Vergleich von Risikomanagementansätzen im IT-Governance

Inhaltsverzeichnis

Kurzfassung

Abstract

Abbildungsverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 ZentraleForschungsfrage
1.3 Forschungsziele
1.4 Aufbau der Arbeit
1.5 Abgrenzungder Arbeit
1.6 Methodenkonzept
1.7 Begriffsbestimmungen
1.7.1 IT-Governance
1.7.2 IT-Risikomanagement

2. Theoretische Grundlagen
2.1 Die verschiedenen Managementsysteme
2.1.1 Internes IT-Kontrollsystem
2.1.2 Information Security Management System
2.2 CobiT
2.2.1 Allgemeines
2.2.2 Framework
2.3 IT Infrastructure Library (ITIL)
2.3.1 Allgemeines
2.3.1 DiefünfITILBücher
2.4 ISO 27002

3. Mapping von CobiT mit ITIL und ISO 27002
3.1 Mapping-Regeln
3.2 DetailedMapping
3.2.1 CobiT ~ ITIL
3.2.2 CobiT ~ ISO 27001
3.3 Auflistung der entstandenen Lücken bei dem Mapping
3.4 Wie geht man als Unternehmen mit den entstandenen Lücken um Information Management

4. Fazit

Literaturverzeichnis

Kurzfassung

Die Anforderungen an die Informationstechnologie (IT) wachsen ständig durch die steigenden Erwartungshaltungen des Marktes an die Unternehmen. In der heutigen Zeit sollen Unternehmen flexibel am Markt agieren können und kundenorientiert handeln. Dies schließt die permanente Verfügbarkeit der IT mit ein. Durch den Einsatz von Informationstechnologie können Unternehmen ihre Kernkompetenzen und in weiterer Folge auch ihre Geschäftsziele optimieren.

Um diesen Anforderungen gerecht zu werden, müssen IT-Risiken auf ein Minimum beschränkt werden. Durch bestimmte IT-Sicherheitsstandards bzw. IT- Modelle wie CobiT, ITIL und ISO 27002 können diese Risiken vermindert werden und gewisse Bereiche im Unternehmen - wie Entwicklung, Projektmanagement, Überwachung und strategische Planung durch Kontrollen behandelt werden.

Aufgrund der großen Auswahl an Sicherheitsstandards ist es für das Management schwierig zu wissen, mit welchen Standards die verschiedenen Bereiche im Unternehmen abgedeckt werden sollen. Diese Bachelorarbeit soll dem Management oder dem CIO dabei helfen eine Entscheidung zu treffen. Es werden die Best-Practice Beispiele CobiT, ITIL und das Zertifikat ISO 27002 miteinander verglichen und die dabei entstandenen Lücken aufgelistet. Weiters soll diese Bachelorarbeit die Frage: „Wie man mit den entstandenen Lücken des Mappings umgehen soll?“ beantworten.

Schlüsselbegriffe: IT-Governance, IT-risk, ITIL, CobiT, ISO 27002, IT- Risikomangement

Abstract

Nowadays, requirements for information technology are constantly increasing. Thus, the IT-department in the company has to stay flexible to react onchanges or improvements in the business process. Because of the support of the IT department, companies are able to stay focused on their core competences.

One task of the IT-department is to implement process changes. However, IT- risks should be minimized to guarantee a constant maintained free operation. Because of that reason, IT management models like CobiT, ITIL, and ISO 27002 build a framework for the whole IT-department. These best-practice models introduce control functions in every department like accounting, controlling, management, logistics, and human resources.

This bachelor thesis compares these three models, CobiT, ITIL, and ISO 27002 within the IT-Governance. Furthermore, the thesis lists the gaps between the best-practice modelsand offers a solution for the handling them. First, the Definition of IT-Governance and IT-risks were analyzed. Second, theoretical background to the IT risk management systems like internal control system and ISMS were compared and the advantages were listed. Third, the Mapping between CobiT, ITIL, and ISO 27002 were illustrated on two examples. However, a table, based on the two examples, shows the result of the mapping process. Last, the conclusion provides a summary and an overview of the findings of the research question.

