ebook img

IT-GRC-Management – Governance, Risk und Compliance: Grundlagen und Anwendungen PDF

249 Pages·2017·5.08 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview IT-GRC-Management – Governance, Risk und Compliance: Grundlagen und Anwendungen

Edition HMD Matthias Knoll Susanne Strahringer Hrsg. IT-GRC-Management – Governance, Risk und Compliance Grundlagen und Anwendungen Edition HMD Herausgegeben von: Hans-Peter Fröschle Knut Hildebrand i.t-consult GmbH Hochschule Weihenstephan-Triesdorf Stuttgart, Deutschland Freising, Deutschland Josephine Hofmann Matthias Knoll Fraunhofer IAO Hochschule Darmstadt Stuttgart, Deutschland Darmstadt, Deutschland Andreas Meier Stefan Meinhardt University of Fribourg SAP Deutschland SE & Co KG Fribourg, Schweiz Walldorf, Deutschland Stefan Reinheimer Susanne Robra-Bissantz BIK GmbH TU Braunschweig Nürnberg, Deutschland Braunschweig, Deutschland Susanne Strahringer TU Dresden Dresden, Deutschland Die Fachbuchreihe „Edition HMD“ wird herausgegeben von Hans-Peter Fröschle, Prof. Dr. Knut Hildebrand, Dr. Josephine Hofmann, Prof. Dr. Matthias Knoll, Prof. Dr. Andreas Meier, Stefan Meinhardt, Dr. Stefan Reinheimer, Prof. Dr. Susanne Robra-Bissantz und Prof. Dr. Susanne Strahringer. Seit über 50 Jahren erscheint die Fachzeitschrift „HMD – Praxis der Wirtschafts- informatik“ mit Schwerpunktausgaben zu aktuellen Themen. Erhältlich sind diese Publikationen im elektronischen Einzelbezug über SpringerLink und Springer Professional sowie in gedruckter Form im Abonnement. Die Reihe „Edition HMD“ greift ausgewählte Themen auf, bündelt passende Fachbeiträge aus den HMD- Schwerpunktausgaben und macht sie allen interessierten Lesern über online- und offline-Vertriebskanäle zugänglich. Jede Ausgabe eröffnet mit einem Geleitwort der Herausgeber, die eine Orientierung im Themenfeld geben und den Bogen über alle Beiträge spannen. Die ausgewählten Beiträge aus den HMD-Schwerpunktausgaben werden nach thematischen Gesichtspunkten neu zusammengestellt. Sie werden von den Autoren im Vorfeld überarbeitet, aktualisiert und bei Bedarf inhaltlich ergänzt, um den Anforderungen der rasanten fachlichen und technischen Entwicklung der Branche Rechnung zu tragen. Weitere Bände in dieser Reihe: http://www.springernature.com/series/13850 Matthias Knoll • Susanne Strahringer Hrsg. IT-GRC-Management – Governance, Risk und Compliance Grundlagen und Anwendungen Herausgeber Matthias Knoll Susanne Strahringer Fachbereich Wirtschaft Fakultät Wirtschaftswissenschaften Hochschule Darmstadt TU Dresden Darmstadt, Deutschland Dresden, Deutschland Das Herausgeberwerk basiert auf vollständig neuen Kapiteln und auf Beiträgen der Zeitschrift HMD – Praxis der Wirtschaftsinformatik, die entweder unverändert übernommen oder durch die Beitragsautoren überarbeitet wurden. ISSN 2366-1127 ISSN 2366-1135 (electronic) Edition HMD ISBN 978-3-658-20058-9 ISBN 978-3-658-20059-6 (eBook) https://doi.org/10.1007/978-3-658-20059-6 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden GmbH 2017 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist Teil von Springer Nature Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Vorwort Ein Blick in Unternehmen aller Branchen und Größen zeigt, dass die digitale Trans- formation bereits allgegenwärtig ist oder es in Kürze global sein wird. Zahlreiche Überlegungen kreisen dabei um die Ausgestaltung der IT-Funktion als Gesamtheit aus Technik, Mensch und Organisation. Produkte und Dienstleistungen werden sich ebenso verändern wie die Organisation, in der und über die sie angeboten werden. Dies gilt natürlich auch für die darunter liegende „Technik“, die auf Anwendungs- system- und Infrastrukturebene dafür sorgt, dass der Betrieb sicher und störungsfrei läuft. Eine Steuerung der IT-Funktion auf „Zuruf“ oder auf „Sicht“ ist, anders als es früher vielleicht einmal gewesen sein mag, nicht mehr möglich, ja sogar gefährlich. Denn fehlende Strategien und Planungen kosten künftig nicht einfach nur unnötig