Nr. 27

Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements

Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung

Jochen Wiedemann

Bochum, Oktober 2007

Institut für Sicherheit im E-Business (ISEB)

Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema „Sicherheit im E-Business“ entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüssel-faktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Heraus-forderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikatio-nen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwick-lung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kos-ten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirt-schaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung.

Ruhr-Universität Bochum

Institut für Sicherheit im E-Business (ISEB) www.iseb.ruhr-uni-bochum.de

Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D-44780 Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel

Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0)234 – 32 25325 Fax: +49 (0)234 – 32 14350 klaus.ruediger@ruhr-uni-bochum.de sebastian.sowa@ruhr-uni-bochum.de

Wiedemann, Jochen:

Gestaltung von IT-Notfallvorsorge im Kontext des Risiko-managements – Teil 2: Entwicklung von Gestaltungs-elementen am Beispiel einer TK-Unternehmung Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN 978-3-940412-05-8 © Institut für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Über-setzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftli-che Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfäl-tigt oder verbreitet werden.

Vorwort

Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung

eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische

Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V.

genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden

Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität

und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung

an die Ruhr-Universität Bochum fließen neueste wissenschaftliche Erkenntnisse

direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst

Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für

Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die

escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für

angewandte IT-Sicherheit mbh (GITS Projekt GmbH).

Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität

Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die

betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu

erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von

sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen For-

schungsaktivitäten und Kooperationen mit der Praxis sollen auch die

IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden.

Mit dem vorliegenden 27. Arbeitsbericht setzt das Institut für Sicherheit im

E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen

Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von

Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstal-

tungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und

Studierenden durchgeführt wurden.

Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiede-

mann* ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschafts-

informatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstüt-

zung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als

Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der

ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von

IT-Notfallvorsorge am Beispiel einer TK-Unternehmung. Die vorliegende Untersu-

chung entwickelt Elemente zur Gestaltung von IT-Notfallvorsorge. Die Notwendig-

keit der Erarbeitung derartiger Gestaltungselemente kann aus dem identifizierten

Handlungsbedarf in der betrieblichen Praxis abgeleitet werden, der im Arbeitsbe-

richt Nr. 26 des ISEB umfangreich analysiert wurde. Ziel ist der Aufbau eines

Gestaltungsmodells für IT-Notfallvorsorge, das in einer späteren Schrift vorgestellt

wird.

Bochum, Oktober 2007 R. Gabriel

K. Rüdiger

S. Sowa

* Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße 20 40221 Düsseldorf jochen.wiedemann@accenture.com

III

Abstract

Die Analyse der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen

Praxis, die im Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB)

veröffentlicht wurde, konnte umfangreichen Handlungsbedarf aufzeigen. Der

vorliegende Arbeitsbericht greift diesen Handlungsbedarf auf und entwickelt

Gestaltungselemente, die zur Erreichung einer angemessenen IT-Notfallvorsorge

genutzt werden können. Die Untersuchung orientiert sich beispielhaft an der

Geschäftsprozessarchitektur einer TK-Unternehmung, um einzelne Aspekte in

einem praktischen Anwendungsbezug zu konkretisieren.

Neben einer Untersuchung der IT-Abhängigkeit von Geschäftsprozessen werden

dazu interne sowie externe Einflussfaktoren für die Gestaltung von

IT-Notfallvorsorge analysiert. Anschließend werden mit Hilfe eines quantitativen

Modells zur ökonomischen Bewertung von Folgeschäden bei IT-Ausfall und einer

Untersuchung potenzieller Notfallszenarien weitere Gestaltungselemente erarbeitet.

Der Arbeitsbericht schließt mit einer umfassenden Analyse von unterschiedlichen

Alternativen der IT-Risikosteuerung im spezifischen Kontext der IT-Notfallvorsorge.

Die Nutzung der erarbeiteten Gestaltungselemente kann die effiziente Erreichung

von effektiver IT-Notfallvorsorge unter besonderer Berücksichtigung ökonomischer

Aspekte unterstützen. Offen bleibt die aufbau- und ablauforganisatorische Zusam-

menführung dieser Elemente in einem Gestaltungsmodell für IT-Notfallvorsorge, die

in einer weiteren Untersuchung zu erfolgen hat.

Keywords

Business Continuity Management, Business Impact Analyse, Disaster

Recovery, Folgeschadenanalyse, Hot/Warm/Cold Standby, IT-Notfallvorsorge,

IT-Risikosteuerung, Kundenwert, Notfallszenarien, Telekommunikationsmarkt

IV

V

Inhaltsverzeichnis

VORWORT................................................................................... I

ABSTRACT ................................................................................. III

ABBILDUNGSVERZEICHNIS ........................................................... IX

TABELLENVERZEICHNIS ............................................................... XI

ABKÜRZUNGSVERZEICHNIS .........................................................XIII

1 EINLEITUNG...................................................................... 1

2 DIE TK-UNTERNEHMUNG ALS BEISPIELHAFTES UNTERSUCHUNGSOBJEKT ................................................... 5

2.1 EINFÜHRUNG IN DAS LEISTUNGSANGEBOT UND DIE MARKT- UND

WETTBEWERBSSITUATION VON TK-UNTERNEHMUNGEN ......................................5

2.2 EINORDNUNG UND BEDEUTUNG DER IT EINER TK-UNTERNEHMUNG IM

KONTEXT DER NOTFALLVORSORGE .................................................................9

2.3 GESCHÄFTSPROZESSE EINER BEISPIELHAFTEN TK-UNTERNEHMUNG .......................12

3 UNTERSUCHUNGSRAHMEN DER GESCHÄFTSPROZESSE IM KONTEXT DER IT-NOTFALLVORSORGE..................................19

3.1 GEGENSTAND UND STRUKTUR DER ANALYSE ANHAND EINES ILLUSTRATIVEN

BEISPIELS ..................................................................................................19

3.2 LEITFRAGEN UND DEREN BEISPIELHAFTE BEANTWORTUNG ..................................22

3.2.1 Unterstützung durch IT..............................................................23

3.2.2 Unterstützung durch Personal....................................................24

3.2.3 Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern .....................................................................24

3.2.4 Umsatzabhängigkeit ..................................................................25

3.3 KRITISCHE WÜRDIGUNG DES UNTERSUCHUNGSRAHMENS .................................26

VI

4 INTERNE UND EXTERNE EINFLUSSFAKTOREN BEI DER GESTALTUNG DER IT-NOTFALLVORSORGE ............................ 29

4.1 UNTERNEHMUNGSINTERNE UND -EXTERNE EINFLUSSFAKTOREN ...........................29

4.2 KONKRETISIERUNG BESONDERS RELEVANTER EINFLUSSFAKTOREN AM BEISPIEL

EINER TK-UNTERNEHMUNG..........................................................................34

5 MODELL ZUR FOLGESCHADENANALYSE FÜR DIE BEWERTUNG DER ÖKONOMISCHEN AUSWIRKUNG BEI IT-AUSFALL ..................................................................... 37

5.1 METHODIK DES MODELLS ZUR FOLGESCHADENANALYSE ...................................37

5.2 VORGELAGERTE STRUKTURIERUNG VON SCHADENSPHASEN ...............................40

5.3 STUFE 1: ABLEITUNG VON SCHADENSDIMENSIONEN ANHAND EINES

BEISPIELHAFTEN GESCHÄFTSPROZESSES ...........................................................42

5.4 STUFE 2: AUFSTELLUNG EINES BEWERTUNGSMODELLS ANHAND EINES

BEISPIELHAFTEN GESCHÄFTSPROZESSES ...........................................................48

5.5 STUFE 3: DURCHFÜHRUNG DER BEWERTUNG ANHAND EINES BEISPIELHAFTEN

GESCHÄFTSPROZESSES.................................................................................50

5.5.1 Schadensdimension ‚Mehrarbeit’ ...............................................51

5.5.2 Schadensdimension ‚Zusatzpersonal’ .........................................52

5.5.3 Schadensdimension ‚Verlust eines einzelnen Umsatzes’ .............53

5.5.4 Schadensdimension ‚Verlust von Nutzungsentgelten’.................55

5.5.5 Schadensdimension ‚Kundenverlust’ ..........................................56

5.5.6 Zusammenfassende Betrachtung der Schadensdimensionen.......58

5.6 KRITISCHE WÜRDIGUNG DES MODELLS ZUR FOLGESCHADENANALYSE .................60

VII

6 UNTERSUCHUNG UND BEWERTUNG MÖGLICHER NOTFALLSZENARIEN.........................................................63

6.1 AGGREGATION VON NOTFALLSZENARIEN ANHAND DER

GEFÄHRDUNGSKATALOGE INNERHALB DES IT-GRUNDSCHUTZES ..........................63

6.2 WEITERE STRUKTURIERUNG DER NOTFALLSZENARIEN ........................................67

6.3 ABLEITUNG MÖGLICHER KLASSEN VON NOTFALLDAUERN ..................................69

6.4 ZUSAMMENFASSENDE BEWERTUNG UND BESONDERHEITEN DER IDENTIFIZIERTEN

NOTFALLSZENARIEN....................................................................................72

7 ALTERNATIVEN DER IT-RISIKOSTEUERUNG UND DEREN BEWERTUNG ...................................................................79

7.1 AKTIVE IT-RISIKOSTEUERUNG .......................................................................80

7.1.1 Risikovermeidung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................80

7.1.2 Risikominderung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................82

7.1.3 Risikobegrenzung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................86

7.2 PASSIVE IT-RISIKOSTEUERUNG ......................................................................88

7.2.1 Risikoversicherung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................88

7.2.2 Risikotragung und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................93

7.2.3 Risikoakzeptanz und deren Bewertung im Kontext der IT-Notfallvorsorge ......................................................................95

7.2.4 Überblicksdarstellung der Handlungsmöglichkeiten....................97

7.3 KRITISCHE WÜRDIGUNG DER ALTERNATIVEN DER IT-RISIKOSTEUERUNG .............101

8 ZUSAMMENFASSUNG......................................................103

LITERATURVERZEICHNIS ............................................................. XV

VIII

IX

Abbildungsverzeichnis

Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65).........................................................................6

Abbildung 2.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66) ...........12

Abbildung 2.3: Abhängigkeiten des Geschäftsprozesses ................................13

Abbildung 2.4: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8) .......................................................................14

Abbildung 3.1: Arten von Abhängigkeiten zum Geschäftsprozess..................20

Abbildung 4.1: Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge............................................................30

Abbildung 5.1: Methodik des Modells zur Folgeschadenanalyse ...................38

Abbildung 5.2: Schadensphasen im Zeitverlauf .............................................40

Abbildung 5.3: Systematik von Schadensdimensionen in den Kategorien Umsatzverlust und Kostensteigerung.....................................43

Abbildung 5.4: Kumulierter Folgeschaden zur Schadensdimension ‚Mehrarbeit’ ..........................................................................52

Abbildung 5.5: Kumulierter Folgeschaden zur Schadensdimension ‚Zusatzpersonal’ ....................................................................53

Abbildung 5.6: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust eines einzelnes Umsatzes’ ........................................54

Abbildung 5.7: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust von Nutzungsentgelten’ ...........................................56

Abbildung 5.8: Kumulierter Folgeschaden zur Schadensdimension ‚Kundenverlust’ .....................................................................58

Abbildung 5.9: Kumulierter Gesamt-Folgeschaden je Schadensdimension im Median ............................................................................59

Abbildung 5.10: Kumulierter Gesamt-Folgeschaden (Minimum, Median, Maximum) ............................................................................60

Abbildung 6.1: Notfallszenarien – G 1 Höhere Gewalt ..................................64

Abbildung 6.2: Notfallszenarien – G 3 Menschliche Fehlhandlungen.............65

Abbildung 6.3: Notfallszenarien – G 4 Technisches Versagen........................66

Abbildung 6.4: Notfallszenarien – G 5 Vorsätzliche Handlungen...................66

X

Abbildung 6.5: Kriterien zur weiteren Strukturierung der Notfallszenarien .....67

Abbildung 6.6: Klassen von Notfalldauern.....................................................69

Abbildung 6.7: Erdbebenrisiko (Quelle: MDR (2006b), S. 1).........................73

Abbildung 6.8: Überflutungsrisiko (Quelle: MDR (2006a), S. 1) ...................74

Abbildung 7.1: Hebel zur Risikominderung....................................................82

Abbildung 7.2: Einordnung der Instrumente in Matrix der Risikosteuerungsoptionen....................................................100

XI

Tabellenverzeichnis

Tabelle 3.1: Klassifikationsschema für IT-Abhängigkeit..............................21

Tabelle 3.2: Teilprozesse bei Hauptprozess ‚1.3 Auftragsabwicklung Endkundengeschäft’ ..............................................................22

Tabelle 3.3: Leitfragen ‚Unterstützung durch IT’.......................................23

Tabelle 3.4: Leitfragen ‚Unterstützung durch Personal’ .............................24

Tabelle 3.5: Leitfragen ‚Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern’ ................................................................25

Tabelle 3.6: Leitfragen ‚Umsatzabhängigkeit’ ...........................................26

Tabelle 5.1: Überblick der Schadensphasen ..............................................41

Tabelle 5.2: Systematik allgemeiner Schadensdimensionen.......................44

Tabelle 5.3: Abhängigkeiten der Schadensdimensionen im Bereich Kostensteigerung ..................................................................48

Tabelle 5.4: Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste .....................................................................49

Tabelle 5.5: Daten zur Schadensdimension ‚Mehrarbeit’ ..........................51

Tabelle 5.6: Daten zur Schadensdimension ‚Zusatzpersonal’.....................53

Tabelle 5.7: Daten zur Schadensdimension ‚Verlust eines einzelnen Umsatzes’ .............................................................................54

Tabelle 5.8: Daten zur Schadensdimension ‚Verlust von Nutzungsentgelten’ ...............................................................55

Tabelle 5.9: Daten zur Schadensdimension ‚Kundenverlust’......................57

Tabelle 5.10: Folgeschäden pro Tag je Ausfall und Schadensdimension in Tausend Euro ....................................................................59

Tabelle 6.1: Gefährdungskataloge ............................................................64

Tabelle 6.2: Notfallszenarien und deren Wirkung .....................................68

Tabelle 6.3: Qualitative Einschätzung der Notfalldauern...........................71

Tabelle 6.4: Qualitative Einschätzung der Eintrittswahrscheinlichkeit ........77

Tabelle 7.1: Beispielhafte Maßnahmen zur Risikovermeidung...................81

Tabelle 7.2: Überblick der Handlungsalternativen.....................................98

XII

XIII

Abkürzungsverzeichnis

AGB Allgemeine Geschäftsbedingungen

AKNZ Akademie für Krisenmanagement, Notfallplanung und Zivilschutz

AktG Aktiengesetz

ARPU Annual Return Per User

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht

BIA Business Impact Analysis

BMWA Bundesministerium für Wirtschaft und Arbeit

BNA Bundesnetzagentur

BSI Bundesamt für Sicherheit in der Informationstechnik

CLV Customer Lifetime Value

CObIT Control Objectives for Information and related Technology

CRM Customer Relationship Management

DOO Degraded Operations Objective

DR Disaster Recovery

DSL Digital Subscriber Line

DTAG Deutsche Telekom AG

DV Datenverarbeitung

EDV Elektronische Datenverarbeitung

FMEA Failure Mode and Effects Analysis

HP Hewlett Packard

IP Internet Protocol

XIV

IPRI International Performance Research Institute

IT Informationstechnik

ITIL IT Infrastructure Library

IT-SHB IT-Sicherheitshandbuch

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

KPN Koninklijke PTT Nederland

MaRisk Mindestanforderung für die Umsetzung von Risikomanagement

MORR Manufacturing Operations Recovery Resumption

MTBF Mean Time Between Failure

MTTF Mean Time To Fail

MTTR Mean Time To Repair

NFS Notfallszenario

NGN Next Generation Network

NRO Network Recovery Objective

RPO Recovery Point Objective

RTO Recovery Time Objective

SFK Störfallkommission

SOX Sarbanes-Oxley

TAL Teilnehmeranschlussleitung

TKG Telekommunikationsgesetz

TÜV Technischer Überwachungsverein

USV Unterbrechungsfreie Stromversorgung

VoIP Voice over IP

1

1 Einleitung

Je nach Anforderung der Unternehmungsleitung an den maximal vertretbaren

Verlust an geschäftskritischen Daten1 und die Wiederanlaufzeit2 der IT-Systeme für

die Fortführung der Geschäftsprozesse einer Unternehmung während und nach

einem IT-Notfall ergibt sich eine hohe Schwankungsbreite der Kosten für präventive

und reaktive Vorsorgemaßnahmen. Beispielsweise könnte eine vollständige

Redundanz3 der IT-Systeme an einem Zweitstandort eine sehr hohe

IT-Verfügbarkeit gewährleisten. Dies würde jedoch eine signifikante Erhöhung der

zugehörigen IT-Betriebskosten nach sich ziehen.4 Diese Kosten steigen überpropor-

tional bei zunehmender Anforderung an o. g. Wiederanlaufzeit bei der Wahl einer

rein technischen Lösung zur Erreichung von Systemredundanz. Diese Abhängigkeit

zeigt, dass die Entscheidung für technische Maßnahmen einen wesentlichen

Kostenfaktor darstellen kann5 und deshalb alle Möglichkeiten alternativer Steue-

rungsinstrumente für IT-Risiken betrachtet werden müssen.

Die hohe Bedeutung von IT-Notfallvorsorge wird auch im aktuellen Lagebericht zur

IT-Sicherheit in Deutschland seitens des Bundesamtes für Sicherheit in der Informa-

tionstechnik (BSI) betont: „Das Sicherstellen der Kontinuität von Geschäftsprozes-

sen (Business Continuity) im Krisenfall und die Entwicklung präventiver Maßnah-

men zeigt sich deshalb als wesentliche Management-Aufgabe -- schließlich können

durch Betriebsausfall gewaltige Kosten entstehen (…).“6 Auch Takahashi stellt die

Notwendigkeit von IT-Notfallvorsorge und deren signifikanten Einfluss auf das

1 Meist als Recovery Point Objective (RPO) bezeichnet.

2 Meist als Recovery To Operations (RTO) bezeichnet.

3 Für eine Darstellung von (formalen) Konzepten für IT-Redundanz für Disaster Recovery vgl. Shao (2004), S. 1380ff.

4 Erfahrungswerte des Autors aus der fünfjährigen Beratungspraxis.

5 Für ein Projektbericht zu Business Continuity bei einem deutschen Finanzdienstleister (WestLB) und die damit verbundene kostenorientierte Gestaltung von IT-Notfallvorsorge vgl. Naujoks (2001), S. 1ff.

6 BSI (2007b), S. 45.

2

IT-Budget fest.7 Nach seiner Untersuchung im Jahr 2006 sehen 43 Prozent der

europäischen Unternehmungen den Bereich ‚Security and disaster recovery' als

einen der drei wichtigsten Einflussfaktoren auf das IT-Budget8 in den nächsten

Jahren bis 2011 an. Dies wird von Krojnewski/Nagel in einer Studie aus dem Jahre

2006 bestätigt.9 Nach ihrer Studie bewerten IT-Entscheider die Aktivität ‚Purcha-

sing or upgrading disaster recovery and business continuity capabilities’ als höchste

Priorität innerhalb der IT-Organisation.

Damit betonen alle drei angesprochenen Veröffentlichungen sowohl die hohe

Bedeutung von IT-Notfallvorsorge durch das Risiko eines ökonomischen Folgescha-

dens bei IT-Ausfall als auch die potenziell hohen Kosten von umfangreicher

IT-Notfallvorsorge.

Trotz der hohen Bedeutung zeigt sich jedoch innerhalb der betrieblichen Praxis,

dass der Gestaltungsprozess von IT-Notfallvorsorge vielfältigen Schwierigkeiten

unterworfen ist. Diese organisatorischen und methodischen Schwierigkeiten

wurden vom Autor der vorliegenden Arbeit umfassend untersucht und im Arbeits-

bericht Nr. 26 des Instituts für Sicherheit im E-Business (ISEB) veröffentlicht.10

Hierbei ließ sich wesentlicher betrieblicher Handlungsbedarf ableiten, der eine

Forschungslücke in der Wirtschaftsinformatik darstellt und damit in der vorliegen-

den Untersuchung aufgegriffen wird.

7 Vgl. Takahashi (2006), S. 4, Umfrage unter 90 europäischen Unternehmungen, mehrfache Nennungen waren möglich.

8 Nach einer Untersuchung in Nordamerika wird etwa 7 - 9 Prozent des IT-Budgets für IT-Sicherheit aufgewendet. Explizite Angaben für Aufwendungen im Bereich der IT-Notfallvorsorge werden in der Untersuchung nicht angeführt. Vgl. Kark (2007), S. 3f.

9 Vgl. Krojnewski/Nagel (2006), S. 3.

10 Vgl. Wiedemann (2007b), S. 76ff.

3

Untenstehend wird der identifizierte Handlungsbedarf thesenförmig in fünf

Punkten dargestellt. Er dient im Verlauf der weiteren Arbeit als Gestaltungsgrund-

lage:

1. In der betrieblichen Praxis besitzen IT-Systeme eine hohe Komplexität, viele

Abhängigkeiten und werden örtlich verteilt eingesetzt. Dies beeinflusst wesent-

lich den Aufwand einer umfassenden IT-Risikobewertung und beschränkt da-

durch deren praktische Anwendungsmöglichkeiten.

2. Die hohe Dynamik (i. S. e. Modifikationsrate) betrieblicher IT-Systeme führt zu

einem ständigen Anpassungsbedarf der Risikobewertung durch sich verändern-

de Abhängigkeiten und die Nutzung unterschiedlicher Technologien.

3. Die betriebliche Anwendbarkeit quantitativer (statistischer) Methoden zur

Risikobewertung ist eingeschränkt durch eine ungenügend vorhandene Daten-

grundlage zur Bewertung der Eintrittswahrscheinlichkeiten, insbesondere für

seltene Ereignisse mit hoher Auswirkung.

4. Studien und Veröffentlichungen zu ökonomischen Auswirkungen bei IT-Ausfall

zeigen sehr unterschiedliche Einschätzungen und beschreiben nur unzureichend

die zugrunde liegenden Berechnungsmodelle sowie getroffene Annahmen.

5. Offizielle Standards berücksichtigen selten die Möglichkeiten alternativer

Instrumente zur IT-Risikosteuerung (z. B. Risikoversicherung) und bieten keine

leicht anwendbaren Hilfsmittel, die eine betriebliche Nutzung positiv beeinflus-

sen.

Ausgehend von diesem Handlungsbedarf ist das Ziel des vorliegenden Arbeits-

berichts die Erarbeitung von Gestaltungselementen zur Vorbereitung eines verbes-

serten Gestaltungsmodells für IT-Notfallvorsorge, das in einem nächsten Schritt

entwickelt wird. Zentrale Elemente der vorliegenden Arbeit sind ein Modell für die

quantitative Folgeschadenanalyse bei IT-Ausfall sowie die umfangreiche Untersu-

chung alternativer Möglichkeiten zur IT-Risikosteuerung, die über o. g. technische

Maßnahmen zur Erreichung von Systemredundanz hinausgehen.

Die vorliegende Arbeit orientiert sich an folgender Struktur. In Kapitel 2 werden

ökonomische Grundlagen der Geschäftsprozessarchitektur einer allgemeinen

4

TK-Unternehmung untersucht, die für eine Nutzung als beispielhaftes Untersu-

chungsobjekt herangezogen wird. Diese beispielhafte Nutzung ermöglicht dabei

die Konkretisierung einzelner Gestaltungselemente, um deren Anwendbarkeit in

der betrieblichen Praxis zu unterstützen.11 Anschließend erfolgen in Kapitel 3 bis 7

die Erarbeitung der folgenden Gestaltungselemente:

- Analysemodell der Geschäftsprozesse im Kontext der IT-Notfallvorsorge;

- Untersuchung der internen und externen Einflussfaktoren bei der Gestaltung

von IT-Notfallvorsorge;

- Modell zur Folgeschadenanalyse für die Bewertung der ökonomischen Auswir-

kung bei IT-Ausfall;

- Untersuchung und Bewertung möglicher Notfallszenarien;

- Bewertung von Alternativen der IT-Risikosteuerung.

Aufbauend auf diesen Gestaltungselementen kann in einer nachfolgenden separa-

ten Untersuchung mit Hilfe der Ergebnisse aus dem vorliegenden Arbeitsbericht ein

Modell aufgebaut werden, das für die Gestaltung von IT-Notfallvorsorge unter

besonderer Berücksichtigung ökonomischer Aspekte genutzt werden kann.

11 Die beispielhafte Anwendung der Gestaltungselemente anhand einer TK-Unternehmung erfolgt dabei in den Kapiteln 3, 4 und 5. Die Kapitel 6 und 7 werden ohne konkreten Unterneh-mungsbezug bearbeitet, da hier eine TK-spezifische Ausprägung nur begrenzt möglich ist.

5

2 Die TK-Unternehmung als beispielhaftes Unter-suchungsobjekt

Im vorliegenden Kapitel werden zunächst die ökonomischen Grundlagen einer

Unternehmung aus der Telekommunikationsbranche (TK-Unternehmung) als

Vorbereitung der weiteren Untersuchung erarbeitet. Dazu erfolgt im ersten Schritt

eine einführende Darstellung des Leistungsangebots sowie der Markt- und Wett-

bewerbssituation. Anschließend wird die Bedeutung der IT innerhalb einer

TK-Unternehmung analysiert, um diese in den weiteren Untersuchungsrahmen

einordnen zu können. Um die Auswahl eines möglichen Untersuchungsaspekts für

die spätere beispielhafte Bearbeitung vorzubereiten, werden danach die wertschöp-

fenden Geschäftsprozesse einer TK-Unternehmung betrachtet und deren grundsätz-

licher Bedarf an IT-Notfallvorsorge geprüft.

2.1 Einführung in das Leistungsangebot und die Markt- und Wettbewerbssituation von TK-Unternehmungen

Nach der Liberalisierung und Deregulierung12 des TK-Marktes13 im Jahre 199814

war in Deutschland ein deutliches Marktwachstum auf insgesamt 67,5 Mrd. Euro

12 Zur Entwicklung der Deregulierung der Telekommunikationswirtschaft vgl. Welfens/Jungmittag (2001), S. 33ff.; „Die Regulierung der liberalisierten Telekommunikationsmärkte wird in aller Regel als eine temporäre Aufgabe interpretiert: die staatliche Einflussnahme soll nur solange bestehen bleiben, bis der Markt in die Phase eines sich selbst tragenden Wettbewerbs einge-treten ist.“ Scheele/Kühl (2003), S. 39.

13 Der TK-Markt nutzt für die wertschöpfenden Geschäftsprozesse sogenannte Telekommunikati-onssysteme, die eine spezielle Art von Informationssystemen darstellen und bei denen die Kommunikation über weite Distanzen im Vordergrund steht. Eine mögliche Definition lautet wie folgt: „Telekommunikationssystem: = Informationssystem mit einer weiten, eventuell glo-balen Ausdehnung und mit einem offenen Zugang (i. d. R. Berechtigungsnachweis), bestehend aus den Systemkomponenten Menschen (Benutzer bzw. Teilnehmer), Aufgaben (Anwendun-gen) und DV-Technologien (Hard- und Softwaretechnologien), die in ihrem Zusammenwirken vielfältige Nutzungsmöglichkeiten der Telekommunikation (Informationsübertragung über (welt)weite Strecken) gewährleisten.“ Gabriel (1996), S. 6.

14 1998 trat das Telekommunikationsgesetz (TKG) in Kraft, das als nationale Regelung für alle TK-Unternehmungen relevant ist, die Netze betreiben und Dienste anbieten, um ihren Kunden Telekommunikation zu ermöglichen, vgl. Lux (2005), S. 158; Lange (2005), S. 138ff.

6

Umsatzerlöse im Jahre 2005 zu verzeichnen (vgl. Abbildung 2.1).15 Dies stellt eine

Steigerung um über 50 Prozent verglichen mit den Erlösen von 44,2 Mrd. Euro im

Jahr 1998 dar. Die angesprochenen Umsatzerlöse werden momentan durch

insgesamt etwa 223.500 Beschäftige im TK-Markt, davon 55.900 Mitarbeiter

außerhalb der Deutschen Telekom AG (DTAG) erwirtschaftet.16

0,0

10,0

20,0

30,0

40,0

50,0

60,0

70,0

80,0

1998 1999 2000 2001 2002 2003 2004 2005

Jahr

Um

satz

erö

se i

n M

illi

ard

en

Eu

ro

Abbildung 2.1: Umsatzerlöse auf dem deutschen Telekommunikationsmarkt (Quelle: Bundesnetzagentur (2006), S. 65)

Im Hinblick auf das Leistungsangebot innerhalb des TK-Marktes lassen sich vier

Gruppen von TK-Diensten unterscheiden, die stationär oder mobil17 angeboten

werden können und von Gabriel wie folgt unterschieden werden:18

- Kommunikationsdienste bieten die Möglichkeit zum Nachrichten- bzw.

Informationsaustausch zwischen Teilnehmern;

15 Vgl. Bundesnetzagentur (2006), S. 65.

16 Im Rahmen des Personalumbauprogramms von 2005 sollen bis Ende 2008 etwa 32.000 Mitarbeiter die DTAG verlassen. Vgl. DTAG (2006), S. 104.

17 Vor allem die zunehmende Mobilität und Flexibilität im Privat- wie auch Berufsleben führen zu erhöhter Nachfrage von mobilen Informations- und Kommunikationsdiensten, vgl. zu Definitio-nen und Besonderheiten der mobilen Ökonomie insbesondere Reichwald et al. (2002), 5ff.

18 Vgl. Gabriel (1996), S. 21f.

7

- Informationsdienste erlauben einen gezielten Zugriff auf Inhalte in multi-

medialer Form;

- Unterhaltungsdienste stellen eine (interaktive) Zugriffsmöglichkeit auf

Fernseh- und Rundfunkprogramme zur Verfügung;

- Funktionsdienste bieten die Ausführung bestimmter Funktionen, z. B.

Reisebuchungen, Bankgeschäfte.

Diese Dienstleistungen werden von Netzbetreibern technologisch unterstützt durch

- Telefonnetze mit Digital Subscriber Line (DSL)19;

- Mobilfunknetze20 (zunehmend mit Breitbandmöglichkeit) und

- alternative Kanäle wie (rückkanalfähige) Kabelnetze21, Powerline22 sowie

Satellit.

Neben den o. g. Netzbetreibern nehmen sogenannte Wiederverkäufer am Markt

teil.23 Diese vertreiben beispielsweise DSL-Anschlüsse, deren Nutzungsrechte bei

der DTAG erworben wurden, unter eigenem Namen und auf eigene Rechnung.24

Auf dem deutschen TK-Markt herrscht ein starker Wettbewerbsdruck.25 Speziell die

DTAG hat in den letzten Jahren signifikante Herausforderungen beim Ausbau ihres

Kundenstamms im Bereich der DSL-Anschlüsse zu verzeichnen.26 Insbesondere im

Segment DSL treten Wettbewerber in den Markt ein, die entweder eine eigene

Infrastruktur aufgebaut haben oder die DSL-Netze der DTAG anmieten, um diese

19 Zu den technischen Grundlagen des DSL-basierten Internetzugangs in Deutschland vgl. van der Velden (2007), S. 22ff.

20 Zur Untersuchung von Eigenschaften der mobilen Telekommunikationsindustrie vgl. Gruber (2005), S. 10ff.

21 Vgl. Scheele/Kühl (2003), S. 31ff.

22 Vgl. Scheele/Kühl (2003), S. 35ff.

23 Für eine umfangreiche Einordnung der Teilnehmer am TK-Markt in strategische Gruppen vgl. Gabriel (1996), S. 34ff.

24 Vgl. Immenga (2001), S. 63f.

25 Vgl. Langenfurt (2001), S. 159ff.

26 Der verschärfte Wettbewerb und der technologische Fortschritt führen aktuell zu einem Preisrückgang sowohl im Festnetz als auch im Mobilfunk. Vgl. DTAG (2006), S. 103.

8

weiterzuverkaufen und darüber einen Internetzugang anzubieten.27 Aber auch der

Mobilfunkmarkt hat mit einer Penetrationsrate von 100 Prozent (insgesamt 84,3

Mio. Teilnehmer) im dritten Quartal 2006 eine deutschlandweite Durchdringung

erreicht.28 Damit ergibt sich hier gleichfalls ein starker Verdrängungswettbewerb,29

der eine hohe Leistungs- und Servicequalität an der Endkundenschnittstelle

bedingt.30 Da zudem die Erlöse pro Kunde im Mobilfunk immer weiter sinken,

stellen die Anbieter inzwischen verstärkt die langfristige Kundenbindung in den

Mittelpunkt ihrer Unternehmungsstrategie.31

Neben der angespannten Wettbewerbssituation ist der Markt durch ständigen

Innovationswandel gekennzeichnet. Dabei lassen sich folgende – vor allem

technologisch ausgelöste32 – unterschiedliche Trends beobachten:

- Die Möglichkeit der Nutzung des Breitbandanschlusses für Voice over IP

(VoIP)33 sowohl im Privat- als auch im Geschäftskundenbereich hat aktuell

eine Verschiebung des diesbezüglichen Marktanteils und damit einen Rückgang

der Festnetzkommunikation zur Folge.

27 Vgl. van der Velden (2007), S. 112f.

28 Vgl. Bundesnetzagentur (2006), S. 70.

29 Ausführungen zu den Anfängen der Telekomkrise im Jahre 2000 und sich daraus ergebender strategischer Perspektiven vgl. Welfens/Jungmittag (2001), S. 60ff.

30 „Gaining new customers depends on many factors, including network coverage and quality, customer satisfaction, product offerings and handset range but a key factor is often the pricing of handsets and tariffs. In general, as penetration rates rise in a market, competition intensifies as operators invest more in retaining their existing customers whilst offering incentives to po-tential new customers.” Vodafone (2006), S. 44.

31 „Unter dem Stichwort Customer Relationship Management (CRM) werden dabei Ansätze subsumiert, die einerseits die Verbundenheit des Kunden mit dem Unternehmen stärken, ande-rerseits aber auch die Gebundenheit des Kunden intensivieren sollen“ Scheele/Kühl (2003), S. 29.

32 Zur Technologieentwicklung im Kontext des Risikomanagements empfiehlt Werners (1993), S. 26. „Technologische Entwicklungen sind folglich auch dann zu beurteilen und ihr Einsatz im Unternehmen zu erwägen, wenn keine offensichtlichen Bedingungen ihre Einsatzplanung er-fordern. Risikomanagement muss daher ständiger Bestandteil der strategischen Unterneh-mensplanung und insbesondere der strategischen Technologieplanung sein.“

33 Zur Konvergenz von Sprach- und Datendiensten vgl. BMWA (2002), S. 32.

9

- Weiterhin ist auf allen Märkten ein Umbau der technischen Netze zu einem

Next Generation Network (NGN)34 zu beobachten, das ein Angebot von

Diensten (weitestgehend) unabhängig von der zugrunde liegenden Infrastruktur

macht. Ein solches NGN wird im Rahmen einer Entwicklung realisiert, die als

IP-Konvergenz bezeichnet wird und ein sogenanntes All-IP-Netz aufbaut, das

auf Internet-Technologien basiert und damit keine herkömmliche

TK-Infrastruktur nutzt.35

- Unter dem Begriff Triple-Play wird eine Dienstleistung verstanden, die (IP-)Tele-

fonie, Internet und Fernsehangebot im Rahmen eines Produkts vereint und

dabei entsprechende Synergiepotenziale (z. B. Video on Demand) zu bündeln

versucht.