Key Words: IT-Governance, IT-Riskmanagement, IT-risk, ITIL, CobiT, ISO 27002

Abbildungsverzeichnis

Abbildung 1: IT-Governance Definitionen im Vergleich

Abbildung 2: IKS als Steuer- und Überwachungssystem

Abbildung 3: IKS Referenzmodell-Abhängigkeiten der Ziele & Komponenten

Abbildung 4: Prinzip von CobiT

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Während meines Praktikums bei Ernst & Young wurde ich auf das Thema IT- Sicherheit aufmerksam. Es handelt sich um ein sehr komplexes und interessantes Feld der IT. Im Laufe meines Praktikums wurde ich auch mit den IT-Sicherheitsstandards wie CobiT, ITIL und ISO 27002 vertraut. Diese Standards bieten Best Practice Modelle, um im Unternehmen die IT-Sicherheit zu gewährleisten.

In den letzten Jahren bekam das Schlagwort IT-Governance einen immer höheren Stellenwert in der IT. Es wurde fast schon eine Industrie um dieses Wort gebildet. Und wann immer von IT-Governance geredet wird, fällt das Wort CobiT, ITIL oder ISO 27002. Diese IT-Frameworks sind ein wesentlicher Sicherheitsstandard in der heutigen Zeit im Rahmen eines IT-

Risikomanagements. Weit verbreitete Frameworks sind CobiT, ITIL, und das ISO 27002 Zertifikat. Diese Standards sind Rahmenwerke für das Einrichten und Auditieren von IT-Systemen und - Prozessen und wurden unter anderem von Instituten entwickelt. Diese Rahmenwerke spezialisieren sich einerseits auf Audit Guidelines, eine Menge von Kontroll-Zielen zur Realisierung von sicheren IT- Prozessen, sowie Beschreibungen für systematisch, professionelles Vorgehen für das Management von IT-Dienstleistungen. Außerdem beschreiben einige Standards auch Prozesse in Verbindung mit ihren zugehörigen Rollen. Die Prozesse behalten ungeachtet der eingesetzten Technologie ihre Gültigkeit. Diese Sicherheitsanleitungen sind für Organisationen jeder Größe, ob öffentliche Hand oder Privatwirtschaft, hilfreich und sie werden heute rund um den Erdball eingesetzt.^{[1] [2]}

Mit Hilfe dieser Arbeit soll Führungskräften im Unternehmen, aber auch Wirtschaftsprüfern oder auch IT-Prüfern geholfen werden, einen Vergleich zu bekommen, welcher IT-Standard durch einen anderen abgedeckt wird und in wie weit dieser dem Unternehmen behilflich sein kann. Durch IT-Standards wird
sichergestellt, dass sämtliche Applikationen eine gewisse Sicherheit gegen interne als auch externe Einflüsse haben und mit ihnen wird das Einrichten bzw. Auditieren vereinfacht. Weiters kann durch IT-Standards die Effektivität der IT besser gemessen werden. ^[3]

1.1 Problemstellung

Der steigende Einsatz von Informationstechnologie in der heutigen Wirtschaft stellt besondere Anforderungen an Unternehmen. Für die Organisationen ist es wichtig, dass die IT Ziele mit den Unternehmenszielen abgestimmt sind. Durch die hohe Flexibilität und die damit verbundenen Konfigurationen an den IT relevanten Prozessen kann es zu gewissen IT-Sicherheitslücken kommen. Mit Hilfe von Standards können etwaige Probleme im Vorfeld ausgeschlossen werden. Standards helfen notwendige Bereiche im Unternehmen abzudecken und stellen Leitfäden für Konfigurationen oder Einführungen bereit. Für die Organisation ist es wichtig, jene Bereiche individuell umzusetzen, die zur optimalen Unterstützung der Unternehmensziele dienen. Dies kann aber von Branche zu Branche variieren. So legt ein Bankunternehmen auf andere Bereiche Wert, als ein Marketingunternehmen. Diese Gebiete gilt es zu identifizieren und danach sollte ein Modell ausgewählt werden, das die Bereiche in optimalem Umfang und Detaillierungsgrad unterstützt. Aufgrund der vielen verschiedenen IT-Standards, die am Markt etabliert sind, ist es für das Management oft nicht leicht zu erkennen, welche Anforderungen durch welche Standards abgedeckt werden und inwieweit sich Modelle überlappen.

