Lade Inhalt...

IT-Sicherheit in Firmennetzwerken

Vergleich der IT-Governance Modelle Cobit®, ITIL® und MOF®

Projektarbeit 2008 27 Seiten

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

1 Einleitung

2 IT-Governance
2.1 Einführung
2.1.1 Begriffsbestimmung
2.1.2 Bedeutung von IT-Governance
2.1.3 Zielgruppe
2.2 ITGI (IT Governance Institute)
2.2.1 Institution
2.2.2 IT-Governance und das Top-Management
2.2.3 Umsetzung IT-Governance
2.2.4 Ziele der IT-Governance
2.3 CISR
2.3.1 Design der IT-Governance mittels Matrix-Ansatz

3 COBIT
3.1 Einführung
3.2 Komponenten
3.3 WeiterführendeInformationen

4 ITIL
4.1 Einführung
4.2 Komponenten
4.2.1 Business Perspective
4.2.2 Planning to Implement Service Management
4.2.3 Applications Management
4.2.4 ICT Infrastructure Management
4.2.5 Security Management
4.2.6 Service Management
4.3 WeiterführendeInformationen

5 MOF
5.1 Einführung
5.1.1 Zielgruppe
5.1.2 Überblick und Struktur
5.2 Komponenten
5.2.1 Prozessmodell
5.2.2 Team Modell
5.2.3 Risiko Modell
5.2.4 Risikomodell
5.3 Weiterführende Informationen
5.4 Abschliessende Bewertung

6 Zusammenfassende Gegenüberstellung
6.1 IT Governance und das CobiT-Framework
6.2 Mapping von ITIL auf COBIT
6.3 Vergleichsmatrix
6.4 Zusammenfassung

7 Anhang
7.1 Abkürzungsverzeichnis

1 Einleitung

In den letzten Jahrzehnten hat sich für Unternehmen der Stellenwert der IT drastisch verändert. Die Palette reichte von reiner Exotik über Chaos bis zum heutigen Stellenwert als reiner interner Dienstleister. Der heutige Zweck der Unternehmens-IT ist am besten damit beschrieben, die IT als technische und organisatorische Unterstützung der Geschäftsprozesse zum Zweck der Gewinnoptimierung zu bezeichnen.

Da die IT eines Unternehmens meistens einen erheblichen Teil des Budgets verschlingt, stellt sich für beinahe alle Unternehmen die Frage, wie diese Budgets optimal genutzt und kontrolliert werden können. Dabei ist es jedoch zusätzlich auch von Bedeutung den Technologielevel auf einem zeitgemäßen Niveau zu halten und gleichzeitig aber auch überprüfbare Qualitätskriterien zu erfüllen. Diese Gesamtaufgabe wird im deutschsprachigen Raum als Informationsmanagement oder auch IT-Management bezeichnet. Der Schwerpunkt der Betrachtung lag aber großteils im technischen Bereich, da der rasche Technologiewandel in der IT sehr viel Aufmerksamkeit verlangte.

Der Ansatz der IT-Governance bietet einen Erweiterimg der Sicht mit Wechsel der Gewichtung hin zu betriebswirtschaftlichen und geschäftspolitischen Zielen, entstanden aus dem Corporate Governance Gedanken für börsennotierte Unternehmen umgelegt auf unternehmensinterne IT-Organisationen. IT-Governance soll also das Top-Management eines Unternehmens befähigen, seine Führungs- und Kontrollaufgaben auch im IT-Bereich wahrzunehmen. Die Schwerpunkte bilden dabei das Management von Risken und die Erreichung der Business-Ziele des Unternehmens.

Das Referenzmodell von COBIT (Control Objectives for Information and Related Technology) bietet für die Kontroll- und Führungsaufgaben einen Leitfaden im Rahmen der IT-Governance. Dieses Modell wird vom IT Governance Institute in den USA veröffentlicht. Es deckt die Anforderungen nach Unterstützung der strategischen Kontrolle und Steuerung mit einer umfassenden Literatur ab.

Im Gegensatz dazu ist das Referenzmodell von ITIL (IT Infrastructure Library) stärker auf das operative Geschehen eines Unternehmens ausgerichtet. Die Konzentration dort liegt auf dem Bereich Service-Management und geht sehr in die Tiefe. ITIL wurder vom CCTA (Central Computer and Telecommunications Agency - jetzt OGC) in Großbritannien entwickelt. Es wird ebenfalls in Form von mehreren Bänden veröffentlicht.