Als Fazit kann festgestellt werden, dass Unternehmungen innerhalb des TK-Marktes

aufgrund der Höhe an Umsatzerlösen, des ausgeprägten Wettbewerbs und der

vielfältigen technologischen Trends als besonders relevante Untersuchungsgegen-

stände des IT-Risikomanagements bzw. der IT-Notfallvorsorge angesehen werden

können. Sie bieten Telekommunikationsdienste am Markt an und sehen in der

Sicherheit ihrer IT-Systeme eine große Herausforderung, die von hoher betriebs-

wirtschaftlicher Bedeutung ist.

2.2 Einordnung und Bedeutung der IT einer TK-Unter-nehmung im Kontext der Notfallvorsorge

TK-Unternehmungen zeichnen sich durch eine intensive Nutzung von Technologien

aus, deren innovativer Wandel die Branche stetig verändert.36 Dadurch entsteht

34 Vgl. Cohen (2006), S. 45; Pech (2006), S. 114.

35 Für eine Darstellung der Konvergenz-Vision von IBM und eine Einteilung in fünf unterschiedli-che Klassen (Voice & Data, Fixed & Mobile, Telecoms & Media, Telco & IT, Device) sowie eine Bewertung der dadurch entstehenden Auswirkungen auf den Markt vgl. Cohen (2006), S. 42f.

36 Vgl. Calderbank (2006), S. 69ff.

10

eine geschäftskritische technologische Abhängigkeit, was eine hohe Relevanz im

Hinblick auf die IT-Sicherheit37 und speziell IT-Notfallvorsorge zur Folge hat.

Im Jahresbericht 2006 der DTAG wird diese Risikosituation wie folgt beschrieben:

„Die von der DTAG selbst genutzten und im Wettbewerb angebotenen Produkte,

Dienstleistungen und IT/TK-Netze können z. B. durch Hackerangriffe, Sabotage,

Ausfall der Energieversorgung, Naturkatastrophen, technische Fehler oder andere

Ereignisse zeitweise ausfallen oder in ihrer Funktion beeinträchtigt werden.“38

Diese Einschätzung zeigt eine Vielfalt unterschiedlicher Gefährdungsarten, die als

Bedrohungspotenzial für die Qualität der Geschäftsabwicklung der DTAG angese-

hen werden.

Auch die niederländische TK-Unternehmung Koninklijke PTT Nederland (KPN)

betont in ihrem Jahresbericht 2006 explizit die möglichen ökonomischen Aus-

wirkungen infolge einer Beeinträchtigung der Technologieunterstützung: „Network

interruptions or service slowdowns caused by local or global system failures,

misuse of our network and related applications as a result of inadequate security,

may result in reduced user traffic, reduced revenue and harm to our reputation and

business operations.”39 Damit wird bei KPN vor allem der Umsatz- und Ansehens-

verlust40 als primärer ökonomischer Schaden bei Störungen innerhalb des

TK-Netzes und zugehöriger IT-Anwendungen betont.

Der Jahresbericht der DTAG bezeichnet das bedrohte Objekt als IT/TK-Netz. Hier

wird die für die weitere Arbeit notwendige Unterscheidung zwischen IT und

TK-Netz angesprochen, wobei wie folgt abgegrenzt werden kann:

- Als TK-Netz wird die eigentliche Kommunikationsinfrastruktur bezeichnet, die

Datenübertragung (z. B. Sprach- und Bilddaten) ermöglicht. Dies umfasst bei

Festnetzbetreibern die Teilnehmeranschlussleitung (TAL) sowie die Backbone-

37 Zur Diskussion der mangelnden Sicherheit in den Netzen vgl. Gabriel (1996), S. 45.

38 DTAG (2006), S. 105.

39 KPN (2006), S. 16.

40 Dabei ist der Ansehensverlust i. S. e. Reputationsrisikos als Bestandteil der sogenannten operationellen Risiken anzusehen. Vgl. Romeike (2004), S. 101.

11

Architektur.41 Bei Mobilfunkunternehmen stellt das TK-Netz vornehmlich die

Funkinfrastruktur mitsamt der Anbindung an das Weitverkehrsnetz dar. Das

TK-Netz ist demnach direkt an der Wertschöpfung beteiligt und damit unmit-

telbar an der Kundenschnittstelle sichtbar.

- Im Gegensatz dazu unterstützt das IT-System einer TK-Unternehmung entweder

anderweitige nicht infrastrukturbasierte Aktivitäten (z. B. Kundenbetreuung)

oder bildet notwendige direkte Schnittstellen zum TK-Netz (z. B. für die Ab-

rechnungssysteme42). Aus diesem Grund wird das IT-System vornehmlich als

interne Dienstleistung genutzt.

Durch die in Abschnitt 2.1 angesprochene IP-Konvergenz (d. h. Veränderung zum

All-IP-Network43) der Technologien wird sich zukünftig die oben beschriebene

Abgrenzung zwischen IT und TK immer weniger vornehmen lassen. Dieser

Konvergenztrend und die damit einhergehende Verzahnung von IT und TK-Netz

erhöhen weiter die bereits vorhandene Komplexität und damit die technologische

IT-Abhängigkeit, deren Bedeutung zunehmend erfolgskritisch einzuschätzen ist.

Der Schwerpunkt dieser Untersuchung wird im Folgenden auf die IT im Rahmen

der Gestaltung der Notfallvorsorge gelegt.44 Anderweitige Untersuchungen und

Modelle für den Bereich Notfallvorsorge im Bereich des TK-Netzes finden sich

beispielsweise bei Jrad et al.45

41 Als Backbone-Architektur werden die Übertragungswege bezeichnet. Diese Übertragungswege umfassen die Einrichtungen der verschiedenen Übertragungsmedien (Kabel, Richtfunk, etc.), wobei diese insbesondere nach geografischen Kriterien und nach Kapazitäten zu unterscheiden sind. Vgl. Immenga et al. (2001), S. 7; BMWA (2002), S. 28.

42 Andere Beispiele für IT-Systeme mit Schnittstellen zum TK-Netz sind Systeme zur technischen Entstörung oder der Schritt der technischen Bereitstellung eines Anschlusses (engl. Provisio-ning). Für einen weitergehenden Überblick von IT-Anwendungssystemen im Dienstleistungsbe-reich vgl. Mertens et al. (2001), S. 128ff.

43 KPN (2006), S. 14.

44 TK-Anlagen (speziell die Festnetzinfrastruktur) sind Teil der sogenannten kritischen Infrastruktu-ren in Deutschland und unterliegen damit besonderen gesetzlichen Vorschriften zum Katastro-phenschutz. Vgl. BSI (2005), S. 4; BMWA (2002), S. 15.

45 Vgl. Jrad et al. (2004), S. 107ff.

12

2.3 Geschäftsprozesse einer beispielhaften TK-Unternehmung

Nach dem Verständnis der vorliegenden Arbeit ist das betriebliche Risikomanage-

ment an den Geschäftsprozessen ausgerichtet; d. h. Gegenstand der Gestaltung

der IT-Notfallvorsorge ist die Prävention und die Begrenzung der ökonomischen

Auswirkung auf die wertschöpfenden Prozesse bei Eintritt eines IT-Notfalls durch

Reaktion. Aus diesem Grund ist ein umfassendes Verständnis der Geschäftsprozes-

se notwendig, das im vorliegenden Abschnitt am Beispiel einer TK-Unternehmung

aufgebaut werden soll.

Die folgende Analyse ist an das allgemeine Prozessmodell von Porter angelehnt,

der alle betrieblichen Tätigkeiten anhand einer Wertkette (vgl. Abbildung 2.2)

darstellt und darin primäre sowie unterstützende Tätigkeiten46 unterscheidet, die

sogenannte Wertaktivitäten bezeichnen.47

Eingangs-

logistikOperationen

Marketing &

Vertrieb

Ausgangs-

logistik

Kunden-

dienst

Primäre Aktivitäten

Beschaffung

Technologieentwicklung

Pesonalwirtschaft

Unternehmensinfrastruktur

Unter-

stützende

Aktivitäten

Gew

innspanne

Gew

innspanne

Abbildung 2.2: Wertkette nach Porter (Quelle: Porter (2000), S. 66)

Die Kernelemente der primären Aktivitäten umfassen nach Porter die unterschiedli-

chen Stufen (von der Eingangslogistik bis hin zum Kundendienst) einer Wertschöp-

46 Primäre Aktivitäten befassen sich mit der Herstellung des Produkts, unterstützende Tätigkeiten halten die primären Aktivitäten aufrecht.

47 Vgl. Porter (2000), S. 67ff.

13

fung mit Fokus auf industrielle Unternehmungen. Diese primären Aktivitäten

werden unterstützt durch die Beschaffung, Technologieentwicklung, Personalwirt-

schaft und die Unternehmungsinfrastruktur. Die Wertaktivitäten entsprechen in der

Terminologie dieser Arbeit den wertschöpfenden Geschäftsprozessen. Auf der

rechten Seite der Abbildung ist die Gewinnspanne dargestellt. Diese stellt die

Differenz des Gesamtwerts der Unternehmung zu den Kosten der Durchführung

der Wertaktivitäten dar und ist Gegenstand der Maximierung im Sinne der

wertorientierten Unternehmungsstrategie. Dies verdeutlicht die Abhängigkeit der

Wertorientierung von den internen Kosten der Wertaktivitäten einer Unterneh-

mung.

Um die Funktion der Geschäftsprozesse zu erfüllen, setzen diese nach Porter

gekaufte Inputs, menschliche Ressourcen (Arbeits- und Führungskräfte), d. h.

Personal, sowie Technologie ein (vgl. Abbildung 2.3).48

Geschäftsprozess

GekaufteInputs

Menschliche Ressourcen

Technologie

Geschäftsprozess

GekaufteInputs

Menschliche Ressourcen

Technologie

Abbildung 2.3: Abhängigkeiten des Geschäftsprozesses

Die Sichtweise von Porter erlaubt eine direkte Verknüpfung mit dem Untersu-

chungsgegenstand dieser Arbeit, d. h der IT-Notfallvorsorge. Betrachtet man die IT

als Teilbereich der eingesetzten Technologie, so wird deutlich, dass eine Beein-

trächtigung der IT und der damit verbundenen Sicherheitsziele eine signifikante

ökonomische Auswirkung auf die Wertentwicklung der Unternehmung darstellen

kann.

Konkretisiert man nun die Wertkette auf den beispielhaften Untersuchungsgegen-

stand einer TK-Unternehmung, so kann das Branchenprozessmodell49 des Interna-

48 Vgl. Porter (2000), S. 69.

14

tional Performance Research Institute (IPRI) herangezogen werden.50 In diesem

Modell werden die Betrachtungsebenen Geschäfts-, Haupt- und Teilprozess51

unterschieden, um die wesentlichen Aufgabenfelder einer TK-Unternehmung52 zu

beschreiben (vgl. Abbildung 2.4).

Innovations-

und Produkt-

management

Kunden-

betreuung undFakturierung

Vorleistungs-management

Netzaufbau-und Betrieb

IT-Management

Unterstützungs-prozesse

Vertrieb und

VermarktungVermarktung Vertrieb Geschäfts- und Privatkunden

Auftragsabwicklung

Endkundengeschäft

Produktmanagement Vertragsmanagement Auftragsabwicklung Netzbetreiber

Kundenbeziehungs-

management

Qualitätsmanagement

Kundenservice

Kundenseitiges

EntstörungsmanagementFakturierung

InnovationsmanagementTechnisches

QualitätsmanagementProduktkonfiguration

Tarifierung und

Rabatttierung

Netzplanung und

Aufbau

Netz-

bereitstellung

Netz-

komponenten-

management

Wartung und

Instandhaltung

Technisches

Entstörungs-

management

Netzdaten-

management

IT-Planung IT-Betrieb

Strategie Finanzen Controlling Personal FacilityStakeholder

Mgmt.

Qualitäts-,

Prozess-

mgmt.

Sicherheit-,

Betrugs-

mgmt.

Abbildung 2.4: Branchenprozessmodell (Quelle: In Anlehnung an IPRI (2006a), S. 8)

Die Arbeitsinhalte dieser sieben Geschäftsprozesse und deren IT-Abhängigkeit

können wie folgt beschrieben werden:53

49 Das hier vorgestellte Branchenprozessmodell wurde dazu entwickelt, einzelne Bestandteile von Kosten der Leistungserstellung im Kontext der Prüf- und Regulierungsaufgaben zu ermitteln. Das Modell sowie die Kalkulationsmethodik befanden sich zum Zeitpunkt der Erstellung der vorliegenden Arbeit im Abstimmungsprozess mit den beteiligten deutschen TK-Unternehmungen. Für den Zweck einer beispielhaften Betrachtung einer allgemeinen TK-Unternehmung im Kontext der vorliegenden Arbeit erscheint dieser Entwurf jedoch aus-reichend geeignet. Zu offenen Diskussionspunkten vgl. IPRI (2006b), S. 20ff.

50 Vgl. IPRI (2006a), S. 7ff.

51 Eine TK-Unternehmung wurde in 7 Geschäftsprozesse, 30 Hauptprozesse und 157 Teilprozesse untergliedert. Vgl. dazu IPRI (2006a), S. 42ff.

52 Dabei geht das Modell von IPRI von einer integrierten TK-Unternehmung aus, d. h. einer Unternehmung, die zugleich als Carrier (d. h. Netzanbieter) als auch als Provider (d. h. Dienst-anbieter) am Markt agiert. Vgl. IPRI (2006a), S. 10.

53 Vgl. Zaborski (2007), S. 28ff.

15

1. Der Prozess Vertrieb und Vermarktung umfasst Aktivitäten von der Erstel-

lung des Marketingkonzepts über die individuelle Betreuung der Geschäfts- und

Privatkunden im Rahmen des Vertriebs bis hin zur Auftragsannahme beim End-

kunden. Bezüglich potenzieller IT-Ausfälle und Störungen sind in erster Linie die

beiden Hauptprozesse Vertrieb und Auftragsabwicklung zu nennen, da diese

eine direkte Kundenschnittstelle bilden und gerade in einem intensiven Wett-

bewerbsumfeld54 wie dem des TK-Marktes als langfristiger Erfolgsfaktor ange-

sehen werden können.

2. Das Innovations- und Produktmanagement beinhaltet sämtliche produkt-

bezogenen Prozesse von der Innovation55 über das technische Qualitätsmana-

gement und die Konfiguration bis zur Kalkulation von Preisen. In Bezug auf

einen IT-Ausfall ist hier der Prozess der Produktkonfiguration als besonders

gefährdet anzusehen. Eine Unterbrechung dieser Prozesse könnte eine Verzö-

gerung im Installations- und Konfigurierungsprozess des Kundenauftrags bewir-

ken und damit eine zeitnahe Bereitstellung von Anschlüssen verhindern.

3. Die Kundenbetreuung und Fakturierung umfasst kundenbezogene Prozesse

von der Betreuung über die Qualitätssicherung und das kundenseitige Ent-

störungsmanagement bis hin zur Fakturierung. Aufgrund der immer komplexer

werdenden Technologie und der Verzahnung unterschiedlicher Dienste bzw.

Anwendungen rückt die Kundenbetreuung immer stärker in den strategischen

Fokus einer TK-Unternehmung.56

54 Vgl. Abschnitt 2.1.

55 Im Bereich der Innovation wird zwischen Produkt- und Verfahrensinnovation unterschieden. Dabei zielt die Produktinnovation darauf ab, die Produktleistung zu verbessern, und die Ver-fahrensinnovation erreicht eine Kostensenkung. Meist folgen beide Innovationsarten im Pro-dukt-Lebenszyklus nacheinander. Vgl. Porter (2000), S. 259f.

56 Zur Darstellung der umfangreichen Anforderungen im Bereich der Kundenbetreuung und deren Schwierigkeiten vgl. Pech (2006), S. 116. Nicht nur die technologische Komplexität und Ver-schiedenartigkeit der genutzten Endgeräte beeinflussen den Betreuungsaufwand, auch die erhöhten Anforderungen an die Rechnungsstellung führen zu neuen Herausforderungen.

16

4. Das Vorleistungsmanagement umfasst sämtliche Prozesse bezogen auf

Vorleistungen57 für andere TK-Unternehmungen von der Produktentwicklung

über den Vertragsabschluss bis zur Auftragsabwicklung. Ein IT-Ausfall kann

speziell dann hohe ökonomische Auswirkungen im Bereich der Vorleistung

haben, wenn dadurch kritische Geschäftsprozesse (z. B. Bereitstellung) der

Wiederverkäufer nachhaltig gestört werden.58

5. Der Netzaufbau und -betrieb umfasst alle Prozesse von der Netzplanung

über die Bereitstellung, das Komponentenmanagement und die Wartung bis

hin zur technischen Entstörung und dem Netzdatenmanagement. Im Sinne der

in Abschnitt 2.2 erfolgten Abgrenzung von IT und TK-Netz werden die netzbe-

zogenen Aspekte im Rahmen der vorliegenden Arbeit nicht behandelt.

6. Das IT-Management betrifft sämtliche indirekt zum TK-Netzbetrieb benötigten

IT-bezogenen Prozesse von der Planung bis zum Einsatz.59 Dabei beinhaltet die

IT-Planung auch die Gestaltungsaspekte der IT-Notfallvorsorge, wie sie in der

vorliegenden Untersuchung behandelt werden. Der IT-Ausfall bezieht sich somit

auf die IT-Systeme zur Erbringung der für die Geschäftsprozesse notwendigen

technischen Dienstleistungen.

7. Die Unterstützungsprozesse fassen alle weiteren Bereiche von der Planung

über die Finanzen, das Controlling, das Personal- und Anlagenmanagement

sowie die Betreuung der externen Kontakte bis hin zum übergeordneten Quali-

täts- und Prozessmanagement zusammen.

Nach der Darstellung der wesentlichen Geschäftsprozesse kann nun in Anlehnung

an Porter (vgl. Abbildung 2.3) der notwendige Einsatz von gekauften Inputs,

menschlichen Ressourcen (d. h. Personal) und Technologie bewertet werden:

57 Eine Vorleistung kann durch eine Zusammenschaltung von Netzen erreicht oder durch die Miete von Leitungen erworben werden. Vgl. Immenga (2001), S. 62f.

58 Ein Beispiel ist die enge Verknüpfung von Wiederverkäufern (z. B. von DSL oder Teilnehmeran-schlussleitung) mit der DTAG. Verzögerungen in der Bereitstellung von Vorleistungen können zu Vertragsstrafen führen.

59 Zur Darstellung strategischer und operativer Aufgaben des Informationsmanagements vgl. Gabriel/Beier (2003), S. 67ff.

17

- Aufgrund des Dienstleistungscharakters einer TK-Unternehmung werden

sogenannte gekaufte Inputs nur in begrenztem Umfang verarbeitet. Im wei-

testen Sinne könnten hier Medieninhalte genannt werden, die über das Netz

vertrieben und verbreitet werden.60

- Betrachtet man die TK-Branche, so kann speziell im Zusammenhang mit der

Kundenbetreuung (sowie teilweise in den Bereichen Vertrieb und Vermarktung)

ein umfangreicher Einsatz von Personal festgestellt werden. So beschäftigt die

DTAG kundennah etwa 45.000 Mitarbeiter, davon 10.000 im Bereich der Call

Center und 35.000 beim technischen Kundendienst.61

- Als besonders relevant ist die IT- sowie TK-Technologie anzusehen, die als

wesentlicher Bestandteil der Wertschöpfung gelten kann. Ihre Bedeutung wird

verstärkt durch die technologischen Veränderungen hinsichtlich unterschiedli-

cher Konvergenztrends62 und die Bestrebung einer möglichst vollständigen

Automatisierung63 IT-gestützter Teilprozesse, z. B. der Bereitstellung von An-

schlussaufträgen.

Das dargestellte Prozessmodell von IPRI ist im Weiteren die Grundlage für die

beispielhafte Durchführung der Folgeschadenanalyse in Kapitel 5.

60 Zum Beispiel Mobile TV. Vgl. DTAG (2006), S. 51.

61 Vgl. DTAG (2006), S. 78. Zusätzlich sind mehrere Tausend Mitarbeiter im Bereich der T-Punkt Gesellschaft (TPG) im Filialgeschäft angestellt.

62 Vgl. Abschnitt 2.2.

63 Vor allem im Bereich der Bereitstellung herrscht das Bestreben, eine möglichst automatisierte Auftragslenkung zu erreichen. Dadurch kann in erster Linie im Zusammenhang mit Wiederver-käufern eine enge Integration unternehmungsübergreifender Geschäftsprozesse realisiert wer-den.

18

19

3 Untersuchungsrahmen der Geschäftsprozesse im Kontext der IT-Notfallvorsorge

Ausgehend von den in Abschnitt 2.3 betrachteten wertschöpfenden Geschäftspro-

zessen einer TK-Unternehmung wird im Folgenden ein Untersuchungsrahmen

vorgestellt, der eine Analyse von Abhängigkeiten der Geschäftsprozesse im

Hinblick auf die IT-Notfallvorsorge ermöglicht. Dabei wird die Abhängigkeit der

Bereiche IT, Personal, Kunden- und Geschäftspartner sowie Umsatz anhand von

Leitfragen untersucht. Abschließend erfolgt eine kritische Würdigung des vorge-

stellten Untersuchungsrahmens.

3.1 Gegenstand und Struktur der Analyse anhand eines illustrativen Beispiels

Der Gegenstand des folgenden Modells ist die Vorbereitung der quantitativen

Folgeschadenanalyse und der Bewertung von Notfallszenarien.

Dazu werden für die weitere Betrachtung der Geschäftsprozesse unterschiedliche

Abhängigkeiten64 aufgezeigt, die bei der Untersuchung von Gestaltungsaspekten

im Rahmen der IT-Notfallvorsorge zu berücksichtigen sind.65 Diese Abhängigkeiten

werden auch von Allerkamp wie folgt angesprochen: „Die Automatisierung von

Prozessen, die Verschmelzung der Infrastruktur mit den Wertschöpfungsketten, die

Mobilität der Mitarbeiter und durch Partner erbrachte Leistungen verlangen eine

Gesamtsicht auf das Unternehmen.“66 Damit weist Allerkamp auf die enge

Verzahnung der wertschöpfenden Geschäftsprozesse mit unterstützenden Ressour-

64 Die Untersuchung dieser Abhängigkeiten entspricht dem ersten Schritt des Evaluationsmodells von Schneier zur Beantwortung der folgenden Frage: „What assets are you trying to protect?“ Schneier (2004), S. 289.

65 Einen ähnlichen Ansatz verfolgen auch Wagschal/Huth im Rahmen ihres Konzepts zur geschäftsprozessbasierten Notfallplanung. Sie empfehlen die umfassende Untersuchung der eingesetzten Produktionsfaktoren (entscheidungsauslösende Informationen, Werkstoffe, Be-triebsmittel, Aufgabenträger). Vgl. Wagschal/Huth (2005), S. 61 sowie ähnlich im Bereich der prozessorientierten Risikoanalyse bei Tandler (2006), S. 2ff.

66 Allerkamp (2007), S. 2.

20

cen hin, die im Rahmen einer umfassenden Notfallvorsorge berücksichtigt werden

muss.

Für die weitere Betrachtung werden in den folgenden Abschnitten Leitfragen67

erarbeitet, die eine Analyse der o. g. Abhängigkeiten ermöglichen (vgl. Abbildung

3.1).

Geschäftsprozess

Umsatz

Personal IT

Kunde bzw.

Geschäftspartner

Geschäftsprozess

Umsatz

Personal IT

Kunde bzw.

Geschäftspartner

Abbildung 3.1: Arten von Abhängigkeiten zum Geschäftsprozess

Die Abbildung zeigt Abhängigkeiten auf, die mögliche Auswirkungsbereiche von

IT-Notfällen aus der Perspektive des Geschäftsprozesses darstellen können. Danach

werden die Geschäftsprozesse sowohl durch Personal als auch durch IT unter-

stützt – je nach Untersuchungsbereich (d. h. Geschäftsprozess) jedoch zu unter-

schiedlichen Anteilen. Durch diese Unterstützung entstehen interne Kosten.68 Der

Geschäftsprozess kann darüber hinaus eine Abhängigkeit von Kunden bzw.

Geschäftspartnern aufweisen, die im Kontext der Notfallvorsorge zu untersuchen

ist. Weiterhin ist die Abhängigkeit vom Umsatz für eine Bewertung der ökonomi-

schen Auswirkung im IT-Notfall dargestellt, die die zweite wesentliche Säule neben

den o. g. internen Kosten darstellt.

67 Ähnliche Leitfragen finden sich auch innerhalb einer Balanced Scorecard des IV-Controlling, vgl. Gabriel/Beier (2003), S. 147.

68 Zu Möglichkeiten der internen Leistungsverrechnung (z. B. Kostenumlage oder Verrechnungs-preise) vgl. Gabriel/Beier (2003), S. 122ff.

21

Hinsichtlich der oben identifizierten IT-Abhängigkeit schlägt Haase folgendes

Klassifikationsschema für IT-Systeme vor (vgl. Tabelle 3.1), das allerdings auf den

Zusatzaufwand bei IT-Ausfall und weniger auf die potenziellen Umsatzverluste

fokussiert.69

Bedeutung Beschreibung

Unter-stützend

Bei IT-Ausfall ist die Fachaufgabe bei geringem Mehraufwand mit anderen Mitteln (z. B. manuell) zu erfüllen. Der Ausfall des Verfahrens ist auch für einen langen Zeitraum tolerierbar.

Wichtig Die Fachaufgabe ist nur mit deutlichem Mehraufwand mit anderen Mitteln zu erfüllen. Der Ausfall des Verfahrens ist längere Zeit tolerierbar.

Wesentlich Die Menge der anfallenden Vorgänge/Informationen lässt lediglich ein fragmentarisches Erfüllen der Fachaufgabe mit den verfügbaren Ressourcen zu. Der Ausfall des Verfahrens ist nur für eine begrenzte Zeit tolerierbar.

Hochgradig notwendig

Die Fachaufgabe kann ohne IT-Einsatz überhaupt nicht durchgeführt werden. Kritische Applikationen können nicht durch manuelle Verfahren ersetzt werden. Die Ausfalltoleranz ist aufgrund des Schadenpotenzials sehr gering.

Tabelle 3.1: Klassifikationsschema für IT-Abhängigkeit

Nach dem vorgestellten Klassifikationsschema ergeben sich vier Arten von

IT-Abhängigkeiten (unterstützend, wichtig, wesentlich und hochgradig notwendig).

Wichtige Unterscheidungsmerkmale sind dabei die Möglichkeit der Nutzung von

manuellen Ersatzprozessen sowie der technische Automatisierungsgrad.

Zur weiteren Verdeutlichung werden diese Abhängigkeiten im Folgenden am

Beispiel des Geschäftsprozesses Vertrieb/Vermarktung, der bereits in Abschnitt 2.3

näher beschrieben wurde, analysiert. Hierzu soll der Hauptprozess ‚1.3 Auftrags-

abwicklung Endkundengeschäft’ illustrativ betrachtet werden (vgl. dazu die

Übersicht der zugehörigen Teilprozesse in Tabelle 3.2). Dieser Hauptprozess

umfasst die Betreuung der gesamten Auftragsabwicklung des Endkundengeschäfts

von der Auftragsannahme bis zur Auftragsfertigstellung.

69 Vgl. Haase (2007), S. 14.

22

Nr. Teilprozess Beschreibung

1.3.1 Auftragsannahme Annehmen eingehender Kundenaufträge, diese ins System eingeben und weiterleiten.

1.3.2 Einfordern einer Kundenvorauszah-lung70

Anfordern einer Vorauszahlung und Weiterleiten an Fakturierungsprozess.

1.3.3 Rufnummernreser-vierung

Annehmen der Wunschrufnummer/ des Rufnummernkreises des Kunden, auf Verfügbarkeit überprüfen und reservieren.

1.3.4 Zuweisung oder Portieren von Nummer/ Name/ Adresse

Zuweisen der Rufnummer zu einem Namen und einer Adresse oder Durchführen einer vom Kunden beantragten Portierung einer Nummer zu seinem Namen oder seiner Adresse.

1.3.5 Auftragsweiterlei-tung und Nachver-folgung des Auftragsstatus

Dokumentieren des Status der Auftragsabwicklung und Weiterleiten des Auftrags an den Produktkonfigurationspro-zess.

1.3.6 Auftragsfertigstel-lung und Kunden-benachrichtigung

Informieren des Kunden über die Fertigstellung seines Auftrags.

1.3.7 Einrichten der Fakturierung

Einleiten und Konfigurieren des Standardfakturierungsprozes-ses für sämtliche Folgezahlungen.

Tabelle 3.2: Teilprozesse bei Hauptprozess ‚1.3 Auftragsabwicklung Endkundenge-schäft’

Der Teilprozess ‚1.3.1 Auftragsannahme’ soll nun exemplarisch das Analyseobjekt

für die beispielhafte Anwendung des Untersuchungsrahmens bilden.

3.2 Leitfragen und deren beispielhafte Beantwortung

In diesem Abschnitt wird der o. g. Teilprozess ‚1.3.1 Auftragsannahme’ im Hinblick

auf die Abhängigkeiten von IT, Personal, Kunden- bzw. Geschäftspartnern und

Umsatz(potenzial) analysiert. Durch die Erarbeitung von Leitfragen sollen Untersu-

chungsdimensionen beschrieben werden, welche für eine grobe Analyse der

Geschäftsprozesse genutzt werden können.

70 Nach Kenntnis des Autors ist der Teilprozess 1.3.2 als optional zu betrachten, da nicht alle TK-Unternehmungen zwingend eine Vorauszahlung im Ablauf vorsehen.

23

3.2.1 Unterstützung durch IT

Für die Untersuchung der Geschäftsprozesse und deren IT-Unterstützung71

hinsichtlich der IT-Notfallvorsorge werden im Folgenden die entsprechenden

Leitfragen vorgeschlagen und beispielhaft beantwortet. Ziel dabei ist die Untersu-

chung der Abhängigkeit72 des Geschäftsprozesses von der IT-Verfügbarkeit.73

Nr. Leitfrage Beispielhafte Beantwortung

1. Durch welche IT-Komponenten wird der betrachtete Prozess unterstützt?

- Customer Relationship Management (CRM)74

- Produktkatalog

2. Welche weiteren Prozesse werden durch die identifizierten IT-Komponenten unterstützt?

- 3.1.1 Kundenbeziehungsmanagement

3. Welche Abhängigkeiten zu anderen IT-Komponenten bestehen (Eingabe bzw. Ausgabe-Abhängigkeit)?

- Ausgabe zu Auftragsverwaltung

4. Wie sind die einzelnen IT-Komponenten örtlich verteilt?

- CRM zentral an Standort A

- Produktkatalog zentral an Standort B

- Auftragsverwaltung dezentral an Standort A und C

5. Welche jährlichen Einsatzkosten pro IT-Komponente können anteilig zugeordnet werden?

- CRM = 5,0 Mio. Euro (etwa 10 Prozent der Gesamtkosten)

- Produktkatalog = 0,2 Mio. Euro (etwa 50 Prozent der Gesamtkosten)

Tabelle 3.3: Leitfragen ‚Unterstützung durch IT’75

71 Zur Analyse des Grades der IT-Abhängigkeit von den wertschöpfenden Geschäftsprozessen vgl. auch von Rössing (2005), S. 179.

72 Zur konzeptionellen Darstellung von Abhängigkeiten innerhalb von IT-Systemen vgl. Laprie (1995), S. 2ff.

73 Bereits in verhältnismäßig frühen Untersuchungen zur Risikoanalyse innerhalb der Informati-onstechnik wird die Abhängigkeit der Geschäftsprozesse von den IT-Komponenten analysiert. Rainer et al. empfehlen hierzu sowohl die Untersuchung der direkten Abhängigkeiten als auch die Auswirkungen auf andere Prozesse bzw. organisatorische Einheiten. Für die anschließende Risikoanalyse wird ein 8-stufiges Verfahren empfohlen, das quantitative und qualitative Me-thoden kombiniert. Vgl. Rainer et al. (1991), S. 140ff.

74 Ein CRM-System kann in die Klasse der operativen DV-Anwendungssysteme eingeordnet werden.

75 Weitere mögliche Leitfragen für die Bewertung der technischen Aspekte im Rahmen der IT-Notfallvorsorge können einer ähnlichen Übersicht entnommen werden, vgl. Hirsch-mann/Romeike (2004), S. 17f.

24

Abschließend ist zu bemerken, dass eine umfassende Betrachtung aller beteiligten

IT-Systeme und deren Abhängigkeiten notwendig ist, da sowohl Geschäftsprozesse

als auch deren IT-Unterstützung oftmals miteinander verknüpft sind.76

3.2.2 Unterstützung durch Personal

Im Folgenden wird die Unterstützung durch Personal untersucht. Auch hierzu

werden Leitfragen vorgeschlagen und beispielhaft beantwortet.

Nr. Leitfrage Beispielhafte Beantwortung

1. Wie viel Personal unterstützt den Prozess und welche jährlichen Kosten fallen an?

- 200 Personaleinheiten77

- 60.000 Euro Personalvollkosten pro Jahr

2 Welcher Anteil des Geschäftspro-zesses kann bei Ausfall der IT-Unterstützung manuell bearbeitet werden? Unter welchen Bedingun-gen?

- Annahme der Aufträge möglich, jedoch mit erhöhtem Aufwand für eine Nachbearbei-tung z. B. 50 Prozent.

Tabelle 3.4: Leitfragen ‚Unterstützung durch Personal’

Die erarbeiteten Leitfragen haben zum Ziel, die Möglichkeiten der Nutzung

manueller Ersatzprozesse zu untersuchen. Hierbei sind notwendige Nebenbedin-

gungen und potenzielle Arbeitsszenarien zu analysieren.

3.2.3 Externe Abhängigkeiten von Kunden bzw. Geschäftspartnern

Bei der Untersuchung der Geschäftsprozesse und deren Abhängigkeiten von

Kunden bzw. Geschäftspartnern ist zu beachten, dass insbesondere bei

TK-Unternehmungen die Erreichung einer hohen Kundenbindung zu den Hauptbe-

standteilen der Strategie gehört. Von Harrach stellt hierzu im Kontext von Vodafo-

ne D2 fest, dass das Kundenwertmanagement zentraler Dreh- und Angelpunkt für

76 Für einen entsprechenden Überblick von integrierten Anwendungssystemen vgl. Mertens et al. (2001), S. 96ff.

77 Es wird von 20.000 Aufträgen pro Tag mit einer Brutto-Bearbeitungszeit (inkl. Pausen, etc.) von durchschnittlich je fünf Minuten ausgegangen. Bei einem Arbeitstag von acht Stunden werden dafür etwa 200 Mitarbeiter benötigt.