Da ein wesentlicher Bestandteil einer Wirtschaftsprüfung auch die Überprüfung der Sicherheit ausgewählter Softwareapplikationen darstellt, ist die Einführung eines gewissen IT-Standards unabdingbar. Mit der Einführung eines IT- Standards bzw. Rahmenwerkes wie CobiT 4.0, ITIL oder durch das ISO 27001 Zertifikat können gewisse Synergien gezogen werden. Einerseits hat das Unternehmen eine gewisse Sicherheit in der Benutzung ihrer Software, andererseits können IT-Prüfungen schneller abgehandelt werden und ersparen so dem Unternehmen hohe Kosten. Da es mehrere Standards gibt und die Inhalte nicht auf den ersten Blick vergleichbar sind, können Probleme bei der Auswahl auftreten. ^[4]

1.2 Zentrale Forschungsfrage

In dieser Bachelorarbeit sollen folgende Fragestellungen beantwortet werden: Welche Lücken entstehen bei dem Vergleich der Sicherheits-Rahmenwerke und wie geht man damit um? Welche einzelnen Bereiche von CobiT 4.0 werden durch ITIL und ISO 27002 abgebildet?

1.3 Forschungsziele

Ziel ist es die drei Modelle ITIL, ISO 27002 und CobiT gegenüberzustellen. Weiters soll geklärt werden, welche Lücken beim Vergleich der Sicherheits­Rahmenwerke entstehen und wie man damit umgeht. Ein weiteres Ziel ist die Erforschung, welche Bereiche von CobiT 4.0 durch ITIL und ISO 27002 abgedeckt werden.

1.4 Aufbau der Arbeit

Im ersten Kapitel wird auf die Motivation und Relevanz, Aufbau der Arbeit, Ziele und Begriffsbestimmungen von IT-Governance, IT-Risikomanagement eingegangen. Das zweite Kapitel befasst sich mit den theoretischen Grundlagen. Nach der Einleitung erfolgt eine Erklärung der einzelnen Managementsysteme wie das interne Kontrollsystem (IKS) und das Information Security Management System (ISMS). Im nächsten Unterkapitel wird auf die drei Standards näher eingegangen und ihr Framework erläutert. Das dritte Kapitel befasst sich mit dem Mapping der Standards. Zuerst werden die Mapping-Regeln erklärt, die auch den Prozess des Mapping erklären. In diesem Unterkapitel findet man auch die Festlegung des Mappings, ob es sich um ein vollständiges, teilweises oder kein mögliches Mapping handelt. Danach erfolgt ein ausführliches Mapping von CobiT mit ITIL und dem ISO 27002 Standard. Dieses Mapping orientiert sich an den Control Objects von CobiT 4.0. Zum Schluss noch das Fazit über die Beurteilung der Abdeckung von CobiT durch die zwei anderen Standards.

1.5 Abgrenzung der Arbeit

Es ist nicht Ziel dieser Arbeit, sämtliche veröffentlichte Best Practice Modelle einzuordnen und miteinander zu vergleichen. Es werden lediglich die drei IT- Rahmenwerke ITIL und ISO 27002 mit CobiT verglichen. Weiters wird nicht auf den Vergleich zwischen ITIl und ISO eingegangen und es werden die CobiT Teilprozesse als Lücken definiert und nicht Control Objectives, da dies den Rahmen dieser Arbeit überziehen würde und nur der direkte Vergleich von CobiT erarbeitet wird.