MOF (Microsoft Operations Framework) ist ein von Microsoft entwickeltes Modell, das auf ITIL aufbaut und speziell für den Betrieb von Microsoft-Produkten und heterogenen Umgebungen ausgelegt ist.

Diese Arbeit hat zum Ziel, die genannten Begriffe und Verfahren detailliert gegenüberzustellen und zu bewerten. Der Schwerpunkt soll dabei auf dem Bereich IT-Sicherheit liegen.

2 IT-Governance

IT-Governance ist zur Zeit ein höchst aktuelles aber trotz allem Interesse daran ein relativ unerforschtes Themenfeld. Eingehende Literaturrecherchen zeigen, dass zwei Zentren sich in langjähriger Arbeit mit diesem Bereich beschäftigt haben und auch weiter beschäftigen:

- Das IT Governance Institut (ITGI, http://www.itgi.org), wurde im Jahr 1998 gegründet und ging aus der ISACA (Information Systems Audit and Control Association, http://www.isaca.org).
- Das Center for Information Systems Research (CISR, http://mitsloan.mit.edu.cisr) an der MIT Sloan School of Management

2.1 Einführung

IT-Governance als Begriff - analog zu Corporate Governance - hat sich sowohl im akademischen Umfeld als auch im Business-orientierten Bereich rasch etabliert. Als Einführung werden hier die wichtigsten Begriffe definiert und Gründe für die Relevanz von IT-Governance angeführt.

2.1.1 Begriffsbestimmung

Corporate Governance

Als Folge von Unternehmensskandalen ist bei Investoren aber auch Kunden das Bewusstsein gestiegen, dass eine angemessene "Corporate Governance" (Unternehmensverfassung) für eine effiziente Funktionsweise der Kapitalmärkte unabdingbar ist. Sowohl in Osterreich als auch in der EU werden daher entsprechende Maßnahmen gesetzt, mit denen das Vertrauen der Investoren gestärkt werden soll.

[...]

Eine Erklärung zum Osterreichischen Corporate Governance Kodex ist seit August 2004 eine Pflicht für Unternehmen des Prime Market an der Wiener Börse. Alle im Prime Market notierenden Unternehmen müssen jährlich eine Erklärung über die Einhaltung bzw. Nicht - Einhaltung des Osterreichischen Corporate Governance Kodex in den Geschäftsbericht aufnehmen.

Die Corporate Governance Empfehlungen der EU - Kommission und das Gesellschaftsrechtsänderungsgesetz 2005 machten im Jänner 2006 eine Anpassung und Weiterentwicklung des österreichischen Corporate Governance Kodex notwendig. Schwerpunkte dieser Kodex - Revision waren noch mehr Transparenz und die Stärkung der Unabhängigkeit des Aufsichtsrats. Mit dem überarbeiteten Kodex kann der österreichische Kapitalmarkt ein modernes Corporate Governance System vorweisen, welches sich an den europäischen und internationalen Standards orientiert.

Bundesministerium für Finanzen, 04.12.2007, http://www.bmf.gv.at/Finanzmarkt/Kapitalmarktinitiative625/CorporateGovernance615/ start.htm Massnahmen der EU

2003 hat die Kommission einen Aktionsplan zur "Modernisierung des Gesellschaftsrechts und Verbesserung der Corporate Governance in der EU" vorgelegt. Den Schwerpunkt bilden dabei eine Reihe von Initiativen zur Corporate Governance (u.a. in den Bereichen Offenlegung, Stärkung der Aktionärsrechte sowie Modernisierung des Leitungs-ZVerwaltungsorgans), mit denen das Vertrauen in die Kapitalmärkte gestärkt werden soll.

Die Kommission vertritt die Ansicht, dass ein europäischer Corporate Governance Kodex keine nennenswerten Vorteile bringen würde, sondern damit lediglich eine weitere Stufe zwischen den internationalen Grundsätzen und den nationalen Regelungen zwischengeschaltet würde. Sinnvoll sei vielmehr eine gemeinsame Herangehensweise mit einigen gemeinsamen Grundregeln sowie eine entsprechende Koordinierung der nationalen Corporate Governance-Regelungen. Die Kommission hat daher ein Europäisches Corporate Governance-Forum eingerichtet, das in den Mitgliedstaaten bewährte Verfahren prüfen und die Konvergenz nationaler Corporate Governance-Kodizes fördern soll.