25

die Umsetzung der Konzernstrategie ist und damit nachhaltig den Unterneh-

mungswert beeinflusst.78

Im Folgenden werden entsprechende Leitfragen vorgeschlagen und beispielhaft

beantwortet.

Nr. Leitfrage Beispielhafte Beantwortung

1. Welche Abhängigkeit (z. B. vertraglich) von Kunden liegt vor?

- Die Auftragsannahme ist ein kundenbezogener Prozess und stellt damit eine direkte Abhän-gigkeit zum Kunden dar.

- Der IT-Ausfall führt zu Kundenunzufrieden-heit.79

2. Welche Abhängigkeit (z. B. vertraglich) von Geschäftspart-nern liegt vor?

- Der betrachtete Teilprozess fokussiert auf Endkunden, damit ist keine direkte Abhängig-keit von Geschäftspartnern vorhanden.

Tabelle 3.5: Leitfragen ‚Externe Abhängigkeiten von Kunden bzw. Geschäftspart-nern’

Ziel dieser Leitfragen ist insbesondere die Untersuchung der Kundennähe und

damit der möglichen Auswirkungen auf Kundenzufriedenheit oder Ansehen der

Unternehmung. Ebenso sind vertragliche Aspekte zu betrachten, um haftungsrecht-

liche Besonderheiten eines Geschäftsprozesses zu berücksichtigen.

3.2.4 Umsatzabhängigkeit

Im Kontext der Umsatzabhängigkeit ist in erster Linie zu untersuchen, an welcher

Stufe des Wertschöpfungsprozesses eine Beeinträchtigung erfolgt, falls IT-Systeme

ausfallen. Dazu werden untenstehende Leitfragen vorgeschlagen.

78 Vgl. Scheele/Kühl (2003), S. 683.

79 Die Kundenbetreuung als sekundäre Dienstleistung stellt bei TK-Unternehmungen einen wichtigen Erfolgsfaktor zur Herstellung hoher Kundenzufriedenheit dar. Vgl. Rams (2001), S. 172.

26

Nr. Leitfrage Beispielhafte Beantwortung

1. Inwieweit ist bei einem gestörten Ablauf innerhalb des Prozesses eine Auswirkung auf den Umsatz zu erwarten?

- Gefahr des einzelnen Auftragsverlusts

- Gefahr des gesamten Kundenverlusts, falls ein Kunde aufgrund von Unzufriedenheit alle vertraglichen Verpflichtungen auflöst

- Gefahr des kurzfristigen Umsatzverlustes durch Verzögerung der Bereitstellung80

2. Welche Bedeutung haben die potenziell verlorenen Umsätze für das Kerngeschäft der Unterneh-mung?

- Die potenziellen Umsatzverluste (Nut-zungsentgelte) betreffen das Kerngeschäft einer TK-Unternehmung.

- Eine direkte Auswirkung auf den wichtigs-ten Geschäftsprozess Netzbetrieb ist jedoch nicht festzustellen.

Tabelle 3.6: Leitfragen ‚Umsatzabhängigkeit’

Die Umsatzabhängigkeit ist zentraler Analysepunkt der Untersuchung von Abhän-

gigkeiten im Zusammenhang mit IT-Ausfällen. Je intensiver eine Beteiligung an den

wesentlichen wertschöpfenden Kerngeschäftsprozessen vorliegt, desto erfolgskriti-

scher ist die IT-Abhängigkeit einzuschätzen.

3.3 Kritische Würdigung des Untersuchungsrahmens

Mit dem vorgestellten Untersuchungsrahmen kann mit begrenztem Aufwand eine

Bewertung der IT-Abhängigkeit eines Geschäftsprozesses erfolgen. Eine solche

Einschätzung kann beispielsweise genutzt werden, um Aufwandsbegrenzungen für

eine folgende tiefer gehende Untersuchung festzulegen. Dies kann maßgeblich zur

Effizienz des Gestaltungsprozesses für eine IT-Notfallvorsorge beitragen. Hierbei

sind insbesondere die anteiligen IT-Kosten zu berücksichtigen.

Es muss allerdings eingeschränkt werden, dass keine Untersuchung von techni-

schen Systemabhängigkeiten durchgeführt wird, die eine Betrachtung unterschied-

80 Bei einer verzögerten Bereitstellung eines Anschlusses entfallen einerseits Grundgebühren und andererseits Nutzungsentgelte.

27

licher Notfallszenarien auf Mikro-Ebene vorbereitet.81 Eine solche Analyse wird im

vorliegenden Kontext auch nur begrenzt empfohlen, da insbesondere bei komple-

xen und vernetzten IT-Systemen eine solche Betrachtung aufwändig ist.82

Demgegenüber kann jedoch mit verhältnismäßig geringem Aufwand eine Einschät-

zung der Auswirkung eines IT-Ausfalls auf die Geschäftsprozesse erreicht werden.

Zudem erlaubt das Modell eine schnelle Aufnahme von quantitativen Größen, um

deren Einordnung in den Gesamtkontext zu ermöglichen und diese für eine spätere

Wirtschaftlichkeitsbetrachtung bereitzustellen. So wird beispielsweise ein Richtwert

der anteiligen IT-Kosten des untersuchten Geschäftsprozesses ermittelt. Dieser

Richtwert kann später gemeinsam mit der Abschätzung des Folgeschadens bei

IT-Ausfall und der Kosten der unterschiedlichen Instrumente der IT-Risikosteuerung

als Referenz zur Entscheidungsunterstützung herangezogen werden.

81 Dabei wird davon ausgegangen, dass eine technische Detailbetrachtung innerhalb der IT-Sicherheitskonzeption erfolgt, in deren Rahmen grundlegende IT-Sicherheitsmaßnahmen gestaltet werden. Ziel der hier betrachteten Voranalyse zur Gestaltung einer IT-Notfallvorsorge ist dabei die Identifikation strategischer Gestaltungsansätze, bei der eine Analyse auf Makro-Ebene ausreicht.

82 Vgl. Grabowski et al. (2000), S. 651.

28

29

4 Interne und externe Einflussfaktoren bei der Gestaltung der IT-Notfallvorsorge

Die Anforderungen an die Gestaltung einer IT-Notfallvorsorge lassen sich aus

unterschiedlichen Einflussfaktoren ableiten, die in Abschnitt 4.1 allgemein unter-

sucht und anschließend für den Gegenstand einer TK-Unternehmung in Abschnitt

4.2 TK-spezifisch analysiert werden.

4.1 Unternehmungsinterne und -externe Einflussfaktoren

Ein umfangreiches Verständnis der Einflussfaktoren im Kontext der

IT-Notfallvorsorge ist notwendig, um bei dessen Gestaltungsprozess relevante

Anforderungen sowie die Beteiligten und deren Interessen berücksichtigen zu

können.

Dabei stellt die Ableitung von Einflussfaktoren eine Detaillierung der Ziele des

betrieblichen Risikomanagements dar. Im Folgenden werden dazu unternehmungs-

interne und -externe Einflussfaktoren83 differenziert (vgl. Abbildung 4.1), die je

nach Unternehmungskontext in unterschiedlicher Kombination und Ausprägung

vorliegen können.

83 Zur empirischen Untersuchung von internen und externen Einflussfaktoren im Bereich der Notfallvorsorge vgl. auch Lalwani (2006), S. 8. Nach dieser Umfrage sieht der Großteil der Befragten die Kundenzufriedenheit und die gesetzlichen Anforderungen als wichtigste externe Einflussfaktoren an.

30

Einfluss-

faktoren

Intern

Extern

Richtlinien

Nachbereitung von

internen Notfällen

Prüfungsfest-

stellungen

� Richtlinie der IT-Sicherheit

� Richtlinie zu (IT-)Risikomanagement

� Ausfall eines geschäftskritischen IT-

Systems

� Interne Revision

� Wirtschaftsprüfung

Kunden bzw.

Geschäftspartner

� Lieferkette

� Elektronischer Geschäftsverkehr

Kunden bzw.

Geschäftspartner

� Lieferkette

� Elektronischer Geschäftsverkehr

Gesetze und

Regularien

� Aktiengesetz

� MaRisk, Sarbanes-Oxley

Gesetze und

Regularien

� Aktiengesetz

� MaRisk, Sarbanes-Oxley

Offizielle Standards� IT-Grundschutz-Kataloge

� CObIT, ITIL

Offizielle Standards� IT-Grundschutz-Kataloge

� CObIT, ITIL

Branchenvergleich� Aussage eines Analysten

Branchenvergleich� Aussage eines Analysten

Nachbereitung von

externen Notfällen

� IT-Ausfall bei einer

KonkurrenzunternehmungNachbereitung von

externen Notfällen

� IT-Ausfall bei einer

Konkurrenzunternehmung

Abbildung 4.1: Unternehmungsinterne und -externe Einflussfaktoren für die IT-Notfallvorsorge

Interne Einflussfaktoren ergeben sich meist aus Abläufen oder Vorgaben, zu

denen sich die Unternehmung selbst verpflichtet hat.

- Viele Unternehmungen unterziehen sich der Prüfung interner Prozesse bzw.

Vorgaben. Hieraus können sich Feststellungen ergeben, die beispielsweise

durch die interne Revision beschrieben werden, welche im Rahmen ihrer Tätig-

keiten geschäftskritische IT-Risiken identifiziert, die eine Weiterbearbeitung

erfordern. Auch externe Prüfer (z. B. Beratungen, Wirtschaftsprüfungen84) kön-

nen im Rahmen ihrer Aufgaben einen Handlungsbedarf definieren, der von der

Geschäftsleitung aufgenommen und nachbearbeitet werden muss.

84 Auf dem deutschen Markt sind vier große (oftmals auch bezeichnet als Big Four) Wirtschaf-tungsprüfungsgesellschaften (d. h. Deloitte & Touche, KPMG, PricewaterhouseCoopers, Ernst & Young) tätig, die meist mit einem Schwerpunkt auf Sarbanes-Oxley auch Aspekte der IT-Notfallvorsorge betrachten. Vgl. Deloitte (2007); KPMG (2007); PwC (2007); EY (2007).

31

- Weiterhin definieren Unternehmungen Richtlinien85 im Bereich der IT-Sicherheit

oder des IT-Risikomanagements, aus denen sich konkrete Anforderungen für

die IT-Notfallvorsorge ableiten lassen; diese Richtlinien können beispielsweise

an die IT-Grundschutz-Kataloge angelehnt sein.86

- Auch in der Nachbereitung von intern aufgetretenen und geschäftskritischen

Notfällen erfolgt i. A. eine direkte Umsetzung von Vorsorgemaßnahmen für

IT-Notfälle. So kann eine aufgetretene interne Störung innerhalb des IT-Systems

mit signifikanter ökonomischer Auswirkung den Anstoß für eine erneute Prü-

fung der Effektivität der bestehenden IT-Notfallvorsorge darstellen.

Externe Anforderungen treten aufgrund unterschiedlicher externer Ursachen auf

und können verpflichtenden Charakter haben.

- Eine solche verpflichtende Anforderung kann sich durch Kunden- bzw. Ge-

schäftspartner ergeben, falls über vertragliche Vereinbarungen ein bestimmter

Reifegrad an IT-Notfallvorsorge zur Risikoüberwälzung abgestimmt ist.87 Als ein

Beispiel kann die extern eingekaufte IT-Dienstleistung genannt werden, bei der

die Dienstgütevereinbarung einen adäquaten IT-Notfallbetrieb oder eine Ver-

tragsstrafe bei Nicht-Einhaltung einfordert.

- Andere Anforderungen resultieren aus verpflichtenden gesetzlichen Vorgaben88,

wie beispielsweise aus dem AktG oder KonTraG.89 Hierbei kann indessen fest-

85 Diese Richtlinien werden aus der IT-Sicherheitsstrategie abgeleitet. „Die Sicherheitsstrategie eines Systems oder einer organisatorischen Einheit legt die Menge von technischen und orga-nisatorischen Regeln, Verhaltensrichtlinien, Verantwortlichkeiten und Rollen sowie Maßnah-men fest, um die angestrebten Schutzziele zu erreichen.“ Eckert (2003), S. 20. Neben der dargestellten strategischen Ebene müssen im Bereich der IT-Sicherheit insbesondere auch takti-sche und operative Aufgaben durchgeführt werden. Vgl. Werners/Klempt (2005), S. 2f.

86 Zum Beispiel Maßnahme ‚6.1 Erstellung einer Übersicht von Verfügbarkeitsanforderungen’, vgl. BSI (2007a), Abschnitt Maßnahmen-Kataloge.

87 Beispielsweise fordert MaRisk, dass bei Banken, die externe IT-Dienstleister beauftragen, eine abgestimmte IT-Notfallplanung durchzuführen ist, die den vollständigen Prozess der Leistungs-erbringung umfasst.

88 Die Verantwortlichkeiten im Bereich der IT-Sicherheit (und damit auch der IT-Notfallvorsorge) können aus gesetzlichen Anforderungen abgeleitet werden. Dabei wird zwischen Regelungs- bzw. Handlungsbedarf und Kontrollpflichten unterschieden. Beteiligte sind der Aufsichtsrat, der Vorstand, der Datenschutzbeauftragte und der IT-Leiter. Für weitere Einzelheiten speziell auch zu Aspekten der persönlichen Haftung, vgl. BITKOM (2005), S. 8ff.

32

gestellt werden, dass diese Vorgaben keine direkte Umsetzung von (techni-

schen) Notfallmaßnahmen selbst fordern, sondern lediglich die Durchführung

einer angemessenen90 IT-Notfallvorsorge im Rahmen des betrieblichen Risiko-

managements unter Berücksichtigung von Wirtschaftlichkeitsaspekten. Dies

kann beispielsweise zur Folge haben, dass aufgrund hoher Kosten für die Not-

fallvorsorge und weil die Bedrohungslage als gering eingeschätzt wird, die Um-

setzung von Maßnahmen als nicht notwendig angesehen wird. Auch regulatori-

sche Vorgaben wie Sarbanes-Oxley (SOX)91, Basel II92 oder MaRisk93

behandeln den Aspekt der Notfallvorsorge. Insbesondere SOX hat zu einer

deutlich gestiegenen Sichtbarkeit von IT-Sicherheit innerhalb der Geschäftslei-

tungen geführt. Dies unterstreicht eine aktuelle Untersuchung von Gordon

et al., die empirisch nachweisen, dass SOX zu einer vermehrten Veröffentli-

chung von Unternehmungsaktivitäten im Bereich der IT-Sicherheit geführt

hat.94 Allerdings sind innerhalb der Sektion 40495 von SOX nur rudimentäre

Vorgaben hinsichtlich der Durchführung der IT-Notfallvorsorge für buchfüh-

rungsrelevante IT-Systeme ableitbar. Ähnlich wie bei den o. g. gesetzlichen

Vorgaben wird auch hier keine Umsetzung von spezifischen Maßnahmen ge-

fordert. Lediglich MaRisk fordert bei einer Nutzung externer IT-Dienstleister

89 Vgl. Köhler (2007), S. 334.

90 Allerkamp (2007), S. 1: „Konsequenzen aus Compliance-Verpflichtungen gehören in die kostenorientierte Business Continuity Planung“.

91 Vgl. Köhler (2007), S. 337.

92 Vgl. ausführlich Hofmann (2006), S. 93ff.; Lux (2005), S. 161.

93 „Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß mög-licher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweili-gen Verantwortlichen mitzuteilen.“ BaFin (2006), S. 10; vgl. ähnlich auch bei Hofmann (2006), S. 121.

94 Vgl. Gordon et al. (2006), S. 2ff.

95 Zur konzeptionellen Beschreibung der Einrichtung sowie Dokumentation eines internen Kontrollsystems nach Sektion 404 von SOX und zu empirischen Erkenntnissen für deutsche Unternehmungen vgl. Glaum et al. (2006), S. 43ff.

33

eine abgestimmte Notfallplanung, die jedoch auch nicht explizit die Umsetzung

einer technischen Ersatzinfrastruktur bedingt.

- Möglicherweise ergibt sich auch extern ausgelöster Handlungsbedarf durch eine

ungenügende Vorsorge im Branchenvergleich. Damit könnten signifikante

Wettbewerbsnachteile bei Eintritt eines Ereignisses entstehen, das mehrere

Unternehmungen betrifft.

- Ebenso kann eine Verpflichtung zur Einhaltung offizieller Standard (z. B. ITIL,

CObIT) eine daran angelehnte Vorgehensweise zur Erreichung einer

IT-Notfallvorsorge zur Folge haben. Hierzu werden die Richtlinien der Standards

an die unternehmungsspezifischen Gegenbenheiten angepasst.

- Auch nach Eintritt eines Großschadens in einer fremden Unternehmung kann

die Sensibilität innerhalb der eigenen Geschäftsleitungen steigen. Gerade tragi-

sche Großereignisse (z. B. der Terroranschlag auf das World Trade Center im

Jahr 2001)96 werden oftmals zum Anlass genommen, den Reifegrad der eige-

nen Notfallvorsorge zu prüfen. Hierbei besteht jedoch die Gefahr einer Über-

bewertung aufgrund kurzfristig und situationsspezifisch erhöhter Wahrnehmung

einer geschäftskritischen Bedrohungslage.

Zusammenfassend lässt sich festhalten, dass eine Vielzahl unterschiedlicher

Einflussfaktoren mit meist wenig konkreten Anforderungen identifiziert werden

können. Dies unterstreicht die Notwendigkeit einer Detaillierung im jeweiligen

Unternehmungskontext, die im Folgenden TK-branchenspezifisch durchgeführt

wird.

96 Die amerikanische Börse hat im Nachgang des Terroranschlags vom 11. September 2001 ein sogenanntes „Interagency Paper“ veröffentlicht, in dem die Robustheit des US-Finanzsystems gegenüber Krisen untersucht wurde. In diesem wurde den Unternehmungen aus der Finanz-dienstleistungsbranche geraten, binnen angemessener Frist adäquate Notfallvorsorgemaßnah-men umzusetzen. Vgl. von Rössing (2005), S. 42; zu den Auswirkungen des Terroranschlags auf die Versicherbarkeit betreffender Risiken vgl. Goßner (2002), S. 6f.

34

4.2 Konkretisierung besonders relevanter Einflussfaktoren am Beispiel einer TK-Unternehmung

Im vorausgehenden Abschnitt wurden unterschiedliche potenzielle Einflussfaktoren

im Kontext der IT-Notfallvorsorge allgemein beschrieben, von denen im Folgenden

einzelne Punkte näher am Beispiel einer TK-Unternehmung analysiert werden.97 Da

der Schwerpunkt dieser Untersuchung auf dem IT-System liegt,98 wird hier explizit

nicht das TK-Netz und dessen spezifische Anforderungen an die Notfallvorsorge

betrachtet.

- Ein interner Einflussfaktor, der viele Unternehmungen veranlasst, die vorhande-

ne Gestaltung ihrer IT-Notfallvorsorge zu überprüfen, besteht in der Aufarbei-

tung eines bereits vorgefallenen IT-Ausfalls oder einer signifikanten Störung. Im

Hinblick auf eine TK-Unternehmung könnte dies beispielsweise kundennahe

Prozesse wie die Beratung im Call Center oder die Auftragsannahme in einer

Filiale betreffen, die ohne IT-Unterstützung nur begrenzt möglich sind. Alterna-

tiv könnten buchführungsrelevante Controlling-Prozesse zum Monatsende

durch den Ausfall notwendiger, Daten liefernder IT-Systeme massiv gestört

werden. Vor allem wenn diese Störungen der Geschäftsführung bekannt wer-

den, erreicht das Qualitätsmerkmal IT-Verfügbarkeit und damit verbundene

Aspekte der Notfallvorsorge eine deutlich erhöhte Sichtbarkeit.

- Ähnliche Relevanz ergibt sich für die IT-Notfallvorsorge im Zuge von Unter-

nehmungsaktivitäten, die kritische externe Schnittstellen zu Geschäftspartnern

oder Kunden bedienen. Besonders wenn vertragliche Verpflichtungen eine hohe

Dienstgüte vorsehen und Strafzahlungen vereinbart wurden, muss ein Vorsor-

geniveau erreicht werden, das im angemessenen Verhältnis zu den betroffenen

Wertschöpfungsaktivitäten steht. Beispielsweise vertreiben einige Netzbetreiber

(z. B. DTAG) Teile ihrer Infrastruktur an sogenannte Wiederverkäufer. Hierbei

ist speziell die Verfügbarkeit der Bereitstellungsprozesse von hoher Bedeutung.

97 In der betrieblichen Praxis ist eine solche umfassende Aufnahme der Anforderungen als erfolgskritisch für den gesamten Gestaltungsprozess der IT-Notfallvorsorge anzusehen.

98 Vgl. Abschnitt 2.2.

35

Oftmals werden hierzu hohe Vertragsstrafen festgelegt, die die Notwendigkeit

einer hochverfügbaren IT-Unterstützung verstärken. Andere Beispiele können

im Endkundensegment genannt werden, wo in den Allgemeinen Geschäftsbe-

dingungen (ABG) maximale Entstörzeiten festgeschrieben sind, die bei Nicht-

Einhaltung eine Gutschrift erfordern.99

- Gesetzliche Anforderungen aus AktG und KonTraG sind insofern relevant, als

hier ein sogenanntes Risikomanagement-System eingefordert wird, das be-

standsgefährdende Risiken100 erkennen und steuern soll. Dies umfasst auch

IT-Risiken und in erster Linie solche mit hoher Auswirkung, d. h. Notfälle. Wich-

tig für die Unternehmung ist hierbei die Etablierung von Arbeitsabläufen unter

Beteiligung der Fachverantwortlichen, die Arbeitsergebnisse und Entscheidun-

gen dokumentieren. Eine besondere und interpretationsbedürftige Sachlage

ergibt sich aus Sarbanes-Oxley für TK-Unternehmungen, die selbst oder deren

Teilgesellschaften an den amerikanischen Börsen notiert sind. Hierbei wird ge-

fordert, dass alle IT-Systeme, die buchführungsrelevante Informationen verar-

beiten,101 sowohl in Funktionalität als auch im Rahmen ihrer Datenverfügbar-

keit so aufgebaut sind, dass notwendige Arbeitsprozesse zeitgerecht und

ordnungsgemäß erfolgen können.

- Ein weiterer Einflussfaktor kann sich aus einem Branchenvergleich ergeben, der

beispielsweise extern durch eine Beratungsunternehmung oder intern durch

einen Abgleich mit Aussagen von Industrie-Analysten102 aufgekommen ist.

Hierbei ist eine weitestgehende Vergleichbarkeit der betrachteten Geschäfts-

99 So beispielsweise oftmals bei privaten DSL-Anschlüssen.

100 Für eine Unternehmung ist dabei das finanzielle Ausmaß der Bestandsgefährdung (d. h. Wesentlichkeitsgrenze) ausgehend von Finanz-, Ertrags- und Vermögensgrößen zu bestimmen. Dabei ist die Wesentlichkeitsgrenze kaskadenförmig entlang der Risikomanagement-Organisation auf die einzelnen Betrachtungsbereiche abzubilden. Vgl. Wolf (2003), S. 53f.

101 In der betrieblichen Praxis ist die Auswahl der relevanten IT-Systeme oftmals strittig. Der Interpretationsspielraum betrifft sowohl die Buchführungsrelevanz der betroffenen IT-Systeme als auch die konkret notwendige Ausprägung der Notfallvorsorge. Hierzu ist für die Unerneh-mung eine enge Abstimmung mit den zuständigen Wirtschaftsprüfungsgesellschaften notwen-dig, um deren Anforderungen an eine Prüfung zu genügen.

102 Industrie-Analysten untersuchen branchenspezifische bzw. technologische Momentaufnahmen und Entwicklungen, vgl. dazu Gartner (2007); IDC (2007); Forrester (2007).

36

prozesse und zugehöriger Rahmenbedingungen notwendig. Beispielsweise kann

eine TK-Unternehmung einen Wettbewerbsvorteil erlangen, wenn bei einer

überregionalen und nicht physischen Gefährdungslage (z. B. Computervirus) die

eigenen IT-Systemen eine Auftragsbearbeitung ermöglichen, wohingegen die

Konkurrenz mehrtägige Ausfälle zu verzeichnen hat.

- Die Relevanz offizieller Standards (wie ITIL, CObIT, IT-Grundschutz-Kataloge)

ist auch bei TK-Unternehmungen unterschiedlich einzuschätzen. Dabei orientie-

ren sich deutsche Unternehmungen wie die DTAG am IT-Grundschutz,103 nicht

originär-deutsche Unternehmungen beziehen sich meist auf internationale

Standards, die aber in beiden Fällen spezifisch für den jeweiligen Kontext aus-

geprägt werden.

Zusammenfassend lässt sich im Rahmen der TK-spezifischen Betrachtung feststel-

len, dass bei TK-Unternehmungen nur wenige spezifische Einflussfaktoren zu

identifizieren sind, insbesondere können keine IT-relevanten gesetzlichen Vorgaben

abgeleitet werden.104 Aus diesem Grund ergibt sich der wesentliche Einflussfaktor

aus der speziellen Geschäftsprozessarchitektur. Beispielsweise ist das Kundenkon-

taktmanagement, das von hochverfügbaren IT-Systemen unterstützt wird, speziell

für eine TK-Unternehmung wichtig, da insbesondere an der Kundenschnittstelle

zurzeit ein erheblicher Verdrängungswettbewerb zu beobachten ist.

103 Die DTAG ist beim Bundesamt für Sicherheit in der Informationstechnik als Anwender des IT-Grundschutzes registriert. Andere TK-Unternehmungen (z. B. Vodafone, Arcor, E-Plus, O2) sind hier nicht aufgeführt. Vgl. BSI (2007c).

104 TK-relevante Anforderungen hinsichtlich Störungen, die zu einer erheblichen Beeinträchtigung von Telekommunikationsnetzen führen, enthalten die Sicherheitskataloge der Regulierungsbe-hörde, vgl. Geppert et al (2002), S. 394ff.

37

5 Modell zur Folgeschadenanalyse für die Bewer-tung der ökonomischen Auswirkung bei IT-Ausfall

Ein zentraler Untersuchungsbereich im Kontext der IT-Notfallvorsorge besteht in

der Bewertung der ökonomischen Auswirkung bei IT-Ausfall, die im Rahmen einer

Folgeschadenanalyse möglich ist.105 Im angelsächsischen Sprachgebrauch wird eine

solche Analyse meist als Business Impact Analysis (BIA) bezeichnet.106 In der

Literatur wird deren Bedeutung stets betont, ein umfassendes und strukturiertes

Modell, das auf quantitativen Größen basiert, wird dagegen bei kaum einem Autor

vorgestellt.107 Dies führt in der Konsequenz zu einer Vielzahl ungenauer Einschät-

zungen108 der ökonomischen Auswirkung bei IT-Ausfall und damit zu dem Hand-

lungsbedarf, der bereits an anderer Stelle109 abgeleitet wurde.

Gegenstand der folgenden Analyse ist die Erarbeitung eines strukturierten Modells

zur Folgeschadenanalyse und dessen beispielhafte Anwendung auf den Teilprozess

‚1.3.1 Auftragsannahme’.110

5.1 Methodik des Modells zur Folgeschadenanalyse

In der bisherigen Untersuchung wurde für die Gestaltung der IT-Notfallvorsorge

bereits die Bedeutung einer Orientierung an den wertschöpfenden Geschäftspro-

105 Für einen Beispielbericht einer Business Impact Analysis (BIA) mit einem IT-übergreifenden Betrachtungsschwerpunkt vgl. von Rössing (2005), S. 484.

106 Vgl. Köhler (2007), S. 147.

107 Für ein einfaches Berechnungsmodell vgl. Dübendorfer et al. (2004), S. 3f. Ein weiteres schematisches Modell für die Berechnung einer Kostensteigerung bei IT-Ausfall liefert der Bran-chenverband BITKOM, eine Bewertung von Umsatzverlusten wird hierbei jedoch nicht durch-geführt. Vgl. BITKOM (2006), S. 2.

108 Für Beispiele von kaum belastbaren empirischen Untersuchungen vgl. Eagle Rock Alliance (2001), S. 1; Patterson (2002), S. 3f.

109 Vgl. Wiedemann (2007b), S. 76ff.

110 Für ein weiteres Fallbeispiel aus der betrieblichen Praxis vgl. Wiedemann (2007a), S. 513ff.

38

zessen festgestellt.111 Auch die nun vorgestellte Folgeschadenanalyse beruht auf

diesem Entwurfsprinzip, um eine ökonomische Bewertung im Rahmen eines

dreistufigen Verfahrens vorzunehmen (vgl. Abbildung 5.1).

Stufe 3

Durchführung der

Bewertung

Stufe 2

Erarbeitung eines

Bewertungsmodells

Stufe 1

Ableitung von

Schadensdimensionen

Abbildung 5.1: Methodik des Modells zur Folgeschadenanalyse

Die Ziele und Aufgaben der drei Stufen:

1. Stufe: Aus Sicht des Geschäftsprozesses werden Schadensdimensionen112

abgeleitet, die unterschiedliche Arten von Auswirkungen beschreiben.113 Eine

mögliche Schadensdimension ist der Umsatzverlust, als eine weitere Dimension

könnte die Kundenunzufriedenheit genannt werden.114 Diese Identifikation muss

spezifisch für jeden Geschäftsprozess im Unternehmungskontext erfolgen.

2. Stufe: Anschließend wird für jede Schadensdimension ein möglichst quantitati-

ves Bewertungsmodell aufgestellt, das eine ökonomische Untersuchung der

Auswirkung ermöglicht. Hilfreich ist hier vor allem die Rückführung von indirekten

Schadensdimensionen auf quantifizierbare Größen mit direkt messbarer ökonomi-

scher Relevanz.115 Beispielsweise könnte der Ansehensverlust auf einen Kundenver-

lust und damit auf die Dimension Umsatzverlust abgebildet werden. Eine andere

111 Andere Ansätze vernachlässigen die Orientierung an den Geschäftsprozessen und haben zum Ziel, direkt eine (ordinale oder kardinale) Bewertung der IT-Systeme durchzuführen, ohne dabei die ökonomische Auswirkung eines IT-Ausfalls zu betrachten, vgl. Hofmann (2006), S. 228f.

112 Aktuelle Veröffentlichungen im angelsächsischen Bereich sprechen in diesem Zusammenhang von sogenannten „Critical Impact Factors“. Vgl. Su et al. (2006), Kap. 2.2.

113 Für Beispiele zu Folgen des IT-Ausfalls vgl. BITKOM (2006), S. 1.

114 Zur quantitativen Schadenmetrik vgl. Königs (2005), S. 16.

115 Zur Darstellung der Problemfelder des Messens und Bewertens von Informations- und Kommunikationssystemen, vgl. Pietsch (1999), S. 28ff.

39

Möglichkeit besteht darin, „weiche“ Dimensionen (z. B. Ansehensverlust) entweder

mit einem Überschlag zu beziffern oder auf einer Ordinalskala116 einzuschätzen.

3. Stufe: Im letzten Schritt erfolgt nun die quantitative ökonomische Bewertung.

Hierbei wird entweder auf vorhandenes Datenmaterial (z. B. aus der Prozesskos-

tenrechnung117 und/oder historische Umsatzzahlen) zurückgegriffen oder es

werden Schätzwerte durch Fachverantwortliche für die Geschäftsprozesse ermittelt.

Für die Datenerhebung können Befragungen, Interviews oder Dokumentationsana-

lysen durchgeführt werden.118 Die individuelle Einschätzung der Genauigkeit der

Schätzung i. S. e. Schwankungsbreite ist dabei zu dokumentieren.

Für die Durchführung einer Folgeschadenanalyse benennt von Rössing zwei

kritische Erfolgsfaktoren:119 Einerseits ist eine richtige und möglichst ausführliche

Datenerhebung notwendig, andererseits müssen mehrere Abteilungen einer

Unternehmung an der Auswertung mitarbeiten, um eine objektive Bewertung zu

ermöglichen.

Zusammenfassend lässt sich feststellen, dass bei der Anwendung der vorgestellten

Stufen ein angemessenes Maß an Genauigkeit und der dafür benötigte Aufwand in

ein Verhältnis zu setzen sind, welches das Wertschöpfungspotenzial des betrachte-

ten Geschäftsprozesses berücksichtigt. Dabei sollte die Ermittlung einer Größen-

ordnung des möglichen ökonomischen Schadens im Vordergrund stehen, um einen

Richtwert für die Investitionsentscheidung im Rahmen der Gestaltung der

IT-Notfallvorsorge zu erhalten.

116 Falls kein Überschlag möglich ist, kann das Ergebnis der Folgeschadenanalyse zweistufig gezeigt werden. Einerseits wird eine quantitative Schätzung der Folgeschäden dargestellt, an-dererseits erfolgt eine qualitative Einschätzung indirekter Auswirkungen, um damit geschäftskri-tische Abhängigkeiten identifizieren zu können.

117 In einem Call Center liegt beispielsweise meist sehr ausführliches Datenmaterial vor (z. B. Kosten pro Geschäftsfall, Dauer der Bearbeitung pro Geschäftsfall, Lösungsquote von Anfra-gen, Auslastung pro Mitarbeiter, Wartezeit des Kunden).

118 Zu grundsätzlichen Möglichkeiten der Datenerhebung vgl. Lehner et al. (1991), S. 247ff.

119 Vgl. von Rössing (2005), S. 61.

40

5.2 Vorgelagerte Strukturierung von Schadensphasen

Um die unterschiedlichen möglichen Schäden und deren Eintrittszeitpunkte

untersuchen zu können, ist eine schematische Einteilung eines IT-Notfallszenarios

im Zeitverlauf notwendig (vgl. Abbildung 5.2). Dabei wird die Dienstgüte120 d auf

der y-Achse in einer Funktion d = f(t) dargestellt.