1.6 Methodenkonzept

Es handelt sich bei dieser Bachelorarbeit um eine reine Literaturarbeit. Sie stützt sich primär auf Literatur aus der Bibliothek der Wirtschaftsuniversität Wien und auf interne Dokumente des Unternehmens Ernst & Young. Die Vorgehensweise zur Erarbeitung des Forschungszieles gliedert sich in die Einarbeitung der theoretischen Grundlagen von ITIL, CobiT und ISO 27002. Später werden gewisse Mapping-Regeln festgelegt um eine Basis für den Vergleich zu erhalten. Dafür muss ITIL und ISO 27002 in Information Requirements unterteilt werden, welche sich exakt mit den Control Objects aus CobiT 4.0 vergleichen lassen. Dieser Prozessschritt ist leicht, da ITIL annähernd die gleiche Struktur wie CobiT aufweist. Nach dem Mapping werden die Lücken des Vergleiches herausgearbeitet und auf diese näher eingegangen. Am Ende erfolgt ein Feedback, welcher Standard für welche Branche geeignet ist und wie man mit den entstanden Lücken am Besten umgeht.

1.7 Begriffsbestimmungen

In diesem Kapitel werden die beiden Begriffe „IT-Governance“ und „IT- Risikomanagement“ definiert. Da beide Begriffe erst in den letzten Jahren an Bedeutung gewannen, gibt es zu wenige literarische Werke um diese Begriffe eindeutig zu definieren. Neben der reinen Definition werden auch allgemeine Informationen rund um das Thema bzw. den Begriff erläutert.

1.7.1 IT-Governance

Der Begriff IT-Governance ist vor einigen Jahren in den Vordergrund der gesamten IT-Branche gerückt. Gleichzeitig wurden die Begriffe Geschäftsprozessmanagement, sowie Information Management geboren. Diese hängen mit der IT-Governance stark zusammen. In der heutigen Zeit überleben Unternehmen nur wenn sie sich flexibel an externe Einwirkungen so rasch als möglich anpassen. Um dies zu ermöglichen, ist ein wesentlicher Erfolgsfaktor die IT. Dadurch erreicht die IT einen strategischen Mehrwert für das Unternehmen und wird zum strategischen Partner der Unternehmensleitung.^[5]

Die Abhängigkeit der IT zum Geschäftserfolg ist somit bewiesen. Auf operationaler Ebene agiert die IT immer nach demselben Schema, welches wie folgt lautet: die IT stellt die richtigen Informationen zur richtigen Zeit für bestimmte Personen in der jeweiligen Form bereit. Die Problematik ist hier deutlich zu erkennen. Es herrscht ein gewisses Sicherheitsrisiko mit der Bereitstellung der Informationen. Dadurch werden Sicherheitsaspekte immer wichtiger und es wird versucht die große Anzahl an möglichen Risikofaktoren zu minimieren - wie etwa Systemausfälle, ungeschützter Datenverkehr außerhalb des Intranets oder auch unberechtigter Datenzugriff.^[6]

Mit der engen Verknüpfung und Effektiviätssteigerung in der heutigen Zeit von IT und den Geschäftsprozessen stellen sich neue Herausforderungen an die Unternehmensführung. Sie ist für die Integration beider verantwortlich und delegiert Führungsaufgaben an Personen, die am richtigen Ort mit dem nötigen Verständnis und der gegeben Verantwortung Entscheidungen zu Gunsten von gemeinsamen, geschäftsrelevanten Zielen treffen. Alle Vorkehrungen, Verbesserungen und Einführungen für Geschäfts- und IT-Operationen, sollen in gegenseitiger Abstimmung ausgeführt werden. Der Erfolg in diesem Prozess ist nicht von bereits bestehenden und erworbenen Technologien abhängig, sondern von der Einführung von Richtlinien, Best-Practise Beispielen und Rahmenwerken zur Steuerung und Kontrolle der IT, wie es IT-Governance beschreibt.^[7]

In der Literatur ist keine eindeutige Definition für IT-Governance zu finden. Dies ergibt sich aus der Tatsache, dass dieses Thema eine solch komplexe Form annimmt und es sehr jung ist. Es gibt jedoch 4 Definitionen, welche, jede auf seine Weise, den Begriff IT-Governance prägen.

