. 170f.
211 Vgl. BSI (2000), S. 166: „Der Disaster Recovery Plan umschreibt die Maßnahmen zur Sicherstellung der bedarfsgerechten Verfügbarkeit der Datenverarbeitung nach einem Notfall.“
212 Zur formalen Darstellung von Redundanz im Kontext des Disaster Recovery vgl. Shao (2004), S. 1379ff.
213 Zur Darstellung unterschiedlicher Standby-Konzepte vgl. Köhler (2007), S. 145f.
84
hiermit die ökonomische Auswirkung bei geschäftskritischen IT-Ausfällen direkt
reduziert werden kann. Demgegenüber stehen jedoch hohe Kosten für die Be-
schaffung, den Aufbau und ggf. notwendige Änderungsanpassungen im lau-
fenden Einsatz. Je nach Anforderung an die IT-Wiederherstellungszeit wird
dabei zwischen Hot, Warm und Cold Standby unterschieden. Bei einem
IT-System mit Hot Standby214 steht eine voll funktionsfähige zweite
IT-Infrastruktur mit aktueller Datenbasis zur Verfügung, die die IT-Unterstützung
nach wenigen Minuten wieder aufnehmen kann. Die Konsistenz der Daten ist
vollständig gesichert,215 die Unterbrechung der Geschäftsprozesse ist minimal.
Ein Warm Standby stellt ebenso eine zweite IT-Infrastruktur zur Verfügung,
die jedoch vor Einsatzbeginn mit aktuellen Daten befüllt216 und ggf. in der
Konfiguration angepasst werden muss. Hierfür sind je nach Komplexität und
Datenmenge einige Stunden an IT-Wiederherstellungszeit anzusetzen. Eine
Lösung für Cold Standby umfasst die Bereithaltung eines Ersatzstandorts, der
für eine IT-Wiederherstellung genutzt werden kann. Dieser kann beispielsweise
auch mit anderen IT-Systemen geteilt werden, die ein unabhängiges Risikoprofil
beinhalten. Dabei ist zusätzlich die teilweise Vorbereitung von wenig kostenin-
tensiven Infrastrukturkomponenten (z. B. Netzwerk bzw. Verkabelung) möglich.
Ein besonderer Vorteil von Cold Standby sind die geringen Kosten, da die Be-
schaffung von Ersatzinfrastruktur bei Hot und Warm Standby mit der für
IT-Komponenten kurzen Lebenszeit aufwändig ist. Alternativ zu den Standby-
Konzepten ist die Vorhaltung eines mobilen oder stationären Notfall-
Rechenzentrums möglich, das von einem externen IT-Dienstleister betrieben
wird. Auch hierbei lassen sich unterschiedliche Anforderungen an die
IT-Wiederherstellung umsetzen.217
214 Zum Beispielrahmen eines Vertrags für eine Hot Standby Lösung vgl. BSI (2000), S. 171f.
215 Zur Klassifikation von Methoden zur Datenwiederherstellung vgl. Choy et al. (2000), S. 273ff.
216 Zur Darstellung von Optimierungsmöglichkeiten bei der Datenwiederherstellung zur Reduzie-rung von Ausfallzeit durch ein verbessertes Scheduling (d. h. Ablaufplanung) vgl. Keeton et al. (2006), S. 235ff.
217 Zur aktuellen Marktübersicht von Ausweich-Rechenzentren vgl. KES (2007), S. 62ff.
85
2. Liefervereinbarungen inkl. Wiederaufbauplanung: Um Beschaffungskos-
ten für redundante IT-Infrastruktur zur vermeiden, können sogenannte Liefer-
vereinbarungen für den IT-Notfall mit Hardware-Herstellern abgeschlossen wer-
den. Diese ermöglichen eine zeitnahe Ersatzlieferung im Notfall an einen
vordefinierten Standort. Diese Möglichkeit kann beispielsweise genutzt werden
im Zusammenwirken mit o. g. Lösung für Cold Standby. Zusätzlich zu einer
Liefervereinbarung sind hier noch weitere Planungsaktivitäten notwendig, um
einen strukturierten und zügigen IT-Wiederaufbau zu ermöglichen. Hierfür sollte
eine konzeptionelle Wiederaufbauplanung erstellt werden, die die notwendigen
Arbeitsschritte in zeitlicher Reihenfolge und einen hohen Detailgrad aufzeigt.
3. Manuelle Ersatzprozesse ggf. teilweise IT-gestützt: Eine weitere kosten-
günstige Möglichkeit ist die Vorbereitung manueller Ersatzprozesse, die die
ökonomische Auswirkung bei IT-Ausfall minimieren. Hierzu können papierba-
sierte Prozesse genutzt werden, die ggf. auf lokale IT-Unterstützung der Arbeits-
platzrechner zurückgreifen.
Alle bisher beschriebenen Maßnahmen zur Schadenherabsetzung müssen im
Rahmen von Notfallübungen218 ausführlich getestet werden, um deren Funktions-
fähigkeit sicherzustellen und weitere mögliche Schwachstellen aufdecken zu
können.219 Diese Übungen erfolgen in sogenannten Testszenarien, die bezüglich
Aufwand,220 Aussagekraft und Risiko angemessen sein müssen.221 Dabei erfordern
in erster Linie nicht technische Maßnahmen (z. B. manuelle Ersatzprozesse) eine
218 Zur Übungsvorbereitung und Durchführung vgl. Königs (2005), S. 218f.
219 Eine Umgebung für Hot Standby ist mit großer Wahrscheinlichkeit nicht ausreichend funktionsfähig, falls keine umfangreichen technischen und organisatorischen Notfalltests durchgeführt wurden. Vgl. Landry/Koger (2006), S. 8f. Zum Überblick über Testmethoden vgl. von Rössing (2005), S. 68; Naujoks (2002), S. 118ff.
220 „Das Üben erfordert allerdings auch einen hohen Einsatz an Ressourcen und muss daher auf die Bedürfnisse des Unternehmens im Hinblick auf Wirtschaftlichkeit und Ergebnis angepasst sein.“ Müller (2007), S. 36.
221 Vgl. Haase (2007), S. 20. Mögliche Testszenarien können unterschieden werden in einen Schreibtischtest, Test einer einzelnen Notfallkomponente und Test der gesamten Notfallumge-bung.
86
umfassende organisatorische Planung zur Erreichung einer hohen Effektivität in
einer geschäftskritischen Notfallsituation.
7.1.3 Risikobegrenzung und deren Bewertung im Kontext der IT-Notfall-vorsorge
Im Bereich der Risikobegrenzung werden die Risikostreuung und die Schadenüber-
wälzung unterschieden, die beide jeweils reaktive Maßnahmen darstellen.
Das Konzept der Risikostreuung (oder auch Diversifikation)222 stellt ursprünglich
eine Kapitalanlagestrategie dar.223 Eine Übertragung auf den Gestaltungsgegen-
stand der IT-Notfallvorsorge ist jedoch möglich. Grundsätzlich werden bei einer
Streuung einzelne Risiken minimiert, indem bei Eintritt in einem Bereich ein
Risikoausgleich in einem zweiten Bereich erfolgt. Nemzow stellt dazu fest: „Ideally,
the best planning looks to diversification as a strategy for protecting an organiza-
tion even with a direct disaster hit.”224 Diese Einschätzung betont nochmals die
hohe Bedeutung der Risikostreuung, welche bestmöglich bereits im Rahmen von
Planungsprozessen zu erfolgen hat. Grundsätzlich können sich jedoch Ähnlichkei-
ten zu o. g. reaktiven Maßnahmen (z. B. redundante Infrastruktur) der Schaden-
herabsetzung ergeben. Eine trennscharfe Abgrenzung ist somit nur begrenzt
möglich. Ein Beispiel für eine Risikostreuung besteht in der synchronisierten
Verteilung der Infrastruktur auf mehrere Standorte.225 Damit ist keine zusätzliche
Infrastruktur notwendig, lediglich ein erhöhter Aufwand für die Anwendungs- und
Datensynchronisierung226 ist im Rahmen der Gestaltung und des Einsatzes
222 Vgl. Rosenkranz/Missler-Behr (2005), S. 300.
223 Vgl. Einhaus (2006), S. 77.
224 Nemzow (1997), S. 133.
225 Zur Darstellung von Chancen und Risiken einer zentralen vs. dezentralen Informationsverarbei-tung vgl. Potthof (1998), S. 63.
226 Bei technischen Mechanismen wird zwischen synchroner und asynchroner Datenhaltung unterschieden. Eine synchrone Datenhaltung bezeichnet die parallele Vorhaltung der exakt gleichen Datenbestände an zwei unterschiedlichen Standorten. Dies ist aufgrund technischer Kommunikationsverzögerungen nur bis zu einer maximalen Entfernung von etwa 100 Kilome-tern möglich. Die asynchrone Datenhaltung ist überregional realisierbar und erlaubt keine transaktionsgenaue Parallelität in der Synchronisierung.
87
einzuplanen. Eine solche Verteilung reduziert die Auswirkung einer physischen
Zerstörung eines Standorts, indem durch die Übernahme der zweiten Infrastruktur
der ökonomische Schaden zumindest teilweise minimiert wird.
Auch bei dem Instrument der Schadenüberwälzung ergeben sich Ähnlichkeiten
zu einem anderen Steuerungsbereich, hier im Speziellen zur Risikoversicherung.227
Im Verständnis der vorliegenden Arbeit wird darunter die aktive (d. h. operative)
Steuerung mit Schadenüberwälzung auf einen Dritten angesehen, der selbst keine
Versicherungsleistungen anbietet. Als ein Beispiel dafür kann die Auslagerung228
der IT-Systeme an einen externen Dienstleister genannt werden,229 der vertrag-
lich230 auch bei Eintritt eines IT-Notfalls den IT-Einsatz sicherstellt231 oder eine
vertragliche Ausgleichszahlung leistet. Diese Ausgleichszahlung kann an die
Ergebnisse einer Folgeschadenanalyse angelehnt sein, um einen monetären
Ausgleich für realisierte Schäden zu erhalten.
Eine Kostenschätzung der o. g. Maßnahmen ist nicht anhand eines einfachen
Modells möglich, sondern muss im Einzelfall je nach Ausprägung individuell
227 Oftmals wird dabei auch zwischen operativem und finanziellem Risikotransfer unterschieden, vgl. Einhaus (2006), S. 78ff.
228 Unter Auslagerung von IT-Systemen ist die vollständige oder teilweise Übertragung von IT-Funktionen an rechtlich selbstständige Unternehmungen zu verstehen. Die Entscheidung für eine IT-Auslagerung stellt insofern eine spezielle Ausprägung der Make-or-Buy-Entscheidung dar, weil ein gewisses Maß an IT-Ressourcen bereits in der Unternehmung vorhanden ist und diese gegebenenfalls zu übertragen oder zu ersetzen sind. Vgl. Potthof (1998), S. 33ff. Zu spezifischen Aspekte des Outsourcings von Call und Customer Care Center mit einem Praxis-beispiel einer TK-Unternehmung vgl. Schwerdtner/Zylla (2000), S. 118ff.