Geld, sie können durch die daraus entstehenden Wettbewerbsnachteile auch rasch das Weiterbestehen des gesamten Unternehmens gefährden. Schließlich ist die Kon- kurrenz vielfältiger, schneller und innovativ geworden. Oftmals entstehen sogar dort vollkommen neue Konkurrenten, wo man sie zunächst nicht vermutet hätte. Ein Beispiel hierfür ist die Entwicklung autonom fahrender Autos durch einen Konzern, der sein Geschäft mit Suchmaschinen begonnen hat. Oder die Entwicklung im Finanzdienstleistungsbereich, in dem sogenannte FinTechs die Geschäftsmodelle manch etablierter Filialbank zur Disposition stellen. An dieser Stelle kann die Trias aus IT-Governance, IT-Risikomanagement und IT-Compliance wertvolle Unterstützung anbieten. IT-Governance bezeichnet dabei das vorausschauende, strukturierte strategische Planen und Steuern der IT. Haupt- ziel des IT-Risikomanagements ist das Beherrschen insbesondere auch neuartiger IT-Risiken, die durch wachsende Vernetzung entstehen oder an Gefährlichkeit zunehmen. IT-Compliance beachtet und beobachtet – neue – Vorgaben und koordi- niert die Umsetzung in einer für das Unternehmen angepassten Form. Es liegt nahe, sich mit diesen drei Disziplinen eingehender zu befassen, um die Zusammenhänge transparenter zu machen und Entscheidungsspielräume und Möglichkeiten aufzu- zeigen. Dies ist das Ziel des vorliegenden Bandes in der Reihe Edition HMD. Wir haben uns für eine „Zweiteilung“ des Buches entschieden: Im Grundlagenteil (Kap. 1–6) werden die wichtigsten Begriffe definiert und der Zusammenhang zwischen den drei Eckpunkten des IT-GRC-Dreiecks vorgestellt. Denn obwohl Governance (G), Risk (R) und Compliance (C) wie Einzeldisziplinen zu sein scheinen, die getrennt betrachtet werden können, besteht zwischen ihnen eine charakteristische Verbindung. Eine möglichst weitsichtige und flexible, dabei V VI Vorwort dennoch aussagekräftige Planung der IT-Strategie minimiert bestimmte IT-Risiken, etwa durch die Wahl zukunftsfähiger IT-Architekturen oder technischer Plattfor- men. Umgekehrt gibt das IT-Risikomanagement wichtige Impulse für die Ausge- staltung der IT-Strategie und der Planungen, sollen doch die typischen (Cyber-) Risiken bereits im Ansatz minimiert oder vermieden werden. Das gelingt nur dann ganzheitlich, wenn etwa Ansätze wie „Security-by-Design“ in die Überlegungen der IT-G overnance einfließen. Wer solchermaßen koordiniert arbeitet, sowohl in der Entwicklung als auch im Betrieb von Lösungen im IT-Kontext, der läuft weniger Gefahr, gegen eine der immer zahlreicher werdenden gesetzlichen, aufsichtsrechtli- chen und sonstigen Vorgaben zu verstoßen. Umgekehrt enthalten immer mehr Regelungen mehr oder weniger direkte Vorgaben, die bei der Gestaltung der IT-Funktion zu beachten sind. Erst im gut orchestrierten Zusammenspiel entfalten die drei Disziplinen daher ihre volle Wirkung mit Blick auf die Steigerung des IT-Wertbeitrags für das Gesamtunternehmen. Die im zweiten Teil (Kap. 7–14) folgenden Beiträge diskutieren spezielle Frage- stellungen im Kontext der jeweiligen Disziplinen, aber auch übergreifend. Soweit möglich orientieren sich die Beiträge dazu an Anwendungsfällen. Die Diskussion anhand praxisorientierter Fragestellungen zeigt in besonderer Weise die Notwen- digkeit für IT-GRC-Management in einem Zeitalter, in dem die IT nicht nur unter- stützt, sondern Teil des Produktes oder sogar das Produkt selbst ist. Insbesondere beschäftigen wir uns in diesem Teil mit der Frage, wie Risikoma- nagement praxisgerecht umgesetzt werden kann, wie es in bestimmten Kontexten, insbesondere der Produktion aussieht und welche besonderen Risiken von Industrie 4.0 ausgehen können. Natürlich geht es dabei auch immer darum, diese Risiken beherrschbar zu machen. Einen ähnlichen Ansatz verfolgt auch ein Beitrag zu Schat- ten-IT, der aufzeigt, wie eine so genannte kontrollierte Nutzung dieser zum Nutzen des Unternehmens gestaltet werden könnte. Wie aus der Digitalisierung herrührende allgemeine Herausforderungen