Dienst-

güte d

Zeit t

a %

b %

P2

P3

P4

P5

Stabilisierung abgeschlossent6

Wiederherstellung abgeschlossent5

Entscheidung über Maßnahmen getroffent4

Notfall erkanntt3

Maximale negative Auswirkung erreichtt2

Notfall tritt eint1

EreignisZeitpunkt

Stabilisierung abgeschlossent6

Wiederherstellung abgeschlossent5

Entscheidung über Maßnahmen getroffent4

Notfall erkanntt3

Maximale negative Auswirkung erreichtt2

Notfall tritt eint1

EreignisZeitpunkt

P6

100 %

P1

t1

t2

t3

t4

t5

t6

d = f (t)

Abbildung 5.2: Schadensphasen im Zeitverlauf

Nach Eintritt eines Notfalls in t1 (P1) wird die maximale negative ökonomische

Auswirkung (Dienstgüte d = b %) in t2 (P2) erreicht.121 Diese Zeitdauer kann kurz

sein und wird im Rahmen der folgenden Untersuchung vernachlässigt. Die

120 Die Dienstgüte bezeichnet die Qualität eines Dienstes in Prozent.

121 Die maximale negative Auswirkung, d. h. minimale Dienstgüte bei Totalausfall, liegt vor bei d = 0 %.

41

Entdeckung des Notfalls kann in t3 (P3) erfolgen, wonach anschließend über

Sofortmaßnahmen bzw. nächste Schritte zur IT-Wiederherstellung122 zum Zeit-

punkt t4 (P4) entschieden wird.123 Anschließend werden die physische (Hardware)

und/oder nicht-physische (Software) Wiederherstellung der Einsatzfähigkeit des IT-

Systems in t5 (P5) mit Dienstgüte d = b % abgeschlossen. Nun kann eine weitere

Phase der Stabilisierung der Geschäftsprozesse (bzw. IT-Systeme) notwendig sein,

um anschließend in t6 (P6) den Normalbetrieb wieder aufnehmen zu können

(d = 100%).124 Die Darstellung des Notfallverlaufs sollte ergänzt werden um die

Bemerkung, dass eine IT-Wiederherstellung eine umfassende organisatorische

Koordination benötigt, die im Rahmen eines Notfallprozesses definiert sein

muss.125

Aus der Betrachtung eines Notfallszenarios im Zeitverlauf lassen sich nun drei

übergeordnete Schadensphasen ableiten, die einen ähnlichen Zustand bzw. Verlauf

der IT-Dienstgüte und damit der Restqualität des IT-gestützten Geschäftsprozesses

zeigen (vgl. Tabelle 5.1).

Nr. Anfang Ende Schadensphase

1 t2 t4 Maximalausfall auf minimale Dienstgüte d = b %

2 t4 t5 Wiederherstellung der IT-Systeme auf Dienstgüte d = a %

3 t5 t6 Stabilisierung und Rückführung auf Dienstgüte d = 100 %

Tabelle 5.1: Überblick der Schadensphasen

122 Für weitere Informationen zur Erstellung von Wiederanlauf- und Geschäftsfortführungsplänen vgl. Hofmann (2006), S. 230ff.

123 Ausgehend von der Lagebeurteilung erfolgt die Plan-Aktivierung. Für eine Übersicht entspre-chender Kriterien vgl. Königs (2005), S. 213f.

124 Eine ähnliche Strukturierung liefert der Branchenverband BITKOM und empfiehlt dazu die Beantwortung der vier nachfolgend aufgeführten Fragen. (1) In welchem Zeitraum muss die Anwendung wieder zur Verfügung stehen (RTO = Recovery Time Objective)? (2) Wie groß ist der maximal tolerierbare Datenverlust (RPO = Recovery Point Objective)? (3) In welchem Zeitraum muss die Anwendung wieder über das Netzwerk zugreifbar sein (NRO = Network Recovery Objective)? (4) Über welchen Zeitraum kann die Anwendung im eingeschränkten Betrieb (z. B. langsamere Antwortzeiten) betrieben werden (DOO = Degraded Operations Objective)? Vgl. BITKOM (2006), S. 2.

125 Vgl. Yuan/Detlor (2005), S. 95ff.

42

Innerhalb der 1. Schadensphase liegt Maximalausfall mit einer minimalen Dienstgü-

te d = b % vor; im Rahmen der Ergreifung von Maßnahmen zur

IT-Wiederherstellung in der 2. Schadensphase erfolgt eine (sukzessive) Verbesse-

rung auf Dienstgüte d = a %. Anschließend wird die IT in der 3. Schadensphase

stabilisiert und in den Normalbetrieb rückgeführt.

Die erarbeiteten o. g. Schadensphasen werden nun bei der Ableitung der Scha-

densdimensionen für eine weitere Strukturierung sowie Bewertung genutzt.

5.3 Stufe 1: Ableitung von Schadensdimensionen anhand eines beispielhaften Geschäftsprozesses

Nach der Ableitung allgemeiner Schadensdimensionen werden diese im vorliegen-

den Abschnitt spezifisch für den ausgewählten beispielhaften Teilprozess ‚1.3.1

Auftragsannahme’ analysiert (vgl. Abschnitt 5.1 und Abbildung 5.1).

Betrachtet man wissenschaftliche Veröffentlichungen und empirische Studien

unterschiedlicher Autoren, ist keine einheitliche Strukturierung von Schadensdi-

mensionen erkennbar.126 Gerade jedoch für den Zweck einer ökonomischen

Bewertung ist eine möglichst vollständige und überschneidungsfreie Darstellung

notwendig. Um anschließend Aspekte der Wirtschaftlichkeit einer

IT-Notfallvorsorge analysieren zu können, ist zudem eine quantitative Bewertung

vorzunehmen, die im betriebswirtschaftlichen Kontext vor allem den Abfluss von

Liquidität (d. h. Kostensteigerung) und verringerte Einzahlungen durch Umsatzver-

luste berücksichtigen sollte. In Abbildung 5.3 wird dazu eine Systematik für

Schadensdimensionen vorgeschlagen, wobei Normalbetrieb und Notfall unter-

schieden werden.

126 Su et al. nennen vier Schadensdimensionen (Finanzieller Verlust, Produktivitätsverlust, Ansehensverlust, Haftungsschäden).Vgl. Su et al. (2006), Kap. 2.2. Für einen weiteren Über-blick unterschiedlicher Klassifizierungsmöglichkeiten vgl. auch Zaborski (2007), S. 55ff.

43

Normalbetrieb Notfall

Umsatzverlust

Kostensteigerung

-x%

+y%

Verlust eines einzelnen Umsatzes

Verlust von Nutzungsentgelten/Grundgebühren

Verlust eines Neu- bzw. Bestandskundens

Mehrarbeit (Nacharbeit) und Überstunden

Zusatzpersonal

Vertragsstrafen

Umsatz

Kosten

z. B.

z. B.

Abbildung 5.3: Systematik von Schadensdimensionen in den Kategorien Umsatzver-lust und Kostensteigerung

Die identifizierten Schadensdimensionen können nun je Schadensphase qualitativ

bewertet werden (vgl. Tabelle 5.2). Dabei wird die Übersicht ergänzt um eine

weitere Schadenskategorie „Unzufriedenheit“, die nicht direkt monetär bewertbar

ist.

Schadensphase127 Schadens-kategorie

Schadensdimension

1 2 3

Kostensteigerung für die Geschäftsprozesse - - -

- Mehrarbeit (Nacharbeit) und Überstunden � � �

- Zusatzpersonal - � �

- Vertragsstrafen - - �

Kosten-steige-rung128

- Interne bzw. externe Kommunikation - � �

- Verlust eines einzelnen Umsatzes � � �

- Verlust von Nutzungsentgelten/Grundgebühren � � �

Umsatz-verlust

- Verlust eines Neu- bzw. Bestandskunden � � �

127 Vgl. Tabelle 5.1.

128 Kosten für die IT-Wiederherstellung (Sachkosten, Personalkosten und Kosten für evtl. eingesetzte externe Dienstleister) werden nicht betrachtet.

44

Schadensphase127 Schadens-kategorie

Schadensdimension

1 2 3

Unzufriedenheit der Geschäftsinteressenten129 - - -

- Kunden130 (Umsatz, externe Kommunikation131) - � �

- Mitarbeiter (Effizienz, interne Kommunikation) - � �

Unzu-friedenheit

- Anleger (Börsenwert132, externe Kommunikation) - � �

Tabelle 5.2: Systematik allgemeiner Schadensdimensionen

In der Tabelle werden die drei Schadenskategorien Kostensteigerung, Umsatz-

verlust und Unzufriedenheit unterschieden. In den drei rechten Spalten ist

weiterhin eine Einschätzung der Relevanz der jeweiligen Schadensdimension pro

Schadensphase nach Einschätzung des Autors dargestellt.133 Die Größe der Raute

beschreibt damit die qualitative Höhe der Auswirkung, ein Bindestrich bezeichnet

eine vergleichsweise geringe Ausprägung. Dabei ist die Schadensphase unabhängig

von der Notfalldauer, die einen weiteren Einflussfaktor für die Schadensentwick-

lung darstellt.

Insbesondere während der zweiten Schadensphase der Wiederherstellung werden

überdurchschnittliche Kostensteigerungen realisiert, da hier die Nicht-Verfügbarkeit

der IT-Systeme durch manuelle Ersatzprozesse kompensiert werden muss – falls

möglich. Umsatzverluste treten in allen Phasen auf, wobei grundsätzlich der

Verlust einzelner Posten den Verlust eines gesamten Kunden überwiegt. Im Bereich

der weichen Schadensdimensionen (Unzufriedenheit) ist interne und externe

129 Im Sinne eines sogenannten Stakeholders.

130 Rams versteht Kundenunzufriedenheit als Nachkaufphänomen, in dem sich widerspiegelt, wie der Kunde Produkte oder Dienstleistungen beurteilt, mit denen er zuvor Erfahrungen gesam-melt hat. Insofern stellt Zufriedenheit das Ergebnis einer ex-post Beurteilung dar und setzt ein konkretes, selbsterfahrenes Konsumerlebnis voraus.“ Rams (2001), S. 58.

131 In seinem Thesenpapier zur Krisenkommunikation fordert Obermeier: „Es müssen Anstrengun-gen unternommen werden, die Schäden in Bezug auf Corporate Identity, Corporate Image und das Branchenimage abzuwenden.“ Obermeier (2001), S. 16.

132 Für den japanischen Markt konnten Auswirkungen von IT-Sicherheitsvorfällen auf den Börsenkurs innerhalb der folgenden zehn Tage empirisch nachgewiesen werden. Vgl. Ishiguro et al. (2006), S. 1ff. Nur geringe Abhängigkeiten wurden in einer Untersuchung im amerikani-schen Markt beobachtet. Vgl. Campbell et al. (2003), S. 431ff.

133 Die qualitative Einschätzung wird gestützt von Erfahrungswerten aus Beratungsprojekten des Autors innerhalb der vergangenen fünf Jahre.

45

Kommunikation vor allem vermehrt während der Wiederherstellung notwendig. Ein

mittelfristiger Ansehensverlust ist bei Anlegern tendenziell erst in einer späteren

Schadensphase zu erwarten.

Wie schon oben angesprochen, wird hierzu empfohlen, dass Dimensionen aus der

Schadenskategorie Unzufriedenheit auf andere Bereiche übertragen werden, um

eine monetäre Quantifizierung durchführen zu können. Beispielsweise könnte die

Unzufriedenheit von Kunden an einem Umsatzverlust oder am Umfang der

durchzuführenden externen Kommunikation gemessen werden.

Im Weiteren erfolgt die beispielhafte Konkretisierung für den ausgewählten

Teilprozess. Um in der nachstehenden Darstellung die Relevanz der Schadensdi-

mensionen bewerten zu können, müssen hierzu im ersten Schritt Annahmen über

einen möglichen Ablauf während eines IT-Ausfalls für die Bearbeitung der Ge-

schäftsprozesse getroffen werden. Dazu wird für das exemplarische Notfallszenario

nun folgender Kontext definiert, der notwendig ist, um ein realistisches Szenario

für die operative Bearbeitung des Teilprozesses im IT-Notfall zu konstruieren:

1. Beide unterstützenden IT-Komponenten (Customer Relationship Manage-

ment134 und Produktkatalog) haben einen Totalausfall zu verzeichnen.

2. Ausschließlich das Privatkundensegment (d. h. Endkunden) ist betroffen, Groß-

bzw. Geschäftskunden i. S. d. Wiederverkäufers135 werden über das Vorleis-

tungsmanagement136 bedient.

3. Aufträge können im Normalbetrieb sowohl im Call Center oder in der Filiale

über Mitarbeiter angenommen sowie selbstständig durch den Kunden per In-

ternet oder Brief aufgegeben werden.

4. Trotz Ausfall der IT-Unterstützung ist eine lokale Arbeit an den Arbeitsplatz-

rechnern möglich und die Telefonanlage, Mail- sowie Faxfunktionalität stehen

zur Verfügung.

134 Mertens et al. (2001), S. 101.

135 Vgl. Geppert et al. (2002), S. 303f.

136 Vgl. Abschnitt 2.3.

46

5. Eine lange Notfalldauer (über 10 Tage)137 wird meist durch Großereignisse

ausgelöst, die hohe Medienpräsenz haben und dadurch aktiv an die Kunden

kommuniziert werden können. Dies kann möglicherweise Kunden- und Um-

satzverluste begrenzen.

6. Es erfolgt keine gesonderte Betrachtung von kritischen Zeitperioden (Weih-

nachten, Werbeaktionen, etc.). Diese liegen häufig vor und führen zu keiner

Schwankung von Aufträgen über 10 bis 20 Prozent.138

7. Die Datensicherung erfolgt bei den IT-Komponenten an einem zweiten

Standort, d. h. ein Verlust von bestehenden Kunden- bzw. Auftragsdaten ist

nicht zu erwarten.

Damit ergibt sich folgendes Szenario für die Bearbeitung der Auftragsannahme bei

IT-Ausfall:

Die Aufträge im Call Center und der Filiale werden bestmöglich manuell ohne

IT-Unterstützung aufgenommen. Aufgrund der höheren Bearbeitungszeit können

nicht alle Anfragen bearbeitet werden. Auch können manche Aufträge nur

teilweise oder gar nicht aufgenommen werden, da wesentliche Informationen

(z. B. Zusatzdaten aus dem Produktkatalog) nicht vorhanden sind. Gemeinsam mit

den Aufträgen per Post bzw. Internet werden diese gepuffert und je nach Kunden-

segment139 manuell in das System für Auftragslenkung eingepflegt. Dabei gehen

weitere Aufträge verloren, da Rückfragen erforderlich sind und hierfür der Kunde

nicht erreichbar ist. Für die manuelle Auftragseingabe werden Überstunden genutzt

und kurzfristig Zusatzpersonal aus Zeitarbeitsfirmen eingestellt.

Aus dem dargestellten Szenario und auf Basis der oben definierten Grundannah-

men ergibt sich folgende Ausprägung der Schadensdimensionen:

137 Zur Kategorisierung unterschiedlicher Notfalldauern vgl. Abschnitt 6.3.

138 Vodafone nennt erhöhten Sprachumsatz zur Weihnachtszeit, Mehreinnahmen im internationa-len Roaming in den Sommermonaten und einen geringeren Monatsumsatz im kurzen Februar, vgl. Vodafone (2006), S. 44.

139 Kundensegmente lassen sich aus Kundenwerten ableiten, vgl. dazu Abschnitt 5.5.5.

47

- Im Bereich der Kostensteigerung fallen sowohl Überstunden als auch weitere

Ausgaben für Zusatzpersonal an. Aufgrund der ausschließlichen Bearbeitung

von Privatkunden sind keine Vertragsstrafen zu erwarten.140 Zusätzliche interne

Kommunikation und ggf. Bonuszahlungen zum Ausgleich der Überstunden sind

notwendig, um die Mitarbeiterunzufriedenheit aufgrund hoher Arbeitsbelastung

zu reduzieren.141

- Hinsichtlich eines Umsatzverlustes sind alle drei identifizierten Schadensdi-

mensionen denkbar. In erster Linie besteht bei Aufträgen zu Endgeräten eine

erhöhte Wahrscheinlichkeit des direkten Verlusts, da hier zahlreiche alternative

Beschaffungskanäle (z. B. Elektronik-Warenhaus) genutzt werden können.

Denkbar ist ebenso, dass sowohl Bestandskunden als auch potenzielle Neukun-

den einen Anschlussauftrag bei einer anderen TK-Unternehmung abschließen.

Dies kann sich auf einen einzelnen Auftrag beziehen oder zu einem vollständi-

gen Bestandskundenverlust führen. Weiterhin ist bei einer Auftragsverzögerung

ein direkter Umsatzverlust (Nutzungsentgelt und Grundgebühr) während der

Nicht-Verfügbarkeit bzw. Verzögerung des neuen Anschlusses möglich.

- Schäden aus der Kategorie Unzufriedenheit werden indirekt im Bereich der

Kostensteigerungen und Umsatzverluste quantifiziert, um mittelbare Auswir-

kungen wie beispielsweise Kundenunzufriedenheit durch monetäre Schätzun-

gen unterlegen zu können. Eine solche Modellierung erfolgt auch bei von Rös-

sing: „Für die Business Impact Analysis ist der Reputationsverlust in erster Linie

Auslöser für damit zusammenhängende Umsatz- und Gewinnverluste.“142 Eine

solche Verknüpfung wird auch im folgenden Bewertungsmodell vorgeschlagen,

um eine monetäre Quantifizierung von Unzufriedenheit zu ermöglichen.

140 Bei anderen Geschäftsprozessen einer TK-Unternehmung könnten Vertragsstrafen jedoch eine signifikante Komponente des Folgeschadens darstellen. Beispielsweise erfordert der Entstörpro-zess einer TK-Netzkomponente eine vordefinierte maximale Bearbeitungszeit, da ansonsten Entschädigungen bzw. Gutschriften der Grundgebühren an den Kunden ausgezahlt werden müssen.

141 Weiterhin muss zusätzliche unternehmungsexterne Kommunikation durchgeführt werden, um den Ansehensverlust bei Anlegern und Kunden möglichst gering zu halten.

142 von Rössing (2005), S. 95.

48

Die identifizierten Ausprägungen der Schadensdimensionen bilden im Folgenden

die Grundlage für ein quantitatives Bewertungsmodell.

5.4 Stufe 2: Aufstellung eines Bewertungsmodells anhand eines beispielhaften Geschäftsprozesses

Für die Aufstellung des Bewertungsmodells müssen im ersten Schritt Schadensdi-

mensionen konkretisiert und deren Abhängigkeiten für den Zweck einer Quantifi-

zierung ermittelt werden. Diese Abhängigkeiten können anschließend verknüpft

und mit Daten für eine Berechnung unterlegt werden. Dabei werden zwei Arten

von Daten hinsichtlich ihrer Qualität unterschieden. Einerseits werden Grundda-

ten herangezogen, die der Unternehmung direkt und belastbar vorliegen. Anderer-

seits werden Schätzdaten genutzt, die durch Fachexperten gemeinsam bestimmt

werden und dadurch einer höheren Schwankungsbreite unterliegen.

Ausgehend von den vorgelagerten Untersuchungen ergeben sich nun folgende zu

quantifizierende Schadensdimensionen im Bereich der Kostensteigerung in Abhän-

gigkeit der Ausfalldauer, für deren Bewertung weitere Abhängigkeiten vorgeschla-

gen werden:

Schadensdimension Abhängigkeiten - Grunddaten

Abhängigkeiten - Schätzdaten

Mehrarbeit kmehrarbeit(l)

- Anzahl agesamt der Aufträge pro Tag

- Interne Personalkosten pint inkl. Überstundenzuschlag für Call Center pro Tag in Euro

- Ø Dauer d der Bearbeitung pro Auftrag in Minuten

- Anteil anach der Mehrarbeit für die Nachbearbeitung in %

- Anteil i (l) der Nacharbeit durch internes Personal in Abhängigkeit der Ausfalldau-er l in %

Zusatzpersonal

kzusatzpersonal(l)

- Externe Personalkosten pext pro Tag in Euro

- Anteil e(l) der o. g. Mehrarbeit durch externes Personal in Abhängigkeit der Ausfalldauer l (mit e(l) = 1 - i(l) ) in %

Tabelle 5.3: Abhängigkeiten der Schadensdimensionen im Bereich Kostensteige-rung

49

Damit lassen sich die Kostensteigerung kmehrarbeit(l) und kzusatzpersonal(l) durch IT-Notfall in

Abhängigkeit der Ausfalldauer l nach Formel (1a) und (1b) berechnen.143 Die

Erklärung der Variablen kann hier als auch im Folgenden den dargestellten Tabellen

entnommen werden.

)(860

)()1(

)(860

)()1(int

lepada

lkb

lipada

lka

extnach

gesamt

onalzusatzpers

nach

gesamt

mehrarbeit

⋅⋅⋅

⋅

⋅

=

⋅⋅⋅

⋅

⋅

=

Im Zusammenhang mit Umsatzverlusten werden folgende konkrete Schadensdi-

mensionen und deren Abhängigkeiten identifiziert:

Schadensdimension Abhängigkeiten - Grunddaten

Abhängigkeiten - Schätzdaten

Verlust eines einzelnen Umsatzes (Endgeräte) vendgerät(l)

- Anzahl aendgeräte der Endgeräte-aufträge

- Ø Umsatz uendgerät pro Endgerät in Euro

- Anteil v(l) der verlorenen Endgeräteaufträge in Abhän-gigkeit von der Ausfalldauer l in %

Verlust von Nut-zungsentgelten durch Verzögerung vverzögerung(l)

- Anzahl aanschluss der Anschluss-aufträge

- Ø Umsatz uanschluss pro Anschluss pro Tag in Euro

- Anteil k(l) der verlorenen Anschlussaufträge (d. h. Kunden) in Abhängigkeit von der Ausfalldauer l in %

- Länge der Verzögerung g(l) in Abhängigkeit von der Ausfalldauer l in Tagen

Gesamtverlust eines Bestandskunden bzw. Neukunden vkundenverlust(l)

- Anzahl aanschluss der Aufträge pro Tag

- Anteil k(l) der verlorenen Anschlussaufträge (d. h. Kunden) in Abhängigkeit von der Ausfalldauer l in %

- Ø Kundenwert144 w in Euro

Tabelle 5.4: Abhängigkeiten der Schadensdimensionen im Bereich Umsatzverluste

Folgende Berechnungen zur Bestimmung der Umsatzverluste nach Formel (2a),

(2b) und (2c) sind innerhalb der Schadensdimension Umsatzverlust in Abhängig-

keit von der Ausfalldauer l möglich:

143 Der Quotient 60 � 8 = 480 stellt die Minuten pro Arbeitstag dar.

144 Zur Einordnung des Konzepts des Kundenwerts in den Kontext der vorliegenden Arbeit vgl. Abschnitt 5.5.5.

50

)()()2(

)())(1()()2(

)()()2(

lkwalvc

lglkualvb

lvualva

anschlussustkundenverl

anschlussanschlussanschluss

endgerätendgerätendgerät

⋅⋅=

⋅−⋅⋅=

⋅⋅=

In einer zusammenfassenden Formel (3) kann nun anschließend der Gesamt-

Folgeschaden sgesamt nach einem IT-Notfall in Abhängigkeit von der Ausfalldauer l

bestimmt werden.

)()()(

)()()()3(

lvlvlv

lklkls

ustkundenverlanschlussendgerät

onalzusatzpersmehrarbeitgesamt

++

++=

Als Fazit kann festgestellt werden, dass sowohl unterschiedliche Grund- als auch

Schätzdaten notwendig sind, um eine monetäre Bewertung vornehmen zu können.

Dabei ist ein angemessenes Maß an Genauigkeit zu nutzen, die bei der Datenerhe-

bung im Rahmen der Schätzungen bewertet werden sollte.145 Diese Bewertung

kann anschließend für eine Sensitivitätsanalyse146 herangezogen werden.

5.5 Stufe 3: Durchführung der Bewertung anhand eines beispielhaften Geschäftsprozesses

Innerhalb der dritten Stufe des Bewertungsmodells erfolgen nun die Ausprägung

der identifizierten Abhängigkeiten sowie die Berechnung des zeitlichen Verlaufs des

Folgeschadens und dessen mögliche Schwankungsbreiten147 im Rahmen einer

vereinfachten Sensitivitätsanalyse. Dabei soll durch die Berücksichtigung von

Schwankungsbreiten die Einschätzung der Genauigkeit der Eingabeparameter

modelliert werden. Dazu wird jeweils eine maximale, mittlere und minimale

145 Für die empirische Untersuchung zu Durchführungswegen der Datenerhebung im Rahmen einer Folgeschadenanalyse nennt Continuity Central die folgenden zwei häufigsten Methoden: 25 % der Befragten gaben an, die Daten mithilfe eines Fragebogens zu ermitteln, wohingegen 10 % der Befragten Einzelgespräche angaben. Für die gesamte Übersicht an Durchführungswe-gen vgl. Continuity Central (2003), S. 5f.

146 Eine Sensitivitätsanalyse untersucht den Einfluss einzelner (Eingabe-)Parameter auf das Modellergebnis. Vgl. Romeike (2004), S. 127.

147 Vgl. Gordon/Loeb (2006), S. 99.

51

Schadenskurve ermittelt. Im Folgenden wird die Bewertung anhand des bereits

ausgewählten beispielhaften Geschäftsprozesses für eine illustrative

TK-Unternehmung durchgeführt. Die Datengrundlage wird z. T. der Literatur

entnommen oder basiert auf Schätzungen des Autors.148 Dabei werden 20.000

Aufträge pro Tag angenommen, die sich in 15.000 Anschlussaufträge und 5.000

Aufträge für Endgeräte aufteilen.

5.5.1 Schadensdimension ‚Mehrarbeit’

Hinsichtlich des oben definierten Notfallszenarios stellt die Mehrarbeit eine interne

Kostensteigerung dar, die durch Nacharbeit von manuell aufgenommenen Aufträ-

gen während und nach der IT-Wiederherstellung anfällt. Dabei wird angenommen,

dass ab dem vierten Ausfalltag zusätzlich externes Personal herangezogen wird.

Diese Kosten werden im Rahmen der Schadensdimension ‚Zusatzpersonal’

bewertet. Annahmen der vorliegenden Schadensdimension können aus folgenden

Übersicht entnommen werden (vgl. Tabelle 5.5).

Datenart Abhängigkeit Ausprä-gung

Schwan-kungsbreite

# der Aufträge pro Tag 20.000 - Grunddaten

Interne Personalkosten inkl. Überstundenzuschlag für Call Center pro Tag in Euro149

300 -

Ø Dauer der Nachbearbeitung pro Auftrag in Minuten

5 20 %

% Mehrarbeit für die Nachbearbeitung 50 % 10 %

% der Nacharbeit durch internes Personal (1.-3. Tag)

100 % 0 %

% der Nacharbeit durch internes Personal (4.-10. Tag)

75 % 20 %

Schätzdaten

% der Nacharbeit durch internes Personal (11.-30. Tag)

50 % 20 %

Tabelle 5.5: Daten zur Schadensdimension ‚Mehrarbeit’

148 Einschränkend ist zu bemerken, dass die folgende Bewertung eine Verdeutlichung der Berechnungsmethodik darstellt, die z. T. auf illustrative Daten zurückgreift.

149 Bei 60.000 Euro internen Personalvollkosten pro Mitarbeiter im Call Center und 220 Arbeitstagen mit 10 % Überstundenzuschlag ergibt sich ein täglicher Kostensatz von etwa 300 Euro.

52

Die Berechnung ergibt kumulierte Folgekosten nach 30 Tagen von etwa 0,57

Millionen Euro, deren Genauigkeit nach den getroffenen Annahmen ab dem 4. Tag

nachlässt (vgl. Abbildung 5.4). Dies ergibt einen durchschnittlichen150 täglichen

Folgeschaden von etwa 19.000 Euro. Hier und im Folgenden werden in der

Abbildung drei Verläufe (Maximum, Median und Minimum) angezeigt.

0

100

200

300

400

500

600

700

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesc

had

en

s (

in T

au

sen

d E

uro

)

Abbildung 5.4: Kumulierter Folgeschaden zur Schadensdimension ‚Mehrarbeit’

In der Abbildung ist eine verminderte Steigung der ökonomischen Auswirkung ab

dem 4. Ausfalltag zu erkennen, da hier Zusatzpersonal zum Einsatz kommt und

zusätzlich notwendige Nacharbeiten von internem Personal übernehmen kann.

5.5.2 Schadensdimension ‚Zusatzpersonal’

Die Kostensteigerung durch Nutzung von Zusatzpersonal tritt ab dem 4. Tag auf,

da dieses nach den getroffenen Annahmen ab diesem Zeitpunkt herangezogen

wird, um die Nachbearbeitung zu unterstützen. Dabei wird ein externer Kostensatz

von 160 Euro zugrunde gelegt (vgl. Tabelle 5.6).

150 Hier und auch im Folgenden wird ausgehend von der illustrativen Berechnung ein durchschnitt-licher täglicher Folgeschaden angegeben. Aufgrund der nicht linear steigenden Auswirkung wird damit jedoch der Schaden in den ersten Tagen leicht überbewertet, was für eine Ein-schätzung der Größenordnung aber als akzeptabel erscheint.

53

Datenart Abhängigkeit Ausprä-gung

Schwan-kungsbreite

Grunddaten Externe Personalkosten151 pro Tag in Euro 160 -

Mehrarbeit pro Tag nach Abschnitt 5.5.1 in Personentagen

104 0 %

% der Nacharbeit durch internes Personal (1.-3. Tag)

0 % 0 %

% der Nacharbeit durch externes Personal (4.-10. Tag)

25 % 20 %

Schätzdaten

% der Nacharbeit durch externes Personal (11.-30. Tag)

50 % 20 %

Tabelle 5.6: Daten zur Schadensdimension ‚Zusatzpersonal’

Damit ergibt sich ein zusätzlicher kumulierter Folgeschaden von etwa 0,16

Millionen Euro nach 30 Tagen (vgl. Abbildung 5.5). Dies führt zu einem durch-

schnittlichen täglichen Folgeschaden von etwa 5.000 Euro.

0

20

40

60

80

100

120

140

160

180

200

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in T

au

sen

d E

uro

)

Abbildung 5.5: Kumulierter Folgeschaden zur Schadensdimension ‚Zusatzpersonal’

5.5.3 Schadensdimension ‚Verlust eines einzelnen Umsatzes’

Bei der Schadensdimension ‚Verlust eines einzelnen Umsatzes’ werden im Kontext

des vorliegenden Szenarios alle Arten von Endgeräteaufträge betrachtet, die über

das Call Center abgewickelt werden. Dabei wird von etwa 5.000 Aufträgen und

151 Es wird ein Stundenlohn von externem Zusatzpersonal von 20 Euro angenommen. Dies ergibt bei einem 8-Stundentag einen Tagessatz von etwa 160 Euro.

54

einem durchschnittlichen Umsatz pro Endgerät152 von 100 Euro ausgegangen. Der

Anteil der verlorenen Aufträge sowie dessen Schwankungsbreite steigt mit längerer

Notfalldauer (vgl. Tabelle 5.7).

Datenart Abhängigkeit Ausprä-gung

Schwankungs-breite

# der Aufträge für Endgeräte pro Tag 5.000 - Grunddaten

Ø Umsatz pro Endgerät in Euro 100 -

% verlorener Aufträge (1.-3. Tag) 5 % 20 %

% verlorener Aufträge (4.-10. Tag) 10 % 40 %

Schätzdaten

% verlorener Aufträge (11.-30. Tag) 20 % 60 %

Tabelle 5.7: Daten zur Schadensdimension ‚Verlust eines einzelnen Umsatzes’

Mit den getroffenen Annahmen ergibt sich ein kumulierter Folgeschaden von etwa

2,4 Million Euro nach 30 Tagen (vgl. Abbildung 5.6). Dies entspricht einem

durchschnittlichen täglichen Folgeschaden von etwa 81.000 Euro.

0

500

1000

1500

2000

2500

3000

3500

4000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in T

au

sen

d E

uro

)

Abbildung 5.6: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust eines einzelnes Umsatzes’

Bei einem absehbar längeren Ausfall sind überproportional mehr Auftragsverluste

zu verzeichnen, da durch die längere Verzögerung häufiger die Ersatzbeschaffung

des Endkunden über alternative Kanäle auftritt.

152 Die Endgeräte umfassen Telefone, Telefonanlagen und sonstiges Zubehör.

55

5.5.4 Schadensdimension ‚Verlust von Nutzungsentgelten’

Im Bereich des Verlusts von Nutzungsentgelten (und ggf. Erstattungen von

Grundgebühren) sind diejenigen Aufträge relevant, die erfolgreich im Rahmen der

Mehrarbeit bereitgestellt werden. Ein durchschnittlicher täglicher Umsatz von

einem Euro wird angenommen.153 Die Länge der Verzögerung und deren Schwan-

kungsbreite steigt mit der Notfalldauer (vgl. Tabelle 5.8).

Datenart Abhängigkeit Aus-prä-gung

Schwankungs-breite

# nachbearbeiteter Anschlussaufträge pro Tag 15.000 Grunddaten

Ø Umsatz pro Anschluss pro Tag in Euro 1,0

% verlorener Anschlussaufträge (1.-3. Tag) 1 % -

% verlorener Anschlussaufträge (4.-10. Tag) 2 % -

% verlorener Anschlussaufträge (11.-30. Tag) 5 % -

Länge der Verzögerung (1.-3. Tag) 1,25 10 %

Länge der Verzögerung (4.-10. Tag) 1,50 25 %

Schätzdaten

Länge der Verzögerung (11.-30. Tag) 2,00 50 %

Tabelle 5.8: Daten zur Schadensdimension ‚Verlust von Nutzungsentgelten’

Nach den Berechnungen ergibt sich dadurch ein kumulierter Folgeschaden von

etwa 0,78 Millionen Euro nach 30 Tagen (vgl. Abbildung 5.7). Dies entspricht

einem durchschnittlichen täglichen Folgeschaden von etwa 26.000 Euro.

153 Abgeleitet aus Kundenwert, vgl. Abschnitt 5.5.5.

56

0

200

400

600

800

1000

1200

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in T

au

sen

d E

uro

)

Abbildung 5.7: Kumulierter Folgeschaden zur Schadensdimension ‚Verlust von Nutzungsentgelten’

5.5.5 Schadensdimension ‚Kundenverlust’

Um eine Grundlage für die Schätzung des Kundenverlustes heranzuziehen, wird die

Anzahl der Auftragswünsche betrachtet, die aufgenommen und der Nacharbeit

zugeführt werden. Eine weitere Größe stellt der Kundenwert154 dar, der den

ökonomischen Wert eines Kunden für die TK-Unternehmung bezeichnet. Ein

einheitliches Begriffsverständnis liegt hierzu in der betriebswirtschaftlichen Literatur

nur begrenzt vor.155 Der für die vorliegende Arbeit geeignet erscheinende Ansatz

sieht den Kundenwert „als Summe der auf den aktuellen Zeitpunkt barwertigen

Überschüsse der mit dem Kunden potenziell abschließbaren Geschäfte über die

Dauer der Kundenbeziehung.“156 Damit könnte beispielsweise bei einer

TK-Unternehmung der zukünftig erwartete Umsatz eines Kunden über einen

154 Im angelsächsischen Raum wird der Kundenwert auch als Customer Lifetime Value (CLV) bezeichnet. Dies betont die notwendige Betrachtung über den gesamten Lebenszyklus eines Kunden. Zur überblickhaften Darstellung von theoretischen Aspekten und Beispielen aus der betrieblichen Praxis vgl. Andon et al. (2001), S. 259ff.

155 Für eine Übersicht unterschiedlicher terminologischer Ansätze zum Kundenwert vgl. Schroeder (2006), S. 3026ff. Für die Messung des ökonomischen Kundenwerts werden meist die zwei Dimensionen Kundenlebenszeit und -segmentierung betrachtet und nach unterschiedlichen Methoden bewertet. Vgl. Krafft/Rutsatz (2001), S. 241ff.