229 Zur Darstellung von IT-Outsourcing vgl. auch Köhler (2007), S. 312ff.; Aspekte des Manage-ments der Komplexität von Informationstechnologie durch die Auslagerung der Datenverarbei-tung vgl. Oecking et al. (2000), S. 94ff.
230 Vor allem im stark regulierten Bankensektor müssen umfangreiche Prüf- und Kontrollmöglich-keiten bei IT-Auslagerung im Bereich der IT-Sicherheit ermöglicht werden. Vgl. Hirsch-mann/Romeike (2004), S. 18.
231 Hohe Anforderungen (z. B. im Bereich IT-Sicherheit bzw. IT-Notfallvorsorge) an den Betrieb von IT-Systemen können in Einzelfällen (besonders im Mittelstand) wirtschaftlicher in einem professionell betriebenen ausgelagerten Rechenzentrum umgesetzt werden, vgl. dazu Becker (2007), S. 67.
88
durchgeführt werden.232 Grundsätzlich ist vor allem bei Maßnahmen zur Risikobe-
grenzung notwendig, Auswirkungen der Maßnahmen selbst auf das Gesamtrisiko-
profil der Unternehmung zu betrachten. Beispielsweise können durch eine Vertei-
lung der Infrastruktur auf unterschiedliche Standorte weitere Risiken entstehen, die
durch eine erhöhte IT-Komplexität verstärkt werden.
7.2 Passive IT-Risikosteuerung
Im nachfolgenden Abschnitt werden passive Instrumente233 zur IT-Risikosteuerung
analysiert und bewertet. Passive Instrumente verändern nicht die Gestaltung des
IT-Systems selbst, sondern stellen alternative (zumeist finanzielle) Steuerungsmaß-
nahmen dar, die wirkungsbezogen (d. h. reaktiv) nach Eintritt einer Gefährdung
zum Tragen kommen. Im ersten Abschnitt werden dazu verschiedene Möglichkei-
ten der Risikoversicherung bewertet, anschließend erfolgt die Untersuchung von
Risikotragung durch sogenannte Captives.234 Die Analyse passiver Instrumente
schließt dann mit der Beurteilung der Risikoakzeptanz als nicht finanzielle Hand-
lungsoption zur strukturierten und dokumentierten Akzeptanz einzelner (Rest-)-
Risiken.
7.2.1 Risikoversicherung und deren Bewertung im Kontext der IT-Notfallvorsorge
Versicherungen stellen Instrumente zur Risikoüberwälzung dar, die von allen
Unternehmungen am Markt in unterschiedlicher Ausprägung in Anspruch genom-
men werden. Dabei wird die Versicherung nach Eintritt einer Bedrohung in
Anspruch genommen und kompensiert deren Wirkung, d. h. ökonomische
Auswirkung.
232 Insbesondere für eine Kostenschätzung technischer Maßnahmen kann auf die externe Unterstützung von IT-Dienstleistern zurückgegriffen werden, um ein finanzielles Angebot zu erhalten.
233 Vgl. Rosenkranz/Missler-Behr (2005), S. 297.
234 Eine Captive ist eine Versicherungsgesellschaft, die vollständig einem nicht in der Versiche-rungsbranche tätigen Unternehmen gehört und versicherungstechnische Risiken aus der Kon-zernfamilie versichert. Für eine detaillierte Untersuchung vgl. Abschnitt 7.2.2.
89
In einem ersten Schritt werden die vier grundsätzlichen Kriterien235 der Versicher-
barkeit von Risiken betrachtet,236 die unter Berücksichtigung der bisherigen
Untersuchungsergebnisse für IT-Risiken mit signifikanter Auswirkung und geringer
Eintrittswahrscheinlichkeit bewertet237 werden.
1. Kriterium der Schätzbarkeit: Die durch das Eintreten eines Risikos entste-
henden Schäden müssen definierbar und messbar sein. Damit muss es auf Sei-
ten des Versicherers eine genügend hohe Zahl risikotechnischer Einheiten238
geben, damit die Erwartungswerte der Schäden mit ausreichender Zuverlässig-
keit prognostiziert werden können. Speziell bei IT-Risiken liegen jedoch keine
belastbaren Daten zu Eintrittswahrscheinlichkeiten vor, die auf eine konkrete
IT-Umgebung anwendbar sind. Ebenso lassen sich ökonomische Schäden nur
mit hohem Aufwand abschätzen, da langfristige und indirekte Auswirkungen
(z. B. Ansehensverlust) schwer quantifizierbar sind.
2. Kriterium der Eindeutigkeit: Die Merkmale des Versicherungsfalles sowie
die des versicherten Schadens müssen im Versicherungsvertrag genau definiert
werden können, damit die Leistung nach Eintritt eines Risikos eindeutig be-
stimmbar ist. Der Versicherungsfall IT-Notfall kann klar bestimmt werden, der
Versicherungsumfang insbesondere im Zusammenhang mit Betriebsunterbre-
chungsschäden ist dagegen nur begrenzt eindeutig definierbar.
3. Kriterium der Zufälligkeit und Unabhängigkeit: Die Risiken müssen
zufällig und unabhängig voneinander eintreten und der Versicherte darf keinen
Einfluss auf den Schaden haben.239 Aufgrund der komplexen Ursache-
Wirkungsbeziehungen und der vielfältigen Abhängigkeiten bei der Verletzung
der IT-Sicherheitsziele kann eine Unabhängigkeit von IT-Risiken nur bedingt
235 Zum Vergleich dieser und weiterer Kriterien der Versicherbarkeit vgl. Benzin (2005), S. 209ff.
236 Vgl. auch Rosenkranz/Missler-Behr (2005), S. 301f.
237 Zur Bewertung o. g. Kriterien im Kontext von Terrorismusrisiken vgl. Benzin (2005), S. 236.
238 Die risiko- oder versicherungstechnische Einheit ist die kleinste Risikoeinheit, die tarifiert und verwaltet werden kann.
239 Aus diesem Grund sind Kumulrisiken und höhere Gewalt nur schwer versicherbar.
90
festgestellt werden.240 Diese Korrelation241 von Risiken wird auch von Böhme
im Kontext von IT-Versicherungen festgestellt: „We show in particular that
losses generated by security breaches must not be treated in the same way as
traditional indemnity insurance risks, because the structure of today’s installed
computer systems produces unwanted correlation of claims.“242 Diese Einschät-
zung betont die vielfältigen Abhängigkeiten innerhalb komplexer
IT-Risikoportfolios, die maßgeblich durch die Struktur der IT-Systeme selbst
hervorgerufen werden.
4. Kriterium der Größe: Die Schadenshöhe der Ereignisse darf nicht katastro-
phal sein, was eine unklare Definition darstellt und von der Risikokapazität des
Versicherers abhängt. IT-Notfälle können per Definition eine signifikante öko-
nomische Auswirkung zur Folge haben, d. h. auch dieses Kriterium zeigt
IT-spezifische Schwierigkeiten.
Als Fazit seiner Arbeit zur spezifischen Versicherbarkeit von IT-Risiken stellt Koch
fest, dass „die herkömmlichen Versicherungsprodukte in der Sach-, Vertrauens-
schaden- und Haftpflichtversicherung vielfach nicht ausreichen, um die vorhande-
nen IT-Risiken aufzufangen.“243 Dies wird ähnlich eingeschätzt von Seitz, der die
Möglichkeiten des traditionellen Rückversicherungsmarktes im Umgang mit
Grenzrisiken untersucht hat: „Die Grenzen der Rückversicherbarkeit in qualitativer
und quantitativer Hinsicht sind also dort gesetzt, wo neuartige oder nicht ein-
schätzbare Risiken ein ungewisses und gleichzeitig enormes Gefahrenpotenzial
240 Vgl. Anderson/Moore (2006), S. 8ff. Eine weitergehende Analyse wird von Ogut et al. durchgeführt, um die Auswirkungen von IT-Risikoabhängigkeiten auf die Investitionsbereit-schaft in IT-Sicherheitslösungen zu untersuchen. Hierbei wurde in einem quantitativen Modell gezeigt, dass speziell aufgrund dieser Abhängigkeiten von vielen Unternehmungen eine IT-Risikoversicherung vorgezogen wird. Vgl. Ogut et al. (2005), S. 23.
241 Für Beispiele und Zusammenwirken von globaler und unternehmungsinterner Korrelation von Risiken vgl. Böhme/Kataria (2006), S. 4.
242 Böhme (2005), S. 13.
243 Koch (2005), S. 5.
91
beinhalten, das mit den üblichen Verfahren der Risikotechnik nicht beherrschbar
ist.“244
Für eine nähere Bewertung werden nun die bestehenden Versicherungskonzepte
am Markt auf ihre Anwendbarkeit für IT-Risiken betrachtet.245 Dabei wird im
Zusammenhang mit der Risikoversicherung grundsätzlich zwischen der Versiche-
rung von Eigen- und Fremdschäden unterschieden.246
Die Versicherung von IT-Eigenschäden kann unterteilt werden in Sach- und
Vertrauensschadenversicherungen.247 Bei der Sachversicherung248 können
sowohl versicherte Sachen als auch Folgen von deren Zerstörung im Rahmen einer
Betriebsunterbrechung abgesichert werden. Dabei können Schäden aufgrund von
IT-Ausfall (oder Betriebsunterbrechung) signifikante ökonomische Auswirkungen für
eine Unternehmung haben, die im Rahmen einer Folgeschadenanalyse249 bewertet
werden kann. In Vertrauensschadenversicherungen werden Vermögensschä-
den versichert, die aufgrund krimineller Handlungen auftreten.250 Hinsichtlich der
identifizierten Notfallszenarien aus Kapitel 6 kann dies abgebildet werden auf die
Szenarien ‚5.1 Vorsätzliche nicht physische Gefährdung’ und ‚5.2 Vorsätzliche
physische Zerstörung’. Beispielsweise kann ein Computerbetrug von eigenen
244 Seitz (2001), S. 37.
245 Zur Übersicht traditioneller und spezieller Versicherungskonzepte für E-Commerce-Risiken vgl. Grzebiela (2002), Abschnitt 4; für eine weitere Übersicht aktueller Entwicklungen vgl. Koch (2006), S. 1ff.
246 Zur weiteren möglichen Gruppierung nach Ursachen (EDV-/Elektronikversicherung, Personen-versicherung) vgl. BSI (2000), S. 65f.
247 Entsprechende Versicherungskonzepte können jedoch auch modular angeboten werden, z. B. bietet die Allianz eine Versicherung elektronischer Anlagen, eine Softwareversicherung, eine Betriebsunterbrechungsversicherung und eine Vertrauensschadenversicherung in dem Produkt ESI Net modular an. Vgl. Allianz (2007).
248 Im Bereich der Sachversicherung wird weiter unterschieden in Sachversicherungen gegen benannte Gefahren (z. B. Feuer, Leitungswasser, Elementarkräfte) und in Allgefahrenversiche-rungen, die keine ursachenbezogene Versicherung darstellen. In deren Umfang ist alles versi-chert, was nicht explizit ausgeschlossen ist.