IT Governante is the degree to which the authority for making IT decisions is defined and shared among managenrent and the processes Manager in both IT and business organizations apply in setting IT priorities and the allocation of IT resources.

Luftman (1996)

IT Governance is the responsibility of the Board of Directors and executive management. >T is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation's IT sustains and extends the organisation’s strategy and objectives.

IT Governance Institute (2001)

IT Governance is the organisational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT.

Van Grembergen (2002)

IT Governance specifies the decision rights and provides an accountability framework to encourage desirable behaviour in the use of IT.

Weill P. and Ross J. (2004)

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: IT-Governance Definitionen im Vergleich ^[8]

IT-Governance ist eine Führungsaufgabe, die auch vom Management wahrgenommen werden soll. Durch IT-Governance besitzt die Unternehmensführung ein Rahmenwerk, das ihr hilft, die gesamte IT-Struktur an den Erwartungen und Wünschen der Unternehmensführung auszurichten. Ein wesentliches Ziel dieses Rahmenwerkes ist, IT-Risiken zu entschärfen und entsprechende Kontrollstrukturen einzuführen. IT-Governance setzt folglich die Rahmenbedingungen, um IT-Ressourcen und IT-Prozesse effizient und zielgerecht mit einem minimalen Sicherheitsrisiko zu verwenden, so dass die IT- Ziele erreicht werden können. Um sicherzustellen, dass die definierten Ziele effizient erreicht werden können, müssen alle IT-relevanten Aktivitäten im Unternehmen gesteuert und kontrolliert werden und es müssen Rollen vergeben werden.^[9]

1.7.2 IT - Risikomanagement

Ein Teilaspekt des IT-Governance ist unter anderem das IT-Risikomanagement. Aus der IT-Governance werden die weiteren Handlungen für das IT- Risikomanagement abgeleitet.^[10] Da es in der Literatur keine eindeutige Definition für den Begriff IT-Risikomanagement gibt, und auch Synonyme wie Riskmanagement verwendet werden, teile ich zuerst den zu definierenden Begriff in IT-Risiken und Risikomanagement auf und füge die Beiden am Ende des Kapitels zusammen. Dies dient auch dem leichteren Verständnis.

IT-Risiko:

„Unter IT-Risiko versteht man die Unfähigkeit, anforderungsgerechte IT- Leistungen effektiv und effizient erbringen zu können. IT-Leistungen sind dabei der Betrieb und die Entwicklung von Systemlösungen, das Projektmanagement, sowie - aus der Enabler Funktion heraus - das Management dieser Leistungen und die Beratung der Fachbereiche für deren Geschäftstätigkeit. Sie sind Teil der operationellen Risiken.“^[11]

Um auf die raschen Veränderungen der Märkte und die damit einhergehende Steigerung der Komplexität der Geschäftsprozessabbildung zu reagieren, ist eine leistungsstarke und zuverlässige IT notwendig. Dies ist ein wesentlicher Faktor um das Unternehmen langfristig wettbewerbsfähig zu halten. Die IT dient daher der Sicherstellung der Wettbewerbsfähigkeit. Die daraus resultierenden hohen Aufwendungen für Wartung, Einbindung neuer Softwaren bzw. Applikationen, Abbildung neuer Geschäftsprozesse, Umstrukturierung der IT-Landschaft bzw. IT-Architektur, erhöhen die Komplexität der IT. Damit verbunden steigt auch die Anzahl der IT-Risiken. Zu spät oder schlimmstenfalls nicht erkannte Sicherheitslücken im System können schnell zu kostspieligen Vorfällen führen, die das komplette Unternehmen bedrohen. Man denke nur daran, was eine Virusattacke im elektronischen Buchhaltungssystem für unternehmensweite Auswirkungen haben kann. Der komplette Betrieb würde für eine lange Zeitspanne zum Stillstand kommen. Dies nur als Beispiel. Aber viele solcher scheinbar leichten Ereignisse sind verhältnismäßig leicht zu vermeiden, denn meistens stehen dem potenziell verursachten Schaden oft vergleichsweise geringfügige Investitionen zu ihrer Vermeidung gegenüber.^[12]