156 Schroeder (2006), S. 30.

57

Zeitraum von zwei Jahren als Kundenwert angenommen werden.157 Die

TK-Unternehmung O2 nennt im Jahresbericht 2005 einen Annual Return Per User

(ARPU) von 363 Euro in Deutschland.158 Das hier vorliegende Modell orientiert

sich an dieser Größe und geht damit von einem Kundenwert (Laufzeit zwei Jahre)

von etwa 700 Euro aus. Für die weitere Betrachtung wird in gegebenem Notfall-

szenario ein verhältnismäßig niedriger Kundenverlust angenommen, der mit der

Ausfalldauer ansteigt (vgl. Tabelle 5.9). Dies deckt sich mit der Einschätzung von

Rams, der in seiner empirischen Untersuchung nur einen geringen Zusammenhang

zwischen Kundenbindung und Kundenbetreuung im Mobilfunkmarkt festgestellt

hat.159 So überwiegt die kundenseitige Beurteilung von Netzqualität und Preisni-

veau die Bedeutung der Bewertung der Kundenbetreuung deutlich.

Datenart Abhängigkeit Ausprä-gung

Schwan-kungsbreite

Grunddaten # der Aufträge pro Tag 15.000 -

Kundenwert in Euro 700 20 %

% verlorener Aufträge (1.-3. Tag) 1 % 10 %

% verlorener Aufträge (4.-10. Tag) 2 % 25 %

Schätzdaten

% verlorener Aufträge (11.-30. Tag) 5 % 50 %

Tabelle 5.9: Daten zur Schadensdimension ‚Kundenverlust’

Unter den getroffenen Annahmen ergibt sich hiermit ein kumulierter Folgeschaden

von etwa 12,3 Millionen Euro nach 30 Tagen (vgl. Abbildung 5.8). Dies entspricht

einem täglichen Folgeschaden von durchschnittlich etwa 410.000 Euro.

157 Einen Überblick des Kundenwertmanagements bei D2 Vodafone gibt von Harrach (2001), S. 677.

158 Vgl. O2 (2005), S. 9.

159 Vgl. Rams (2001), S. 293.

58

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

20000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in T

au

sen

d E

uro

)

Abbildung 5.8: Kumulierter Folgeschaden zur Schadensdimension ‚Kundenverlust’

Damit ist der Kundenverlust im Verhältnis zu anderen Schadensdimensionen trotz

der anteilig geringen Verluste unter den getroffenen Annahmen als besonders

relevant einzuschätzen. Dies entspricht auch der großen Bedeutung, die

TK-Unternehmungen der Kundenloyalität in der momentan angespannten Wett-

bewerbssituation beimessen.

5.5.6 Zusammenfassende Betrachtung der Schadensdimensionen

Die zusammenfassende Betrachtung zeigt die unterschiedlichen Schadensdimensi-

onen und deren beispielhafte Ausprägung im Zeitverlauf. Es ergibt sich ein

kumulierter Folgeschaden von etwa 15,5 Millionen Euro bei 30 Tagen IT-Ausfall.

Dabei übersteigen die Kundenverluste die interne Kostensteigerung um ein

Vielfaches (vgl. Abbildung 5.9).

59

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in M

io.

Eu

ro)

Mehrarbeit Zusatzpersonal Endgeräte Nutzungsentgelt Kundenverlust

Abbildung 5.9: Kumulierter Gesamt-Folgeschaden je Schadensdimension im Median

Die folgende tabellenförmige Darstellung der Folgeschäden s je Ausfalldauer l gibt

einen weiteren Überblick der Relevanz unterschiedlicher Schadensdimensionen in

dem konkreten TK-Zusammenhang (vgl. Tabelle 5.10).

IT-Ausfalldauer Schadensdimension

1. bis 3. Tag 4. bis 10. Tag 11. bis 30 Tag

Mehrarbeit 31 T€ 23 T€ 16 T€

Zusatzpersonal 0 T€ 3 T€ 7 T€

Endgeräte 25 T€ 50 T€ 100 T€

Nutzungsentgelt 19 T€ 22 T€ 29 T€

Kundenverlust 105 T€ 210 T€ 525 T€

Gesamtschaden pro Tag 180 T€ 308 T€ 677 T€

Tabelle 5.10: Folgeschäden pro Tag je Ausfall und Schadensdimension in Tausend Euro

Signifikante Folgeschäden lassen sich im Bereich der Endgeräte und des Kundenver-

lusts erkennen, Kostensteigerungen werden unter den gegebenen Annahmen als

verhältnismäßig gering eingeschätzt. Grundsätzlich ist von einem überproportional

höheren Folgeschaden bei längerer Notfalldauer auszugehen, da hier zusätzliche

Schadenseffekte zu erwarten sind.

60

Bei der Betrachtung der Schwankungsbreiten in der Gesamtdarstellung zeigt sich

ein Intervall von etwa 8,3 bis 22,6 Millionen Euro für den Gesamt-Folgeschaden

(vgl. Abbildung 5.10). Diese Größenordnung kann nun den Ausgangspunkt für

eine Wirtschaftlichkeitsbetrachtung der IT-Notfallvorsorge darstellen.

0

5000

10000

15000

20000

25000

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

IT-Ausfalldauer l (in Tagen)

Fo

lgesch

ad

en

s (

in M

io. E

uro

)

Abbildung 5.10: Kumulierter Gesamt-Folgeschaden (Minimum, Median, Maximum)

Für eine weitere Betrachtung kann ein täglicher Durchschnittswert des Folgescha-

dens herangezogen werden. Ohne Berücksichtigung des exponentiellen Schaden-

verlaufs bewegt sich dieser zwischen 277.000 Euro und 754.000 Euro, im Median

bei 516.000 Euro.

5.6 Kritische Würdigung des Modells zur Folgeschaden-analyse

Bei der kritischen Betrachtung des vorgestellten und beispielhaft angewandten

Modells zur Folgeschadenanalyse ergeben sich nachfolgende Feststellungen:

- Sowohl die Datengrundlage als auch die Schätzungen können unterschiedliche

Genauigkeiten aufweisen, die möglicherweise zu einer hohen Schwankungsbrei-

te der Gesamtbewertung führen können. Hierbei besteht vor allem bei ungenü-

61

gender Integration relevanter Beteiligter160 und ohne ausführliche Dokumenta-

tion das Risiko, dass die Untersuchungsergebnisse nicht anerkannt werden.

- Eine weitere Schwierigkeit ergibt sich bei der Untersuchung von indirekten und

mittel- bzw. langfristigen Auswirkungen (z. B. Kundenunzufriedenheit), die nur

näherungsweise monetär messbar sind. Zwar wird in der vorliegenden Model-

lierung eine Abbildung auf die bezifferbare Auswirkung des Kundenverlusts

durchgeführt, doch ist ein solcher Übertrag sicherlich nicht in allen Anwen-

dungsfällen ohne Weiteres möglich.

- Auch birgt die Anwendung des Modells zur Folgeschadenanalyse die Schwie-

rigkeit, einen angemessenen Aufwand zur Bestimmung der Abhängigkeiten und

der Ermittlung der Daten einzusetzen und damit eine geeignete Genauig- bzw.

Belastbarkeit zu erhalten. Aufgrund der komplexen Zusammenhänge besteht

dabei für die Durchführenden das Risiko, sich in Einzelheiten und unnötigen

Fragestellungen zu verlieren.

- Bei der Betrachtung des beispielhaften Szenarios haben sich ähnliche Schadens-

kurven im Zeitverlauf ergeben. Ggf. sind jedoch bei Betrachtungen in anderen

Branchen bzw. Geschäftsprozessen alternative Verläufe denkbar.161

Weitere Schwierigkeiten bei einer praktischen Durchführung wurden im Rahmen

einer Untersuchung von Continuity Central identifiziert162 und können damit als

Erfolgsfaktoren angesehen werden:

- ungenügende Unterstützung seitens der Geschäftsführung;

- geringe Rücklaufquote bei der Datensammlung;

160 Grundsätzlich ist im Bereich der IT-Sicherheit die Miteinbeziehung sogenannter Stakeholder und eine geeignete Verteilung aller notwendigen Informationen als erfolgskritisch anzusehen. Zur Verknüpfung von IT-Sicherheit mit Wissensmanagement vgl. Kesh/Ratnasingam (2007), S. 103ff.

161 Beispielsweise ist ein logarithmischer Verlauf mit einem stark ansteigenden Folgeschaden in den ersten beiden Tagen und einer anschließend Abflachung denkbar.

162 Vgl. Continuity Central (2003), S. 10.

62

- wenig Kenntnis über Risiken, Abhängigkeiten und Geschäftsprozesse bei den

Beteiligten.

Demgegenüber stehen wesentliche Vorteile des vorgestellten Modells zur Folge-

schadenanalyse, die speziell bei der Untersuchung ökonomischer Aspekte bei der

Gestaltung von IT-Notfallvorsorge einen deutlichen Mehrwert darstellen können:

- Schon die Durchführung der Analyse selbst führt zu einem verbesserten

Verständnis der Schadensdimensionen und deren Abhängigkeiten, ohne

die exakten Endergebnisse im Detail zu betrachten.

- Weiterhin kann eine Größenordnung des potenziellen Schadens ermittelt

und damit die Bedeutung des Geschäftsprozesses sowie dessen

IT-Unterstützung quantitativ diskutiert werden.

- Auch führt eine abteilungsübergreifende Bearbeitung des Modells zur

Folgeschadenanalyse zu einem verbesserten Verständnis über den geschäftli-

chen Mehrwert von IT-Systemen innerhalb der Unternehmung. Dieses verbes-

serte Verständnis fördert zudem das Bewusstsein über die Bedeutung der

IT-Notfallvorsorge.163 Gerade die Wahrnehmung einer hohen Bedeutung der

IT-Notfallvorsorge durch die Führungsebene ist für einen nachhaltigen Erfolg

der ergriffenen Maßnahmen notwendig.164

163 Insbesondere eine umfassende Notfallvorsorge muss durch die Geschäftsleitung als strategi-sches Ziel definiert werden. Zur Übersicht über die jeweiligen institutionellen Einflussfaktoren vgl. Lalwani (2006), S. 8.

164 „Changing the corporate culture however is still a major effort and management needs to be convinced that it pays off to invest in business continuity, layered defences and survivable systems.“ Quichmayr (2004), S. 3.

63

6 Untersuchung und Bewertung möglicher Notfall-szenarien

Im Rahmen einer Risikobewertung ist ein Verständnis möglicher Notfallszenarien

(NFS) notwendig. Hierzu erfolgt im vorliegenden Kapitel eine ausführliche Betrach-

tung unterschiedlicher Gefährdungslagen.

Als Vorbereitung wird im ersten Schritt die Aggregation von Notfallszenarien

anhand der Gefährdungskataloge aus dem IT-Grundschutz durchgeführt, um diese

danach weiter in vier Klassen zu strukturieren. Anschließend werden daraus

Gruppen von Notfalldauern abgeleitet, die eine abgestufte Betrachtung ermögli-

chen. Im letzten Abschnitt werden die identifizierten Notfallszenarien und deren

Besonderheiten hinsichtlich einer Einschätzung ihrer jeweiligen Risiken qualitativ

bewertet.

6.1 Aggregation von Notfallszenarien anhand der Gefähr-dungskataloge innerhalb des IT-Grundschutzes

Um mögliche Notfallszenarien strukturiert analysieren zu können, werden diese im

Folgenden anhand der IT-Grundschutz-Kataloge aggregiert. Die Kataloge enthalten

Hintergrundinformationen zu potenziellen Gefährdungen im Bereich der

IT-Sicherheit. Dies schließt alle Verletzungen der IT-Sicherheitsziele mit ein, die zu

einem IT-Notfall führen können. Die Gefährdungen innerhalb des IT-Grundschutzes

sind in fünf Klassen strukturiert (vgl. Tabelle 6.1).165

165 Vgl. BSI (2007a), Abschnitt Gefährdungskataloge; Köhler (2007), S. 225.

64

Nr. Gefährdungskatalog Anzahl der enthaltenen Gefährdungen

1 Höhere Gewalt 17

2 Organisatorische Mängel 121

3 Menschliche Fehlhandlungen 85

4 Technisches Versagen 63

5 Vorsätzliche Handlungen 139

Tabelle 6.1: Gefährdungskataloge

Jede der o. g. Klassen enthält eine Liste von zugehörigen Gefährdungen mitsamt

einer ausführlichen Beschreibung. Im Rahmen der vorliegenden Untersuchung

wurden diese Listen analysiert und relevante Gefährdungen je Klasse im Kontext

der IT-Notfallvorsorge identifiziert, um diese weiter in übergeordneten Notfallsze-

narien zu aggregieren.166

Abbildung 6.1 zeigt hierzu auf der rechten Seite die aggregierten Notfallszenarien

in der Klasse Höhere Gewalt.

G 1.3 Blitz

G 1.4 Feuer

G 1.5 Wasser

G 1.11 Technische Katastrophen im Umfeld

G 1.13 Sturm

Personalausfall

(G 1.1)NFS 1.1

Personalausfall

(G 1.1)NFS 1.1

Naturkatastrophe

(G 1.3 / G 1.4 / G 1.5 / G 1.13)NFS 1.2

Naturkatastrophe

(G 1.3 / G 1.4 / G 1.5 / G 1.13)NFS 1.2

G 1.1 Personalausfall G 1.1 Personalausfall

Technische Katastrophen im Umfeld

(G 1.11)NFS 1.3

Technische Katastrophen im Umfeld

(G 1.11)NFS 1.3

Abbildung 6.1: Notfallszenarien – G 1 Höhere Gewalt

Neben dem Personalausfall (beispielsweise durch Streik oder Krankheit eines

IT-Experten) sind in erster Linie Naturkatastrophen167 mit einer Auswirkung auf ein

Rechenzentrum und damit auf die IT-Funktionsfähigkeit relevant. Eine weitere

166 Weitere Ausführungen zur Methodik der Untersuchung von IT-Gefährdungen aus den IT-Grundschutz-Katalogen im Kontext von Ursache-Wirkungs-Zusammenhängen vgl. Hofmann (2006), S. 71ff.

167 Für Beispiele von geschäftskritischen Notfallszenarien mit Auswirkungen auf TK-Unternehmungen vgl. Jrad et al. (2004), S. 109f.

65

mögliche Gefährdung besteht durch technische Katastrophen im lokalen Umfeld

einer IT-Einsatzstelle.168

In der Klasse Organisatorische Mängel konnten nur begrenzt169 wesentliche

Gefährdungen mit einem direkten Bezug zur IT-Notfallvorsorge innerhalb der

Grundschutz-Kataloge abgeleitet und aggregiert werden. Dies liegt in erster Linie

daran, dass viele organisatorische Gefährdungen mit potenziell geschäftskritischen

Konsequenzen in anderen Gefährdungskatalogen eingeordnet sind (z. B. Personal-

ausfall, Konfigurations- und Bedienungsfehler).

Abbildung 6.2 zeigt weitere Notfallszenarien in der Klasse Menschliche Fehl-

handlungen.

G 3.2 Fahrlässige Zerstörung von Gerät oder DatenG 3.2 Fahrlässige Zerstörung von Gerät oder Daten

G 3.38 Konfigurations- und BedienungsfehlerG 3.38 Konfigurations- und Bedienungsfehler

Konfigurations- und Bedienfehler sowie

fahrlässige Zerstörung (G 3.2 / G 3.38)NFS 3.1

Konfigurations- und Bedienfehler sowie

fahrlässige Zerstörung (G 3.2 / G 3.38)NFS 3.1

Abbildung 6.2: Notfallszenarien – G 3 Menschliche Fehlhandlungen

Mögliche Szenarien umfassen unbeabsichtigte oder fahrlässige Fehlhandlungen in

Bezug zu Hard- oder Software. Dies schließt Konfigurations- und Bedienfehler mit

ein. Die angesprochenen menschlichen Fehlhandlungen können sowohl Informati-

onstechnik direkt oder indirekt Versorgungseinrichtungen (z. B. Klimaanlage oder

Stromversorgung) betreffen. Dabei werden vorsätzliche Fehlhandlungen jedoch

explizit ausgenommen, da diese in einer gesonderten Klasse behandelt werden.170

168 Als ein mögliches Szenario könnte hierzu ein Chemieunfall in der Nähe eines Rechenzentrums genannt werden, der eine ordnungsgemäße Wartung der IT-Systeme verhindert, da Betriebs-personal keinen physischen Zugang erlangen kann.

169 Alternative Einschätzungen sind möglich, da sich aufgrund der komplexen Ursache-Wirkungs-Zusammenhänge eine eindeutige Ereigniskette nur schwer vorab definieren lässt. „So kann beispielsweise eine vorsätzliche Handlung durch organisatorische Mängel und gleichzeitig durch das technische Versagen einer Sicherheitseinrichtung ermöglicht sein.“ Hofmann (2006), S. 72.

170 Vgl. Abbildung 6.4.

66

Abbildung 6.3 zeigt weiterhin die Ergebnisse der Aggregation innerhalb der Klasse

Technisches Versagen.

G 4.9 Ausfall der internen StromversorgungG 4.9 Ausfall der internen Stromversorgung

G 4.1 Ausfall der StromversorgungG 4.1 Ausfall der Stromversorgung

G 4.2 Ausfall interner VersorgungsnetzeG 4.2 Ausfall interner Versorgungsnetze

G 4.7 Defekte DatenträgerG 4.7 Defekte Datenträger

G 4.31 Ausfall oder Störung von NetzkomponentenG 4.31 Ausfall oder Störung von Netzkomponenten

G 4.38 Ausfall von Komponenten eines Netz- und

Systemmanagementsystems

Versorgungsausfall

(G 4.1 / G 4.2 / G 4.9)NFS 4.1

Versorgungsausfall

(G 4.1 / G 4.2 / G 4.9)NFS 4.1

Systemdefekt

(G 4.7 / G 4.31 / G 4.38)NFS 4.2

Systemdefekt

(G 4.7 / G 4.31 / G 4.38)NFS 4.2

Abbildung 6.3: Notfallszenarien – G 4 Technisches Versagen

Wie in der Abbildung dargestellt, lassen sich die Gefährdungen auf zwei Szenarien

eingrenzen. Einerseits kann ein Notfall durch einen Versorgungsausfall (z. B.

Klimaanlage oder Stromversorgung) eintreten, andererseits können das technische

IT-System bzw. einzelne Komponenten selbst ausfallen. Letzteres Szenario wird

allgemein als Systemdefekt beschrieben.

Abschließend wird in Abbildung 6.4 die Aggregation der Klasse Vorsätzliche

Handlungen dargestellt.

G 5.1 Manipulation/ Zerstörung von IT-Geräten

oder Zubehör

G 5.1 Manipulation/ Zerstörung von IT-Geräten

oder Zubehör

G 5.5 VandalismusG 5.5 Vandalismus

G 5.6 AnschlagG 5.6 Anschlag

G 5.21 Trojanische PferdeG 5.21 Trojanische Pferde

G 5.23 Computer-VirenG 5.23 Computer-Viren

Vorsätzliche physische Zerstörung

(G 5.1 / G 5.5 / G 5.6 / G 5.102)NFS 5.1

Vorsätzliche physische Zerstörung

(G 5.1 / G 5.5 / G 5.6 / G 5.102)NFS 5.1

Vorsätzliche nicht physische

Gefährdung (G 5.21 / G 5.23 / G 5.102)NFS 5.3

Vorsätzliche nicht physische

Gefährdung (G 5.21 / G 5.23 / G 5.102)NFS 5.3

G 5.102 SabotageG 5.102 Sabotage

Abbildung 6.4: Notfallszenarien – G 5 Vorsätzliche Handlungen

Hierbei erfolgt die wesentliche Unterscheidung durch das Zielobjekt einer vorsätzli-

chen Handlung. Ist Technik selbst betroffen, so wird von einer physischen Zerstö-

67

rung gesprochen. Eine nicht physische Gefährdung liegt hingegen vor, wenn der

Angriff der Software-Komponente gilt.

Fasst man die Ausführungen zusammen, so können insgesamt acht Notfallszena-

rien identifiziert werden, die nun den Ausgangspunkt für eine weitere Strukturie-

rung und Untersuchung darstellen.171

6.2 Weitere Strukturierung der Notfallszenarien

Für ein besseres Verständnis der Auswirkung bei Eintritt eines Notfallszenarios, das

für eine Risikobewertung erforderlich ist, wird weiter nach den in Abbildung 6.5

skizzierten Kriterien strukturiert.

Notfallszenario

Standort-

ausfall

Physischer

Schaden

Komponenten-

ausfall

Nicht physischer

Schaden

Standort-

ausfall

Komponenten-

ausfall

Abbildung 6.5: Kriterien zur weiteren Strukturierung der Notfallszenarien

Dabei wird wirkungsbezogen einerseits unterschieden, ob es sich um einen

physischen172 oder nicht physischen Schaden handelt, d. h., ob eine Neubeschaf-

fung von Technik notwendig ist oder nicht. Andererseits wird das mögliche

Ausmaß des Notfalls differenziert, indem zwischen Standort173- und Komponen-

tenausfall unterschieden wird. Bei einem Standortausfall ist das gesamte Rechen-

171 Zur alternativen Kategorisierung der IT-Gefährdungen aus den IT-Grundschutz-Katalogen über den Untersuchungsgegenstand der IT-Notfallvorsorge hinaus vgl. Hofmann (2006), S. 79ff.

172 Im Sinne eines Sachschadens.

173 Eine weitere Unterscheidung wäre möglich in einen einzelnen oder mehrfachen Standortausfall bei einem überregional vernetzten IT-System.

68

zentrum betroffen, bei einem Komponentenausfall lediglich einzelne IT-Systeme

oder deren Komponenten.

In einem weiteren Schritt werden die aggregierten Notfallszenarien aus Abschnitt

6.1 auf ihre Wirkung hinsichtlich o. g. Strukturierung betrachtet (vgl. dazu Tabelle

6.2).

Physisch Nicht physisch Gruppe Nr. Notfallszenario

Standort Kompo-nente

Standort Kompo-nente

1 1.3 Technische Katastro-phen im Umfeld

� �

1.1 Personalausfall � �

2 5.2

Vorsätzliche nicht physische Gefähr-dung

� �

3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung

� � � 3

4.1 Versorgungsausfall � � �

1.2 Naturkatastrophe � �

4.2 Systemdefekt � � 4

5.1 Vorsätzliche physische Zerstörung

� �

Tabelle 6.2: Notfallszenarien und deren Wirkung

Damit lassen sich vier Gruppen von Notfallszenarien beschreiben.

- Gruppe 1 wirkt ausschließlich physisch oder nicht physisch am gesamten

Standort, beispielsweise durch einen Flugzeugabsturz.

- Gruppe 2 wirkt ohne physischen Schaden an der IT selbst, beispielsweise

durch Überwachungsschwierigkeiten aufgrund der Krankheit eines besonders

qualifizierten IT-Mitarbeiters oder durch einen Computervirus, der ausschließlich

eine Schädigung an Daten oder Software herbeiführt.

- Gruppe 3 kann außer der physischen Schädigung des Gesamtstandorts alle

anderen identifizierten Auswirkungen zur Folge haben.

- Gruppe 4 wirkt ausschließlich mit physischer Schädigung.

Die durchgeführte Analyse unterschiedlicher Notfallszenarien zeigt, dass vielfältige

Ursachen und Wirkungen betrachtet werden müssen, die mit ihren unterschiedli-

69

chen Ausprägungen eine hohe Komplexität für eine Durchführung der Risikobewer-

tung aufweisen. Dennoch stellt diese weitere Gruppierung eine hilfreiche Systema-

tik dar, um Schadensauswirkungen beurteilen zu können.

6.3 Ableitung möglicher Klassen von Notfalldauern

Betrachtet man die Auswirkung als Risikodimension, so kann die Notfalldauer

(d. h. Zeitdauer bis zur nahezu vollständigen IT-Wiederherstellung174) als eine

darauf bezogene bedeutende Abhängigkeit identifiziert werden.175 Dazu werden

kurze, mittlere und lange Notfalldauern anhand der Szenarien aus Abschnitt 6.2

abgeleitet. Dies dient einer weiteren Vereinfachung und der besseren Zuordnung

möglicher Steuerungsinstrumente.

Notfallszenario

Standort-

ausfall

Physischer

Schaden

Komponenten-

ausfall

Nicht physischer

Schaden

Standort-

ausfall

Komponenten-

ausfall

Notfall-

dauer

Mittel

4-10 Tage

Lang

11-30 Tage

Kurz

1-3 Tage

Abbildung 6.6: Klassen von Notfalldauern

174 Zur Darstellung eines IT-Notfalls im Zeitverlauf vgl. Abschnitt 5.2.

175 Aufgrund der Abhängigkeit der Schadenshöhe von der Ausfalldauer kann beispielsweise mit steigender Notfalldauer ein überdurchschnittlicher Umsatzverlust auftreten.

70

Die Einteilung seitens des Autors und die zugrunde liegenden Annahmen werden

im Folgenden beschrieben:

- Lange Notfalldauern (etwa 11 bis 30 Tage) sind tendenziell die Folge einer

physischen Zerstörung wesentlicher Teile eines Standorts, beispielsweise auf-

grund einer Naturkatastrophe oder eines Großbrandes. Eine Begrenzung durch

Annahme einer maximalen Notfalldauer von z. B. 30 Tage ist insofern möglich,

als bei vorhandener Datensicherung und hoher Unterstützung seitens der Ge-

schäftsleitung ein Wiederaufbau mit Ersatzinfrastruktur in einigen Wochen

realisierbar erscheint.176

- Mittlere Notfalldauern (etwa 4 bis 10 Tage) können nach einem physischen

Schaden an einem oder mehreren IT-Komponenten auftreten, die wiederbe-

schafft und für den Einsatz vorbereitet werden müssen. Eine weitere mögliche

Ursache für eine mittlere Notfalldauer stellt ein nicht physischer Schaden eines

Standorts dar.177

- Kurze Notfalldauern (etwa 1 bis 3 Tage) treten meist nach einem nicht

physischen Schaden an einzelnen IT-Komponenten auf, z. B. ausgelöst durch

einen Computervirus.178 Denkbar ist auch ein geringfügiger physischer Scha-

den, z. B. Kabelbrand im Großrechner und Zerstörung einzelner Bauteile. Wei-

terhin besteht die Möglichkeit eines begrenzten nicht physischen Standortaus-

falls, der in wenigen Tagen behoben werden kann, z. B. ein Defekt in der

Klimaanlage.

Die o. g. Einteilung erlaubt eine weitere strukturierte Betrachtung von Notfallszena-

rien bei unterschiedlichen Notfalldauern ausgehend von physischen und nicht

physischen Schadensszenarien. Damit kann die Gruppierung der Notfallszenarien

aus Abschnitt 6.2 und die Klassifizierung von Notfalldauern ergänzt werden, um

176 Einschätzung von IT-Führungskräften gegenüber dem Autor der vorliegenden Arbeit.

177 Beispielsweise eine Absperrung aufgrund einer polizeilichen Ermittlung.

178 Vgl. Eckert (2003), S. 32ff.

71

eine näherungsweise Einschätzung179 der Auswirkung eines Szenarios zu bestim-

men (vgl. Tabelle 6.3). Hierzu wird ein positiver Zusammenhang zwischen Notfall-

dauer und ökonomischer Auswirkung angenommen, der auch im Rahmen der

Folgeschadenanalyse in Kapitel 5 bestätigt werden konnte.

Gruppe Nr. Notfallszenario Ausfalldauer (in Tagen)

Qualitative Einschätzung

1 1.3 Technische Katastrophen im Umfeld 4 bis 30 Hoch

1.1 Personalausfall

2 5.2

Vorsätzliche nicht physische Gefährdung

1 bis 3 Niedrig

3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung 3

4.1 Versorgungsausfall

1 bis 10 Mittel

1.2 Naturkatastrophe 10 bis 30 Sehr hoch

4.2 Systemdefekt 4

5.1 Vorsätzliche physische Zerstörung

1 bis 10 Mittel

Tabelle 6.3: Qualitative Einschätzung der Notfalldauern

Bei technischen Katastrophen im Umfeld wird von einer Ausfalldauer von mindes-

tens vier Tagen ausgegangen, die bei einem großflächigen Ereignis auf bis zu 30

Tage ansteigen kann. Szenarien aus Gruppe 2 (Personalausfall und vorsätzliche

nicht physische Gefährdung) führen mit den getroffenen Annahmen zu einer

kurzen Ausfalldauer von maximal drei Tagen. Aufgrund der Möglichkeit einer

physischen Zerstörung sind Notfälle aus Gruppe 3 mit einer Maximaldauer von

zehn Tagen möglich. Naturkatastrophen werden mit einer sehr hohen Auswirkung

bewertet; die beiden weiteren Gefährdungen Systemdefekt und vorsätzliche

physische Zerstörung werden mit einer Notfalldauer von eins bis zehn Tagen

belegt.

Die durchgeführte Strukturierung und qualitative Einschätzung der Notfalldauern

stellt eine Vereinfachung dar, die zum Zweck einer generischen Klassifizierung

genutzt wird. Dabei ist zu beachten, dass die beispielhafte Nennung möglicher

179 In die vier Klassen niedrig, mittel, hoch und sehr hoch.

72

Zeitdauern vom Unternehmungskontext sowie der eingesetzten IT-Unterstützung

abhängt und aus diesem Grund im Einzelfall neu bewertet werden muss.180

6.4 Zusammenfassende Bewertung und Besonderheiten der identifizierten Notfallszenarien

Wie bereits untersucht wurde, ist eine belastbare statistische Datenbasis für die

Bewertung der Eintrittswahrscheinlichkeit von IT-Notfällen nicht vorhanden.181

Meist liegen nur Statistiken von Großschäden vor, die in einem bestimmten

Zeitraum aufgetreten sind.182 Als ein Beispiel kann eine empirische Untersuchung

von Datenmaterial eines amerikanischen Anbieters (38 Prozent Marktanteil) für

IT Disaster Recovery vorgestellt werden. Hierbei wurden 429 Notfallereignisse im

Zeitraum von 1981 bis 2000 analysiert, und es wurde festgestellt, dass 80 Prozent

der Ereignisse in die vier Klassen Naturkatastrophe, IT-Systemfehler, Stromausfall

und vorsätzliche Handlung eingeordnet werden können.183 Eine Wahrscheinlich-

keitsverteilung konnte daraus allerdings nicht abgeleitet werden.

Aus diesem Grund wird im Folgenden eine qualitative Bewertung der Notfallszena-

rien durchgeführt, die Besonderheiten herausarbeitet und weitere Anhaltspunkte

für eine detaillierte Einschätzung aus anderen Untersuchungen ableitet.

- Nr. 1.1 Personalausfall: IT-Notfälle aufgrund eines Personalausfalls sind in

erster Linie möglich, wenn einzelne hochkritische Komponenten des IT-Systems

nur von einem oder wenigen Mitarbeitern zuverlässig bedient werden können.

Auch in Kombination mit (über-)regionalen Katastrophen kann ein zusätzlicher

180 Eine wenig komplexe Rechnerarchitektur mit einfacher Netzwerktopologie lässt sich beispiels-weise deutlich schneller wieder aufbauen als ein umfangreicher IT-Systemverbund mit unter-schiedlichen eingesetzten Technologien und komplexen Schnittstellen.

181 Vgl. Wiedemann (2007b), S. 43ff.

182 Für eine Zusammenfassung der Großschäden im Jahr 2000 nach Schadenskategorien vgl. SwissRe (2001), S. 15.

183 Vgl. Lewis (2003), S. 203f.

73

Personalausfall eine Krise weiter verstärken, wenn beispielsweise Mitarbeiter

keine Möglichkeit haben, das Rechenzentrum zu erreichen.184

- Nr. 1.2 Naturkatastrophe: Im Bereich der Naturkatastrophen sind regionale

Unterschiede zu verzeichnen, wenn mögliche Eintrittswahrscheinlichkeiten be-

trachtet werden. So wird beispielsweise für Tokio in den nächsten 50 Jahren

ein starkes Erdbeben mit 90 Prozent Wahrscheinlichkeit angenommen;185 im

Bereich der sogenannten deutschen Schwächezone (Ostthüringen und

Westsachsen) wird hingegen nur von 10 Prozent Eintrittswahrscheinlichkeit bei

der Betrachtung der nächsten 50 Jahre ausgegangen (vgl. Abbildung 6.7).186

Abbildung 6.7: Erdbebenrisiko (Quelle: MDR (2006b), S. 1)

184 Vgl. Landry/Koger (2006), S. 12.

185 Vgl. Innovationsreport (2004), S. 1.

186 Zur Übersicht über die erwarteten Verluste durch mögliche Erdbebenschäden an Wohnbauten bei einer Eintrittswahrscheinlichkeit von 10 % in 50 Jahren in Deutschland vgl. Grünthal (2005), S. 7.

74

Im Bereich der Hochwasserkatastrophen187 sind nur besonders gefährdete Ge-

biete in Fluss- oder Meeresnähe betroffen, aufgrund der geringen Häufigkeit

lässt sich hier jedoch nur begrenzt eine Hochwassergefahr i. S. e. Eintrittswahr-

scheinlichkeit prognostizieren (vgl. Abbildung 6.8).188

Abbildung 6.8: Überflutungsrisiko (Quelle: MDR (2006a), S. 1)

- Nr. 1.3 Technische Katastrophen im Umfeld: Im Bereich technischer

Katastrophen kann beispielsweise auf eine ausführliche Untersuchung des TÜV

verwiesen werden, der für ein Chemiewerk in der geplanten Einflugschneise des

Frankfurter Flughafens die Eintrittswahrscheinlichkeit eines Absturzes statistisch

ermittelt hat. Die Untersuchung nimmt in dieser konkreten Situation eine Stör-

fallhäufigkeit von 2,9 x 10-5 bis 4,8 x 10-5 (ein Fall in 34.500 bis ein Fall in

20.900 Jahren) an.189 Eine weitere Einschätzung stammt vom Luftfahrtbundes-

187 Für Deutschland sieht die Hochwasserbilanz der vergangenen 15 Jahre wie folgt aus: 1993 an der Mosel, 1997 die Oderflut, 1999 ein ausgesprochenes Rheinhochwasser mit Rekordwerten am Oberrhein, 2002 die Elbekatastrophe, 2005 Katastrophenalarm in Bayern und Österreich durch Alpenhochwasser und 2006 Elbhochwasser mit Rekordwerten in Niedersachsen. Vgl. MDR (2006a).

188 Zur Darstellung der spezifischen Schwierigkeiten des Überschwemmungsrisikos und erster aktueller Ansätze einer Modellierung vgl. Benzin (2005), S. 250ff.

189 Vgl. SFK (2004), S. 5.

75

amt, das aussagt, dass seit 1972 außerhalb der unmittelbaren Nähe von Flug-

häfen sechs Flugzeuge ab einem Gewicht von 5,7 Tonnen bei Unfällen zerstört

wurden.190 Eine andere Stellungnahme zu technischen Katastrophen wurde

vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe getroffen: „Fäl-

le, bei denen das betroffene Betriebsgelände nach einem Unfall mit einem Ge-

fahrguttransporter auch nach einer Dauer von drei Tagen nicht wieder betreten

werden konnte bzw. Fälle, die eine langfristige und entsprechend großräumige

Evakuierung erforderlich machen, sind in Deutschland bisher nicht aufgetre-

ten.“191 Damit ergibt sich die Einschätzung eines geringen Risikos hinsichtlich

der technischen Katastrophen im Umfeld.