Auf der Grundlage des Aktionsplans hat die EU-Kommission Anfang 2005 zwei Empfehlungen zu den Aufgaben der Aufsichtsräte und zur Vergütung der Direktoren veröffentlicht.

Bundesministerium für Finanzen, 04.12.2007, http://www.bmf.gv.at/Finanzmarkt/Kapitalmarktinitiative625/CorporateGovernance615/ManahmeninderEU/start.htm

IT-Governance

Unter IT-Governance werden Maßnahmen, Grundsätze und Verfahren verstanden, die sicherstellen, dass mit Hilfe der IT Ressourcen wirtschaftlich eingesetzt, Geschäftsziele abgedeckt und Risken angemessen überwacht werden.

Verschiedene Auffassungen gibt es hinsichtlich Schwerpunkten und Details und daher auch verschiedene Definitionen. Die bekannteste istjene des IT Governance Institutes:

IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. IT Governance Institute: Board Briefing on IT Governance, 2. Edition. 2003, Seite 10

Weitere Definitionen des Begriffs IT-Governance:

IT governance is the term used to describe how those persons entrusted with governance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied within the entity will have an immense impact on whether the entity will attain its vision, mission or strategic goals. Roussey, Robert S., IT Governance Institute: Board Briefing on IT Governance, 2. Edition. 2003, Seite 1

... specifying the decision rightsand accountabilityframework to encourage desirable behaviour in usingIT. Weill, Peter; Ross, J.: IT Governance. Harvard Business School Press 2004

IT-Governance: A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes. IT Governance Institute: CobiT 3rd Edition Executive Summary. July 2000, Seite 3

IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. IT Governance Institute: IT Governance für Geschäftsführer und Vorstände. 2003, Seite 11

2.1.2 Bedeutung von IT-Governance

Die IT ist in den letzten Jahren in den Fokus der Unternehmensvorstände gerückt, obwohl früher doch vorwiegend die technischen Probleme der EDV zentral im Mittelpunkt standen. Diese wurden alleine dem IT-Leiter überlassen und die hohen aber kaum reduzierbaren Kosten waren für die Vorstände das einzig interessante daran. Worin liegt dieser Meinungsumschwung begründet?

Die Antwort liegt in der Aufgabe der IT begründet. Die IT ist für viele Unternehmen quer durch alle Branchen die Basis für ihre Geschäftsprozesse geworden, daher ist sie für die Unternehmensstrategie von substantieller Bedeutung. Nur jene Unternehmen sind erfolgreich, die ihre Informationen aus den verschiedensten Quellen auch optimal für die Erreichung der Geschäftsziele nutzen können. IT-Governance ist daher ein wesentlicher Bestandteil von Corrporate Governance und rückt damit sofort in den Verantwortungsbereich des Top-Managements.

Die IT unterstützt ein Unternehmen bei Effizienz und Abwicklung der Prozesse. Sie trägt daher idealerweise wesentlich zur Gewinnerzeugung des Unternehmens bei und generiert nicht nur hohe Kosten. Eine mangelhafte IT kann sich wiederum sehr empfindlich auf das Unternehmensergebnis auswirken und somit Bestandteil der Unternehmensrisiken. In diesem Kontext sind die Ziele von IT-Governance zu sehen:

- die Ausrichtung der IT auf die Unternehmensziele und -prozesse
- die Erreichung der Geschäftsziele mit optimalem Nutzen zu unterstützen
- IT-Ressourcen verantwortungsbewußt und nachhaltig einzusetzen
- IT-Risken optimal zu bewältigen und zu minimieren

Um diese Ziele zu erreichen, ist der Einsatz einer bewährten Vorgehensweise - eines Rahmenmodells mit Referenzcharakter - zu empfehlen.

2.1.3 Zielgruppe

IT-Governance liegt eindeutig in der Verantwortung des Top-Managements - sprich Vorstände und oberste Führungsebenen. Im angloamerkimanischen Raum sind damit die sogenannten CXO-Positionen bzw. das „Board of Directors" betroffen bzw. angesprochen.