249 Vgl. Abschnitt 5.
250 Vgl. Koch (2005), S. 620ff.; für eine Beispielrechnung der Vertrauensschadenversicherung bei der Hermes Versicherung vgl. BSI (2000), S. 177.
92
Mitarbeitern oder außen stehenden Dritten begangen werden.251 Dabei werden
Vermögensschäden als Schäden definiert, die weder durch einen Personen- noch
durch einen Sachschaden (s. o.) entstanden sind.
Im Bereich der IT-Fremdschäden können unterschiedliche Deckungskonzepte
betrachtet werden. Im Rahmen der Betriebshaftpflichtversicherung252 besteht
Versicherungsschutz bei Personen- und Sachschäden. Sind hingegen Daten oder
Programme betroffen, so können sich Unsicherheiten und Deckungsstreitigkeiten
ergeben, da die Rechtsprechung zur Sachqualität von IT-Systemen noch teilweise
ungeklärt ist. Weiterhin sind Fremdschadensrisiken im Bereich der Vermögensschä-
den meist nicht versichert, vornehmlich bei einem Auftreten von Großrisiken oder
existenziellen Risiken. Die Produkthaftpflichtversicherung253 bezieht sich auf den
Adressatenkreis von Herstellern und Händlern, deren Erzeugnisse nicht Endproduk-
te sind. Damit ist diese auf den Bereich der IT-Risiken nur begrenzt anwendbar. Die
Rückrufkostenversicherung254 ist in erster Linie relevant für Hardware-Hersteller, da
ein Rückruf bei Software nicht notwendig ist, weil i. d. R. Online-Aktualisierungen
durchgeführt werden. Der Versicherungsbedarf hierbei kann möglicherweise für
Kosten der Benachrichtigung notwendig sein. Abschließend ist im Bereich der
IT-Fremdschäden die Umwelthaftpflichtversicherung255 zu nennen. Hier ist De-
ckung speziell für Risiken durch Umwelteinwirkungen aus der IT-Nutzung im
Rahmen des Einsatzes einer umweltgefährdenden Anlage vorhanden.
Betrachtet man o. g. Untersuchungen zu den Versicherungskonzepten, so kann
festgestellt werden, dass bisher nur Deckung für Teilbereiche von IT-Risiken
verfügbar ist. Dazu stellt Lesch fest: „Durch immer neue Angriffsmethoden und die
251 Die Computer-Missbrauch-Versicherung ist eine spezielle Versicherung, die auf Schäden in Zusammenhang mit IT-Systemen beschränkt ist und damit eine spezielle Form der Vertrauens-schadenversicherung darstellt. Nach Lesch ist diese jedoch eingeschränkt auf Risiken, deren originäre Ursache von einem internen Mitarbeiter ausgeht. Eine Deckung von externen vorsätz-lichen Angriffen (z. B. durch Hacker) wird nicht geleistet. Vgl. Lesch (2002), S. 147f.
252 Vgl. Koch (2005), S. 740ff.
253 Vgl. Koch (2005), S. 810ff.
254 Vgl. Koch (2005), S. 834ff.
255 Vgl. Koch (2005), S. 868ff.
93
rasante Veränderung sicherheitstechnischer Standards werden Deckungslücken
häufig erst im Schadensfall offenkundig.“256
Böhme nennt im Zusammenhang mit IT-Risikoversicherungen drei weitere bedeu-
tende Unteraspekte:257 Erstens werden die Versicherungsunternehmungen die
Prämien nach Risikokriterien differenzieren, was konkrete Anreize zur Investition in
Sicherheitstechnologie setzt. Damit wird zweitens der Wert von Sicherheitstechno-
logien besser quantifizierbar und verhindert damit eine mögliche Überinvestition.
Der dritte Aspekt betrifft die Forschung und Entwicklung von Sicherheitstechnolo-
gie. Da Versicherungsunternehmungen Informationen über die Art und den Grad
einzelner Risiken analysieren müssen, haben sie einen Anreiz, einen Teil ihrer
Gewinne in die Verbesserung ihrer Informationslage zu investieren.
7.2.2 Risikotragung und deren Bewertung im Kontext der IT-Notfallvorsorge
Die Möglichkeit der Risikotragung kann gewählt werden, wenn es aufgrund der
Wirtschaftlichkeit geeignet erscheint, auf aktive Risiko steuernde Instrumente zu
verzichten und statt einer externen Versicherungsdeckung eine sogenannte
(interne) Captive258 einzusetzen. Dabei stellt eine Captive eine Selbstversicherung
dar, die Schäden durch konzerneigenes Kapital deckt.259 Aufgrund aufsichtsrechtli-
cher Vorgaben werden hierfür meist Off-Shore-Rückversicherungs-Captives gegrün-
det.260 Grundsätzlich wird weiterhin zwischen einer Single Parent Captive und
einer Multi Parent Captive unterschieden.261 Eine Single Parent Captive befindet
sich ausschließlich im Besitz einer Unternehmung, was die am weitesten verbreite-
te Form darstellt. Die zweite Möglichkeit besteht in der Nutzung einer auf mehrere
256 Lesch (2002), S. 190.
257 Vgl. Böhme (2005), S. 27ff; Kesan et al. (2004), S. 7ff.
258 Captive als „gefangene“ bzw. konzerneigene Versicherungsunternehmung.
259 Dabei können Captives klassifiziert werden nach Geschäftstätigkeit, Trägerschaft, Standorte und Risiken. Vgl. Romeike (2004), S. 26f.
260 Vgl. Wöhrmann (2003), S. 26.
261 Vgl. Lesch (2002), S. 63.
94
Unternehmungen verteilten Multi Parent Captive, was jedoch zu Interessenskon-
flikten zwischen den Beteiligten führen kann, da Vertragsdetails bekannt gegeben
werden müssen.
Grundsätzlich lassen sich einige Vorteile von Captives nennen.262 So erfolgen
beispielsweise eine Partizipation am guten Schadensverlauf sowie ein möglicher
Zugang zum Rückversicherungsmarkt263 und damit eine Erweiterung des Versiche-
rungsschutzes auf nicht versicherte oder grundsätzlich unversicherbare Risiken.
Dies kann somit speziell für IT-Risiken relevant sein, da hierfür nur begrenzt
Deckungskonzepte am Markt verfügbar sind. Grundsätzliche Voraussetzung für die
Nutzung einer Captive ist ein aktives, ins Finanzmanagement integriertes Risiko-
management sowie ein adäquater Einsatz von Maßnahmen zur Risikokontrolle.
Nur damit können mittels einer Captive versicherungstechnische Gewinne erzielt
werden. Eine Schwierigkeit besteht hierbei in der geeigneten Berücksichtigung der
Schadenhäufigkeiten (in zeitlicher und örtlicher Hinsicht) im Vergleich zu umfang-
reichen Portfolios, die ggf. eine weitere Absicherung durch sogenannte Stop-
Loss264 Verträge erfordern.
Für eine alleinige Anwendung im Bereich von IT-Risiken erscheint eine Captive
allerdings nicht geeignet, da ihr Planungs- und Umsetzungsaufwand meist nicht in
geeignetem Verhältnis zum Risikopotenzial innerhalb der IT steht. Die Möglichkeit
einer Verknüpfung im Rahmen der Betrachtung weiterer operativer Risiken kann
dagegen im Einzelfall geprüft werden.
262 Vgl. Zurich (2002), S. 2.
263 Zu Grenzen und Möglichkeiten der Deckung einer Mega-Katastrophe durch die Versiche-rungswirtschaft sowie der Nutzung alternativer Konzepte wie beispielsweise Katastrophen-Anleihen vgl. Niehaus (2002), S. 587f.
264 Ein Stop-Loss Vertrag schützt die Captive, da mit dem Vertragspartner ein jährlicher Schadens-betrag definiert wird, den er selbst tragen muss. Übersteigt der Schaden diesen Betrag, so werden die restlichen Zahlungen vom Stop-Loss Versicherer übernommen bzw. via Captive an den Erstversicherer bezahlt. Vgl. Wöhrmann (2003), S. 27.
95
7.2.3 Risikoakzeptanz und deren Bewertung im Kontext der IT-Notfallvorsorge
Ein weiteres Instrument der IT-Risikosteuerung stellt die Akzeptanz265 von identifi-
zierten Risiken im Rahmen eines dedizierten Ablaufverfahrens dar, das durch die
Unternehmungsleitung offiziell freigegeben wurde und dabei weitere Maßnahmen
zur Veränderung der Risikohöhe für Risiken im Betrachtungsumfang als nicht
notwendig definiert.266 Das Österreichische IT-Sicherheitshandbuch (IT-SHB)
beschreibt für die Akzeptanz von Restrisiken folgende Anforderungen: „Die
Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch
das Management zu treffen, die genauen Verantwortlichkeiten dafür sind in der
IT-Sicherheitspolitik festzulegen. Die Entscheidung ist schriftlich zu begründen und
durch die Leitung der Organisation in schriftlicher Form zu akzeptieren.“267
Das Akzeptanzverfahren erfordert eine sorgfältige Bewertung des untersuchten
Risikos im jeweiligen Unternehmungskontext. Die Anwendung des Verfahrens ist
damit in Fällen möglich, in denen die nachvollziehbare Informationsgrundlage eine
Umsetzung von alternativen Steuerungsmechanismen aus betrieblicher Sicht als
ungeeignet erscheinen lässt. Dabei können unterschiedliche Kriterien zur Anwen-
dung kommen. Meist wird die Einschätzung getroffen, dass effiziente und effektive
Maßnahmen nicht vorhanden sind und das Risiko eine vordefinierte Wesentlich-
keitsgrenze nicht überschreitet. Dabei sollte sowohl die ökonomische Auswirkung
bei IT-Ausfall betrachtet werden als auch eine Einschätzung der Eintrittswahrschein-
lichkeit vorliegen.
Ein mögliches Beispiel ist das Erdbebenrisiko in Deutschland, das als vergleichswei-
se gering betrachtet wird und demnach trotz einer möglichen bestandsgefährden-
den Auswirkung akzeptiert werden kann.268 Als zweites Beispiel könnte ein
265 Dabei wird die Risikoakzeptanz als bewusstes Selbsttragen ohne Reservenbildung angesehen, vgl. Romeike (2004), S. 106ff.
266 Zur Einordnung der Risikoakzeptanz in die nutzentheoretische Entscheidungs- und Einstellungs-forschung vgl. Slaby/Urban (2002), S. 2ff.
267 IT-SHB (2004), S. 49
268 Vgl. Abschnitt 6.4.
96
Flugzeugabsturz genannt werden, falls der Standort abseits einer Einflugschneise
liegt.