- Nr. 3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung:

Nach Einschätzung unterschiedlicher Studien sind auch Konfigurations- und

Bedienfehler mögliche Ursachen von IT-Notfällen. HP hat in diesem Zusam-

menhang ermittelt, dass 13 Prozent der ungeplanten Ausfallzeit auf menschli-

che Fehler zurückzuführen ist.192 Dieser Anteil kann sich jedoch weiter erhö-

hen, da durch die stetig wachsende Komplexität von IT-Systemen die

Verwundbarkeit weiter steigen wird.

- Nr. 4.1 Versorgungsausfall: Stromausfälle haben eine direkte Auswirkung

auf die IT-Funktionsfähigkeit, falls keine ausreichende unterbrechungsfreie

Stromversorgung (USV) verfügbar ist. Ebenso sind andere unterstützende Ein-

richtungen wie beispielsweise Klima- oder Lüftungsanlagen in hohem Maße von

technischen IT-Komponenten abhängig. Hiervon sind besonders weniger um-

fangreiche IT-Infrastrukturen betroffen, die keine umfassenden Grundsicherun-

gen vorhalten.

- Nr. 4.2 Systemdefekt: Ein Systemdefekt kann unterschiedliche technische

Ursachen haben. Einerseits sind Software- oder Hardware-Fehler möglich, ande-

rerseits können die Kommunikationsinfrastruktur und damit die Netzwerküber-

190 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.

191 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.

192 Vgl. HP Invent (2005), S. 5.

76

tragung gestört sein. Das Fazit einer diesbezüglichen Untersuchung von In-

fonetics lautet wie folgt: “Servers are the number one cause of downtime,

followed closely by applications and network.”193 Länger andauernde

IT-Ausfälle sind dagegen bei Systemdefekten nicht zu erwarten, da bei ausrei-

chender Datensicherung ein Ersatzsystem in wenigen Tagen aufgebaut werden

kann.

- Nr. 5.1 Vorsätzliche physische Zerstörung: Vorsätzliche Zerstörungen

haben je nach Ursache unterschiedlich hohe Auswirkungen zur Folge. Neben

verhältnismäßig geringen Schäden bei physischer Zerstörung einzelner

IT-Systemkomponenten sind auch umfangreichere Szenarien wie beispielsweise

Terroranschläge denkbar. Dabei ist deren Risiko abhängig von der möglichen

erreichbaren Außenwirkung und damit in Bezug auf die Eintrittswahrscheinlich-

keit je nach Branche und Standort unterschiedlich einzuschätzen. Speziell auf-

grund der aktuell angespannten weltpolitischen Lage ist hierbei jedoch tenden-

ziell von einer wachsenden Bedrohung auszugehen.194 Anschläge mit

ABC-Wirkstoffen, die eine langfristige und entsprechend großräumige Evakuie-

rung erforderlich machen, sind laut Bundesamt für Bevölkerungsschutz und

Katastrophenhilfe in Deutschland bisher nicht aufgetreten.195

- Nr. 5.2 Vorsätzliche nicht physische Gefährdung: Beispiele dieser

Gefährdung sind Computerviren, Würmer und trojanische Pferde,196 die in ihrer

Wirkung und dem ökonomischen Schadenspotenzial bedeutend sein können.

Speziell durch den hohen Grad an Vernetzung von IT-Systemen besteht hierbei

das Risiko einer schnellen globalen Ausbreitung und zudem einer unterneh-

mungsübergreifenden schadhaften Wirkung. Hierbei sind insbesondere auch

193 Infonetics (2003), S. 1.

194 Vgl. AKNZ (2005), S. 22f.

195 Interner nicht öffentlicher Bericht eines Projekts zur IT-Notfallvorsorge.

196 Vgl. Eckert (2003), S. 32ff. (Computerviren), S. 42ff. (Würmer) und S. 46ff. (trojanische Pferde).

77

haftungsrechtliche Aspekte relevant, deren Ausmaß speziell bei internationalen

Schadensszenarien nur schwer bestimmbar ist.

Abschließend lassen sich zwei wesentliche Feststellungen treffen, die die Problema-

tik der nur begrenzt bekannten Eintrittswahrscheinlichkeiten bei IT-Risiken weiter

verdeutlicht. Einerseits ist die Risikohöhe individuell und von der geografischen und

politischen Lage abhängig. Andererseits ist selbst bei klaren Randbedingungen eine

quantitative Ermittlung von Eintrittswahrscheinlichkeiten entweder aufwandsinten-

siv (vgl. o. g. TÜV-Gutachten) oder nur sehr begrenzt möglich (z. B. Terrorrisi-

ken197).

Ausgehend von den oben getroffenen Feststellungen wird im Folgenden eine

unternehmungsunabhängige qualitative Bewertung198 der Notfallszenarien

durchgeführt (vgl. Tabelle 6.4).

Gruppe Nr. Notfallszenario Qualitative Einschät-zung der Eintrittswahr-scheinlichkeit

1 1.3 Technische Katastrophen im Umfeld Niedrig

1.1 Personalausfall Mittel 2

5.2 Vorsätzliche nicht physische Gefährdung Hoch

3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung

Sehr hoch

3

4.1 Versorgungsausfall Mittel

1.2 Naturkatastrophe Niedrig

4.2 Systemdefekt Sehr hoch 4

5.1 Vorsätzliche physische Zerstörung Niedrig

Tabelle 6.4: Qualitative Einschätzung der Eintrittswahrscheinlichkeit

Ebenso wie die qualitative Einschätzung der Notfalldauern je Szenario in Tabelle

6.3 ist auch die hier durchgeführte Risikoeinschätzung lediglich als Richtwert bzw.

Größenordnung zu verstehen.

197 Zur ausführlichen versicherungstechnischen Bewertung unterschiedlicher Deckungskonzepte für Terrorismusrisiken vgl. Benzin (2005), S. 1ff.

198 In die vier Klassen niedrig, mittel, hoch und sehr hoch.

78

79

7 Alternativen der IT-Risikosteuerung und deren Bewertung

Ausgehend von den grundsätzlichen Möglichkeiten der IT-Risikosteuerung werden

nun konkrete Instrumente für eine Gestaltung der IT-Notfallvorsorge analysiert und

bewertet.199 Dazu werden im Rahmen der Untersuchung sowohl präventive

Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit einer Bedrohung als

auch reaktive Maßnahmen zur Begrenzung der ökonomischen Auswirkung nach

Eintritt eines IT-Notfalls betrachtet. Diese Maßnahmen werden hinsichtlich ihres

Umsetzungsaufwands grob bewertet200 und entsprechend kategorisiert.

Damit stellt die weitere Untersuchung eine Detaillierung der folgenden drei

plakativen Grundregeln für den Umgang mit Risiko von Rosenkranz/Missler-Behr

dar:201

- Don’t risk more than you can afford to loose: Die Geschäftsleitung muss

klare Vorstellungen darüber haben, von welcher Höhe und Häufigkeit an eintre-

tende Schadensfälle gefährlich für die Unternehmung werden.

- Consider the odds: Die Risikohäufigkeit und -höhe muss abgeschätzt und bei

einer Entscheidung berücksichtigt werden.

- Don’t risk a lot for a little: Der Mitteleinsatz und das Resultat der Risiko-

maßnahmen müssen in einem ausgewogenen Verhältnis stehen.

Die weitere Struktur kann wie folgt beschrieben werden: In Abschnitt 7.1 werden

aktive Steuerungsmöglichkeiten untersucht, die eine Gestaltung am IT-System

199 Damit werden alternative Handlungsmöglichkeiten für die Gestaltung von IT-Notfallvorsorge aufgezeigt, die unterschiedliche Steuerungsinstrumente darstellen und im jeweiligen Unter-nehmungskontext auf ihre Eignung hin betrachtet werden müssen.

200 Ein vollständiges Modell zur Kostenschätzung von Instrumenten zur IT-Risikosteuerung wird in der vorliegenden Arbeit nicht erarbeitet. Ein solches Modell kann möglicherweise in einer wei-teren Untersuchung definiert werden, um wesentliche Kostentreiber und deren Abhängigkeiten zu analysieren. Ein Ausgangspunkt für technische Maßnahmen könnte dazu über ein Kennzah-lensystem zur IT-Wirtschaftlichkeit erfolgen, vgl. Kütz (2003), S. 125.

201 Vgl. Rosenkranz/Missler-Behr (2005), S. 277.

80

selbst ermöglichen, wohingegen in Abschnitt 7.2 passive Möglichkeiten betrachtet

werden, die vornehmlich finanziell ohne gestalterische Auswirkung bleiben.

Anschließend erfolgen in Abschnitt 7.2.4 eine Überblicksdarstellung aller Hand-

lungsalternativen sowie deren kritische Würdigung in Abschnitt 7.3.

7.1 Aktive IT-Risikosteuerung

Im vorliegenden Abschnitt wird nach Darstellung der Möglichkeit der aktiven

Risikovermeidung das Instrument der Risikominderung analysiert, das entweder als

Schadensverhütung oder als Schadensherabsetzung eingesetzt werden kann.

Abschließend werden unterschiedliche Möglichkeiten der Risikobegrenzung

untersucht.

7.1.1 Risikovermeidung und deren Bewertung im Kontext der IT-Notfallvorsorge

Einhaus schreibt: „Unter Risikovermeidung ist der Verzicht auf die Risiko tragende

Transaktion überhaupt zu verstehen.“202 Dabei wird Risikovermeidung meist zu

Anfang eines Gestaltungsprozesses genutzt, um wesentliche Risiken auszuschlie-

ßen, die beispielsweise standortbezogene physische Zerstörungen und damit

signifikante ökonomische Auswirkungen zur Folge haben können. Es könnten die

folgenden besonderen Umgebungseinflüsse beispielhaft in Betracht gezogen

werden:

- erhöhte Absturzgefahr in der Einflugschneise eines Flughafens;203

- Überflutungsrisiko in Flussnähe;

- Großbrandbedrohung in der Nähe einer Raffinerie.

Weitere aktive Möglichkeiten der Risikovermeidung sind denkbar und können

Aspekte der identifizierten Notfallszenarien aus Kapitel 6 beeinflussen und damit

Teilrisiken vermeiden (vgl. Tabelle 7.1).

202 Einhaus (2006), S. 75.

203 Vgl. auch Darstellung des TÜV-Gutachtens in Abschnitt 6.4.

81

Nr. Notfallszenario Beispielhafte Maßnahme zur Risikovermeidung

1.1 Personalausfall Vollständige Automatisierung

1.2 Naturkatastrophe Keine erdbebengefährdeten Gebiete

1.3 Technische Katastrophen im Umfeld Keine gefährdeten Unternehmungen im Umfeld

3.1 Konfigurations- und Bedienfehler sowie fahrlässige Zerstörung

Vollständige Automatisierung

4.1 Versorgungsausfall Einsatz hochwertiger Komponenten

4.2 Systemdefekt Einsatz hochwertiger Komponenten

5.1 Vorsätzliche physische Zerstörung Nur begrenzt Vermeidung möglich, da vorsätzliche Handlung

5.2 Vorsätzliche nicht physische Gefähr-dung

Nur begrenzt Vermeidung möglich, da vorsätzliche Handlung

Tabelle 7.1: Beispielhafte Maßnahmen zur Risikovermeidung

Beispielsweise kann eine vollständige Automatisierung den Einfluss von menschli-

chen Fehlhandlungen oder Personalausfall vermeiden. Dabei sollte allerdings

beachtet werden, dass hierdurch ein weiteres Risiko durch eine verstärkte

IT-Abhängigkeit entstehen kann, das gesondert betrachtet werden muss. Auch

könnten technologiespezifische Ausfallrisiken vermieden werden, wenn besonders

hochwertige Komponenten eingesetzt werden.204 Im Bereich von vorsätzlichen

Bedrohungen ist hingegen eine Risikovermeidung nur begrenzt möglich, da die

Gefährdungsursache außerhalb des direkten Einflussraums einer Unternehmung

liegt.

Der Aufwand zur Bewertung der Möglichkeiten von aktiver Risikovermeidung ist

als gering einzuschätzen und erlaubt bei einzelnen Bedrohungen eine frühzeitige

Veränderung der Eintrittswahrscheinlichkeiten wesentlicher Risiken nahe Null.

Gerade bei Überlegungen der Standortwahl stehen i. A. nur wenige Alternativen

204 Die Qualität einer technischen Komponente wird über die Kennzahl Mean Time Between Failure (MTBF) gemessen, die die durchschnittliche Zeit zwischen zwei Ausfällen angibt. An-dere verwandte Kennzahlen sind Mean Time To Fail (MTTF) und Mean Time To Repair (MTTR). Vgl. Jrad et al. (2004), S. 108.

82

zur Verfügung, die hinsichtlich o. g. Risiken (z. B. Überflutung) untersucht werden

können.205

7.1.2 Risikominderung und deren Bewertung im Kontext der IT-Notfallvorsorge

Im Rahmen der Risikominderung können grundsätzlich zwei Hebel206 genutzt

werden (vgl. Abbildung 7.1).

Reaktive Senkung der Auswirkung

durch Schadenherabsetzung

Präventive Senkung der

Eintrittswahrscheinlichkeit durch

Schadenverhütung

RisikominderungRisikominderung

TechnischTechnisch

Nicht technischNicht technisch

TechnischTechnisch

Nicht technischNicht technisch

AusprägungHebelInstrument

Abbildung 7.1: Hebel zur Risikominderung

Maßnahmen zur Schadenverhütung wirken präventiv und reduzieren das Risiko

durch die Senkung der Eintrittswahrscheinlichkeit einer Bedrohung (z. B. Firewall).

Demgegenüber wirken Maßnahmen zur Schadenherabsetzung reaktiv und reduzie-

ren die ökonomische Auswirkung bei Eintritt einer Bedrohung (z. B. manueller

Ersatzprozess). Beide Ausprägungen können sowohl technische als auch nicht

technische Maßnahmen umfassen.

205 Hierbei ist speziell bei Nutzung von IT-Systemen zur Unterstützung erfolgskritischer Geschäfts-prozesse eine umfassende Betrachtung notwendig.

206 Ein Hebel stellt i. S. d. mathematisch-technischen Risikodefinition die Veränderung einer der zwei abhängigen Variablen (Eintrittswahrscheinlichkeit oder Auswirkung) dar.

83

Im Rahmen der Schadenverhütung kann nur begrenzt eine Veränderung des

Risikoprofils im spezifischen Bereich der IT-Notfallvorsorge vorgenommen werden,

da hier meist grundlegende Sicherheitsmaßnahmen zum Zuge kommen, die

beispielsweise den IT-Grundschutz-Katalogen entnommen werden können, um

einen Basisschutz zu erreichen.207 Dabei sind sowohl technische Maßnahmen (z. B.

Infrastruktur, Hard- und Software) als auch nicht technische Maßnahmen (z. B.

Personal, Organisation) im Betrachtungsumfang enthalten.208

Ein wesentlicher gestalterischer Handlungsspielraum der IT-Notfallvorsorge ergibt

sich im Bereich der Schadenherabsetzung. Entsprechende Maßnahmen stellen

meist den Arbeitsschwerpunkt dar, wenn IT-Notfallvorsorge im klassischen Sinne209

gestaltet wird. Auch Beispiele aus dem produzierenden Gewerbe zeigen ähnliche

Konzepte zur Fortführung der Geschäftskontinuität nach einem Notfall, der ohne

Ursache innerhalb der IT auftritt.210 Im angelsächsischen Sprachgebrauch wird für

Schadenherabsetzung der Begriff Disaster Recovery (DR) genutzt, der die (meist

technische) Konzeption für die Wiederherstellung nach einem IT-Notfall bezeich-

net.211 Grundsätzlich lassen sich hierbei drei Klassen von Maßnahmen unterschei-

den.

1. Vorhalten von (redundanter)212 technischer Infrastruktur:213 Ein zweites

IT-System als Ersatzlösung stellt eine häufig genutzte Notfallmaßnahme dar, da

207 „Das Ziel dieser IT-Grundschutz-Empfehlungen besteht darin, durch die Umsetzung von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausrei-chend ist (…).“ Werners/Klempt (2007), S. 293.

208 Vgl. BSI (2007a), Abschnitt Maßnahmen-Kataloge.

209 Als IT-Notfallvorsorge im klassischen Sinne wird die ausschließliche Auswahl technischer sowie reaktiver Wiederherstellungsmaßnahmen angesehen.

210 Zur Übersicht von Strategien für das produzierende Gewerbe im Rahmen eines sogenannten Manufacturing Operations Recovery and Resumption (MORR) Modells vgl. Iyer/Sarkis (1998), S. 170f.

211 Vgl. BSI (2000), S. 166: „Der Disaster Recovery Plan umschreibt die Maßnahmen zur Sicherstellung der bedarfsgerechten Verfügbarkeit der Datenverarbeitung nach einem Notfall.“

212 Zur formalen Darstellung von Redundanz im Kontext des Disaster Recovery vgl. Shao (2004), S. 1379ff.

213 Zur Darstellung unterschiedlicher Standby-Konzepte vgl. Köhler (2007), S. 145f.

84

hiermit die ökonomische Auswirkung bei geschäftskritischen IT-Ausfällen direkt

reduziert werden kann. Demgegenüber stehen jedoch hohe Kosten für die Be-

schaffung, den Aufbau und ggf. notwendige Änderungsanpassungen im lau-

fenden Einsatz. Je nach Anforderung an die IT-Wiederherstellungszeit wird

dabei zwischen Hot, Warm und Cold Standby unterschieden. Bei einem

IT-System mit Hot Standby214 steht eine voll funktionsfähige zweite

IT-Infrastruktur mit aktueller Datenbasis zur Verfügung, die die IT-Unterstützung

nach wenigen Minuten wieder aufnehmen kann. Die Konsistenz der Daten ist

vollständig gesichert,215 die Unterbrechung der Geschäftsprozesse ist minimal.

Ein Warm Standby stellt ebenso eine zweite IT-Infrastruktur zur Verfügung,

die jedoch vor Einsatzbeginn mit aktuellen Daten befüllt216 und ggf. in der

Konfiguration angepasst werden muss. Hierfür sind je nach Komplexität und

Datenmenge einige Stunden an IT-Wiederherstellungszeit anzusetzen. Eine

Lösung für Cold Standby umfasst die Bereithaltung eines Ersatzstandorts, der

für eine IT-Wiederherstellung genutzt werden kann. Dieser kann beispielsweise

auch mit anderen IT-Systemen geteilt werden, die ein unabhängiges Risikoprofil

beinhalten. Dabei ist zusätzlich die teilweise Vorbereitung von wenig kostenin-

tensiven Infrastrukturkomponenten (z. B. Netzwerk bzw. Verkabelung) möglich.

Ein besonderer Vorteil von Cold Standby sind die geringen Kosten, da die Be-

schaffung von Ersatzinfrastruktur bei Hot und Warm Standby mit der für

IT-Komponenten kurzen Lebenszeit aufwändig ist. Alternativ zu den Standby-

Konzepten ist die Vorhaltung eines mobilen oder stationären Notfall-

Rechenzentrums möglich, das von einem externen IT-Dienstleister betrieben

wird. Auch hierbei lassen sich unterschiedliche Anforderungen an die

IT-Wiederherstellung umsetzen.217

214 Zum Beispielrahmen eines Vertrags für eine Hot Standby Lösung vgl. BSI (2000), S. 171f.

215 Zur Klassifikation von Methoden zur Datenwiederherstellung vgl. Choy et al. (2000), S. 273ff.

216 Zur Darstellung von Optimierungsmöglichkeiten bei der Datenwiederherstellung zur Reduzie-rung von Ausfallzeit durch ein verbessertes Scheduling (d. h. Ablaufplanung) vgl. Keeton et al. (2006), S. 235ff.

217 Zur aktuellen Marktübersicht von Ausweich-Rechenzentren vgl. KES (2007), S. 62ff.

85

2. Liefervereinbarungen inkl. Wiederaufbauplanung: Um Beschaffungskos-

ten für redundante IT-Infrastruktur zur vermeiden, können sogenannte Liefer-

vereinbarungen für den IT-Notfall mit Hardware-Herstellern abgeschlossen wer-

den. Diese ermöglichen eine zeitnahe Ersatzlieferung im Notfall an einen

vordefinierten Standort. Diese Möglichkeit kann beispielsweise genutzt werden

im Zusammenwirken mit o. g. Lösung für Cold Standby. Zusätzlich zu einer

Liefervereinbarung sind hier noch weitere Planungsaktivitäten notwendig, um

einen strukturierten und zügigen IT-Wiederaufbau zu ermöglichen. Hierfür sollte

eine konzeptionelle Wiederaufbauplanung erstellt werden, die die notwendigen

Arbeitsschritte in zeitlicher Reihenfolge und einen hohen Detailgrad aufzeigt.

3. Manuelle Ersatzprozesse ggf. teilweise IT-gestützt: Eine weitere kosten-

günstige Möglichkeit ist die Vorbereitung manueller Ersatzprozesse, die die

ökonomische Auswirkung bei IT-Ausfall minimieren. Hierzu können papierba-

sierte Prozesse genutzt werden, die ggf. auf lokale IT-Unterstützung der Arbeits-

platzrechner zurückgreifen.

Alle bisher beschriebenen Maßnahmen zur Schadenherabsetzung müssen im

Rahmen von Notfallübungen218 ausführlich getestet werden, um deren Funktions-

fähigkeit sicherzustellen und weitere mögliche Schwachstellen aufdecken zu

können.219 Diese Übungen erfolgen in sogenannten Testszenarien, die bezüglich

Aufwand,220 Aussagekraft und Risiko angemessen sein müssen.221 Dabei erfordern

in erster Linie nicht technische Maßnahmen (z. B. manuelle Ersatzprozesse) eine

218 Zur Übungsvorbereitung und Durchführung vgl. Königs (2005), S. 218f.

219 Eine Umgebung für Hot Standby ist mit großer Wahrscheinlichkeit nicht ausreichend funktionsfähig, falls keine umfangreichen technischen und organisatorischen Notfalltests durchgeführt wurden. Vgl. Landry/Koger (2006), S. 8f. Zum Überblick über Testmethoden vgl. von Rössing (2005), S. 68; Naujoks (2002), S. 118ff.

220 „Das Üben erfordert allerdings auch einen hohen Einsatz an Ressourcen und muss daher auf die Bedürfnisse des Unternehmens im Hinblick auf Wirtschaftlichkeit und Ergebnis angepasst sein.“ Müller (2007), S. 36.

221 Vgl. Haase (2007), S. 20. Mögliche Testszenarien können unterschieden werden in einen Schreibtischtest, Test einer einzelnen Notfallkomponente und Test der gesamten Notfallumge-bung.

86

umfassende organisatorische Planung zur Erreichung einer hohen Effektivität in

einer geschäftskritischen Notfallsituation.

7.1.3 Risikobegrenzung und deren Bewertung im Kontext der IT-Notfall-vorsorge

Im Bereich der Risikobegrenzung werden die Risikostreuung und die Schadenüber-

wälzung unterschieden, die beide jeweils reaktive Maßnahmen darstellen.

Das Konzept der Risikostreuung (oder auch Diversifikation)222 stellt ursprünglich

eine Kapitalanlagestrategie dar.223 Eine Übertragung auf den Gestaltungsgegen-

stand der IT-Notfallvorsorge ist jedoch möglich. Grundsätzlich werden bei einer

Streuung einzelne Risiken minimiert, indem bei Eintritt in einem Bereich ein

Risikoausgleich in einem zweiten Bereich erfolgt. Nemzow stellt dazu fest: „Ideally,

the best planning looks to diversification as a strategy for protecting an organiza-

tion even with a direct disaster hit.”224 Diese Einschätzung betont nochmals die

hohe Bedeutung der Risikostreuung, welche bestmöglich bereits im Rahmen von

Planungsprozessen zu erfolgen hat. Grundsätzlich können sich jedoch Ähnlichkei-

ten zu o. g. reaktiven Maßnahmen (z. B. redundante Infrastruktur) der Schaden-

herabsetzung ergeben. Eine trennscharfe Abgrenzung ist somit nur begrenzt

möglich. Ein Beispiel für eine Risikostreuung besteht in der synchronisierten

Verteilung der Infrastruktur auf mehrere Standorte.225 Damit ist keine zusätzliche

Infrastruktur notwendig, lediglich ein erhöhter Aufwand für die Anwendungs- und

Datensynchronisierung226 ist im Rahmen der Gestaltung und des Einsatzes

222 Vgl. Rosenkranz/Missler-Behr (2005), S. 300.

223 Vgl. Einhaus (2006), S. 77.

224 Nemzow (1997), S. 133.

225 Zur Darstellung von Chancen und Risiken einer zentralen vs. dezentralen Informationsverarbei-tung vgl. Potthof (1998), S. 63.

226 Bei technischen Mechanismen wird zwischen synchroner und asynchroner Datenhaltung unterschieden. Eine synchrone Datenhaltung bezeichnet die parallele Vorhaltung der exakt gleichen Datenbestände an zwei unterschiedlichen Standorten. Dies ist aufgrund technischer Kommunikationsverzögerungen nur bis zu einer maximalen Entfernung von etwa 100 Kilome-tern möglich. Die asynchrone Datenhaltung ist überregional realisierbar und erlaubt keine transaktionsgenaue Parallelität in der Synchronisierung.

87

einzuplanen. Eine solche Verteilung reduziert die Auswirkung einer physischen

Zerstörung eines Standorts, indem durch die Übernahme der zweiten Infrastruktur

der ökonomische Schaden zumindest teilweise minimiert wird.

Auch bei dem Instrument der Schadenüberwälzung ergeben sich Ähnlichkeiten

zu einem anderen Steuerungsbereich, hier im Speziellen zur Risikoversicherung.227

Im Verständnis der vorliegenden Arbeit wird darunter die aktive (d. h. operative)

Steuerung mit Schadenüberwälzung auf einen Dritten angesehen, der selbst keine

Versicherungsleistungen anbietet. Als ein Beispiel dafür kann die Auslagerung228

der IT-Systeme an einen externen Dienstleister genannt werden,229 der vertrag-

lich230 auch bei Eintritt eines IT-Notfalls den IT-Einsatz sicherstellt231 oder eine

vertragliche Ausgleichszahlung leistet. Diese Ausgleichszahlung kann an die

Ergebnisse einer Folgeschadenanalyse angelehnt sein, um einen monetären

Ausgleich für realisierte Schäden zu erhalten.

Eine Kostenschätzung der o. g. Maßnahmen ist nicht anhand eines einfachen

Modells möglich, sondern muss im Einzelfall je nach Ausprägung individuell

227 Oftmals wird dabei auch zwischen operativem und finanziellem Risikotransfer unterschieden, vgl. Einhaus (2006), S. 78ff.

228 Unter Auslagerung von IT-Systemen ist die vollständige oder teilweise Übertragung von IT-Funktionen an rechtlich selbstständige Unternehmungen zu verstehen. Die Entscheidung für eine IT-Auslagerung stellt insofern eine spezielle Ausprägung der Make-or-Buy-Entscheidung dar, weil ein gewisses Maß an IT-Ressourcen bereits in der Unternehmung vorhanden ist und diese gegebenenfalls zu übertragen oder zu ersetzen sind. Vgl. Potthof (1998), S. 33ff. Zu spezifischen Aspekte des Outsourcings von Call und Customer Care Center mit einem Praxis-beispiel einer TK-Unternehmung vgl. Schwerdtner/Zylla (2000), S. 118ff.

229 Zur Darstellung von IT-Outsourcing vgl. auch Köhler (2007), S. 312ff.; Aspekte des Manage-ments der Komplexität von Informationstechnologie durch die Auslagerung der Datenverarbei-tung vgl. Oecking et al. (2000), S. 94ff.

230 Vor allem im stark regulierten Bankensektor müssen umfangreiche Prüf- und Kontrollmöglich-keiten bei IT-Auslagerung im Bereich der IT-Sicherheit ermöglicht werden. Vgl. Hirsch-mann/Romeike (2004), S. 18.

231 Hohe Anforderungen (z. B. im Bereich IT-Sicherheit bzw. IT-Notfallvorsorge) an den Betrieb von IT-Systemen können in Einzelfällen (besonders im Mittelstand) wirtschaftlicher in einem professionell betriebenen ausgelagerten Rechenzentrum umgesetzt werden, vgl. dazu Becker (2007), S. 67.

88

durchgeführt werden.232 Grundsätzlich ist vor allem bei Maßnahmen zur Risikobe-

grenzung notwendig, Auswirkungen der Maßnahmen selbst auf das Gesamtrisiko-

profil der Unternehmung zu betrachten. Beispielsweise können durch eine Vertei-

lung der Infrastruktur auf unterschiedliche Standorte weitere Risiken entstehen, die

durch eine erhöhte IT-Komplexität verstärkt werden.

7.2 Passive IT-Risikosteuerung

Im nachfolgenden Abschnitt werden passive Instrumente233 zur IT-Risikosteuerung

analysiert und bewertet. Passive Instrumente verändern nicht die Gestaltung des

IT-Systems selbst, sondern stellen alternative (zumeist finanzielle) Steuerungsmaß-

nahmen dar, die wirkungsbezogen (d. h. reaktiv) nach Eintritt einer Gefährdung

zum Tragen kommen. Im ersten Abschnitt werden dazu verschiedene Möglichkei-

ten der Risikoversicherung bewertet, anschließend erfolgt die Untersuchung von

Risikotragung durch sogenannte Captives.234 Die Analyse passiver Instrumente

schließt dann mit der Beurteilung der Risikoakzeptanz als nicht finanzielle Hand-

lungsoption zur strukturierten und dokumentierten Akzeptanz einzelner (Rest-)-

Risiken.

7.2.1 Risikoversicherung und deren Bewertung im Kontext der IT-Notfallvorsorge

Versicherungen stellen Instrumente zur Risikoüberwälzung dar, die von allen

Unternehmungen am Markt in unterschiedlicher Ausprägung in Anspruch genom-

men werden. Dabei wird die Versicherung nach Eintritt einer Bedrohung in

Anspruch genommen und kompensiert deren Wirkung, d. h. ökonomische

Auswirkung.

232 Insbesondere für eine Kostenschätzung technischer Maßnahmen kann auf die externe Unterstützung von IT-Dienstleistern zurückgegriffen werden, um ein finanzielles Angebot zu erhalten.

233 Vgl. Rosenkranz/Missler-Behr (2005), S. 297.

234 Eine Captive ist eine Versicherungsgesellschaft, die vollständig einem nicht in der Versiche-rungsbranche tätigen Unternehmen gehört und versicherungstechnische Risiken aus der Kon-zernfamilie versichert. Für eine detaillierte Untersuchung vgl. Abschnitt 7.2.2.

89

In einem ersten Schritt werden die vier grundsätzlichen Kriterien235 der Versicher-

barkeit von Risiken betrachtet,236 die unter Berücksichtigung der bisherigen

Untersuchungsergebnisse für IT-Risiken mit signifikanter Auswirkung und geringer

Eintrittswahrscheinlichkeit bewertet237 werden.

1. Kriterium der Schätzbarkeit: Die durch das Eintreten eines Risikos entste-

henden Schäden müssen definierbar und messbar sein. Damit muss es auf Sei-

ten des Versicherers eine genügend hohe Zahl risikotechnischer Einheiten238

geben, damit die Erwartungswerte der Schäden mit ausreichender Zuverlässig-

keit prognostiziert werden können. Speziell bei IT-Risiken liegen jedoch keine

belastbaren Daten zu Eintrittswahrscheinlichkeiten vor, die auf eine konkrete

IT-Umgebung anwendbar sind. Ebenso lassen sich ökonomische Schäden nur

mit hohem Aufwand abschätzen, da langfristige und indirekte Auswirkungen

(z. B. Ansehensverlust) schwer quantifizierbar sind.

2. Kriterium der Eindeutigkeit: Die Merkmale des Versicherungsfalles sowie

die des versicherten Schadens müssen im Versicherungsvertrag genau definiert

werden können, damit die Leistung nach Eintritt eines Risikos eindeutig be-

stimmbar ist. Der Versicherungsfall IT-Notfall kann klar bestimmt werden, der

Versicherungsumfang insbesondere im Zusammenhang mit Betriebsunterbre-

chungsschäden ist dagegen nur begrenzt eindeutig definierbar.

3. Kriterium der Zufälligkeit und Unabhängigkeit: Die Risiken müssen

zufällig und unabhängig voneinander eintreten und der Versicherte darf keinen

Einfluss auf den Schaden haben.239 Aufgrund der komplexen Ursache-

Wirkungsbeziehungen und der vielfältigen Abhängigkeiten bei der Verletzung

der IT-Sicherheitsziele kann eine Unabhängigkeit von IT-Risiken nur bedingt

235 Zum Vergleich dieser und weiterer Kriterien der Versicherbarkeit vgl. Benzin (2005), S. 209ff.

236 Vgl. auch Rosenkranz/Missler-Behr (2005), S. 301f.

237 Zur Bewertung o. g. Kriterien im Kontext von Terrorismusrisiken vgl. Benzin (2005), S. 236.

238 Die risiko- oder versicherungstechnische Einheit ist die kleinste Risikoeinheit, die tarifiert und verwaltet werden kann.

239 Aus diesem Grund sind Kumulrisiken und höhere Gewalt nur schwer versicherbar.

90

festgestellt werden.240 Diese Korrelation241 von Risiken wird auch von Böhme

im Kontext von IT-Versicherungen festgestellt: „We show in particular that

losses generated by security breaches must not be treated in the same way as

traditional indemnity insurance risks, because the structure of today’s installed

computer systems produces unwanted correlation of claims.“242 Diese Einschät-

zung betont die vielfältigen Abhängigkeiten innerhalb komplexer

IT-Risikoportfolios, die maßgeblich durch die Struktur der IT-Systeme selbst

hervorgerufen werden.

4. Kriterium der Größe: Die Schadenshöhe der Ereignisse darf nicht katastro-

phal sein, was eine unklare Definition darstellt und von der Risikokapazität des

Versicherers abhängt. IT-Notfälle können per Definition eine signifikante öko-

nomische Auswirkung zur Folge haben, d. h. auch dieses Kriterium zeigt

IT-spezifische Schwierigkeiten.