gemeistert werden können, stellt insbesondere klei- nere und mittlere Unternehmen noch immer vor größere Probleme, so dass auch diese Zielgruppe in den Fokus gerückt wird. In der letzten Gruppe an Beiträgen dieses Bandes geht es schließlich um Fragestellungen des Datenschutzes, ein Thema dem sowohl im Kontext der Digitalisierung immer mehr Aufmerksamkeit gebührt, das aber auch durch die neue europäische Datenschutzgrundverordnung viele Unter- nehmen in den kommenden Monaten und Jahren intensiv beschäftigen wird. Zu etli- chen der sich stellenden Fragen geben unsere Autoren anwendbare Hinweise. Wir wünschen allen Lesern eine interessante Lektüre mit möglichst vielen Anre- gungen und Impulsen für die eigene Arbeit in diesen turbulenten Zeiten der Digita- lisierung. Vielleicht motivieren wir Sie mit diesem Band ja auch, Ihre eigenen Erfahrungen in einem Beitrag für die Zeitschrift HMD – Praxis der Wirtschaftsin- formatik zu veröffentlichen? Jederzeit sehr gerne. Und wie stets freuen wir uns ganz unabhängig davon über Ihr Lob, aber auch über Ihre konstruktive Kritik. Dresden und Darmstadt, im Herbst 2017 Susanne Strahringer Matthias Knoll Inhaltsverzeichnis 1 IT-GRC-Management im Zeitalter der Digitalisierung ............ 1 Matthias Knoll und Susanne Strahringer 1.1 Grundlagen des IT-GRC-Managements . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.3 Erfolgsfaktoren für das IT-GRC-Management . . . . . . . . . . . . . . . . . 12 1.4 I T-GRC-Management in kleinen Unternehmen . . . . . . . . . . . . . . . . . 20 1.5 A usblick auf das IT-GRC-Management im digitalen Zeitalter . . . . . 21 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2 Governance und Compliance von Anfang an wirksam umsetzen .... 25 Urs Andelfinger und Ralf Kneuper 2.1 Herausforderungen an Governance und Compliance in der IT . . . . . 26 2.2 Referenzmodelle für Governance und Compliance in der IT . . . . . . 27 2.3 Referenzmodelle als Werkzeuge zur Governance betrieblicher IT-Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.4 Governance wirksam umsetzen mit einer PDCA-Kultur . . . . . . . . . . 33 2.5 Von der Governance zur Compliance . . . . . . . . . . . . . . . . . . . . . . . . 35 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3 Vom Business/IT-Alignment zur Business/IT-Integration – Auswirkungen auf das IT-Controlling als Teil der IT-Governance ..... 37 Ulrike Baumöl und Christian Grawe 3.1 IT-Management: Vom Alignment zur Integration . . . . . . . . . . . . . . . 38 3.2 Business/IT-Integration und die Rolle der Leistungssteuerung . . . . . 41 3.3 Expertenbefragung und Ableitung eines Vorschlags einer prozessorientierten Anpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.4 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4 Verbesserung des Wertbeitrags von IT-Organisationen – Empirische Handlungsempfehlungen ........................... 51 André Wiedenhofer 4.1 Unsicherheit als „neue Normalität“ . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4.2 Anforderungen an die IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4.3 Flexibilität als Erfolgsfaktor für die IT-Organisation . . . . . . . . . . . . 54 VII VIII Inhaltsverzeichnis 4.4 Gestaltungsempfehlungen zur Erhöhung der IT-Flexibilität . . . . . . . 55 4.5 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 5 Rahmenwerke für das IT-GRC-Management .................... 65 Stefan Beißel 5.1 Motivation für den Einsatz von Rahmenwerken . . . . . . . . . . . . . . . . 66 5.2 R ahmenwerke für IT-Risk im Überblick . . . . . . . . . . . . . . . . . . . . . . 68 5.3 Unterschiede und Einsatzgebiete am Beispiel von IT-Risk . . . . . . . . 74 5.4 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 6 Systematische Differenzierung von IT-Risiken ................... 83 Georg Disterer 6.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6.2 IT-Risiken und IT-Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . 84 6.3 Unterscheidungskriterien für IT-Risiken . . . . . . . . . . . . . . . . . . . . . . 