Damit ergibt sich die Einschätzung einer hohen Bedeutung der Risikoakzeptanz für
den Fall, dass das Verfahren kontrolliert eingesetzt wird und alle durchgeführten
Zwischenschritte dokumentiert werden. Auch bei Betrachtung gesetzlicher Anfor-
derungen, die ein System für Risikomanagement einfordern (z. B. KonTraG), kann
dieses Instrument zur Risikosteuerung im Rahmen der unternehmerischen Freiheit
als adäquat angesehen werden. Dieser Handlungsspielraum – bei geeigneter
Berücksichtigung notwendiger Rahmenbedingen – ist möglich, falls ausreichende
Untersuchungen durchgeführt worden sind, die alle relevanten Entscheidungsträ-
ger269 innerhalb der Unternehmung berücksichtigt haben. Hierbei ist in erster Linie
der spezifische Risikoeigentümer270 mit einzubeziehen. Zusammenfassend ergeben
sich damit folgende Anforderungen für eine korrekte Anwendung der Risikoakzep-
tanz i. S. d. obigen Darstellung:
- Das Instrument zur Risikoakzeptanz muss offiziell von der Geschäftsleitung
genehmigt sein und im Rahmen eines vorab definierten Ablaufverfahrens erfol-
gen.
- Eine sorgfältige Untersuchung der ökonomischen Auswirkung bei Eintritt des
Risikos und dessen Eintrittswahrscheinlichkeit hat zu erfolgen, um eine belast-
bare Grundlage der Risikoakzeptanz zu erhalten. Dies ist eine wesentliche For-
derung, die durch das KonTraG aufkommt und so interpretiert werden kann,
„dass jegliches Risiko zumindest kalkuliert sein muss; der Vorstand muss also
jederzeit darlegen können, dass die möglichen Auswirkungen abgeschätzt und
in ihrer Tragweite erfasst worden sind, bevor die Entscheidung letztlich umge-
setzt wird.“271
269 Unter anderem Geschäftsführung, Risikoeigentümer, Verantwortliche für Geschäftsprozesse, IT-Leiter.
270 Zum Eigentümerkonzept vgl. von Stockar (1995), S. 157ff.
271 von Rössing (2005), S. 39f.
97
- Der Risikoeigentümer272 entscheidet bis zu einer vordefinierten Wesentlich-
keitsgrenze, i. d. R. muss dies durch die Geschäftsleitung erfolgen, da potenziel-
le IT-Notfälle eine möglicherweise bestandsgefährdende Auswirkung haben
können.273
- Die Durchführung des Verfahrens zur Risikoakzeptanz muss dokumentiert
werden, um die Erläuterung der Entscheidung für eine Prüfung vorhalten zu
können.
7.2.4 Überblicksdarstellung der Handlungsmöglichkeiten
Im Folgenden findet sich eine Überblicksdarstellung der Handlungsmöglichkeiten
und eine qualitative Einschätzung des Umsetzungsaufwands (vgl. Tabelle 7.2).
Dabei wurden die o. g. Ausprägungen jedes Instruments mit aufgeführt.
Instrument zur Risikosteuerung
Ausprägungen Prä-ventiv
Re-aktiv
Auf-wand274
Gestalt-ung
Ein-satz
Vermeidung 1.1 Risikoarme Standortwahl
� Mittel �
Risikominderung durch Schaden-verhütung
2.1 Verschieden-artig
� Niedrig � �
3.1 Hot Standby � Hoch � �
3.2 Warm Standby
� Hoch � �
3.3 Cold Standby � Mittel � �
3.4 Liefer-vereinbarung
� Niedrig � �
Risikominderung durch Schaden-herabsetzung
3.5 Manuelle Ersatzprozesse
� Niedrig � �
Risikobegrenzung durch Risiko-streuung
4.1 Verteilung der Infrastruktur
� Mittel �
272 Begrifflich auch oftmals bekannt unter der englischen Bezeichnung ‚risk owner’.
273 Zu weiteren Verantwortlichkeiten des Informationseigentümers vgl. Spiegel (2004), S. 2.
274 Qualitative Einschätzung nach Erfahrungswerten des Autors innerhalb der Beratungspraxis in drei Klassen (niedrig, mittel, hoch).
98
Instrument zur Risikosteuerung
Ausprägungen Prä-ventiv
Re-aktiv
Auf-wand274
Gestalt-ung
Ein-satz
Risikobegrenzung durch Schaden-überwälzung
5.2 Auslagerung � Mittel �
Risikoversicherung 6.1 Elektronik-versicherung
� Niedrig � �
6.2 Computer-missbrauchs-versicherung
� Mittel � �
6.3 Haftpflicht-versicherung
� Niedrig � �
6.4
Betriebs-unterbre-chungs-versicherung
� Hoch � �
6.5 Mehrkosten-versicherung
� Mittel � �
Risikotragung 7.1 Single Parent Captive
� Mittel � �
7.2 Multi Parent Captive
� Mittel � �
Risikoakzeptanz 8.1 Akzeptanz durch Risiko-eigentümer
� Niedrig � �
Tabelle 7.2: Überblick der Handlungsalternativen
Festzustellen ist, dass ausschließlich die Alternativen ‚1.1 Risikovermeidung’ und
‚2.1 Risikominderung durch Schadenverhütung’ eine präventive Maßnahme
darstellen und damit die Eintrittswahrscheinlichkeit eines Notfallszenarios verän-
dern. Alle weiteren Instrumente sind wirkungsorientiert und reduzieren die
ökonomische Auswirkung nach Eintritt einer Gefährdung durch technische oder
finanzielle Steuerungsmechanismen.
Betrachtet man auf einer dreistufigen Skala die vom Autor dieser Arbeit vorge-
nommene Einschätzung der Kosten275, so lässt sich wie folgt unterscheiden (vgl.
dritte Spalte von rechts in Tabelle 7.2):
275 Zu unterscheiden sind einmalige und laufend anfallende Kosten, vgl. Pietsch (1999), S. 42f.
99
- Hohe Kosten sind bei technischen Maßnahmen (z. B. Hot und Warm Standby)
zu erwarten, da hier ein Großteil der IT-Infrastruktur redundant ausgelegt und
aufgrund der kurzen technischen Lebenszyklen276 regelmäßig angepasst werden
muss. Ein weiteres kostenintensives Instrument kann die Betriebsunterbre-
chungsversicherung darstellen, da je nach Unternehmungskontext ein signifi-
kanter Schaden sowohl durch Kostensteigerung als auch Umsatzverlust entste-
hen kann, dessen Risiko für eine Versicherung nur begrenzt kalkulierbar ist und
damit mit erhöhter Prämie belegt wird.
- Niedrige Kosten fallen beispielsweise bei Liefervereinbarungen an, da Herstel-
ler hierzu einen Hardware-Pool für Notfälle bereithalten und dessen Kosten
über mehrere Kunden verteilen können. Auch manuelle Ersatzprozesse erfor-
dern nur begrenzte Konzeptions-, Schulungs- und Anpassungsaufwände, die im
Verhältnis zu Standby-Systemen gering ausfallen können. Im Bereich der Versi-
cherungen wird die Haftpflicht- und Elektronikversicherung (i. S. e. Sachversi-
cherung ohne Betriebsunterbrechung) mit niedrigen Gesamtkosten einge-
schätzt.
- Alle weiteren Instrumente benötigen tendenziell einen mittleren Aufwand in
der Umsetzung.
Eine zusätzliche Untersuchungsdimension ergibt sich durch die Einordnung der
identifizierten Instrumente in eine sogenannte Matrix der Risikosteuerungsoptio-
nen.277 In einer solchen Matrix werden die Eintrittswahrscheinlichkeit einer
Bedrohung auf der x-Achse und der Folgeschaden auf der y-Achse in einem Bereich
von ‚gering’ bis ‚mittel’ eingetragen. Anschließend werden in den vier gebildeten
Quadranten unterschiedliche Steuerungsoptionen für Risiken empfohlen (Transfer,
Vermeidung, Akzeptanz und Minderung). Diesen vier Kategorien können im
276 Meist wird von Abschreibungsdauern zwischen drei und fünf Jahren ausgegangen. Diese Zeitdauer kann als geeignete Orientierung der Lebensdauer von IT-Systemen angenommen werden.
277 Vgl. Einhaus (2006), S. 82.
100
Folgenden die unterschiedlichen Ausprägungen der Steuerungsinstrumente
zugewiesen werden (vgl. Abbildung 7.2).
Transfer
� Versicherung (6.x)
� Captive (7.x)
� Auslagerung, d.h.
operative Schaden-
überwälzung (5.2)
Vermeidung (1.1)
Minderung
� Schadenverhütung (2.1)
� Schaden-
herabsetzung (3.x)
� Teilweise auch Risiko-
streuung (4.1)
Akzeptanz (8.1)
Eintritts-wahrscheinlichkeit
Folgeschaden
Gering Hoch
Gering
Hoch
Abbildung 7.2: Einordnung der Instrumente in Matrix der Risikosteuerungsoptionen
Mithilfe der dargestellten Matrix der Risikosteuerungsoptionen lassen sich Anhalts-
punkte für eine Auswahl der Instrumente finden. Dabei ist die Anwendbarkeit
jedoch durch die bereits untersuchten Schwierigkeiten bei der Bestimmung der
Folgeschäden und speziell der Eintrittswahrscheinlichkeit eingeschränkt.
Betrachtet man die Handlungsalternativen weiterhin unter dem Gesichtspunkt des
möglichen Auswahlzeitpunkts,278 so kann festgestellt werden, dass die Risikover-
meidung und die Risikobegrenzung vielmehr im Rahmen der IT-Gestaltung und
weniger nach Inbetriebnahme angewandt werden können. Alle weiteren Maßnah-
men sind in beiden Phasen – d. h. sowohl im Rahmen der Gestaltung als auch
während des Einsatzes – ergreifbar.
278 Zwei Auswahlzeitpunkte werden hier betrachtet, einerseits die Gestaltung des IT-Systems i. S. d. Planung, andererseits dessen Einsatz bzw. Betrieb.
101
7.3 Kritische Würdigung der Alternativen der IT-Risiko-steuerung
Im Rahmen der Untersuchung der Alternativen der IT-Risikosteuerung konnten
unterschiedliche Instrumente identifiziert werden, wobei eine allgemeine Bewer-
tung der Kosten-Nutzen-Verhältnisse ohne konkrete IT- und zugehöriger Geschäfts-
prozessarchitektur nicht möglich war. Weiterhin wurde festgestellt, dass zu
beachten ist, in welcher Phase innerhalb des IT-Lebenszyklus man sich befindet;
während des IT-Einsatzes sind weniger Möglichkeiten ergreifbar. Dies betonen
explizit auch Landry/Koger: „Once systems are into production, it is difficult to
find the time and the means to implement and test a DR plan.”279
Außerdem muss im Zusammenhang mit Versicherungen der aktuelle Versiche-
rungsstand genau und durch Experten geprüft werden, um verbleibende Restrisiken
zu identifizieren und keine Übersteuerung zu erreichen. Dies ist in erster Linie
notwendig, da der Versicherungsmarkt für IT-Risiken noch verhältnismäßig jung ist
und zudem weiteren besonderen Schwierigkeiten280 unterworfen ist. Maßnahmen
im Bereich der Risikominderung und dort im Speziellen die Schadenverhütung sind
tendenziell am aufwändigsten, bringen aber den größten Nutzen für eine unterbre-
chungsfreie Geschäftsfortführung ohne signifikante ökonomische Auswirkung und
vor allem ohne direkte Sichtbarkeit nach außen.