Als Fazit seiner Arbeit zur spezifischen Versicherbarkeit von IT-Risiken stellt Koch

fest, dass „die herkömmlichen Versicherungsprodukte in der Sach-, Vertrauens-

schaden- und Haftpflichtversicherung vielfach nicht ausreichen, um die vorhande-

nen IT-Risiken aufzufangen.“243 Dies wird ähnlich eingeschätzt von Seitz, der die

Möglichkeiten des traditionellen Rückversicherungsmarktes im Umgang mit

Grenzrisiken untersucht hat: „Die Grenzen der Rückversicherbarkeit in qualitativer

und quantitativer Hinsicht sind also dort gesetzt, wo neuartige oder nicht ein-

schätzbare Risiken ein ungewisses und gleichzeitig enormes Gefahrenpotenzial

240 Vgl. Anderson/Moore (2006), S. 8ff. Eine weitergehende Analyse wird von Ogut et al. durchgeführt, um die Auswirkungen von IT-Risikoabhängigkeiten auf die Investitionsbereit-schaft in IT-Sicherheitslösungen zu untersuchen. Hierbei wurde in einem quantitativen Modell gezeigt, dass speziell aufgrund dieser Abhängigkeiten von vielen Unternehmungen eine IT-Risikoversicherung vorgezogen wird. Vgl. Ogut et al. (2005), S. 23.

241 Für Beispiele und Zusammenwirken von globaler und unternehmungsinterner Korrelation von Risiken vgl. Böhme/Kataria (2006), S. 4.

242 Böhme (2005), S. 13.

243 Koch (2005), S. 5.

91

beinhalten, das mit den üblichen Verfahren der Risikotechnik nicht beherrschbar

ist.“244

Für eine nähere Bewertung werden nun die bestehenden Versicherungskonzepte

am Markt auf ihre Anwendbarkeit für IT-Risiken betrachtet.245 Dabei wird im

Zusammenhang mit der Risikoversicherung grundsätzlich zwischen der Versiche-

rung von Eigen- und Fremdschäden unterschieden.246

Die Versicherung von IT-Eigenschäden kann unterteilt werden in Sach- und

Vertrauensschadenversicherungen.247 Bei der Sachversicherung248 können

sowohl versicherte Sachen als auch Folgen von deren Zerstörung im Rahmen einer

Betriebsunterbrechung abgesichert werden. Dabei können Schäden aufgrund von

IT-Ausfall (oder Betriebsunterbrechung) signifikante ökonomische Auswirkungen für

eine Unternehmung haben, die im Rahmen einer Folgeschadenanalyse249 bewertet

werden kann. In Vertrauensschadenversicherungen werden Vermögensschä-

den versichert, die aufgrund krimineller Handlungen auftreten.250 Hinsichtlich der

identifizierten Notfallszenarien aus Kapitel 6 kann dies abgebildet werden auf die

Szenarien ‚5.1 Vorsätzliche nicht physische Gefährdung’ und ‚5.2 Vorsätzliche

physische Zerstörung’. Beispielsweise kann ein Computerbetrug von eigenen

244 Seitz (2001), S. 37.

245 Zur Übersicht traditioneller und spezieller Versicherungskonzepte für E-Commerce-Risiken vgl. Grzebiela (2002), Abschnitt 4; für eine weitere Übersicht aktueller Entwicklungen vgl. Koch (2006), S. 1ff.

246 Zur weiteren möglichen Gruppierung nach Ursachen (EDV-/Elektronikversicherung, Personen-versicherung) vgl. BSI (2000), S. 65f.

247 Entsprechende Versicherungskonzepte können jedoch auch modular angeboten werden, z. B. bietet die Allianz eine Versicherung elektronischer Anlagen, eine Softwareversicherung, eine Betriebsunterbrechungsversicherung und eine Vertrauensschadenversicherung in dem Produkt ESI Net modular an. Vgl. Allianz (2007).

248 Im Bereich der Sachversicherung wird weiter unterschieden in Sachversicherungen gegen benannte Gefahren (z. B. Feuer, Leitungswasser, Elementarkräfte) und in Allgefahrenversiche-rungen, die keine ursachenbezogene Versicherung darstellen. In deren Umfang ist alles versi-chert, was nicht explizit ausgeschlossen ist.

249 Vgl. Abschnitt 5.

250 Vgl. Koch (2005), S. 620ff.; für eine Beispielrechnung der Vertrauensschadenversicherung bei der Hermes Versicherung vgl. BSI (2000), S. 177.

92

Mitarbeitern oder außen stehenden Dritten begangen werden.251 Dabei werden

Vermögensschäden als Schäden definiert, die weder durch einen Personen- noch

durch einen Sachschaden (s. o.) entstanden sind.

Im Bereich der IT-Fremdschäden können unterschiedliche Deckungskonzepte

betrachtet werden. Im Rahmen der Betriebshaftpflichtversicherung252 besteht

Versicherungsschutz bei Personen- und Sachschäden. Sind hingegen Daten oder

Programme betroffen, so können sich Unsicherheiten und Deckungsstreitigkeiten

ergeben, da die Rechtsprechung zur Sachqualität von IT-Systemen noch teilweise

ungeklärt ist. Weiterhin sind Fremdschadensrisiken im Bereich der Vermögensschä-

den meist nicht versichert, vornehmlich bei einem Auftreten von Großrisiken oder

existenziellen Risiken. Die Produkthaftpflichtversicherung253 bezieht sich auf den

Adressatenkreis von Herstellern und Händlern, deren Erzeugnisse nicht Endproduk-

te sind. Damit ist diese auf den Bereich der IT-Risiken nur begrenzt anwendbar. Die

Rückrufkostenversicherung254 ist in erster Linie relevant für Hardware-Hersteller, da

ein Rückruf bei Software nicht notwendig ist, weil i. d. R. Online-Aktualisierungen

durchgeführt werden. Der Versicherungsbedarf hierbei kann möglicherweise für

Kosten der Benachrichtigung notwendig sein. Abschließend ist im Bereich der

IT-Fremdschäden die Umwelthaftpflichtversicherung255 zu nennen. Hier ist De-

ckung speziell für Risiken durch Umwelteinwirkungen aus der IT-Nutzung im

Rahmen des Einsatzes einer umweltgefährdenden Anlage vorhanden.

Betrachtet man o. g. Untersuchungen zu den Versicherungskonzepten, so kann

festgestellt werden, dass bisher nur Deckung für Teilbereiche von IT-Risiken

verfügbar ist. Dazu stellt Lesch fest: „Durch immer neue Angriffsmethoden und die

251 Die Computer-Missbrauch-Versicherung ist eine spezielle Versicherung, die auf Schäden in Zusammenhang mit IT-Systemen beschränkt ist und damit eine spezielle Form der Vertrauens-schadenversicherung darstellt. Nach Lesch ist diese jedoch eingeschränkt auf Risiken, deren originäre Ursache von einem internen Mitarbeiter ausgeht. Eine Deckung von externen vorsätz-lichen Angriffen (z. B. durch Hacker) wird nicht geleistet. Vgl. Lesch (2002), S. 147f.

252 Vgl. Koch (2005), S. 740ff.

253 Vgl. Koch (2005), S. 810ff.

254 Vgl. Koch (2005), S. 834ff.

255 Vgl. Koch (2005), S. 868ff.

93

rasante Veränderung sicherheitstechnischer Standards werden Deckungslücken

häufig erst im Schadensfall offenkundig.“256

Böhme nennt im Zusammenhang mit IT-Risikoversicherungen drei weitere bedeu-

tende Unteraspekte:257 Erstens werden die Versicherungsunternehmungen die

Prämien nach Risikokriterien differenzieren, was konkrete Anreize zur Investition in

Sicherheitstechnologie setzt. Damit wird zweitens der Wert von Sicherheitstechno-

logien besser quantifizierbar und verhindert damit eine mögliche Überinvestition.

Der dritte Aspekt betrifft die Forschung und Entwicklung von Sicherheitstechnolo-

gie. Da Versicherungsunternehmungen Informationen über die Art und den Grad

einzelner Risiken analysieren müssen, haben sie einen Anreiz, einen Teil ihrer

Gewinne in die Verbesserung ihrer Informationslage zu investieren.

7.2.2 Risikotragung und deren Bewertung im Kontext der IT-Notfallvorsorge

Die Möglichkeit der Risikotragung kann gewählt werden, wenn es aufgrund der

Wirtschaftlichkeit geeignet erscheint, auf aktive Risiko steuernde Instrumente zu

verzichten und statt einer externen Versicherungsdeckung eine sogenannte

(interne) Captive258 einzusetzen. Dabei stellt eine Captive eine Selbstversicherung

dar, die Schäden durch konzerneigenes Kapital deckt.259 Aufgrund aufsichtsrechtli-

cher Vorgaben werden hierfür meist Off-Shore-Rückversicherungs-Captives gegrün-

det.260 Grundsätzlich wird weiterhin zwischen einer Single Parent Captive und

einer Multi Parent Captive unterschieden.261 Eine Single Parent Captive befindet

sich ausschließlich im Besitz einer Unternehmung, was die am weitesten verbreite-

te Form darstellt. Die zweite Möglichkeit besteht in der Nutzung einer auf mehrere

256 Lesch (2002), S. 190.

257 Vgl. Böhme (2005), S. 27ff; Kesan et al. (2004), S. 7ff.

258 Captive als „gefangene“ bzw. konzerneigene Versicherungsunternehmung.

259 Dabei können Captives klassifiziert werden nach Geschäftstätigkeit, Trägerschaft, Standorte und Risiken. Vgl. Romeike (2004), S. 26f.

260 Vgl. Wöhrmann (2003), S. 26.

261 Vgl. Lesch (2002), S. 63.

94

Unternehmungen verteilten Multi Parent Captive, was jedoch zu Interessenskon-

flikten zwischen den Beteiligten führen kann, da Vertragsdetails bekannt gegeben

werden müssen.

Grundsätzlich lassen sich einige Vorteile von Captives nennen.262 So erfolgen

beispielsweise eine Partizipation am guten Schadensverlauf sowie ein möglicher

Zugang zum Rückversicherungsmarkt263 und damit eine Erweiterung des Versiche-

rungsschutzes auf nicht versicherte oder grundsätzlich unversicherbare Risiken.

Dies kann somit speziell für IT-Risiken relevant sein, da hierfür nur begrenzt

Deckungskonzepte am Markt verfügbar sind. Grundsätzliche Voraussetzung für die

Nutzung einer Captive ist ein aktives, ins Finanzmanagement integriertes Risiko-

management sowie ein adäquater Einsatz von Maßnahmen zur Risikokontrolle.

Nur damit können mittels einer Captive versicherungstechnische Gewinne erzielt

werden. Eine Schwierigkeit besteht hierbei in der geeigneten Berücksichtigung der

Schadenhäufigkeiten (in zeitlicher und örtlicher Hinsicht) im Vergleich zu umfang-

reichen Portfolios, die ggf. eine weitere Absicherung durch sogenannte Stop-

Loss264 Verträge erfordern.

Für eine alleinige Anwendung im Bereich von IT-Risiken erscheint eine Captive

allerdings nicht geeignet, da ihr Planungs- und Umsetzungsaufwand meist nicht in

geeignetem Verhältnis zum Risikopotenzial innerhalb der IT steht. Die Möglichkeit

einer Verknüpfung im Rahmen der Betrachtung weiterer operativer Risiken kann

dagegen im Einzelfall geprüft werden.

262 Vgl. Zurich (2002), S. 2.

263 Zu Grenzen und Möglichkeiten der Deckung einer Mega-Katastrophe durch die Versiche-rungswirtschaft sowie der Nutzung alternativer Konzepte wie beispielsweise Katastrophen-Anleihen vgl. Niehaus (2002), S. 587f.

264 Ein Stop-Loss Vertrag schützt die Captive, da mit dem Vertragspartner ein jährlicher Schadens-betrag definiert wird, den er selbst tragen muss. Übersteigt der Schaden diesen Betrag, so werden die restlichen Zahlungen vom Stop-Loss Versicherer übernommen bzw. via Captive an den Erstversicherer bezahlt. Vgl. Wöhrmann (2003), S. 27.

95

7.2.3 Risikoakzeptanz und deren Bewertung im Kontext der IT-Notfallvorsorge

Ein weiteres Instrument der IT-Risikosteuerung stellt die Akzeptanz265 von identifi-

zierten Risiken im Rahmen eines dedizierten Ablaufverfahrens dar, das durch die

Unternehmungsleitung offiziell freigegeben wurde und dabei weitere Maßnahmen

zur Veränderung der Risikohöhe für Risiken im Betrachtungsumfang als nicht

notwendig definiert.266 Das Österreichische IT-Sicherheitshandbuch (IT-SHB)

beschreibt für die Akzeptanz von Restrisiken folgende Anforderungen: „Die

Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch

das Management zu treffen, die genauen Verantwortlichkeiten dafür sind in der

IT-Sicherheitspolitik festzulegen. Die Entscheidung ist schriftlich zu begründen und

durch die Leitung der Organisation in schriftlicher Form zu akzeptieren.“267

Das Akzeptanzverfahren erfordert eine sorgfältige Bewertung des untersuchten

Risikos im jeweiligen Unternehmungskontext. Die Anwendung des Verfahrens ist

damit in Fällen möglich, in denen die nachvollziehbare Informationsgrundlage eine

Umsetzung von alternativen Steuerungsmechanismen aus betrieblicher Sicht als

ungeeignet erscheinen lässt. Dabei können unterschiedliche Kriterien zur Anwen-

dung kommen. Meist wird die Einschätzung getroffen, dass effiziente und effektive

Maßnahmen nicht vorhanden sind und das Risiko eine vordefinierte Wesentlich-

keitsgrenze nicht überschreitet. Dabei sollte sowohl die ökonomische Auswirkung

bei IT-Ausfall betrachtet werden als auch eine Einschätzung der Eintrittswahrschein-

lichkeit vorliegen.

Ein mögliches Beispiel ist das Erdbebenrisiko in Deutschland, das als vergleichswei-

se gering betrachtet wird und demnach trotz einer möglichen bestandsgefährden-

den Auswirkung akzeptiert werden kann.268 Als zweites Beispiel könnte ein

265 Dabei wird die Risikoakzeptanz als bewusstes Selbsttragen ohne Reservenbildung angesehen, vgl. Romeike (2004), S. 106ff.

266 Zur Einordnung der Risikoakzeptanz in die nutzentheoretische Entscheidungs- und Einstellungs-forschung vgl. Slaby/Urban (2002), S. 2ff.

267 IT-SHB (2004), S. 49

268 Vgl. Abschnitt 6.4.

96

Flugzeugabsturz genannt werden, falls der Standort abseits einer Einflugschneise

liegt.

Damit ergibt sich die Einschätzung einer hohen Bedeutung der Risikoakzeptanz für

den Fall, dass das Verfahren kontrolliert eingesetzt wird und alle durchgeführten

Zwischenschritte dokumentiert werden. Auch bei Betrachtung gesetzlicher Anfor-

derungen, die ein System für Risikomanagement einfordern (z. B. KonTraG), kann

dieses Instrument zur Risikosteuerung im Rahmen der unternehmerischen Freiheit

als adäquat angesehen werden. Dieser Handlungsspielraum – bei geeigneter

Berücksichtigung notwendiger Rahmenbedingen – ist möglich, falls ausreichende

Untersuchungen durchgeführt worden sind, die alle relevanten Entscheidungsträ-

ger269 innerhalb der Unternehmung berücksichtigt haben. Hierbei ist in erster Linie

der spezifische Risikoeigentümer270 mit einzubeziehen. Zusammenfassend ergeben

sich damit folgende Anforderungen für eine korrekte Anwendung der Risikoakzep-

tanz i. S. d. obigen Darstellung:

- Das Instrument zur Risikoakzeptanz muss offiziell von der Geschäftsleitung

genehmigt sein und im Rahmen eines vorab definierten Ablaufverfahrens erfol-

gen.

- Eine sorgfältige Untersuchung der ökonomischen Auswirkung bei Eintritt des

Risikos und dessen Eintrittswahrscheinlichkeit hat zu erfolgen, um eine belast-

bare Grundlage der Risikoakzeptanz zu erhalten. Dies ist eine wesentliche For-

derung, die durch das KonTraG aufkommt und so interpretiert werden kann,

„dass jegliches Risiko zumindest kalkuliert sein muss; der Vorstand muss also

jederzeit darlegen können, dass die möglichen Auswirkungen abgeschätzt und

in ihrer Tragweite erfasst worden sind, bevor die Entscheidung letztlich umge-

setzt wird.“271

269 Unter anderem Geschäftsführung, Risikoeigentümer, Verantwortliche für Geschäftsprozesse, IT-Leiter.

270 Zum Eigentümerkonzept vgl. von Stockar (1995), S. 157ff.

271 von Rössing (2005), S. 39f.

97

- Der Risikoeigentümer272 entscheidet bis zu einer vordefinierten Wesentlich-

keitsgrenze, i. d. R. muss dies durch die Geschäftsleitung erfolgen, da potenziel-

le IT-Notfälle eine möglicherweise bestandsgefährdende Auswirkung haben

können.273

- Die Durchführung des Verfahrens zur Risikoakzeptanz muss dokumentiert

werden, um die Erläuterung der Entscheidung für eine Prüfung vorhalten zu

können.

7.2.4 Überblicksdarstellung der Handlungsmöglichkeiten

Im Folgenden findet sich eine Überblicksdarstellung der Handlungsmöglichkeiten

und eine qualitative Einschätzung des Umsetzungsaufwands (vgl. Tabelle 7.2).

Dabei wurden die o. g. Ausprägungen jedes Instruments mit aufgeführt.

Instrument zur Risikosteuerung

Ausprägungen Prä-ventiv

Re-aktiv

Auf-wand274

Gestalt-ung

Ein-satz

Vermeidung 1.1 Risikoarme Standortwahl

� Mittel �

Risikominderung durch Schaden-verhütung

2.1 Verschieden-artig

� Niedrig � �

3.1 Hot Standby � Hoch � �

3.2 Warm Standby

� Hoch � �

3.3 Cold Standby � Mittel � �

3.4 Liefer-vereinbarung

� Niedrig � �

Risikominderung durch Schaden-herabsetzung

3.5 Manuelle Ersatzprozesse

� Niedrig � �

Risikobegrenzung durch Risiko-streuung

4.1 Verteilung der Infrastruktur

� Mittel �

272 Begrifflich auch oftmals bekannt unter der englischen Bezeichnung ‚risk owner’.

273 Zu weiteren Verantwortlichkeiten des Informationseigentümers vgl. Spiegel (2004), S. 2.

274 Qualitative Einschätzung nach Erfahrungswerten des Autors innerhalb der Beratungspraxis in drei Klassen (niedrig, mittel, hoch).

98

Instrument zur Risikosteuerung

Ausprägungen Prä-ventiv

Re-aktiv

Auf-wand274

Gestalt-ung

Ein-satz

Risikobegrenzung durch Schaden-überwälzung

5.2 Auslagerung � Mittel �

Risikoversicherung 6.1 Elektronik-versicherung

� Niedrig � �

6.2 Computer-missbrauchs-versicherung

� Mittel � �

6.3 Haftpflicht-versicherung

� Niedrig � �

6.4

Betriebs-unterbre-chungs-versicherung

� Hoch � �

6.5 Mehrkosten-versicherung

� Mittel � �

Risikotragung 7.1 Single Parent Captive

� Mittel � �

7.2 Multi Parent Captive

� Mittel � �

Risikoakzeptanz 8.1 Akzeptanz durch Risiko-eigentümer

� Niedrig � �

Tabelle 7.2: Überblick der Handlungsalternativen

Festzustellen ist, dass ausschließlich die Alternativen ‚1.1 Risikovermeidung’ und

‚2.1 Risikominderung durch Schadenverhütung’ eine präventive Maßnahme

darstellen und damit die Eintrittswahrscheinlichkeit eines Notfallszenarios verän-

dern. Alle weiteren Instrumente sind wirkungsorientiert und reduzieren die

ökonomische Auswirkung nach Eintritt einer Gefährdung durch technische oder

finanzielle Steuerungsmechanismen.

Betrachtet man auf einer dreistufigen Skala die vom Autor dieser Arbeit vorge-

nommene Einschätzung der Kosten275, so lässt sich wie folgt unterscheiden (vgl.

dritte Spalte von rechts in Tabelle 7.2):

275 Zu unterscheiden sind einmalige und laufend anfallende Kosten, vgl. Pietsch (1999), S. 42f.

99

- Hohe Kosten sind bei technischen Maßnahmen (z. B. Hot und Warm Standby)

zu erwarten, da hier ein Großteil der IT-Infrastruktur redundant ausgelegt und

aufgrund der kurzen technischen Lebenszyklen276 regelmäßig angepasst werden

muss. Ein weiteres kostenintensives Instrument kann die Betriebsunterbre-

chungsversicherung darstellen, da je nach Unternehmungskontext ein signifi-

kanter Schaden sowohl durch Kostensteigerung als auch Umsatzverlust entste-

hen kann, dessen Risiko für eine Versicherung nur begrenzt kalkulierbar ist und

damit mit erhöhter Prämie belegt wird.

- Niedrige Kosten fallen beispielsweise bei Liefervereinbarungen an, da Herstel-

ler hierzu einen Hardware-Pool für Notfälle bereithalten und dessen Kosten

über mehrere Kunden verteilen können. Auch manuelle Ersatzprozesse erfor-

dern nur begrenzte Konzeptions-, Schulungs- und Anpassungsaufwände, die im

Verhältnis zu Standby-Systemen gering ausfallen können. Im Bereich der Versi-

cherungen wird die Haftpflicht- und Elektronikversicherung (i. S. e. Sachversi-

cherung ohne Betriebsunterbrechung) mit niedrigen Gesamtkosten einge-

schätzt.

- Alle weiteren Instrumente benötigen tendenziell einen mittleren Aufwand in

der Umsetzung.

Eine zusätzliche Untersuchungsdimension ergibt sich durch die Einordnung der

identifizierten Instrumente in eine sogenannte Matrix der Risikosteuerungsoptio-

nen.277 In einer solchen Matrix werden die Eintrittswahrscheinlichkeit einer

Bedrohung auf der x-Achse und der Folgeschaden auf der y-Achse in einem Bereich

von ‚gering’ bis ‚mittel’ eingetragen. Anschließend werden in den vier gebildeten

Quadranten unterschiedliche Steuerungsoptionen für Risiken empfohlen (Transfer,

Vermeidung, Akzeptanz und Minderung). Diesen vier Kategorien können im

276 Meist wird von Abschreibungsdauern zwischen drei und fünf Jahren ausgegangen. Diese Zeitdauer kann als geeignete Orientierung der Lebensdauer von IT-Systemen angenommen werden.

277 Vgl. Einhaus (2006), S. 82.

100

Folgenden die unterschiedlichen Ausprägungen der Steuerungsinstrumente

zugewiesen werden (vgl. Abbildung 7.2).

Transfer

� Versicherung (6.x)

� Captive (7.x)

� Auslagerung, d.h.

operative Schaden-

überwälzung (5.2)

Vermeidung (1.1)

Minderung

� Schadenverhütung (2.1)

� Schaden-

herabsetzung (3.x)

� Teilweise auch Risiko-

streuung (4.1)

Akzeptanz (8.1)

Eintritts-wahrscheinlichkeit

Folgeschaden

Gering Hoch

Gering

Hoch

Abbildung 7.2: Einordnung der Instrumente in Matrix der Risikosteuerungsoptionen

Mithilfe der dargestellten Matrix der Risikosteuerungsoptionen lassen sich Anhalts-

punkte für eine Auswahl der Instrumente finden. Dabei ist die Anwendbarkeit

jedoch durch die bereits untersuchten Schwierigkeiten bei der Bestimmung der

Folgeschäden und speziell der Eintrittswahrscheinlichkeit eingeschränkt.

Betrachtet man die Handlungsalternativen weiterhin unter dem Gesichtspunkt des

möglichen Auswahlzeitpunkts,278 so kann festgestellt werden, dass die Risikover-

meidung und die Risikobegrenzung vielmehr im Rahmen der IT-Gestaltung und

weniger nach Inbetriebnahme angewandt werden können. Alle weiteren Maßnah-

men sind in beiden Phasen – d. h. sowohl im Rahmen der Gestaltung als auch

während des Einsatzes – ergreifbar.

278 Zwei Auswahlzeitpunkte werden hier betrachtet, einerseits die Gestaltung des IT-Systems i. S. d. Planung, andererseits dessen Einsatz bzw. Betrieb.

101

7.3 Kritische Würdigung der Alternativen der IT-Risiko-steuerung

Im Rahmen der Untersuchung der Alternativen der IT-Risikosteuerung konnten

unterschiedliche Instrumente identifiziert werden, wobei eine allgemeine Bewer-

tung der Kosten-Nutzen-Verhältnisse ohne konkrete IT- und zugehöriger Geschäfts-

prozessarchitektur nicht möglich war. Weiterhin wurde festgestellt, dass zu

beachten ist, in welcher Phase innerhalb des IT-Lebenszyklus man sich befindet;

während des IT-Einsatzes sind weniger Möglichkeiten ergreifbar. Dies betonen

explizit auch Landry/Koger: „Once systems are into production, it is difficult to

find the time and the means to implement and test a DR plan.”279

Außerdem muss im Zusammenhang mit Versicherungen der aktuelle Versiche-

rungsstand genau und durch Experten geprüft werden, um verbleibende Restrisiken

zu identifizieren und keine Übersteuerung zu erreichen. Dies ist in erster Linie

notwendig, da der Versicherungsmarkt für IT-Risiken noch verhältnismäßig jung ist

und zudem weiteren besonderen Schwierigkeiten280 unterworfen ist. Maßnahmen

im Bereich der Risikominderung und dort im Speziellen die Schadenverhütung sind

tendenziell am aufwändigsten, bringen aber den größten Nutzen für eine unterbre-

chungsfreie Geschäftsfortführung ohne signifikante ökonomische Auswirkung und

vor allem ohne direkte Sichtbarkeit nach außen.

Abschließend lässt sich feststellen, dass die vorliegende Analyse an Gestaltungsal-

ternativen für die IT-Notfallvorsorge eine geeignete Grundlage darstellt, um einem

übergeordneten Gestaltungsmodell zugeführt zu werden.

279 Landry/Koger (2006), S. 9.

280 Vgl. die Untersuchung der Kriterien der Versicherbarkeit in Abschnitt 7.2.1.

102

103

8 Zusammenfassung

Im Rahmen des vorliegenden Arbeitsberichts wurden Gestaltungselemente der

IT-Notfallvorsorge erarbeit und beispielhaft am Untersuchungsobjekt einer

TK-Unternehmung angewandt.

Dazu wurden im ersten Schritt die wertschöpfenden Geschäftsprozesse einer

TK-Unternehmung in die Markt- und Wettbewerbssituation eingeordnet, um

anschließend die hohe Bedeutung der IT für den Unternehmungserfolg festzustel-

len. Speziell aufgrund der schnellen technologischen Entwicklung durch unter-

schiedliche Trends im Bereich der IP-Konvergenz281 ließ sich bemerken, dass die IT

neben der TK-Technik eine zunehmend bedeutende Rolle spielen wird.282

Danach konnte ein Untersuchungsrahmen erarbeitet werden, der die Analyse der

Geschäftsprozesse und deren IT-Abhängigkeit ermöglicht, um eine quantitative

Folgeschadenanalyse und eine qualitative Risikobewertung von Notfallszenarien

vorzubereiten. Dabei wurden die vier Dimensionen IT, Personal, Kunden- bzw.

Geschäftspartner und Umsatz untersucht. Aufgrund der in der Praxis oftmals

vorhandenen Komplexität von IT-Systemen wurde empfohlen, dass technische

Abhängigkeiten im Blickwinkel der vorliegenden Untersuchung nur auf einem

hohen Abstraktionsniveau aufgenommen werden.283

Im nächsten Schritt wurden unternehmungsinterne und -externe Einflussfaktoren

bei der Gestaltung von IT-Notfallvorsorge aus der betrieblichen Praxis und der

Gesetzgebung untersucht. Dabei konnte eine hohe Variabilität mit wenig konkre-

ten Anforderungen festgestellt werden, was die Notwendigkeit einer unterneh-

mungsspezifischen Ausprägung verstärkt. Auch wurden nur begrenzt verpflichten-

den Anforderungen identifiziert, die technische Notfallmaßnahmen bedingen; im

Rahmen der gesetzlichen oder regulatorischen Vorschriften wird lediglich die

281 Für eine näher gehende Erläuterung der IP-Konvergenz vgl. Abschnitt 2.1.

282 Vgl. Kapitel 2.

283 Vgl. Kapitel 3.

104

Durchführung eines IT-Risikomanagements und die Umsetzung einer angemesse-

nen Notfallvorsorge gefordert. In einer weiteren TK-spezifischen Betrachtung wurde

darüber hinaus festgestellt, dass für eine TK-Unternehmung kaum spezifische

Anforderungen für IT-Notfallvorsorge bestehen. Oftmals entscheiden hierbei

freiwillige Verpflichtungen zu Sicherheitsrichtlinien über ein unternehmungsspezifi-

sches Vorgehen.284

Als zentrales Gestaltungselement der vorliegenden Arbeit wurde ein umfangreiches

Modell zur Folgeschadenanalyse erarbeitet, mit dessen Hilfe in drei Stufen die

ökonomische Auswirkung bei IT-Ausfall auf Grundlage einer quantitativen Analyse

bestimmt werden kann. Dabei wurden maßgeblich die Schadensdimensionen

Kostensteigerung und Umsatzverlust betrachtet sowie andere indirekte Auswirkun-

gen (z. B. Kundenunzufriedenheit) darauf abgebildet. Im Rahmen einer beispielhaf-

ten Anwendung auf den Teilprozess ‚Auftragsannahme’ einer TK-Unternehmung

wurde die Methodik verdeutlicht und ein Vorgehen entwickelt, um mittels Grund-

und Schätzdaten eine Größenordnung des ökonomischen Schadens im Zeitverlauf

zu ermitteln. Diese Untersuchung wurde ergänzt um eine Betrachtung der Schwan-

kungsbreiten der Schätzdaten, um deren Genauigkeiten im Rahmen einer Sensitivi-

tätsanalyse betrachten zu können.285

Anschließend wurden anhand der Gefährdungskataloge des BSI acht Notfallszena-

rien im Rahmen einer Aggregation abgeleitet. Nach einer zusätzlichen Strukturie-

rung nach Art und Umfang des Schadens wurden drei Klassen von Notfalldauern

erarbeitet, um ein Verständnis der Auswirkung einzelner Notfallszenarien zu

entwickeln. Abschließend konnten die Notfallszenarien hinsichtlich ihres Risikopo-

tenzials qualitativ nach Eintrittswahrscheinlichkeit und Auswirkungen bewertet

werden.286

Im letzten Kapitel erfolgte eine Analyse der Handlungsalternativen (d. h. Instru-

mente) zur IT-Risikosteuerung und deren Bewertung im Kontext der

284 Vgl. Kapitel 4.

285 Vgl. Kapitel 5.

286 Vgl. Kapitel 6.

105

IT-Notfallvorsorge. Dabei wurden sowohl präventive als auch reaktive Instrumente

untersucht, die entweder die Ursache oder Wirkung der IT-Risiken beeinflussen

können. Diese Instrumente wurden weiterhin in eine Matrix der Risikosteuerungs-

optionen eingeordnet, um daraus in der betrieblichen Praxis geeignete Handlungs-

empfehlungen ableiten zu können. Als Fazit konnte festgestellt werden, dass eine

große Anzahl unterschiedlicher Möglichkeiten der IT-Risikosteuerung nutzbar ist,

die bestmöglich schon während des IT-Gestaltungsprozesses betrachtet werden

sollten, da eine Umsetzung während des IT-Einsatzes meist zu einem wesentlichen

Änderungsaufwand führen kann. Insbesondere die Risikominderung und dabei die

Schadenherabsetzung sind als übliche Maßnahme anzusehen, die jedoch hohe

Kosten verursachen kann. Deren Wirtschaftlichkeit -- speziell im Zusammenspiel mit

Versicherungskonzepten – ist aus diesem Grund im jeweiligen Unternehmungskon-

text sorgfältig zu prüfen.287

Die nun vorliegende umfassende Grundlage an Gestaltungselementen kann in einer

separaten Untersuchung zu einem Gesamtmodell zusammengefügt werden, das

den ablauf- und aufbauorganisatorischen Handlungsbedarf in der betrieblichen

Praxis aus dem Arbeitsbericht Nr. 26 des ISEB aufgreift, um eine verbesserte

Gestaltung der IT-Notfallvorsorge zu ermöglichen.

Neben der o. g. Zusammenführung der Gestaltungselemente in einem übergeord-

neten Gestaltungsmodell können aus den Untersuchungen weitere Forschungsbe-

reiche abgeleitet werden, die sich für eine andere ökonomische Analyse anbieten.

So könnte beispielsweise ein allgemeines Kosten-Nutzen-Modell für technische

IT-Notfallmaßnahmen entwickelt werden, das ökonomische Einflussfaktoren sowie

deren Abhängigkeiten untersucht und damit eine verbesserte wirtschaftliche

Bewertung ermöglichen kann. Weiterhin könnte im Rahmen einer vergleichenden

Untersuchung von konkreten am Markt erhältlichen IT-Versicherungsprodukten die

Möglichkeiten der spezifischen Deckung von IT-Notfallrisiken untersucht werden.

287 Vgl. Kapitel 7.

XV

Literaturverzeichnis

AKNZ (2005): Problemstudie: Risiken in Deutschland -- Gefahrenpotentiale und Gefahrenprävention für Staat, Wirtschaft und Gesellschaft aus Sicht des Be-völkerungsschutzes -- Teil 1, Bundesamt für Bevölkerungsschutz und Katast-rophenhilfe, Bad Neuenahr-Ahrweiler 2005.

Allerkamp, Axel (2007): Auslöser von IT-Krisensituationen sind oft alltägliche Ereignisse, Computerzeitung, Online: http://www.computerzeitung.de/the-men/sicherheit/article.html?thes=&art=/articles/2007017/31044984_ha_CZ.html, abgerufen am 19. April 2007.

Allianz (2007): ESI Net -- die kompakte Elektronikversicherung, Allianz Global Risks, Online: http://business.allianz.de/upload/b2bmicrosite/versicherung/ industrielle_risiken/daten_netzwerke/esinet_broschuere.pdf, abgerufen am 25. April 2007.

Anderson, Ross; Moore, Tyler (2006): The Economics of Information Security, in: Science 314 (5799), 2006, S. 610-613.

Andon, Paul; Baxter, Jane; Bradley, Graham (2001): Calculating Customer Lifetime Value (CLV): Theory and Practice, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Um-setzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 259-274.

BaFin (2006): Rundschreiben 18/2005: Mindestanforderungen an das Risiko-management (Fassung vom 17. August 2006), Bundesanstalt für Finanz-dienstleistungsaufsicht, Bonn 2006.

Becker, Ulrich (2007): Partnersuche für das RZ -- Kriterien für Angebote zur Rechenzentrums-Auslagerung, in: KES, Jg. 2007, Nr. 2, S. 67-69.

Benzin, Arne (2005): Versicherungstechnische Bewertung unterschiedlicher Deckungskonzepte für Terrorismusrisiken, in: Schwebler, Robert; Werner, Ute (Hrsg.): Risikoforschung und Versicherungsmanagement -- Karlsruher Reihe II, Verlag Versicherungswirtschaft, Karlsruhe 2005 (zugl.: Karlsruhe, Univ., Diss.).