Damit steht die IT in vielen Unternehmen vor einem kaum lösbaren Problem. Einerseits muss sie immer komplexere interne sowie externe Dienste übernehmen und andererseits ihre eigenen Kosten senken. In vielen Unternehmen wird die IT beispielsweise als reine Kostenstelle angesehen und es wird nicht erkannt, dass ihre Existenz an der betrieblichen Wertschöpfungskette maßgeblich beteiligt ist. Damit ein Investitionsschutz gewährleistet werden kann, muss das Managen von IT-Risiken Teil der strategischen Aufgabe für das Gesamtunternehmen werden.^[13]

Risikomanaqement:

In vielen Ländern und in den unterschiedlichen Branchen entstanden eine Vielzahl von normativen Vorgaben und verschiedenen Begriffsdefinitionen. Heute wird Risikomanagement als operativer Ansatz verstanden. Letztendlich wird der Begriff Risikomanagement sehr gut durch die Internationale Standardization Organization (ISO) definiert. In der Richtlinie „ISO 31000:2009 - Risk managment“ wird es folgend definiert:

„Risikomanagement: Koordinierte Aktivitäten zur Steuerung und Kontrolle einer Organisation unter Berücksichtigung von Risiken“^[14]

Risikomanagement bedeutet daher eine Organisation mit besonderer Berücksichtigung von Risiken zu steuern und zu kontrollieren. Weiters bedeutet dies ein ganz normales Management, einzig der Fokus liegt auf der Minderung von Risiken. Da Risikomanagement, wie oben erwähnt, meist in der operativen Ebene eingesetzt wird, lässt sich davon ableiten, dass es nur wirksam sein kann, wenn es in alle Unternehmensprozesse integriert wird. Es darf nicht als eine getrennte Führungsaufgabe gesehen werden, wie beispielsweise das Umweltmanagement, Arbeitssicherheitsmanagement oder etwa das Qualitätsmanagement. Es muss eine klar definierte Risikostrategie und eine Risikopolitik von der Unternehmensleitung vorgegeben werden. Die Integration des Risikoprozesses Plan - Do - Check - Act (PDCA) sollte in alle bestehenden Führungsprozesse integriert werden, da Risikomanagement eine Frage der Unternehmenskultur ist und sollte daher auf allen Ebenen mit allen Funktionen kommuniziert werden.^[15]

Die ISO Guide 31000 und die ISO Guide 27005 befassen sich mit der speziellen Form des Risikomanagement mit Schwerpunkt auf Risiken der Informationssicherheit. Beide Richtlinien beschreiben typische Bedrohungen der Informationssicherheit, welche durch den effektiven Einsatz von Risikomanagement vermindert bzw. vermeidet werden können.

Nach wie vor zählt der Mensch als Risikofaktor Nummer eins, welcher auch unter dem Begriff „Insider“ geführt wird, denn schlecht ausgebildete, verärgerte, böswillige, fahrlässige, unehrliche oder gerade gekündigte Mitarbeiter gelten als die höchste innerbetriebliche Bedrohung^[16]. „Es folgen, mit der höchsten Risikoeinstufung beginnend,:

- Physikalische Schäden
- Naturereignisse
- Verlust von wichtigen Services
- Behinderung von Strahlung
- Bloßstellung von Informationen
- Technisches Versagen
- Unerlaubte Handlungen
- Gefährdung von oder durch erlaubte Funktionen
- Computerkriminelle (Hacker, Cracker)
- Terroristen
- Industriespionage
- Innentäter“^[17]

Zusammenfassend lässt sich der Begriff IT-Risikomanagement folgend definieren: Unternehmensweite Risiken können auch in der IT reduziert und sogar vermieden werden, speziell durch frühzeitige systematische Erkennung, Bewertung und entsprechendes unternehmensweit kommuniziertes, Risikomanagement. Das nennt sich IT-Risikomanagement.

