Embed Size (px)
Citation preview
Softwaremanagement, © Prof. Uwe Aßmann 1
10. Risiko-Management
A
Prof. Dr. rer. nat. habil. Uwe AßmannLehrstuhl SoftwaretechnologieFakultät InformatikTU DresdenVersion 1.1,Juni 07
Softwaremanagement, © Prof. Uwe Aßmann 2
Referenzierte Literatur
• Balzert, H. : Lehrbuch der SW-Technik; Bd 2 Spektrum- Verlag 2001
• Wallmüller, E.: Risikomanagement für IT- und Software-Projekte; Hanser Verlag 2004
• http://www.bsi.bund.de/
Softwaremanagement, © Prof. Uwe Aßmann 3
10.1 Grundlagen
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
4
Misserfolge internationaler Großprojekte
Projekt Verspätung VerlustDeutsches Mautsystem „Toll Collect“
„YOU“Projekt von Bank Vontobel
California PKWZulassung
American Airlines Autovermietung
Denver Flughafen Gepäckverteilung
US Bundesfinanzamt Steuer
London, Elektronische Börse
London, Krankenwagenleitsystem
Abbruch nach 2 Jahren
Abbruch nach 2 Jahren
3 Jahre
7 Jahre
2 Jahre
8 Jahre
12 Jahre
5 Jahre
rd. € 2,2 Milliarden
CHF 256 Millionen
$ 54 Millionen
$ 165 Millionen
$ 750 Millionen
$ 1600 Millionen
£ 800 Millionen
£ 12 Millionen und der Verlustvon 46 Menschenleben
Quelle: [Wallmüller, E.]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
5
Projektrisiken
Das Gesamtrisiko lässt sich in Teilrisiken zerlegen. Eventuelle Folgen davon können sein:
● Der Auftraggeber oder der Kunde ist nicht zufrieden,
● Es werden zusätzliche Ressourcen benötigt,
● Die Wirtschaftlichkeit erweist sich niedriger als erwartet (Nutzen zu gering, Kosten höher),
● Das Produkt weist Mängel auf,
● Termine (Zeitplanung) nicht einzuhalten (Zeitrisiko!),
● Die Motivation aller Beteiligten sinkt.
Unter dem Projektrisiko wird die Höhe des Schadens verstanden, den ein Unternehmen erleidet, wenn die Projektziele nicht erreicht werden.
Def.:
Quelle: [ 1, S. 84 – 88 ]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
6
Ziele des Risiko-Managements (1)
• Potenzielle Gefährdungssituationen möglichst frühzeitig erkennen und erfassen;
wo Risiken sind, sind auch Chancen - das negative Bild von Risiken durch Er-
kennen von Opportunitäten und deren Nutzung beseitigen;
• systematisch Risikoursachen identifizieren;
• Risiken einschätzen, um geeignetes Umgehen mit Risiken festzulegen;
• Risiken kommunizieren und allen Beteiligten bewusst machen;
• Risiken in ihrer Entwicklung verfolgen;
• Risiken eingrenzen und als bewusste Steuerungsgröße des Managements
verwenden;
• Hilfsmittel zur Erkennung, Bewertung und Steuerung der Risiken (Frühwarn
systeme, Score Cards, Risk Controls) bereitstellen und nutzen.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
7
Ziele des Risiko-Managements (2)
• Risikomanagement ist, wenn es überhaupt existiert, meist zufallsbestimmt
und basiert häufig auf der Intuition der Betroffenen.• Schaffung eines effizienten internen Kontrollsystems einschließlich notwendiger
Optimierungen• Konzepte der Geschäftsführung sind selten mit gezieltem Risikomanagement
auf der operativen Ebene in Projekten oder Organisationen verbunden.• Der Überbringer schlechter Nachrichten wird zwar nicht mehr, wie im alten
Griechenland, umgebracht, aber immer noch nicht ernst genommen.• Risikomanagement ist ein Mittel der Prävention.• Risikomanagement setzt in der Praxis meist erst ein, wenn Risiken aufgrund
verursachter Schäden augenfällig werden, d.h. materialisiert sind. Wirsprechen im Falle der eigentlichen Intervention (Schadenbegrenzung, Schaden-
behebung) von Problem- bzw. Krisenmanagement.• Risikobewusstsein und Risikotransparenz verbessern.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
8
Teilrisiken eines Projekts
Quelle: [ 1, S. 85 ]
ProjektteamUmwelt
OrganisationProjekt
abwicklungsinstrumente
Personen
PMFunktionen
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
9
Arten von Projektrisiken
Quelle: [ 1, S. 85 ]
Stra
tegi
sche
Ris
iken
Ope
rativ
e R
isik
en
Qua
litat
ive
Ris
iken
Qua
ntita
tive
Ris
iken
Projektrisiken
Entwicklungsrisiken
Managementrisiken
Soziale Risiken
Mitarbeiterrisiko
Politisches Risiko
Motivationsrisiko
Koordinationsrisiko
Informations undKommunikationsrisiko
Planungsrisiko
Projektleitungsrisiko
MaterialzulieferungsRisiko
Applikationsrisiko
Einführungsrisiko
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
10
Risikokategorien (1)
Risikokategorien
Finanzrisiken Operationelle Projektrisiken
Zinsänderungsrisiko (Kredit)Ausfallrisiko Operative Risiken Strategische Risiken
Aktienkursrisiko
Währungsrisiko
Rohstoffrisiko etc.