BITKOM (2005): Matrix der Haftungsrisiken -- IT-Sicherheit -- Pflichten und Risiken, BITKOM, Berlin 2005.

BITKOM (2006): Hochverfügbarkeit Flyer, Online: http://www.bitkom.org/ files/documents/Hochverfuegbarkeit_Flyer_9-11-2006.pdf, abgerufen am 27. März 2007.

XVI

BMWA (2002): Verfügbarkeit von sicheren Telekommunikationsinfrastrukturen, Bundesministerium für Wirtschaft und Arbeit (BMWA), Dezember 2002.

Böhme, Rainer (2005): IT-Risiken im Schadenversicherungsmodell: Implikatio-nen der Marktstruktur, in: Federrath, Hannes (Hrsg.): Proceedings of Sicher-heit 2005, Sicherheit -- Schutz und Zuverlässigkeit, Köllen-Verlag, Bonn 2005.

Böhme, Rainer; Kataria, Gaurav (2006): Models and Measures for Correla-tion in Cyber-Insurance, Workshop of Economics in Information Security 2006, Online: http://weis2006.econinfosec.org/docs/16.pdf, abgerufen am 25. April 2007.

BSI (2000): Kosten und Nutzen der IT-Sicherheit: Studie des BSI zur Technikfol-gen-Abschätzung, Secumedia-Verlag, Ingelheim 2000.

BSI (2005): Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen -- Zusammenfassung, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2005.

BSI (2007a): IT-Grundschutz-Katalog, Bundesamt für Sicherheit in der Informati-onstechnik (BSI), Bonn 2007.

BSI (2007b): Die Lage der IT-Sicherheit in Deutschland 2007, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn 2007.

BSI (2007c): Registrierte Anwender der IT-Grundschutz-Kataloge (Telekommuni-kation), Online: http://www.bsi.de/gshb/deutsch/etc/gshb_reg.htm# Telekommunikation, abgerufen am 16. Juli 2007.

Bundesnetzagentur (2006): Jahresbericht 2006 der Bundesnetzagentur (BNA), Bundesnetzagentur, Bonn 2006.

Calderbank, Robert (2006): Technology as Driver of Change in Telecommuni-cations, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Indus-tries, Springer Verlag, Heidelberg et al. 2006, S. 69-86.

Campbell, Katherine; Gordon, Lawrence; Loeb, Martin; Zhou, Lei (2003): The economic cost of publicly announced information security breaches: empirical evidence from the stock market, in: Journal of Computer Science, Vol. 11, 2003, S. 431-448.

Choy, Manhoi; Va Leong, Hong; Wong, Man Hon (2000): Disaster Recov-ery Techniques for Database Systems, in: Communications of the ACM, Vol. 43, No. 11, S. 272-280.

XVII

Cohen, Gary (2006): All IP -- All IT -- All Wireless: The Drivers of Change, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Industries, Springer Verlag, Heidelberg et al. 2006, S. 41-47.

Continuity Central (2003): BIA Special - The results of Continuity Central's survey into the business impact analysis, Business Continuity E-Journal, Online: http://www.continuitycentral.com/bcjournaljuly2003.pdf, abgerufen am 18. Mai 2007.

Deloitte (2007): Wirtschaftsprüfung & Steuerberatung Deloitte & Touche GmbH, Online: http://www.deloitte.de/, abgerufen am 20. Juli 2007.

DTAG (2006): Geschäftsbericht 2006, Deutsche Telekom AG, 2006.

Dübendorfer, Thomas; Wagner, Arno; Plattner, Bernhard (2004): An Economic Damage Model for Large-Scale Internet Attacks, in: Proceedings of the 13th IEEE International Workshops on Enabling Technologies, Vol. 0, 2004, S. 223-228.

Eagle Rock Alliance (2001): Cost of Downtime, Contingency Planning & Management, Online: http://www.contingencyplanningresearch.com/ 2001%20Survey.pdf, abgerufen am 25. April 2007.

Eckert, Claudia (2003): IT-Sicherheit, Konzepte -- Verfahren -- Protokolle, 2. Aufl., Oldenburg Verlag, München/Wien 2003.

Einhaus, Christian (2006): Potenziale des Wissensmanagements zur Behand-lung operationeller Risiken in der Kreditwirtschaft, 1. Aufl., Bankakademie Verlag, Frankfurt 2006.

EY (2007): Ernst & Young, Online: http://www.ey.com/, abgerufen am 20. Juli 2007.

Forrester (2007): Forrester -- Technology Market Research Company, Online: http://www.forrester.com, abgerufen am 10. Juli 2007.

Gabriel, Roland (1996): TK-Netze und -Dienste, Nutzungsmöglichkeiten und ihre Auswirkungen, Lehrmaterialien im Studienfach Wirtschaftsinformatik, Bochum 1996.

Gabriel, Roland; Beier, Dirk (2003): Informationsmanagement in Organisati-onen, Verlag W. Kohlhammer, Stuttgart 2003.

Gartner (2007): Gartner -- Information Technology Research and Advisory Company, Online: http://www.gartner.de, abgerufen am 10. Juli 2007.

XVIII

Geppert, Martin; Ruhle, Ernst-Olaf; Schuster, Fabian (2002): Handbuch -- Recht und Praxis der Telekommunikation, 2. Aufl., Nomos Verlag, Baden-Baden 2002.

Glaum, Martin; Thomaschewski, Dieter; Weber, Silke (2006): Auswirkun-gen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen, Studien des Deutschen Aktieninstituts, Heft 33, Frankfurt am Main 2006.

Gordon, Lawrence; Loeb, Martin (2006): Managing Cybersecurity Resources -- A Cost-Benefit Analysis, o. Aufl, McGraw-Hill, New York et al. 2006.

Gordon, Lawrence; Loeb, Martin; Lucyshyn, William; Sohail, Tashfeen (2006): The Impact of the Sarbanes-Oxley Act on the Corporate Disclosures of Information Security Activities, in: Journal of Accounting and Public Pol-icy, Vol. 25, No. 5, 2006.

Goßner, Alfred (2002): Gibt es neue unversicherbare Risiken? In: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Dokumenta-tion über ein Symposium am 18.-20. Oktober 2001 im Schloß Marbach, Karlsruhe 2002, S. 5-8.

Grabowski, Martha; Merrick, Jason; Harrald, John; Mazzuchi, Thomas; Dorp, René van (2000): Risk Modeling in Distributed Large-Scale Systems, in: IEEE Transactions on Systems, Man, and Cybernetics, Vol. 30, No. 6, S. 651-660.

Gruber, Harald (2005): The Economics of Mobile Telecommunications, Cambridge University Press, Cambridge et al. 2005.

Grünthal, Gottfried (2005): Seismische Risikokartierung Deutschlands, Zweijahresbericht 2004/2005, Geoforschungszentrum, Potsdam 2005.

Grzebiela, Torsten (2002): Insurability of Electronic Commerce Risks, in: Proceedings of the 35th Hawaii International Conference on System Sci-ences, 2002.

Haase, Mirko (2007): Business Continuity bei der Deutschen Bahn, Vortrag im Rahmen des IT-Grundschutz-Tages am 2. Juli 2007, Online: http://www.bsi.bund.de/gshb/aktuell/Folien_IT-GS-Tag.zip, abgerufen am 23. Juli 2007.

Harrach, Wichard von (2001): Kundenwertmanagement bei D2 Vodafone, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Umsetzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 677-692.

XIX

Hirschmann, Stefan; Romeike, Frank (2004): IT-Sicherheit als Rating-Faktor, in: RATINGaktuell, Jg. 2004, Nr. 1, S. 12-18.

Hofmann, Marc (2006): Management operationeller IT-Risiken, Verlag Dr. Kovac, Hamburg 2006 (zugl.: Gießen, Univ., Diss.).

HP Invent (2005): Business Continuity & Availability mit stabilen Speicherlösun-gen - Lösungsleitfaden, Online: http://h20195.www2.hp.com/v2/pdf/ 5983-0580DEE.pdf, abgerufen am 18. Juli 2007.

IDC (2007): IDC - Global provider of market intelligence, advisory services, and events for the information technology, telecommunications, and consumer technology markets. Online: http://www.idc.com, abgerufen am 10. Juli 2007.

Immenga, Ulrich (2001): Marktabgrenzung und Marktbeherrschung, in: Immenga, Ulrich; Kirchner, Christian; Knieps, Günter; Kruse, Jörn (Hrsg.): Te-lekommunikation im Wettbewerb -- Eine ordnungspolitische Konzeption nach erfolgreicher Marktöffnung, o. Aufl., Verlag C.H. Beck, München 2001, S. 57-71.

Infonetics (2003): Network Downtime Causing Significant Revenue Losses, Online: http://www.infonetics.com/resources/purple.shtml?nr.downtime. 030603.shtml, abgerufen am 27. April 2007.

Innovationsreport (2004): Tokio fürchtet sich vor Mega-Erdbeben, Online: http://www.innovations-report.de/html/berichte/geowissenschaften/ bericht-33008.html, abgerufen am 23. Juli 2007.

IPRI (2006a): Branchenprozessmodell über die nicht-infrastrukturbasierten Betriebs-, Miet- und Gemeinkosten in der Telekommunikationsindustrie, Re-ferenzdokument 1.0, International Performance Research Institute, http://www.bundesnetzagentur.de/media/archive/4912.pdf, abgerufen am 2. März 2007.

IPRI (2006b): Auswertung der Stellungnahmen zu Branchenprozessmodell über die nicht-infrastrukturbasierten Betriebs-, Miet- und Gemeinkosten in der Te-lekommunikationsindustrie, International Performance Research Institute, http://www.bundesnetzagentur.de/media/archive/7218.pdf, abgerufen am 2. März 2007.

Ishiguro, Masaki; Tanaka, Hideyuki; Matsuura, Kanta; Murase, Ichiro (2006): The Effect of Information Security Incidents on Corporate Values in the Japanese Stock Market, Workshop of Economics in Information Security 2006, Online: http://wesii.econinfosec.org/draft.php?paper_id=23, ab-gerufen am 12. April 2007.

XX

IT-SHB (2004): Österreichisches IT-Sicherheitshandbuch -- Teil 1: Sicherheitsma-nagement, Version 2.2, Stabsstelle IKT-Strategie des Bundes, Bundeskanzler-amt Österreich, o.O. 2004.

Iyer, Raja; Sarkis, Joseph (1998): Disaster Recovery Planning in an Automated Manufacturing Environment, in: IEEE Transactions on Engineering Manage-ment, Vol. 45, No. 2, 1998, S. 163-175.

Jrad, Ahmad; Morawski, Thomas; Spergel, Louise (2004): A Model for Quantifying Business Continuity Preparedness for Telecommunication Net-works, in: Bell Labs Technical Journal, Vol. 9, No. 2, 2004.

Kark, Khalid (2007): 2007 Security Budgets Increase: The Transition To Information Risk Management Begins, Forrester Research, Online: http://www.forrester.com/Research/Document/0,7211,41247,00.html, ab-gerufen am 26. März 2007.

Keeton, Kimberly; Beyer, Dirk; Brau, Ernesto; Merchant, Arif; Santos, Cipriano, Zhang, Alex (2006): On the Road to Recovery: Restoring Data after Disasters, in: ACM SIGOPS Operating Systems, Vol. 40, No. 4, Okto-ber 2006, S. 235-248.

KES (2007): Marktübersicht -- Ausweich-Rechenzentren, in: KES, Jg. 2007, Nr. 2, S. 62-65.

Kesan, Jay; Majuca, Ruperto; Yurcik, William (2004): The Economic Case for Cyberinsurance, Working Paper, 2004, Online: http://law.bepress.com/ uiuclwps/papers/art2/, abgerufen am 15. Februar 2007.

Kesh, Someswarr; Ratnasingam, Pauline (2007): A Knowledge Architecture for IT-Security, in: Communications of the ACM, Vol. 50, No. 7, S. 103-108

Koch, Robert (2005): Versicherbarkeit von IT-Risiken in der Sach-, Vertrauens-schaden- und Haftpflichtversicherung, o. Aufl., Erich Schmid Verlag, Berlin 2005.

Köhler, Peter (2007): ITIL -- Das IT-Servicemanagement Framework, 2. Aufl., Springer Verlag, Berlin/Heidelberg 2007.

Königs, Hans-Peter (2005): IT-Risikomanagement mit System -- Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden, 1. Aufl., Vieweg & Sohn Verlag, Wiesbaden 2005.

KPMG (2007): KPMG Wirtschaftsprüfung & Steuerberatung, Online: http://www.kpmg.de/, abgerufen am 20. Juli 2007.

XXI

KPN (2006): Annual Report 2006 and Form 20-F, KPN, Online: http://www.kpn.com/kpn/show/id=824575, abgerufen am 27. März 2007.

Krafft, Manfred; Rutsack, Uwe (2001): Konzepte zur Messung des ökonomi-schen Kundenwerts, in: Günter, Bernd; Helm, Sabrina (Hrsg.): Kundenwert: Grundlagen -- Innovative Konzepte -- Praktische Umsetzungen, 1. Aufl., Gabler Verlag, Wiesbaden 2001, S. 237-258.

Krojnewski, Rüdiger; Nagel, Bill (2006): Disaster Recovery -- IT's Not Just An IT Problem, Forrester Research, Online: http://www.forrester.com/ Research/Document/0,7211,40311,00.html, abgerufen am 27. März 2007.

Kütz, Martin (2003): Kennzahlen in der IT, Werkzeuge für Controlling und Management, 1. Aufl., dpunkt Verlag, Heidelberg 2003.

Lalwani, Rajeev (2006): Information Security and Business Continuity -- When business is not as usual, KPMG IT Advisory, Online: http://www.ae-kpmg.com/dbfetch/52616e646f6d4956f79969821029ce4ef6d209f0807194b6/survey_report_irm.pdf, abgerufen am 24. April 2007.

Landry, Brett; Koger, Scott (2006): Dispelling 10 Common Disaster Recovery Myths: Lessons Learned from Hurricane Katrina and Other Disasters, in: ACM Journal on Educational Resources in Computing, Vol. 6, No. 4, Dezember 2006, Article 2.

Lange, Jörg Andreas (2005): Sicherheit und Datenschutz als notwendige Eigenschaft von computergestützten Informationssystemen, DuD Fachbeiträ-ge, Deutscher Universitätsverlag, Wiesbaden 2005 (zugl.: Bochum, Univ., Diss.).

Langenfurt, Markus (2001): Die Wettbewerbsentwicklung auf dem deutschen Festnetzmarkt -- Anbieter, Infrastrukturen, Dienste, in: Immenga, Ulrich; Kirchner, Christian; Knieps, Günter; Kruse, Jörn (Hrsg.): Telekommunikation im Wettbewerb -- Eine ordnungspolitische Konzeption nach erfolgreicher Marktöffnung, o. Aufl., Verlag C.H. Beck, München 2001, S. 159-183.

Laprie, Jean-Claude (1995): Dependability of Computer Systems: from Concepts to Limits, in: Proceedings of Software Reliability Engineering, Vol. 6, 1995, S. 2-11.

Lehner, Franz; Auer-Rizzi, Werner; Bauer, Robert; Breit, Konrad; Lehner, Johannes; Reber, Gerhard (1991): Organisationslehre für Wirtschaftsin-formatiker, o. Aufl., Hanser Verlag, München/Wien 1991

XXII

Lesch, Thorsten (2002): Risk-Management von Risiken aus Nutzung des Internets -- Eine ökonomische Analyse unter besonderer Berücksichtung ver-sicherungstechnischer Aspekte, Verlag Versicherungswirtschaft, Karlsruhe 2002.

Lewis, William; Watson, Richard; Pickren, Ann (2003): An Empirical Assessment of IT Disaster Risk, in: Communications of the ACM, Vol. 46, No. 9, S. 201-206.

Lux, Thomas (2005): Intranet Engineering -- Einsatzpotenziale und phasenorien-tierte Gestaltung eines sicheren Intranet in der Unternehmung, 1. Aufl., Deutscher Universitätsverlag, Wiesbaden 2005 (zugl.: Bochum, Univ., Diss.).

MDR (2006a): Naturkatastrophen -- Hochwasser, MDR Umschau, Online: http://www.mdr.de/umschau/2732657-hintergrund-2732096.html, abgeru-fen am 26. Juli 2007.

MDR (2006b): Naturkatastrophen -- Erdbeben, MDR Umschau, Online: http://www.mdr.de/umschau/2732520-hintergrund-2732096.html, abgeru-fen am 16. Juli 2007.

Mertens, Peter; Bodendorf, Freimut; König, Wolfgang; Picot, Arnold; Schumann, Matthias (2001): Grundzüge der Wirtschaftsinformatik, 7. Aufl., Springer Verlag, Berlin et al. 2001.

Müller, Matthias (2007): Standardkonformer Aufbau des Business Continuity Managements bei der O2 (Germany), Vortrag im Rahmen des IT-Grundschutz-Tages am 2. Juli 2007, Online: http://www.bsi.bund.de/ gshb/aktuell/Folien_IT-GS-Tag.zip, abgerufen am 23. Juli 2007.

Naujoks, Uwe (2001): Business Continuity Planning in der WestLB, in: KES, Jg. 2001, Nr. 4.

Naujoks, Uwe (2002): Verification/Testing and Monitoring of Business Continu-ity Plans, in: Wieczorek, Martin; Naujoks, Uwe; Bartlett, Bob (Hrsg.): Busi-ness Continuity, Springer Verlag, Berlin/Heidelberg 2002, S. 118-127.

Nemzow, Martin (1997): Business Continuity Planning, in: International Journal of Network Management, Vol. 7, S. 127-136.

Niehaus, Greg (2002): The allocation of catastrophe risk, in: Journal of Banking & Finance, No. 26, 2002, S. 585-596.

O2 (2005): Annual Review 2005, O2, 2005.

XXIII

Obermeier, Peter (2002): Die Kunst der Krisenkommunikation, in: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Do-kumentation über ein Symposium am 18.-20. Oktober 2001 im Schloß Mar-bach, Karlsruhe 2002, S. 15-17.

Oecking, Christian; Koppitz, Michael; Gläßer, Thomas; Feldmann, Stefan (2000): Outscouring im Wandel: Von der Auslagerung der Datenverarbei-tung zum Management der Komplexität von Informationstechnologie, in: Köhler-Frost, Wilfried (Hrsg.): Outsourcing -- eine strategische Allianz beson-deren Typs, 4. Aufl., Erich Schmid Verlag, Berlin 2000, S. 94-117.

Ogut, Hulisi; Menon, Nirup; Raghunathan, Srinivasan (2005): Cyber Insurance and IT Security Investment: Impact of Interdependent Risk, in: Workshop of Economics in Information Security 2005, Online: http://infosecon.net/workshop/pdf/56.pdf, abgerufen am 24. Juli 2007.

Patterson, David (2002): A Simple Way to Estimate the Cost of Downtime, in: Proceedings of LISA, 16th Systems Administration Conference, Berkeley 2002, S. 185-188.

Pech, Eckart (2006): Determinants of Future Market Success, in: Picot, Paul (Hrsg.): The Futures of Telecommunications Industries, Springer Verlag, Hei-delberg et al. 2006, S. 111-117.

Pietsch, Thomas (1999): Bewertung von Informations- und Kommunikations-systemen: ein Vergleich betriebswirtschaftlicher Verfahren, o. Aufl., Erich Schmidt Verlag, Berlin 1999.

Porter, Michael (2000): Wettbewerbsvorteile -- Spitzenleistungen erreichen und behaupten, 6. Aufl., Campus Verlag, Frankfurt/New York 2000.

Potthof, Ingo (1998): Kosten und Nutzen der Informationsverarbeitung: Analyse und Beurteilung von Investitionsentscheidungen, Gabler Verlag, Wiesbaden 1998 (zugl.: Erlangen-Nürnberg, Univ., Diss.).

PwC (2007): PricewaterhouseCoopers Deutschland, Online: http://www.pwc.de/, abgerufen am 20. Juli 2007.

Quichmayr, Gerald (2004): Survivability and Business Continuity Management, in: ACM International Conference Proceeding Series, Vol. 54, 2004, S. 3-6

Rainer, Rex Kelly; Snyder, Charles; Carr, Houston (1991): Risk Analysis of Information Technology, in: Journal of Management Information Systems, Vol. 8, No. 1, S. 129-147, 1991.

XXIV

Rams, Wolfgang (2001): Kundenbindung im deutschen Mobilfunkmarkt: Determinanten und Erfolgsfaktoren in einem dynamischen Marktumfeld, 1. Aufl., Deutscher Universitätsverlag, Wiesbaden 2001 (zugl.: Duisburg, Univ., Diss.).

Reichwald, Ralf; Meier, Roland; Fremuth, Natalie (2002): Die mobile Ökonomie -- Definition und Spezifika, in: Reichwald, Ralf (Hrsg.): Mobile Kommunikation, Gabler-Verlag, Wiesbaden 2002.

Romeike, Frank (2004): Lexikon Risiko-Management, 1. Aufl., Bank Verlag, Köln 2004.

Rosenkranz, Friedrich; Missler-Behr, Magdalena (2006): Unternehmensrisi-ken erkennen und managen -- Einführung in die quantitative Planung, Sprin-ger Verlag, Berlin/Heidelberg 2006.

Rössing, Rolf von (2005): Betriebliches Kontinuitätsmanagement, 1. Aufl., mitp Verlag, Bonn 2005.

Scheele, Ulrich; Kühl, Timo (2003): Netzgebundene Infrastrukturen unter Veränderungsdruck -- Sektoranalyse Telekommunikation, Forschungsverbund netWORKS, Deutsches Institut für Urbanistik, Berlin 2003.

Schneier, Bruce (2004): Evaluating Security Systems: A Five Step Process, in: Camp, Jean; Lewis, Stephen (Hrsg.): Economics of Information Security, Kluwer Adacemic Publishers, Boston et al. 2004, S. 289-293.

Schroeder, Nina (2006): Kundenwert als zentrale Größe zur wertorientierten Unternehmenssteuerung, Verlag Dr. Kovac, Hamburg 2006 (zugl.: Augsburg, Univ., Diss.).

Schwerdtner, Stefan; Zylla, Michael (2000): Outsourcing von Call und Customer Care Center Dienstleistungen zur Verbesserung von Kundenbezie-hungen, in: Köhler-Frost, Wilfried (Hrsg.): Outsourcing -- eine strategische Al-lianz besonderen Typs, 4. Aufl., Erich Schmid Verlag, Berlin 2000, S. 118-139.

Seitz, Manfred (2002): Die Möglichkeiten des traditionellen Rückversiche-rungsmarktes im Umgang mit Grenzrisiken, in: VVW (Hrsg.): Der Umgang mit Risiken im Grenzbereich der Versicherbarkeit: Dokumentation über ein Symposium am 18.-20. Oktober 2001 im Schloß Marbach, Karlsruhe 2002, S. 35-41.

XXV

SFK (2004): Ergebnis der Beratungen der Arbeitsgruppe "Flughafenausbau Frankfurt", Kommission für Anlagensicherheit (KAS) beim Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, Bonn, Online: http://www.kas-bmu.de/publikationen/sfk/bericht_ag_ffm_ergebnis_ 30_01.pdf, abgerufen am 16. Juli 2007.

Shao, Benjamin (2004): Allocating Redundancy for Critical Information Technology Functions for Disaster Recovery, in: Proceedings of the 10th Americas Conference on Information Systems, New York 2004, S. 1349-1387.

Slaby, Martin; Urban, Dieter (2002): Risikoakzeptanz als individuelle Ent-scheidung -- Zur Integration der Risikoanalyse in die nutzentheoretische Ent-scheidungs- und Einstellungsforschung, Schriftenreihe des Instituts für Sozi-alwissenschaften der Universität Stuttgart, Jg. 2002, Nr. 1, Stuttgart 2002.

Spiegel, Gerhard (2001): IT-Risikomanagement: Ein wichtiger Bestandteil der Unternehmensstrategie, in: KES, Jg. 2004, Nr. 4.

Stockar, Daniel Marc von (1995): Informationssicherheit als unternehmerische Aufgabe, Dissertation, Universität Zürich 1995.

Su, Xiamoneg; Bolzoni, Damiano; Eck, Patrick van (2006): A Business Goal Driven Approach for Understanding and Specifying Information Security Re-quirements. in: 11th International Workshop on Exploring Modeling Meth-ods in Systems Analysis and Design (EMMSAD2006), 5.-9. Juni 2006, Lux-embourg, S. 465-472.

SwissRe (2001): Natur- und Man-made-Katastrophen 2000: Trotz riesiger Fluten weniger Versicherungsschäden, SwissRe, sigma, Jg. 2001, Nr. 2.

Takahashi, Sonoko (2006): IT Services Spending Forecast -- 2006 To 2011, Forrester Research, Online: http://www.forrester.com/Research/PDF/ 0,,38001,00.pdf, abgerufen am 26. März 2006.

Tandler, Sebastian (2006): Prozessorientierte Risikoanalyse, in: KES, Jg. 2006, Nr. 5.

Velden, Remco van der (2007): Wettbewerb und Kooperation auf dem deutschen DSL-Markt, Mohr Siebeck, Tübingen 2007 (zugl.: Paderborn, U-niv., Diss.).

Vodafone (2006): Annual Report (Year End March 2006), Vodafone Group, 2006.

Wagschal, Herbert; Huth, Michael (2005): Geschäftsprozessbasierte Notfall-planung, in: RiskNews, Mai 2005.

XXVI

Welfens, Paul; Jungmittag, André (2001): Internet, Telekomliberalisierung und Wirtschaftswachstum, o. Aufl., Springer Verlag, Berlin et al. 2001.

Werners, Brigitte (1993): Unterstützung der strategischen Technologieplanung durch wissensbasierte Systeme, 1. Aufl., Verlag der Augustinus-Buchhandlung, Aachen 1993.

Werners, Brigitte; Klempt, Philipp (2005): Verfahren zur Evaluation der IT-Sicherheit eines Unternehmens, Arbeitsbericht Nr. 12 des Instituts für Si-cherheit im E-Business, Bochum 2005.

Werners, Brigitte; Klempt, Phillip (2007): Management von IT-Risiken in Supply Chains, in: Vahrenkamp, Richard; Siepermann, Christoph (Hrsg.): Ri-sikomanagement in Supply Chains -- Gefahren abwehren, Chancen nutzen, Erfolg generieren, Erich Schmid Verlag, Berlin 2007, S. 287-300.

Wiedemann, Jochen (2007a): Quantitative Wirtschaftlichkeitsbetrachtungen für IT-Notfallmaßnahmen, in: Horster, Patrick (Hrsg.): D-A-CH Security 2007 (syssec), S. 507-518.

Wiedemann, Jochen (2007b): Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements, Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis, Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business, Bochum 2007.

Wöhrmann, Paul (2003): Captives -- Selbstfinanzierung für klassische Risiken, in: Versicherungsmagazin, Jg. 2003, Nr. 3, S. 26-27.

Wolf, Klaus (2003): Risikomanagement im Kontext der wertorientierten Unternehmensführung, GWV Fachverlage, Wiesbaden 2003 (zugl.: Bay-reuth, Univ., Diss.).

Yuan, Yufei; Detlor, Brian (2005): Intelligent Mobile Crisis Response Systems, in: Communications of the ACM, Vol. 48, No. 2, S. 95-98.

Zaborski, Michal (2007): Die ökonomische Bewertung von IT-Ausfallkosten bei Telekommunikationsanbietern, Diplomarbeit, Universität Bochum, Lehrstuhl für Wirtschaftsinformatik an der Fakultät für Wirtschaftswissenschaften, Bo-chum 2007

Zurich (2002): ART -- Alternative Risk Transfer -- Captive, Online: http://www.risknet.de/filea-in/template_risknet/dokumente/ Zurich/Captive/art_fs_001_captive_g.pdf, abgerufen am 13. Juli 2007.

XXVII

Arbeitsberichte des ISEB

Nr. 1 Lange, Jörg: Sicherheit als notwendige Eigenschaft

computergestützter Informationssysteme – Rechtliche Rahmenbedingungen und gesellschaftliche Aspekte, Arbeitsbericht Nr. 1 des Instituts für Sicherheit im E-Business, Bochum 2003

Nr. 2 Hundsdoerfer, Jochen; Siegmund Olaf: ELSTER – Vorteile,

Nachteile und IT-Sicherheitsrisiken der elektronischen Einkommensteuererklärung, Arbeitsbericht Nr. 2 des Instituts für Sicherheit im E-Business, Bochum 2003

Nr. 3 Gabriel, Roland; Gersch, Martin; Rüdiger, Klaus (Hrsg.): Sicherheit im E-Business – Eröffnungsworkshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 3 des Instituts für Sicherheit im E-Business, Bochum 2003

Nr. 4 Lange, Jörg: Sicherheit als materielle Gestaltungsanforderung an

computergestützte Informationssysteme, Arbeitsbericht Nr. 4 des Instituts für Sicherheit im E-Business, Bochum 2004

Nr. 5 Gabriel, Roland; Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „IT-Sicherheit als Managementaufgabe“ – Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 5 des Instituts für Sicherheit im E-Business, Bochum 2004

Nr. 6 Hechtner, Frank; Hundsdoerfer, Jochen; Siegmund, Olaf: Wann wird sich die elektronische Einkommensteuererklärung durchsetzen? - Zum Sicherheits- und Entwicklungsstand von ELSTER, Arbeitsbericht Nr. 6 des Instituts für Sicherheit im E-Business, Bochum 2004

Nr. 7 Rüdiger, Klaus; Gersch, Martin: In-vehicle M-Commerce: business

models for navigation systems and location-based services – an economic analysis of practical examples, Working Paper No. 7, Institute for E-Business Security, Bochum 2004

Nr. 8 Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „ISEB XChange-

Seminar WS 2004/05“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 8 des Instituts für Sicherheit im E-Business, Bochum 2005

Nr. 9 Werners, Brigitte; Klempt, Philipp: Standards und Kriterienwerke

zur Zertifizierung von IT-Sicherheit, Arbeitsbericht Nr. 9 des Instituts für Sicherheit im E-Business, Bochum 2005

XXVIII

Nr. 10 Gabriel, Roland; Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „IT-Sicherheit in der Praxis“ – Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 10 des Instituts für Sicherheit im E-Business, Bochum 2005

Nr. 11 Rüdiger, Klaus; Neuber, Susanne (Hrsg.): „ISEB XChange-

Seminar SS 2005“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 11 des Instituts für Sicherheit im E-Business, Bochum 2005

Nr. 12 Werners, Brigitte; Klempt, Philipp: Verfahren zur Evaluation der IT-Sicherheit eines Unternehmens, Arbeitsbericht Nr. 12 des Instituts für Sicherheit im E-Business, Bochum 2005

Nr. 13 Neuber, Susanne: Marketing für IT-Sicherheitsleistungen,

Arbeitsbericht Nr. 13 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 14 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar

WS 2005/2006“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 14 des Instituts für Sicherheit im E-Business, Bochum 2005

Nr. 15 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in

Unternehmungen – Teil 1: Risikomanagement und rechtliche Rahmenbedingungen der IT-Sicherheit, Arbeitsbericht Nr. 15 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 16 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in

Unternehmungen – Teil 2: Ausgewählte technische und organisatorische Maßnahmen zum Schutz von Informationen, Arbeitsbericht Nr. 16 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 17 Gabriel, Roland; Rüdiger, Klaus; Sowa, Sebastian; Klempt, Philipp (Hrsg.): „IT-Security & Consulting“ – 4. Workshop des

Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 17 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 18 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar

SS 2006“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 18 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 19 Heitmann, Marcus: Theorie und Praxis der IT-Sicherheit in

Unternehmungen – Teil 3: Unternehmungsübergreifende Gestaltungsansätze zur IT-Sicherheit am Beispiel der Automobilindustrie, Arbeitsbericht Nr. 19 des Instituts für Sicherheit im E-Business, Bochum 2006

XXIX

Nr. 20 Rüdiger, Klaus: Der Online-Handel in Deutschland und Spanien –

empirische Befunde und rechtliche Rahmenbedingungen, Arbeitsbericht Nr. 20 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 21 Rüdiger, Klaus: Nutzen und Risiken des Online-Handels – eine

Analyse aus theoretischer und empirischer Sicht, Arbeitsbericht Nr. 21 des Instituts für Sicherheit im E-Business, Bochum 2006

Nr. 22 Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „ISEB XChange-Seminar

WS 2006/07“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 22 des Instituts für Sicherheit im E-Business, Bochum 2007

Nr. 23 Rüdiger, Klaus: Internet-Gütesiegel im Online-Handel – eine Analyse

ausgewählter deutscher Gütesiegelprogramme, Arbeitsbericht Nr. 23 des Instituts für Sicherheit im E-Business, Bochum 2007

Nr. 24 Klempt, Philipp; Rüdiger, Klaus; Sowa, Sebastian (Hrsg.): „ISEB XChange-Seminar SS 2007“ – Vortragsreihe des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 24 des Instituts für Sicherheit im E-Business, Bochum 2007

Nr. 25 Gabriel, Roland; Sowa, Sebastian; Rüdiger, Klaus; Klempt, Philipp (Hrsg.): „Informationssicherheit in Banken und

Versicherungen“ – 5. Workshop des Instituts für Sicherheit im E-Business, Arbeitsbericht Nr. 25 des Instituts für Sicherheit im E-Business, Bochum 2007

Nr. 26 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext

des Risikomanagements – Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis, Arbeitsbericht Nr. 26 des Instituts für Sicherheit im E-Business, Bochum 2007

Nr. 27 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext

des Risikomanagements – Teil 2: Entwicklung von Gestaltungselementen am Beispiel einer TK-Unternehmung, Arbeitsbericht Nr. 27 des Instituts für Sicherheit im E-Business, Bochum 2007

XXX

Sie können die Arbeitsberichte gegen eine Schutzgebühr bestellen.

Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D-44780 Bochum

Tel.: +49 (0)234 – 32 25325 Fax: +49 (0)234 – 32 14350 iseb@ruhr-uni-bochum.de http://www.iseb.ruhr-uni-bochum.de

Stand: Oktober 2007

XXXI

Dissertationen des ISEB

Behling, Thorsten B.: Der Zugang elektronischer Willenserklärungen in

modernen Kommunikationssystemen, Bochum 2006.

Einhaus, Christian: Potenziale des Wissensmanagement zur Behandlung

operationeller Risiken in der Kreditwirtschaft, Bochum 2006.

Klempt, Philipp: Effiziente Reduktion von IT-Risiken im Rahmen des

Risikomanagementprozesses, Bochum 2007.

Lange, Jörg: Sicherheit und Datenschutz als notwendige Eigenschaft von

computergestützten Informationssystemen, Bochum 2005.

Lux, Thomas: Intranet Engineering – Einsatzpotenziale und phasenorientierte Gestaltung eines sicheren Intranet in der Unternehmung, Bochum 2005.

Neuber, Susanne: Nachfragerseitige Wissensdefizite als Hindernis einer

Präferenzbildung für IT-Sicherheitsleistungen – Lösungsansätze des Marketings aus marktprozesstheoretischer und informationsökonomischer Perspektive, Bochum 2006.