2.2 ITGI (IT Governance Institute)

2.2.1 Institution

Das ITGI wurde 1998 gegründet, um Firmen bei der Anwendung von IT-Governance zu beraten und zu unterstützen und eine zentrale Ansprechstelle zu diesem Thema zu sein. Es ging aus der ISACA (Information Systems Audit and Control Association), einer Vereinigung internationaler Revisoren, hervor. ITGI gibt gemeinsam mit ISACA die Dokumentationen zu CobiT heraus.

Das ITGI bereitet laufend aktuelle Themen für das Topmanagement auf, um dieses durch die entstehenden Dokumentationen zu unterstützen. So behandelte eine Broschüren das Thema IT Control Objectives for Sarbanes-Oxley, in der Kontrollziele für die Prüfung der IT bezüglich des US Sarbanes-Oxley Act aus 2002 definiert werden und ein Dokument das Risikomanagement. Weiters werden durch das ITGI Konferenzen veranstaltet, Fallstudien veröffentlicht und Forschungsaktivitäten unterstützt.

2.2.2 IT-Governance und das Top-Management

IT-Governance bedeutet die Anwendung der Prinzipien des Corporate Governance auf die Lenkung und Steuerung der IT. Dazu müssen Strategien definiert werden. Daraus abgeleitet sind die wesentlichen Aufgaben das Schaffen von Unternehmenswert mit dem gleichzeitigen Minimieren von IT Risiken und der Überwachung der Performance. Ziel ist die fortlaufende Verbesserung.

IT-Governance: Fokussierung aud Unternehmenswert, Ergebnis und Risiko Quelle: IT Governance Institute: IT Governance Executive Summary. 2004

IT-Governance stellt eine Führungsaufgabe dar. Deshalb ist sie, wie andere Führungsaufgaben, Teil der Verantwortung des Vorstands und des Managements. Gelebt wird sie jedoch auf verschiedenen Ebenen: Teamleader, die an die Manager berichten und Weisungen empfangen, Manager, die an die Top-Manager berichten, Top-Manager, die an den Vorstand berichten. Bei der Umsetzung der IT-Governance müssen Vorstand und Management zusammenarbeiten, wobei folgende Aufgabenaufteilung für die Führungsebenen empfohlen wird:

- Die Mitglieder des Vorstandes sollen eine aktive Rolle in der Entwicklung der IT-Strategie und in IT-Steuerungsgremien haben.
- Das Top-Management soll organisatorische Strukturen bereitstellen, die die Implementierung der IT Strategie unterstützen.
- Der IT-Leiter soll geschäftsorientiert denken und eine Brücke zwischen IT und den Fachbereichen schlagen.
- Das Management der Fachbereiche soll in die IT Steuerungsprozesse oder Komitees miteinbezogen werden.

2.2.3 Umsetzung IT-Governance

Die Umsetzung hat der Vorstand zu verantworten. Diese Führungspflichten werden oft durch Einrichten von Komitees wahrgenommen, die kritische Bereiche überwachen. Der Aufbau eines Komitees auf Vorstandsebene (IT Strategy Comitee) kann ein wichtiger Schritt zur Umsetzung sein. Das IT Strategy Comitee besteht aus Vorstandsund Nichtvorstandsmitgliedern und sollte dem Vorstand beigestellt sein, um IT-relevante Themen durchzuführen bzw. darauf aufmerksam zu machen. IT-Governance soll auf strukturierte Weise wahrgenommen werden und der Vorstand soll relevante Informationen erhalten.

Abbildung in dieser Leseprobe nicht enthalten

Vergleich von typischen Aufgaben des Strategy und Steering Committee Quelle: IT Governance Institute: IT Governance für Geschäftsführer und Vorstände. 2003

[...]

Details

Seiten
27
Jahr
2008
ISBN (eBook)
9783640922222
ISBN (Buch)
9783640922291
Dateigröße
799 KB
Sprache
Deutsch
Katalognummer
v172346
Institution / Hochschule
Fachhochschule Wiener Neustadt – IT-Management
Note
1
Schlagworte
MOF COBIT ITIL IT-Sicherheit Firmennetzwerk IT-Governance

Autor

Zurück

Titel: IT-Sicherheit in Firmennetzwerken