2. Theoretische Grundlagen

In diesem Kapitel werden theoretische Grundlagen für die zwei Managementsysteme IKS sowie ISMS erläutert. Außerdem wird auf die drei Rahmenwerke bzw. Sicherheitsstandards CobiT®, ITIL und das ISO Zertifikat 27002 eingegangen. Nach jeweils einer kurzen Einleitung für die Nutzung und den Gebrauch, sowie den optimalen Vorrausetzungen für die Standards werden die vier Domänen von CobiT mit ihren dazugehörigen Control Objectives erläutert. Später werden die fünf Bücher von ITIL vorgestellt und die dazugehörigen Prozesse erklärt. Als letztes wird auf die ISO-Norm 27002 und ihre Sicherheitsanforderungen bzw. Lösungsvorschläge, genannt Methoden, eingegangen. Die theoretischen Grundlagen dienen dem besseren Verständnis für das nachfolgende Mapping.

2.1 Die verschiedenen Managementsysteme

Herausforderungen an IT-Führungskräfte wachsen zunehmend, IT- Managementsysteme sollen dabei Orientierung und Hilfestellung bieten. In diesem Kapitel werden zwei der wichtigsten Managementsysteme näher beschrieben. Zusätzlich wird auf den Entstehungsgrund und allgemeine

Informationen zu Strategie, Einsatzgebiet und den bestmöglichen Einsatz hingewiesen. Diese Systeme bilden die Grundlage für die Einführung eines IT- Sicherheitsstandards, wie CobiT, ITIL und das ISO 27002 Zertifikat. Nur durch ihren optimalen und richtigen Einsatz können die verschiedenen Rahmenwerke effizient arbeiten und das Unternehmen vor möglichen Bedrohungen schützen.

2.1.1 Internes IT-Kontrollsystem

In den 30er Jahren wurden einige Betrugs- und Unterschlagungsfälle in der amerikanischen Wirtschaftsprüferpraxis bekannt. Als Reaktion wurde der Begriff „Internal Control“ vom American Institute of Accountants (AIA) geboren. Das Interne Kontrollsystem (IKS) leitet sich von diesem Begriff ab. Der amerikanische Begriff ist jedoch weitläufiger als der deutsche, denn im Deutschen umfasst Kontrolle nur den Vergleich eines Ist-Zustandes mit einem Soll-Zustand und nicht auch die Verhaltensbeeinflussung durch das Management, was einer Steuerung gleicht. Somit ist das IKS im Grunde ein „Steuerungs- und Überwachungssystem“.^[18]

[...]

---

^[1] Vgl. M. Andematten, S. 345.

^[2] Vgl. IT Governance Institute (Hrsg., 2005), S. 4ff.

^[3] Vgl. IT Governance Institute (Hrsg., 2005), S. 4ff.

^[4] Vgl. IOFS (Hrsg., 2000), S. 23-28.

^[5] Vgl. Wallace/Webber (2009), S 17-23.

^[6] Vgl. Van Grembergen (2003), S. 2f.

^[7] Vgl. Peterson (2003), S. 38ff.

^[8] Vgl. Peterson (2003), S. 39.

^[9] Vgl. IT Governance ltd (2012a), [online].

^[10] Vgl. Gerlacher (2010), [online].

^[11] Seibold (2002), S. 11.

^[12] Vgl. Capgemini Consulting (2010), [online].

^[13] Vgl. Capgemini Consulting (2010), [online]; Möhler (2008), [online].

^[14] ISO (2009), S. 6.

^[15] Vgl. ISO (2009), S. 7-13; Klipper (2011) S. 47f.

^[16] Vgl. Klipper (2011), S. 48.

^[17] Klipper(2011), S. 49.

^[18] Vgl. Horvath (2006), S. 212ff.