85 6.4 Unterscheidung von IT-Risiken nach Wirkungen . . . . . . . . . . . . . . . 87 6.5 Unterscheidung von IT-Risiken nach Ursachen . . . . . . . . . . . . . . . . . 88 6.6 IT-Sicherheitsrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 6.7 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 7 IT-Risikomanagement für Produktionssysteme – Basis zur Gestaltung sicherer Fertigungsprozesse ......................... 97 Reiner Kraft und Mechthild Stöwer 7.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 7.2 Besondere Anforderungen im Produktionsumfeld . . . . . . . . . . . . . . 101 7.3 Best Practices zur IT-Sicherheit in der Produktion . . . . . . . . . . . . . . 102 7.4 V orgehensmodell zur IT-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . 103 7.5 B eispiel Fernwartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 7.6 F azit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 8 R isiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory ........................ 113 Michael Hertel 8.1 B edeutung des Sicherheitsmanagements in der Smart Factory . . . . . 114 8.2 G rundlagen der cyber-physischen Produktion . . . . . . . . . . . . . . . . . . 115 8.3 S trukturierungsansatz für das Sicherheitsmanagement in der Smart Factory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 8.4 A nwendungsbeispiele und allgemeine Handlungsempfehlungen . . . . 123 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Inhaltsverzeichnis IX 9 Kontrollierte Nutzung von Schatten-IT ......................... 129 Andreas Kopper, Susanne Strahringer und Markus Westner 9.1 Notwendigkeit einer Praxis-Sicht auf Schatten-IT . . . . . . . . . . . . . . 130 9.2 Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 9.3 Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 9.4 Auswirkungen von Schatten-IT auf die Rolle der IT-Abteilung im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10 Digitalisierung für kleinere und mittlere Unternehmen (KMU): Anforderungen an das IT-Management ......................... 151 Can Adam Albayrak und Andreas Gadatsch 10.1 Digitalisierung und IT-Management . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2 Analyse des IT-Managements bei deutschsprachigen KMU . . . . . . 154 10.3 Kernelemente eines IT-Governance-Modells für KMU . . . . . . . . . . 157 10.4 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 11 Rahmenwerk für das IT-gestützte Management von Datenschutz in Anwendungssystemen ..................................... 167 Jürgen Anke, Wilhelm Berning, Johannes Schmidt und Christian Zinke 11.1 Einführung und Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 11.2 Anforderungen an ein IT-gestütztes Rahmenwerk . . . . . . . . . . . . . . 171 11.3 Stand der Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 11.4 Vorschlag für ein Rahmenwerk zum Datenschutz in Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 11.5 Anwendungsbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 11.6 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 12 Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU-DSGVO ............... 185 Wilhelm Berning, Kyrill Meyer und Lutz M. Keppeler 12.1 Einführung; rechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 12.2 Löschen personenbezogener Daten im Unternehmen . . . . . . . . . . . 187 12.3 Prototypen für ein ganzheitliches Umsetzungskonzept . . . . . . . . . . 193 12.4 Datenschutzkonformität: auch eine Aufgabe der Wirtschaftsinformatik?! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 12.5 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Description:
IT-Governance, das vorausschauende, strukturierte strategische Planen und Steuern der IT, IT-Risikomanagement, das Beherrschen auch neuartiger IT-Risiken und IT-Compliance, das Beachten und Umsetzen relevanter Vorgaben gewinnen insbesondere im Zeitalter der digitalen Transformation zunehmend an Bede
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.