Abschließend lässt sich feststellen, dass die vorliegende Analyse an Gestaltungsal-
ternativen für die IT-Notfallvorsorge eine geeignete Grundlage darstellt, um einem
übergeordneten Gestaltungsmodell zugeführt zu werden.
279 Landry/Koger (2006), S. 9.
280 Vgl. die Untersuchung der Kriterien der Versicherbarkeit in Abschnitt 7.2.1.
103
8 Zusammenfassung
Im Rahmen des vorliegenden Arbeitsberichts wurden Gestaltungselemente der
IT-Notfallvorsorge erarbeit und beispielhaft am Untersuchungsobjekt einer
TK-Unternehmung angewandt.
Dazu wurden im ersten Schritt die wertschöpfenden Geschäftsprozesse einer
TK-Unternehmung in die Markt- und Wettbewerbssituation eingeordnet, um
anschließend die hohe Bedeutung der IT für den Unternehmungserfolg festzustel-
len. Speziell aufgrund der schnellen technologischen Entwicklung durch unter-
schiedliche Trends im Bereich der IP-Konvergenz281 ließ sich bemerken, dass die IT
neben der TK-Technik eine zunehmend bedeutende Rolle spielen wird.282
Danach konnte ein Untersuchungsrahmen erarbeitet werden, der die Analyse der
Geschäftsprozesse und deren IT-Abhängigkeit ermöglicht, um eine quantitative
Folgeschadenanalyse und eine qualitative Risikobewertung von Notfallszenarien
vorzubereiten. Dabei wurden die vier Dimensionen IT, Personal, Kunden- bzw.
Geschäftspartner und Umsatz untersucht. Aufgrund der in der Praxis oftmals
vorhandenen Komplexität von IT-Systemen wurde empfohlen, dass technische
Abhängigkeiten im Blickwinkel der vorliegenden Untersuchung nur auf einem
hohen Abstraktionsniveau aufgenommen werden.283
Im nächsten Schritt wurden unternehmungsinterne und -externe Einflussfaktoren
bei der Gestaltung von IT-Notfallvorsorge aus der betrieblichen Praxis und der
Gesetzgebung untersucht. Dabei konnte eine hohe Variabilität mit wenig konkre-
ten Anforderungen festgestellt werden, was die Notwendigkeit einer unterneh-
mungsspezifischen Ausprägung verstärkt. Auch wurden nur begrenzt verpflichten-
den Anforderungen identifiziert, die technische Notfallmaßnahmen bedingen; im
Rahmen der gesetzlichen oder regulatorischen Vorschriften wird lediglich die
281 Für eine näher gehende Erläuterung der IP-Konvergenz vgl. Abschnitt 2.1.
282 Vgl. Kapitel 2.
283 Vgl. Kapitel 3.
104
Durchführung eines IT-Risikomanagements und die Umsetzung einer angemesse-
nen Notfallvorsorge gefordert. In einer weiteren TK-spezifischen Betrachtung wurde
darüber hinaus festgestellt, dass für eine TK-Unternehmung kaum spezifische
Anforderungen für IT-Notfallvorsorge bestehen. Oftmals entscheiden hierbei
freiwillige Verpflichtungen zu Sicherheitsrichtlinien über ein unternehmungsspezifi-
sches Vorgehen.284
Als zentrales Gestaltungselement der vorliegenden Arbeit wurde ein umfangreiches
Modell zur Folgeschadenanalyse erarbeitet, mit dessen Hilfe in drei Stufen die
ökonomische Auswirkung bei IT-Ausfall auf Grundlage einer quantitativen Analyse
bestimmt werden kann. Dabei wurden maßgeblich die Schadensdimensionen
Kostensteigerung und Umsatzverlust betrachtet sowie andere indirekte Auswirkun-
gen (z. B. Kundenunzufriedenheit) darauf abgebildet. Im Rahmen einer beispielhaf-
ten Anwendung auf den Teilprozess ‚Auftragsannahme’ einer TK-Unternehmung
wurde die Methodik verdeutlicht und ein Vorgehen entwickelt, um mittels Grund-
und Schätzdaten eine Größenordnung des ökonomischen Schadens im Zeitverlauf
zu ermitteln. Diese Untersuchung wurde ergänzt um eine Betrachtung der Schwan-
kungsbreiten der Schätzdaten, um deren Genauigkeiten im Rahmen einer Sensitivi-
tätsanalyse betrachten zu können.285
Anschließend wurden anhand der Gefährdungskataloge des BSI acht Notfallszena-
rien im Rahmen einer Aggregation abgeleitet. Nach einer zusätzlichen Strukturie-
rung nach Art und Umfang des Schadens wurden drei Klassen von Notfalldauern
erarbeitet, um ein Verständnis der Auswirkung einzelner Notfallszenarien zu
entwickeln. Abschließend konnten die Notfallszenarien hinsichtlich ihres Risikopo-
tenzials qualitativ nach Eintrittswahrscheinlichkeit und Auswirkungen bewertet
werden.286
Im letzten Kapitel erfolgte eine Analyse der Handlungsalternativen (d. h. Instru-
mente) zur IT-Risikosteuerung und deren Bewertung im Kontext der
284 Vgl. Kapitel 4.
285 Vgl. Kapitel 5.
286 Vgl. Kapitel 6.
105
IT-Notfallvorsorge. Dabei wurden sowohl präventive als auch reaktive Instrumente
untersucht, die entweder die Ursache oder Wirkung der IT-Risiken beeinflussen
können. Diese Instrumente wurden weiterhin in eine Matrix der Risikosteuerungs-
optionen eingeordnet, um daraus in der betrieblichen Praxis geeignete Handlungs-
empfehlungen ableiten zu können. Als Fazit konnte festgestellt werden, dass eine
große Anzahl unterschiedlicher Möglichkeiten der IT-Risikosteuerung nutzbar ist,
die bestmöglich schon während des IT-Gestaltungsprozesses betrachtet werden
sollten, da eine Umsetzung während des IT-Einsatzes meist zu einem wesentlichen
Änderungsaufwand führen kann. Insbesondere die Risikominderung und dabei die
Schadenherabsetzung sind als übliche Maßnahme anzusehen, die jedoch hohe
Kosten verursachen kann. Deren Wirtschaftlichkeit -- speziell im Zusammenspiel mit
Versicherungskonzepten – ist aus diesem Grund im jeweiligen Unternehmungskon-
text sorgfältig zu prüfen.287
Die nun vorliegende umfassende Grundlage an Gestaltungselementen kann in einer
separaten Untersuchung zu einem Gesamtmodell zusammengefügt werden, das
den ablauf- und aufbauorganisatorischen Handlungsbedarf in der betrieblichen
Praxis aus dem Arbeitsbericht Nr. 26 des ISEB aufgreift, um eine verbesserte
Gestaltung der IT-Notfallvorsorge zu ermöglichen.
Neben der o. g. Zusammenführung der Gestaltungselemente in einem übergeord-
neten Gestaltungsmodell können aus den Untersuchungen weitere Forschungsbe-
reiche abgeleitet werden, die sich für eine andere ökonomische Analyse anbieten.
So könnte beispielsweise ein allgemeines Kosten-Nutzen-Modell für technische
IT-Notfallmaßnahmen entwickelt werden, das ökonomische Einflussfaktoren sowie
deren Abhängigkeiten untersucht und damit eine verbesserte wirtschaftliche
Bewertung ermöglichen kann. Weiterhin könnte im Rahmen einer vergleichenden
Untersuchung von konkreten am Markt erhältlichen IT-Versicherungsprodukten die
Möglichkeiten der spezifischen Deckung von IT-Notfallrisiken untersucht werden.
287 Vgl. Kapitel 7.
XV
Literaturverzeichnis
AKNZ (2005): Problemstudie: Risiken in Deutschland -- Gefahrenpotentiale und Gefahrenprävention für Staat, Wirtschaft und Gesellschaft aus Sicht des Be-völkerungsschutzes -- Teil 1, Bundesamt für Bevölkerungsschutz und Katast-rophenhilfe, Bad Neuenahr-Ahrweiler 2005.
Allerkamp, Axel (2007): Auslöser von IT-Krisensituationen sind oft alltägliche Ereignisse, Computerzeitung, Online: http://www.computerzeitung.de/the-men/sicherheit/article.html?thes=&art=/articles/2007017/31044984_ha_CZ.html, abgerufen am 19. April 2007.
Allianz (2007): ESI Net -- die kompakte Elektronikversicherung, Allianz Global Risks, Online: http://business.allianz.de/upload/b2bmicrosite/versicherung/ industrielle_risiken/daten_netzwerke/esinet_broschuere.pdf, abgerufen am 25. April 2007.
Anderson, Ross; Moore, Tyler (2006): The Economics of Information Security, in: Science 314 (5799), 2006, S. 610-613.
Andon, Paul; Baxter, Jane; Bradley, Graham (2001): Calculating Customer Lifetime Value (CLV): Theory and Practice, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Um-setzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 259-274.
BaFin (2006): Rundschreiben 18/2005: Mindestanforderungen an das Risiko-management (Fassung vom 17. August 2006), Bundesanstalt für Finanz-dienstleistungsaufsicht, Bonn 2006.
Becker, Ulrich (2007): Partnersuche für das RZ -- Kriterien für Angebote zur Rechenzentrums-Auslagerung, in: KES, Jg. 2007, Nr. 2, S. 67-69.
Benzin, Arne (2005): Versicherungstechnische Bewertung unterschiedlicher Deckungskonzepte für Terrorismusrisiken, in: Schwebler, Robert; Werner, Ute (Hrsg.): Risikoforschung und Versicherungsmanagement -- Karlsruher Reihe II, Verlag Versicherungswirtschaft, Karlsruhe 2005 (zugl.: Karlsruhe, Univ., Diss.).
BITKOM (2005): Matrix der Haftungsrisiken -- IT-Sicherheit -- Pflichten und Risiken, BITKOM, Berlin 2005.
BITKOM (2006): Hochverfügbarkeit Flyer, Online: http://www.bitkom.org/ files/documents/Hochverfuegbarkeit_Flyer_9-11-2006.pdf, abgerufen am 27. März 2007.
XVI
BMWA (2002): Verfügbarkeit von sicheren Telekommunikationsinfrastrukturen, Bundesministerium für Wirtschaft und Arbeit (BMWA), Dezember 2002.
Böhme, Rainer (2005): IT-Risiken im Schadenversicherungsmodell: Implikatio-nen der Marktstruktur, in: Federrath, Hannes (Hrsg.): Proceedings of Sicher-heit 2005, Sicherheit -- Schutz und Zuverlässigkeit, Köllen-Verlag, Bonn 2005.
Böhme, Rainer; Kataria, Gaurav (2006): Models and Measures for Correla-tion in Cyber-Insurance, Workshop of Economics in Information Security 2006, Online: http://weis2006.econinfosec.org/docs/16.pdf, abgerufen am 25. April 2007.
BSI (2000): Kosten und Nutzen der IT-Sicherheit: Studie des BSI zur Technikfol-gen-Abschätzung, Secumedia-Verlag, Ingelheim 2000.
BSI (2005): Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen -- Zusammenfassung, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2005.
