1. Risiko
    1. Einflussgrößen
      1. Projektgröße (Personenjahre)
      2. Ausmaß neuer Technologien (neue Tools, Konzepte, Hardware, Zulieferer, Standards)
      3. Strukturiertheit des Problems
    2. IT-Projektrisiken
      1. Topic
      2. Viel Struktur im Projekt + geringer Technologiewandel
        1. ==> relativ risikofrei
          1. kann durch gute Planung gemanaged werden
          2. kann nur dann riskant werden, wenn das Projekt ungewohnt groß wird.
      3. Wenig Struktur + wenig Technologiewandel
        1. ==> niedriges Risikolevel
          1. Risiken sind durch die mangelnde Struktur bedingt
          2. Kommunikation ist wichtig
          3. Formale Planung und Kontrollmechanismen sowie Flexibität und Reaktionen auf Lernkurven sind wertvoll
          4. Risiko steigt mit der Projektgröße
      4. Viel Struktur + starker Technologiewandel
        1. ==> mittleres Risikolevel
          1. Risiken sind mit den neuen Technologien assoziiert
          2. Formale Planung hilft, aber nur begrenzt, wegen den Ungewissheiten bedingt durch die neue Technologie.
      5. Wenig Struktur + großer Technologiewandel
        1. ==> hohes Risiko
          1. Projekte können scheitern...
          2. unabhängig der Projektmgmtmethodik
          3. trotz MGMT-Bemühungen
          4. Kommunikation kritisch
          5. Formale Planung und Kontrollmechanismen sind wervoll, aber die mangelnde Struktur und unerwartete Probleme mit den Technologien können dich töten.
    3. Spezifische Risiken auf den Leveln des IM
      1. Topic
        1. MGMT der IKT
          1. ==> Unzureichende Verfügbarkeit und Sicherheit
        2. MGMT der Informationssysteme
          1. ==> Prozessdisfunktionalitäten
        3. MGMT der Informationswirtschaft
          1. ==> Informationspathologien
        4. Führungsaufgaben des IM
          1. ==> mangelnde Strategie-Orientierung
        5. Gefährdung die Wettbewerbsfähigeit
  2. (IT-) Risikomangement (ITRM)
    1. Aufgabe des Risikomgmt
      1. alle Aktivitäten und Maßnahmen, um Risiken des IM zu...
        1. identifizieren
        2. analysieren
        3. steuern
        4. überwachen
    2. Vorraussetzungen
      1. Prozess für systematische Durchführung der Aktivitäten des Risikomgmt
      2. organisatorische Umsetzung des Risikomgmt
    3. IT-Risiko-Management-Modell
      1. Topic
      2. KLB = Kunden-Lieferanten-Beziehung
    4. Risikomangementprozess
      1. Topic
        1. Identifikation (Top-Down-Ansatz)
          1. Identifikation kritischer GP
          2. Ermittlung korrespondierender IM-Prozesse
          3. Identifikation von Risiken
        2. Analyse
          1. Schadenswirkungen
          2. Eintrittswahrscheinlichkeit
          3. Risiko-Portfolio
          4. Topic
          5. ==> Signifikanz der Risiken
          6. ==> Priorisierung
          7. ==> Aggregation zu Prozessrisiko oder Geschäftsmodellrisiko
          8. Value-at-Risk (VAR)
        3. Steuerung
          1. Risikovermiderung / -reduktion
          2. Eintrittswahrscheinlichkeit
          3. Schadenswirkungen
          4. z.B.: Virenschutz, Zugangskontrollen
          5. Risikovermeidung
          6. Extremfall der Risikoverminderung
          7. bei Risikoeinstufung "sehr hoch" oder " hoch"
          8. Risikoüberwälzung / -transfer
          9. Weitergabe des Risikos an Geschäftspartner
          10. z.B.: Versicherung, SLA's
          11. Risikostreuung
          12. Zerlegung in Einzelrisiken
          13. z.B.: Verteilte Systeme
          14. Risikoselbsttragung / -akzeptanz
          15. (formale) Akzeptanz des (Rest-) Risikos und evtl. fortan Überwachung
          16. z.B.: Versadt unverschlüsselter Mails
        4. Überwachung
          1. Risikoreporting
          2. Wirksamkeit der Maßnahmen
          3. Veränderungen Risikolage
          4. schwache Signale nach Ansoff
          5. vage Informationen über eventuell eintretende Situationen wahrnehmen
          6. und stufenweise durch Schaffung von Flexibilitätspotentialen auf Reaktionen vorbereiten
          7. z.B.:
          8. Rechtsprechungstendenzen und Anzeichen einer Umgestaltung der in- und ausländischen Gesetzgebung
          9. Verbreitung von bisher unbekannten Meinungen, Ideen und Stellungnahmen
          10. Häufung gleichartiger Ereignisse mit Bezug zum Unternehmen
          11. Szenario Analyse
          12. Neuiniziierung des Risikozyklus
    5. Managementsysteme für Informationssicherheit (ISMS)
  3. IT-Sicherheit
    1. Management der Informationssicherheit (Krcmar)
      1. Unterpunkt 1
        1. Aussage:
          1. die Aktivitäten nehmen mit zunehmendem Abstraktionsgrad auf den Ebenen des IM ab
    2. Schutzziele und Methoden
      1. Grundlegende Dienste
        1. Vertraulichkeit
          1. = Info nur für Befugte zugänglich
          2. Verschlüsselung
        2. Datenintegretät
          1. = vollständige und unveränderte Daten
          2. Veränderungen können absichtlich, unabsichtlich oder durch technische Fehler bedingt sein
          3. Betriebssicherheit
          4. Angriffssicherheit
          5. Hash-Funktionen
          6. Prüfsummen
          7. Message Authentication Code
        3. Authentifizierung
          1. auf Authentifizierung folgt Autorisierung
          2. geheime Info. Z.B.: Passwort
          3. Besitz. Z.B.: Chipkarte
          4. Menschliche Eigenschaft. Z.B. Fingerabdruck
        4. Verfügbarkeit
      2. Höhere Dienste
        1. Zugriffskontrolle
        2. Echtheit der Daten
        3. Unleugbarkeit
        4. ==> Haftung
    3. Kosten-Nutzen-Beziehung der IT-Sicherheit
      1. Topic
    4. Grundschutzhandbuch
      1. Sicherheitsstandard und Leitfaden des BSI (Bundesministerium für Sicherheit in der Informationstechnik)
    5. Bedrohungsmatrix
      1. Zeilen geben gefährliche Bereiche an
      2. Spalten geben die Auslöser (Trigger) an
      3. Topic
    6. Bedrohungsbäume
      1. Topic
        1. Blätter sind bedrohte Ziele
        2. AND- oder OR-Verzweigungen möglich