Optionsrisiko
Technologische RisikenProzessrisiken
PersonalbezogeneRisiken
OrganisatorischeRisiken
Externe Risiken
Marktrisiken Gegenparteirisiko
Quelle:[ Wallmüller, E. S 15]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
11
Risikokategorien (2)
Totales Risiko
Geschäftsrisiko Strategisches Risiko
Marktrisiko
Kreditrisiko
OperationellesRisiko
Prozesse und Policies Organisation IT HR Extern
Kommunikation Hard& Software ITSicherheit
Am Beispiel der Risiko-Landkarte einer Bank:
Quelle: [Wallmüller, E. S. 23]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
12
Entwicklungsstufen von Risiko
• Fokus: Technologie/Infrastruktur, Projekte, Sicherheit, Prozesse/Delivery• Verbindung zu Chancen: Ungenügend, da isoliert• Umfang: Bestehende Informationssysteme. NeuEntwicklungen, Operationen sind involviert
• Fokus: Operationelle Geschäftsrisiken• Verbindung zu Chancen: Für spezifische Risiken• Umfang: Spezifische operationelle Einzelrisiken der Unternehmung; Organisation, Extern, HR, Prozesse und Policies, Technologie
• Fokus: Interne und externe Geschäftsrisiken• Verbindung zu Chancen: Für gesamtes Risikoportfolio• Umfang: Chancen und Risiken des Gesamtunternehmens sowie Risikotreiber verknüpft mit den Wertetreibern z.B. in der strategischen Planung, Balances Scorecard, Performance Messung
Wer
tbei
trag
ITRisikoManagement
OperationellesRisikoManagement
GeschäftsManagement
Risikomanagement PerspektiveQuelle: [Wallmüller, E. S. 29 ]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
13
Risiko-Management
● Aufgabe des Risikomanagements ist es demzufolge– Risiken zu identifizieren,– sie zu analysieren,– sie anzusprechen,– sie zu planen und – sie zu beseitigen, bevor sie zur Gefahr oder zur Hauptquelle für Überarbeitung
werden.● Ein Risiko beschreibt die Möglichkeit, dass eine Aktivität oder ein Objekt einen
Schaden haben könnte, dessen Folgen ungewiss sind. ● Ein Risiko ist ein potentielles Problem, das eintreten könnte.● Ein Problem kann aus einem Risiko herrühren, das eingetreten ist.