BSI (2007a): IT-Grundschutz-Katalog, Bundesamt für Sicherheit in der Informati-onstechnik (BSI), Bonn 2007.
BSI (2007b): Die Lage der IT-Sicherheit in Deutschland 2007, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn 2007.
BSI (2007c): Registrierte Anwender der IT-Grundschutz-Kataloge (Telekommuni-kation), Online: http://www.bsi.de/gshb/deutsch/etc/gshb_reg.htm# Telekommunikation, abgerufen am 16. Juli 2007.
Bundesnetzagentur (2006): Jahresbericht 2006 der Bundesnetzagentur (BNA), Bundesnetzagentur, Bonn 2006.
Calderbank, Robert (2006): Technology as Driver of Change in Telecommuni-cations, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Indus-tries, Springer Verlag, Heidelberg et al. 2006, S. 69-86.
Campbell, Katherine; Gordon, Lawrence; Loeb, Martin; Zhou, Lei (2003): The economic cost of publicly announced information security breaches: empirical evidence from the stock market, in: Journal of Computer Science, Vol. 11, 2003, S. 431-448.
Choy, Manhoi; Va Leong, Hong; Wong, Man Hon (2000): Disaster Recov-ery Techniques for Database Systems, in: Communications of the ACM, Vol. 43, No. 11, S. 272-280.
XVII
Cohen, Gary (2006): All IP -- All IT -- All Wireless: The Drivers of Change, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Industries, Springer Verlag, Heidelberg et al. 2006, S. 41-47.
Continuity Central (2003): BIA Special - The results of Continuity Central's survey into the business impact analysis, Business Continuity E-Journal, Online: http://www.continuitycentral.com/bcjournaljuly2003.pdf, abgerufen am 18. Mai 2007.
Deloitte (2007): Wirtschaftsprüfung & Steuerberatung Deloitte & Touche GmbH, Online: http://www.deloitte.de/, abgerufen am 20. Juli 2007.
DTAG (2006): Geschäftsbericht 2006, Deutsche Telekom AG, 2006.
Dübendorfer, Thomas; Wagner, Arno; Plattner, Bernhard (2004): An Economic Damage Model for Large-Scale Internet Attacks, in: Proceedings of the 13th IEEE International Workshops on Enabling Technologies, Vol. 0, 2004, S. 223-228.
Eagle Rock Alliance (2001): Cost of Downtime, Contingency Planning & Management, Online: http://www.contingencyplanningresearch.com/ 2001%20Survey.pdf, abgerufen am 25. April 2007.
Eckert, Claudia (2003): IT-Sicherheit, Konzepte -- Verfahren -- Protokolle, 2. Aufl., Oldenburg Verlag, München/Wien 2003.
Einhaus, Christian (2006): Potenziale des Wissensmanagements zur Behand-lung operationeller Risiken in der Kreditwirtschaft, 1. Aufl., Bankakademie Verlag, Frankfurt 2006.
EY (2007): Ernst & Young, Online: http://www.ey.com/, abgerufen am 20. Juli 2007.
Forrester (2007): Forrester -- Technology Market Research Company, Online: http://www.forrester.com, abgerufen am 10. Juli 2007.
Gabriel, Roland (1996): TK-Netze und -Dienste, Nutzungsmöglichkeiten und ihre Auswirkungen, Lehrmaterialien im Studienfach Wirtschaftsinformatik, Bochum 1996.
Gabriel, Roland; Beier, Dirk (2003): Informationsmanagement in Organisati-onen, Verlag W. Kohlhammer, Stuttgart 2003.
Gartner (2007): Gartner -- Information Technology Research and Advisory Company, Online: http://www.gartner.de, abgerufen am 10. Juli 2007.
XVIII
Geppert, Martin; Ruhle, Ernst-Olaf; Schuster, Fabian (2002): Handbuch -- Recht und Praxis der Telekommunikation, 2. Aufl., Nomos Verlag, Baden-Baden 2002.
Glaum, Martin; Thomaschewski, Dieter; Weber, Silke (2006): Auswirkun-gen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen, Studien des Deutschen Aktieninstituts, Heft 33, Frankfurt am Main 2006.
Gordon, Lawrence; Loeb, Martin (2006): Managing Cybersecurity Resources -- A Cost-Benefit Analysis, o. Aufl, McGraw-Hill, New York et al. 2006.
Gordon, Lawrence; Loeb, Martin; Lucyshyn, William; Sohail, Tashfeen (2006): The Impact of the Sarbanes-Oxley Act on the Corporate Disclosures of Information Security Activities, in: Journal of Accounting and Public Pol-icy, Vol. 25, No. 5, 2006.
Goßner, Alfred (2002): Gibt es neue unversicherbare Risiken? In: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Dokumenta-tion über ein Symposium am 18.-20. Oktober 2001 im Schloß Marbach, Karlsruhe 2002, S. 5-8.
Grabowski, Martha; Merrick, Jason; Harrald, John; Mazzuchi, Thomas; Dorp, René van (2000): Risk Modeling in Distributed Large-Scale Systems, in: IEEE Transactions on Systems, Man, and Cybernetics, Vol. 30, No. 6, S. 651-660.
Gruber, Harald (2005): The Economics of Mobile Telecommunications, Cambridge University Press, Cambridge et al. 2005.
Grünthal, Gottfried (2005): Seismische Risikokartierung Deutschlands, Zweijahresbericht 2004/2005, Geoforschungszentrum, Potsdam 2005.
Grzebiela, Torsten (2002): Insurability of Electronic Commerce Risks, in: Proceedings of the 35th Hawaii International Conference on System Sci-ences, 2002.
Haase, Mirko (2007): Business Continuity bei der Deutschen Bahn, Vortrag im Rahmen des IT-Grundschutz-Tages am 2. Juli 2007, Online: http://www.bsi.bund.de/gshb/aktuell/Folien_IT-GS-Tag.zip, abgerufen am 23. Juli 2007.
Harrach, Wichard von (2001): Kundenwertmanagement bei D2 Vodafone, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Umsetzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 677-692.
XIX
Hirschmann, Stefan; Romeike, Frank (2004): IT-Sicherheit als Rating-Faktor, in: RATINGaktuell, Jg. 2004, Nr. 1, S. 12-18.
Hofmann, Marc (2006): Management operationeller IT-Risiken, Verlag Dr. Kovac, Hamburg 2006 (zugl.: Gießen, Univ., Diss.).
HP Invent (2005): Business Continuity & Availability mit stabilen Speicherlösun-gen - Lösungsleitfaden, Online: http://h20195.www2.hp.com/v2/pdf/ 5983-0580DEE.pdf, abgerufen am 18. Juli 2007.
IDC (2007): IDC - Global provider of market intelligence, advisory services, and events for the information technology, telecommunications, and consumer technology markets. Online: http://www.idc.com, abgerufen am 10. Juli 2007.
Immenga, Ulrich (2001): Marktabgrenzung und Marktbeherrschung, in: Immenga, Ulrich; Kirchner, Christian; Knieps, Günter; Kruse, Jörn (Hrsg.): Te-lekommunikation im Wettbewerb -- Eine ordnungspolitische Konzeption nach erfolgreicher Marktöffnung, o. Aufl., Verlag C.H. Beck, München 2001, S. 57-71.
Infonetics (2003): Network Downtime Causing Significant Revenue Losses, Online: http://www.infonetics.com/resources/purple.shtml?nr.downtime. 030603.shtml, abgerufen am 27. April 2007.
Innovationsreport (2004): Tokio fürchtet sich vor Mega-Erdbeben, Online: http://www.innovations-report.de/html/berichte/geowissenschaften/ bericht-33008.html, abgerufen am 23. Juli 2007.
IPRI (2006a): Branchenprozessmodell über die nicht-infrastrukturbasierten Betriebs-, Miet- und Gemeinkosten in der Telekommunikationsindustrie, Re-ferenzdokument 1.0, International Performance Research Institute, http://www.bundesnetzagentur.de/media/archive/4912.pdf, abgerufen am 2. März 2007.
IPRI (2006b): Auswertung der Stellungnahmen zu Branchenprozessmodell über die nicht-infrastrukturbasierten Betriebs-, Miet- und Gemeinkosten in der Te-lekommunikationsindustrie, International Performance Research Institute, http://www.bundesnetzagentur.de/media/archive/7218.pdf, abgerufen am 2. März 2007.
Ishiguro, Masaki; Tanaka, Hideyuki; Matsuura, Kanta; Murase, Ichiro (2006): The Effect of Information Security Incidents on Corporate Values in the Japanese Stock Market, Workshop of Economics in Information Security 2006, Online: http://wesii.econinfosec.org/draft.php?paper_id=23, ab-gerufen am 12. April 2007.
XX
IT-SHB (2004): Österreichisches IT-Sicherheitshandbuch -- Teil 1: Sicherheitsma-nagement, Version 2.2, Stabsstelle IKT-Strategie des Bundes, Bundeskanzler-amt Österreich, o.O. 2004.
Iyer, Raja; Sarkis, Joseph (1998): Disaster Recovery Planning in an Automated Manufacturing Environment, in: IEEE Transactions on Engineering Manage-ment, Vol. 45, No. 2, 1998, S. 163-175.
Jrad, Ahmad; Morawski, Thomas; Spergel, Louise (2004): A Model for Quantifying Business Continuity Preparedness for Telecommunication Net-works, in: Bell Labs Technical Journal, Vol. 9, No. 2, 2004.
Kark, Khalid (2007): 2007 Security Budgets Increase: The Transition To Information Risk Management Begins, Forrester Research, Online: http://www.forrester.com/Research/Document/0,7211,41247,00.html, ab-gerufen am 26. März 2007.
Keeton, Kimberly; Beyer, Dirk; Brau, Ernesto; Merchant, Arif; Santos, Cipriano, Zhang, Alex (2006): On the Road to Recovery: Restoring Data after Disasters, in: ACM SIGOPS Operating Systems, Vol. 40, No. 4, Okto-ber 2006, S. 235-248.
KES (2007): Marktübersicht -- Ausweich-Rechenzentren, in: KES, Jg. 2007, Nr. 2, S. 62-65.
Kesan, Jay; Majuca, Ruperto; Yurcik, William (2004): The Economic Case for Cyberinsurance, Working Paper, 2004, Online: http://law.bepress.com/ uiuclwps/papers/art2/, abgerufen am 15. Februar 2007.
Kesh, Someswarr; Ratnasingam, Pauline (2007): A Knowledge Architecture for IT-Security, in: Communications of the ACM, Vol. 50, No. 7, S. 103-108
Koch, Robert (2005): Versicherbarkeit von IT-Risiken in der Sach-, Vertrauens-schaden- und Haftpflichtversicherung, o. Aufl., Erich Schmid Verlag, Berlin 2005.
Köhler, Peter (2007): ITIL -- Das IT-Servicemanagement Framework, 2. Aufl., Springer Verlag, Berlin/Heidelberg 2007.
Königs, Hans-Peter (2005): IT-Risikomanagement mit System -- Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden, 1. Aufl., Vieweg & Sohn Verlag, Wiesbaden 2005.
KPMG (2007): KPMG Wirtschaftsprüfung & Steuerberatung, Online: http://www.kpmg.de/, abgerufen am 20. Juli 2007.
XXI
KPN (2006): Annual Report 2006 and Form 20-F, KPN, Online: http://www.kpn.com/kpn/show/id=824575, abgerufen am 27. März 2007.
Krafft, Manfred; Rutsack, Uwe (2001): Konzepte zur Messung des ökonomi-schen Kundenwerts, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Umsetzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 237-258.
Krojnewski, Rüdiger; Nagel, Bill (2006): Disaster Recovery -- IT's Not Just An IT Problem, Forrester Research, Online: http://www.forrester.com/ Research/Document/0,7211,40311,00.html, abgerufen am 27. März 2007.
Kütz, Martin (2003): Kennzahlen in der IT, Werkzeuge für Controlling und Management, 1. Aufl., dpunkt Verlag, Heidelberg 2003.
Lalwani, Rajeev (2006): Information Security and Business Continuity -- When business is not as usual, KPMG IT Advisory, Online: http://www.ae-kpmg.com/dbfetch/52616e646f6d4956f79969821029ce4ef6d209f0807194b6/survey_report_irm.pdf, abgerufen am 24. April 2007.
Landry, Brett; Koger, Scott (2006): Dispelling 10 Common Disaster Recovery Myths: Lessons Learned from Hurricane Katrina and Other Disasters, in: ACM Journal on Educational Resources in Computing, Vol. 6, No. 4, Dezember 2006, Article 2.
Lange, Jörg Andreas (2005): Sicherheit und Datenschutz als notwendige Eigenschaft von computergestützten Informationssystemen, DuD Fachbeiträ-ge, Deutscher Universitätsverlag, Wiesbaden 2005 (zugl.: Bochum, Univ., Diss.).
Langenfurt, Markus (2001): Die Wettbewerbsentwicklung auf dem deutschen Festnetzmarkt -- Anbieter, Infrastrukturen, Dienste, in: Immenga, Ulrich; Kirchner, Christian; Knieps, Günter; Kruse, Jörn (Hrsg.): Telekommunikation im Wettbewerb -- Eine ordnungspolitische Konzeption nach erfolgreicher Marktöffnung, o. Aufl., Verlag C.H. Beck, München 2001, S. 159-183.
Laprie, Jean-Claude (1995): Dependability of Computer Systems: from Concepts to Limits, in: Proceedings of Software Reliability Engineering, Vol. 6, 1995, S. 2-11.
Lehner, Franz; Auer-Rizzi, Werner; Bauer, Robert; Breit, Konrad; Lehner, Johannes; Reber, Gerhard (1991): Organisationslehre für Wirtschaftsin-formatiker, o. Aufl., Hanser Verlag, München/Wien 1991
XXII
Lesch, Thorsten (2002): Risk-Management von Risiken aus Nutzung des Internets -- Eine ökonomische Analyse unter besonderer Berücksichtung ver-sicherungstechnischer Aspekte, Verlag Versicherungswirtschaft, Karlsruhe 2002.
Lewis, William; Watson, Richard; Pickren, Ann (2003): An Empirical Assessment of IT Disaster Risk, in: Communications of the ACM, Vol. 46, No. 9, S. 201-206.
Lux, Thomas (2005): Intranet Engineering -- Einsatzpotenziale und phasenorien-tierte Gestaltung eines sicheren Intranet in der Unternehmung, 1. Aufl., Deutscher Universitätsverlag, Wiesbaden 2005 (zugl.: Bochum, Univ., Diss.).
MDR (2006a): Naturkatastrophen -- Hochwasser, MDR Umschau, Online: http://www.mdr.de/umschau/2732657-hintergrund-2732096.html, abgeru-fen am 26. Juli 2007.
MDR (2006b): Naturkatastrophen -- Erdbeben, MDR Umschau, Online: http://www.mdr.de/umschau/2732520-hintergrund-2732096.html, abgeru-fen am 16. Juli 2007.
Mertens, Peter; Bodendorf, Freimut; König, Wolfgang; Picot, Arnold; Schumann, Matthias (2001): Grundzüge der Wirtschaftsinformatik, 7. Aufl., Springer Verlag, Berlin et al. 2001.
Müller, Matthias (2007): Standardkonformer Aufbau des Business Continuity Managements bei der O2 (Germany), Vortrag im Rahmen des IT-Grundschutz-Tages am 2. Juli 2007, Online: http://www.bsi.bund.de/ gshb/aktuell/Folien_IT-GS-Tag.zip, abgerufen am 23. Juli 2007.
Naujoks, Uwe (2001): Business Continuity Planning in der WestLB, in: KES, Jg. 2001, Nr. 4.
Naujoks, Uwe (2002): Verification/Testing and Monitoring of Business Continu-ity Plans, in: Wieczorek, Martin; Naujoks, Uwe; Bartlett, Bob (Hrsg.): Busi-ness Continuity, Springer Verlag, Berlin/Heidelberg 2002, S. 118-127.
Nemzow, Martin (1997): Business Continuity Planning, in: International Journal of Network Management, Vol. 7, S. 127-136.
Niehaus, Greg (2002): The allocation of catastrophe risk, in: Journal of Banking & Finance, No. 26, 2002, S. 585-596.
O2 (2005): Annual Review 2005, O2, 2005.
XXIII
Obermeier, Peter (2002): Die Kunst der Krisenkommunikation, in: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Do-kumentation über ein Symposium am 18.-20. Oktober 2001 im Schloß Mar-bach, Karlsruhe 2002, S. 15-17.
Oecking, Christian; Koppitz, Michael; Gläßer, Thomas; Feldmann, Stefan (2000): Outscouring im Wandel: Von der Auslagerung der Datenverarbei-tung zum Management der Komplexität von Informationstechnologie, in: Köhler-Frost, Wilfried (Hrsg.): Outsourcing -- eine strategische Allianz beson-deren Typs, 4. Aufl., Erich Schmid Verlag, Berlin 2000, S. 94-117.
Ogut, Hulisi; Menon, Nirup; Raghunathan, Srinivasan (2005): Cyber Insurance and IT Security Investment: Impact of Interdependent Risk, in: Workshop of Economics in Information Security 2005, Online: http://infosecon.net/workshop/pdf/56.pdf, abgerufen am 24. Juli 2007.
Patterson, David (2002): A Simple Way to Estimate the Cost of Downtime, in: Proceedings of LISA, 16th Systems Administration Conference, Berkeley 2002, S. 185-188.
Pech, Eckart (2006): Determinants of Future Market Success, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Industries, Springer Verlag, Hei-delberg et al. 2006, S. 111-117.
Pietsch, Thomas (1999): Bewertung von Informations- und Kommunikations-systemen: ein Vergleich betriebswirtschaftlicher Verfahren, o. Aufl., Erich Schmidt Verlag, Berlin 1999.
Porter, Michael (2000): Wettbewerbsvorteile -- Spitzenleistungen erreichen und behaupten, 6. Aufl., Campus Verlag, Frankfurt/New York 2000.
Potthof, Ingo (1998): Kosten und Nutzen der Informationsverarbeitung: Analyse und Beurteilung von Investitionsentscheidungen, Gabler Verlag, Wiesbaden 1998 (zugl.: Erlangen-Nürnberg, Univ., Diss.).
PwC (2007): PricewaterhouseCoopers Deutschland, Online: http://www.pwc.de/, abgerufen am 20. Juli 2007.
Quichmayr, Gerald (2004): Survivability and Business Continuity Management, in: ACM International Conference Proceeding Series, Vol. 54, 2004, S. 3-6
Rainer, Rex Kelly; Snyder, Charles; Carr, Houston (1991): Risk Analysis of Information Technology, in: Journal of Management Information Systems, Vol. 8, No. 1, S. 129-147, 1991.
XXIV
Rams, Wolfgang (2001): Kundenbindung im deutschen Mobilfunkmarkt: Determinanten und Erfolgsfaktoren in einem dynamischen Marktumfeld, 1. Aufl., Deutscher Universitätsverlag, Wiesbaden 2001 (zugl.: Duisburg, Univ., Diss.).
Reichwald, Ralf; Meier, Roland; Fremuth, Natalie (2002): Die mobile Ökonomie -- Definition und Spezifika, in: Reichwald, Ralf (Hrsg.): Mobile Kommunikation, Gabler-Verlag, Wiesbaden 2002.
Romeike, Frank (2004): Lexikon Risiko-Management, 1. Aufl., Bank Verlag, Köln 2004.
Rosenkranz, Friedrich; Missler-Behr, Magdalena (2006): Unternehmensrisi-ken erkennen und managen -- Einführung in die quantitative Planung, Sprin-ger Verlag, Berlin/Heidelberg 2006.
Rössing, Rolf von (2005): Betriebliches Kontinuitätsmanagement, 1. Aufl., mitp Verlag, Bonn 2005.
Scheele, Ulrich; Kühl, Timo (2003): Netzgebundene Infrastrukturen unter Veränderungsdruck -- Sektoranalyse Telekommunikation, Forschungsverbund netWORKS, Deutsches Institut für Urbanistik, Berlin 2003.
Schneier, Bruce (2004): Evaluating Security Systems: A Five Step Process, in: Camp, Jean; Lewis, Stephen (Hrsg.): Economics of Information Security, Kluwer Adacemic Publishers, Boston et al. 2004, S. 289-293.
Schroeder, Nina (2006): Kundenwert als zentrale Größe zur wertorientierten Unternehmenssteuerung, Verlag Dr. Kovac, Hamburg 2006 (zugl.: Augsburg, Univ., Diss.).
Schwerdtner, Stefan; Zylla, Michael (2000): Outsourcing von Call und Customer Care Center Dienstleistungen zur Verbesserung von Kundenbezie-hungen, in: Köhler-Frost, Wilfried (Hrsg.): Outsourcing -- eine strategische Al-lianz besonderen Typs, 4. Aufl., Erich Schmid Verlag, Berlin 2000, S. 118-139.
Seitz, Manfred (2002): Die Möglichkeiten des traditionellen Rückversiche-rungsmarktes im Umgang mit Grenzrisiken, in: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Dokumentation über ein Symposium am 18.-20. Oktober 2001 im Schloß Marbach, Karlsruhe 2002, S. 35-41.
XXV
SFK (2004): Ergebnis der Beratungen der Arbeitsgruppe "Flughafenausbau Frankfurt", Kommission für Anlagensicherheit (KAS) beim Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, Bonn, Online: http://www.kas-bmu.de/publikationen/sfk/bericht_ag_ffm_ergebnis_ 30_01.pdf, abgerufen am 16. Juli 2007.
Shao, Benjamin (2004): Allocating Redundancy for Critical Information Technology Functions for Disaster Recovery, in: Proceedings of the 10th Americas Conference on Information Systems, New York 2004, S. 1349-1387.
Slaby, Martin; Urban, Dieter (2002): Risikoakzeptanz als individuelle Ent-scheidung -- Zur Integration der Risikoanalyse in die nutzentheoretische Ent-scheidungs- und Einstellungsforschung, Schriftenreihe des Instituts für Sozi-alwissenschaften der Universität Stuttgart, Jg. 2002, Nr. 1, Stuttgart 2002.