Quelle: [ Balzert, S. 176 – 185 ]
Def.: Ziel des Software-Risikomanagements ist es, die Wechselbeziehungen zwischen Risiken und Erfolg zu formalisieren und in anwendbare Prinzipien und Praktiken umzusetzen.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
14
Beispiel eines Risikoszenarios
Zeitverzögerung:2 Monate
Kostenerhöhung:50 KEuro
Effekte
Zeitverzögerung:3 Monate
Imageverlust
Effekte
Kostenerhöhung:20 KEuro
Effekte
Datenbankproduktändern
Reaktion
Projektverzögerungakzeptieren
Reaktion
Datenbankexpertenanfordern
Reaktion
Datenbank nichtrechtzeitig verfügbar
Ereignis
Probleme bei derDatenbankintegration
Ereignis
Datenbankrelease inder Betatestphase
Faktor
Elemente von Riskoszenarien:
■ Risikofaktor: Merkmal mit Wkt. für negatives Eintretens des Ereignisses■ Risikoereignis repräsentiert das Eintreten des negativen Vorfalls■ Risikoreaktion: Aktion, die bei Eintreten des Ereignisse ausgeführt wird■ Risikoeffekt beschreibt Auswirkungen des Risikoereignisses
Quelle: [Wallmüller, E. S. 9]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
15
ON-Normenwerk des Risiko-Managements
ONRegel 49000Risikomanagement für Organisationen,Produkte, Dienstleistungen und Projekte
Begriffe und Grundlagen
ONRegel 49001Elemente des Risikomanagementsystems
ONRegel 490021Leitfaden für das
Risikomanagement
ONRegel 490022Leitfaden für die Einbettung des
Risikomanagements in einintegriertes Managementsystem
ONRegel 49003Qualifikation des Risikomanagers
Quelle: [Wallmüller, E. S. 11]
ON bedeutet Östereichisches Normungsinstitut, Ersatz für nicht existierende DIN-Normen
Softwaremanagement, © Prof. Uwe Aßmann 16
10.2 Risikomanagement-Prozess
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
17
Risikomanagement von Projekten
• Ansatzpunkte: - Projektfinanzierung- Angebotserstellung- Kostenplanung und -kontrolle- Projektsteuerung
• Kategorien: - Risiken, die sich ausschließen lassen (bzw. abwälzen auf Dritte)- Risiken, die sich versichern lassen (Kosten-/ Nutzenanalyse)- Risiken, für die Risikovorsorgen zu bilden sind (bewusst eingegangen)
• Grundfunktionen:- Risikoanalyse und -bewertung, Selektion, ==> Risikokatalog- Maßnahmen zur Risikobewältigung- bewusstes Eingehen und Verkraften von Risiken
• Risikodokumentation:- Kurzbeschreibung- mögliche technische Ausprägungen- Alternativen- Randbedingungen, die zum Eintreten des Risikos führen können- Auswirkungen auf andere Bereiche des Projektes- zeitliche Lage des Risikos im Projekt- terminliche Auswirkungen
(Risiko als Abweichung von Erwartungen)
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
18
Unternehmensweiter RM-Prozess
Risikoidentifikation
Identifizierung und Erfassungvon Risiken/Risikoursachen
Risikoanalyse/-bewertung
Wie wahrscheinlich ist dasEintreten der Risiken, undwelche Folgen ergeben sich?
Risikohandhabung
Maßnahmen und Mechanismenzur Risikobeeinflussung
Risikoüberwachung
laufende Berichterstattung undÜberwachung der Risiken undRisikosteuerungsmaßnahmen
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
19
Risikoidentifikation
Für sicherheitsrelevante Prozesse und deren Informationswerte ist eine systematische Identifizierung des bestehenden Risikopotentials vorzunehmen. Mögliche Techniken und Vorgehensweisen der Risikoidentifikation sind:
Szenariotechnik (Use Case, CRC-Karten)
Brainstorming
Strukturierte Interviews(Walkthroughs)/Umfragen
Workshops(Reviews)
Checklisten
Fragebögen
Fehlerbaumanalyse
Auswertung Planungs- und Controlling-Unterlagen
Analyse von Prozessabläufen mit Flussdiagrammen, Sequenzdiagrammen u. ä.
Fehlermöglichkeits- und Einflussanalyse (FMEA)
Benchmarking
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
20
Risikoanalyse/-bewertung
• Expertenbefragung: Risikodefinition + Risikodiskussion + Risikobewertung(Zeit, Kosten)
• Risikoselektion:
• Eintrittswahrsch.keit gibt an, mit welcher Wkt. in % ein Risikofall eintritt
Geldeinheiten,Intensität der Auswirkung
x1
x2
x3
x4
x1 und x2 u. U. vernachlässigen x3 besonders beachten x4 Vorsorge treffen
Bewertung in Geldeinheiten: Risiken/ 2) Schadenshöhe
(welchen Schaden wird Risiko verursachen?)
Geldeinheiten
Termin-, Fortschritts-, technische, Qualitäts-, kaufmännische R., usw.