Spiegel, Gerhard (2001): IT-Risikomanagement: Ein wichtiger Bestandteil der Unternehmensstrategie, in: KES, Jg. 2004, Nr. 4.
Stockar, Daniel Marc von (1995): Informationssicherheit als unternehmerische Aufgabe, Dissertation, Universität Zürich 1995.
Su, Xiamoneg; Bolzoni, Damiano; Eck, Patrick van (2006): A Business Goal Driven Approach for Understanding and Specifying Information Security Re-quirements. in: 11th International Workshop on Exploring Modeling Meth-ods in Systems Analysis and Design (EMMSAD2006), 5.-9. Juni 2006, Lux-embourg, S. 465-472.
SwissRe (2001): Natur- und Man-made-Katastrophen 2000: Trotz riesiger Fluten weniger Versicherungsschäden, SwissRe, sigma, Jg. 2001, Nr. 2.
Takahashi, Sonoko (2006): IT Services Spending Forecast -- 2006 To 2011, Forrester Research, Online: http://www.forrester.com/Research/PDF/ 0,,38001,00.pdf, abgerufen am 26. März 2006.
Tandler, Sebastian (2006): Prozessorientierte Risikoanalyse, in: KES, Jg. 2006, Nr. 5.
Velden, Remco van der (2007): Wettbewerb und Kooperation auf dem deutschen DSL-Markt, Mohr Siebeck, Tübingen 2007 (zugl.: Paderborn, U-niv., Diss.).
Vodafone (2006): Annual Report (Year End March 2006), Vodafone Group, 2006.
Wagschal, Herbert; Huth, Michael (2005): Geschäftsprozessbasierte Notfall-planung, in: RiskNews, Mai 2005.
XXVI
Welfens, Paul; Jungmittag, André (2001): Internet, Telekomliberalisierung und Wirtschaftswachstum, o. Aufl., Springer Verlag, Berlin et al. 2001.
Werners, Brigitte (1993): Unterstützung der strategischen Technologieplanung durch wissensbasierte Systeme, 1. Aufl., Verlag der Augustinus-Buchhandlung, Aachen 1993.
Werners, Brigitte; Klempt, Philipp (2005): Verfahren zur Evaluation der IT-Sicherheit eines Unternehmens, Arbeitsbericht Nr. 12 des Instituts für Si-cherheit im E-Business, Bochum 2005.
Werners, Brigitte; Klempt, Phillip (2007): Management von IT-Risiken in Supply Chains, in: Vahrenkamp, Richard; Siepermann, Christoph (Hrsg.): Ri-sikomanagement in Supply Chains -- Gefahren abwehren, Chancen nutzen, Erfolg generieren, Erich Schmid Verlag, Berlin 2007, S. 287-300.
Wiedemann, Jochen (2007a): Quantitative Wirtschaftlichkeitsbetrachtungen für IT-Notfallmaßnahmen, in: Horster, Patrick (Hrsg.): D-A-CH Security 2007 (syssec), S. 507-518.
Wiedemann, Jochen (2007b): Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements, Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis, Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business, Bochum 2007.
Wöhrmann, Paul (2003): Captives -- Selbstfinanzierung für klassische Risiken, in: Versicherungsmagazin, Jg. 2003, Nr. 3, S. 26-27.
Wolf, Klaus (2003): Risikomanagement im Kontext der wertorientierten Unternehmensführung, GWV Fachverlage, Wiesbaden 2003 (zugl.: Bay-reuth, Univ., Diss.).
Yuan, Yufei; Detlor, Brian (2005): Intelligent Mobile Crisis Response Systems, in: Communications of the ACM, Vol. 48, No. 2, S. 95-98.
Zaborski, Michal (2007): Die ökonomische Bewertung von IT-Ausfallkosten bei Telekommunikationsanbietern, Diplomarbeit, Universität Bochum, Lehrstuhl für Wirtschaftsinformatik an der Fakultät für Wirtschaftswissenschaften, Bo-chum 2007
Zurich (2002): ART -- Alternative Risk Transfer -- Captive, Online: http://www.risknet.de/filea-in/template_risknet/dokumente/ Zurich/Captive/art_fs_001_captive_g.pdf, abgerufen am 13. Juli 2007.
XXVII
Arbeitsberichte des ISEB
Nr. 1 Lange, Jörg: Sicherheit als notwendige Eigenschaft
computergestützter Informationssysteme – Rechtliche Rahmenbedingungen und gesellschaftliche Aspekte, Arbeitsbericht Nr. 1 des Instituts für Sicherheit im E-Business, Bochum 2003
Nr. 2 Hundsdoerfer, Jochen; Siegmund Olaf: ELSTER – Vorteile,
Nachteile und IT-Sicherheitsrisiken der elektronischen Einkommensteuererklärung, Arbeitsbericht Nr. 2 des Instituts für Sicherheit im E-Business, Bochum 2003
Nr. 3 Gabriel, Roland; Gersch, Martin; Rüdiger, Klaus (Hrsg.): Sicherheit im E-Business – Eröffnungsworkshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 3 des Instituts für Sicherheit im E-Business, Bochum 2003
Nr. 4 Lange, Jörg: Sicherheit als materielle Gestaltungsanforderung an
computergestützte Informationssysteme, Arbeitsbericht Nr. 4 des Instituts für Sicherheit im E-Business, Bochum 2004
Nr. 5 Gabriel, Roland; Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „IT-Sicherheit als Managementaufgabe“ – Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 5 des Instituts für Sicherheit im E-Business, Bochum 2004
Nr. 6 Hechtner, Frank; Hundsdoerfer, Jochen; Siegmund, Olaf: Wann wird sich die elektronische Einkommensteuererklärung durchsetzen? - Zum Sicherheits- und Entwicklungsstand von ELSTER, Arbeitsbericht Nr. 6 des Instituts für Sicherheit im E-Business, Bochum 2004
Nr. 7 Rüdiger, Klaus; Gersch, Martin: In-vehicle M-Commerce: business
models for navigation systems and location-based services – an economic analysis of practical examples, Working Paper No. 7, Institute for E-Business Security, Bochum 2004
Nr. 8 Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „ISEB XChange-
Seminar WS 2004/05“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 8 des Instituts für Sicherheit im E-Business, Bochum 2005
Nr. 9 Werners, Brigitte; Klempt, Philipp: Standards und Kriterienwerke
zur Zertifizierung von IT-Sicherheit, Arbeitsbericht Nr. 9 des Instituts für Sicherheit im E-Business, Bochum 2005
XXVIII
Nr. 10 Gabriel, Roland; Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „IT-Sicherheit in der Praxis“ – Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 10 des Instituts für Sicherheit im E-Business, Bochum 2005
Nr. 11 Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „ISEB XChange-
Seminar SS 2005“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 11 des Instituts für Sicherheit im E-Business, Bochum 2005
Nr. 12 Werners, Brigitte; Klempt, Philipp: Verfahren zur Evaluation der IT-Sicherheit eines Unternehmens, Arbeitsbericht Nr. 12 des Instituts für Sicherheit im E-Business, Bochum 2005
Nr. 13 Neuber, Susanne: Marketing für IT-Sicherheitsleistungen,
Arbeitsbericht Nr. 13 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 14 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar
WS 2005/2006“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 14 des Instituts für Sicherheit im E-Business, Bochum 2005
Nr. 15 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in
Unternehmungen – Teil 1: Risikomanagement und rechtliche Rahmenbedingungen der IT-Sicherheit, Arbeitsbericht Nr. 15 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 16 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in
Unternehmungen – Teil 2: Ausgewählte technische und organisatorische Maßnahmen zum Schutz von Informationen, Arbeitsbericht Nr. 16 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 17 Gabriel, Roland; Rüdiger, Klaus; Sowa, Sebastian; Klempt, Philipp (Hrsg.): „IT-Security & Consulting“ – 4. Workshop des
Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 17 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 18 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar
SS 2006“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 18 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 19 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in
Unternehmungen – Teil 3: Unternehmungsübergreifende Gestaltungsansätze zur IT-Sicherheit am Beispiel der Automobilindustrie, Arbeitsbericht Nr. 19 des Instituts für Sicherheit im E-Business, Bochum 2006
XXIX
Nr. 20 Rüdiger, Klaus: Der Online-Handel in Deutschland und Spanien –
empirische Befunde und rechtliche Rahmenbedingungen, Arbeitsbericht Nr. 20 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 21 Rüdiger, Klaus: Nutzen und Risiken des Online-Handels – eine
Analyse aus theoretischer und empirischer Sicht, Arbeitsbericht Nr. 21 des Instituts für Sicherheit im E-Business, Bochum 2006
Nr. 22 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar
WS 2006/07“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 22 des Instituts für Sicherheit im E-Business, Bochum 2007
Nr. 23 Rüdiger, Klaus: Internet-Gütesiegel im Online-Handel – eine Analyse
ausgewählter deutscher Gütesiegelprogramme, Arbeitsbericht Nr. 23 des Instituts für Sicherheit im E-Business, Bochum 2007
Nr. 24 Klempt, Philipp; Rüdiger, Klaus; Sowa, Sebastian (Hrsg.): „ISEB XChange-Seminar SS 2007“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 24 des Instituts für Sicherheit im E-Business, Bochum 2007
Nr. 25 Gabriel, Roland; Sowa, Sebastian; Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „Informationssicherheit in Banken und
Versicherungen“ – 5. Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 25 des Instituts für Sicherheit im E-Business, Bochum 2007
Nr. 26 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext
des Risikomanagements – Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis, Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business, Bochum 2007
Nr. 27 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext
des Risikomanagements – Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung, Arbeitsbericht Nr. 27 des Instituts für Sicherheit im E-Business, Bochum 2007
XXX
Sie können die Arbeitsberichte gegen eine Schutzgebühr bestellen.
Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D-44780 Bochum
Tel.: +49 (0)234 – 32 25325 Fax: +49 (0)234 – 32 14350 [email protected] http://www.iseb.ruhr-uni-bochum.de
Stand: Oktober 2007
XXXI
Dissertationen des ISEB
Behling, Thorsten B.: Der Zugang elektronischer Willenserklärungen in
modernen Kommunikationssystemen, Bochum 2006.
Einhaus, Christian: Potenziale des Wissensmanagement zur Behandlung
operationeller Risiken in der Kreditwirtschaft, Bochum 2006.
Klempt, Philipp: Effiziente Reduktion von IT-Risiken im Rahmen des
Risikomanagementprozesses, Bochum 2007.
Lange, Jörg: Sicherheit und Datenschutz als notwendige Eigenschaft von
computergestützten Informationssystemen, Bochum 2005.
Lux, Thomas: Intranet Engineering – Einsatzpotenziale und phasenorientierte Gestaltung eines sicheren Intranet in der Unternehmung, Bochum 2005.
Neuber, Susanne: Nachfragerseitige Wissensdefizite als Hindernis einer
Präferenzbildung für IT-Sicherheitsleistungen – Lösungsansätze des Marketings aus marktprozesstheoretischer und informationsökonomischer Perspektive, Bochum 2006.