• Risikoprioritätszahl ergibt sich aus Eintrittswkt. x Schadenshöhe = Risikofaktor
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
21
Risiko (weitere Betrachtung)
Formale Betrachtung (nach Barry W. Boehm) [Lichtenberg, G., S. 123]
Nutzen der RisikoReduktion:
RRN = (RFv RFn) : RRK
RFv: Risikofaktor vor den Maßnahmen zur ReduzierungRFn: Risikofaktor nach diesen MaßnahmenRRK: RisikoReduktionskosten
Bsp.: Schnittstellenfehler mit 30% Wahrscheinlichkeit würde Kosten von 1 M€ verursachena) Senkung der Wahrscheinlichkeit auf 10% durch ein SSPrüfprogramm von 20 000 €b) Senkung auf 5% durch ausgiebigen Test der Schnittstelle, Kosten = 200 000 €
RRN(a) = ( 1 M € * 0,3 - 1 M€ * 0,1 ) : 20 000 € = 10 RRN(b) = ( 1 M€ * 0,3 - 1 M€ * 0,05) : 200 000 € = 1,25
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
22
Risikohandhabung
Auf Unternehmensebene gibt es folgende Möglichkeiten der Risikohandhabung (risk management) :
● Risikovermeidung ist kostenintensiv und wird nur praktiziert, wenn bei anderen Vorgehensweisen inakzeptables Gefahrenpotential verbleiben würde.
● Risikoverminderung beabsichtigt eine geringe Eintrittswahrscheinlichkeit und/oder einen geringen Schadensumfang im Eintrittsfall.
● Risikostreuung bedeutet eine Verteilung der Risiken, z.B. eine Verteilung von Aktien auf unterschiedliche Unternehmen bei Kapitalanlagen.
● Risikoverlagerung kann durch Vertragsbedingungen, z.B. Verlagerung der Risiken auf Lieferanten, Unterauftragnehmer usw. erreicht werden
● Risikoversicherung ist eine sichere aber auch sehr teuere Form der Risikohandha-bung. Durch hohe Selbstbeteiligung können Versicherungsleistungen zu günstigeren Prämien auf Großschäden begrenzt werden.
● Risikoübernahme/Risikoakzeptanz heißt, das Unternehmen akzeptiert das bestehende Risiko und trägt die Schäden der verbleibenden Risiken im Eintrittsfall.
Quelle: [ Mayr, S. 170 – 186 ]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
23
Risikoüberwachung
Aktivitäten der Risikoverfolgung sind:
regelmäßige Verfolgung des Projektfortschritts (Terminüberwachung) zu festgelegten Zeitpunkten
personelle und finanzielle Aufwandskontrolle zeitnahe, offene Kommunikation horizontal wie vertikal
regelmäßige Berichterstattung der für die Maßnahme Verantwortlichen
Erkennen möglicher Veränderungen von Risikosituationen Aufzeigen von Sachverhalten, die Schadenshöhe und Eintrittswahrscheinlichkeit
verändern
geeignete Visualisierung von Projektrisiken, damit sie allen betroffenen Mitarbeitern sichtbar werden
Abbruch der eingeleiteten Maßnahmen im positiven Fall
Planung von Gegenmaßnahmen im negativen Fall
eventuell Initiieren von Notfallmaßnahmen
Dokumentieren der Symptome, die das Eintreten des Risikos ankündigen
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
24
Schritte des Risikomanagements
Quelle: [ Balzert, S. 176 – 185 ]
RisikoBewertung
RisikoBeherrschung
RisikoIdentifikation
RisikoAnalyse
RisikoPriorisierung
RisikoVorsorgeplanung
RisikoÜberwindung
RisikoÜberwachung
1
2
3
4
5
6
RisikoTechniken Checklisten Vergleich mit Erfahrungen Zerlegung Leistungsmodelle Kostenmodelle Analyse der Qualitätsanforderungen RisikoFaktoren bestimmen RisikoWirkung bestimmen Reduktion zusammengesetzter Risiken Kaufen von Informationen RisikoVermeidung o. Verringerung RisikoelementPlanung(Vorsorgepläne) RisikoplanIntegration Prototypen Simulationen Leistungstests Analysen Mitarbeiter Verfolgung der Top 10Risiken Verfolgung der Meilensteine RisikoNeueinschätzung Korrigierende Aktionen
1
2
3
4
5
6
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
25
Top 10 Elemente der Risiko-Analyse (1)
Quellen: [ Mayr, S.172 ], [ Balzert, S. 179]
Risikoelement RisikomanagementTechniken
1 Personelle Defizite
2 Unrealistische Termin und Kostenvorgaben
3 Entwicklung von falschen Funktionen und Eigen schaften
4 Entwicklung der falschen Benutzungsschnittstelle
5 Vergolden (über das Ziel hinausschießen)
Hochtalentierte Mitarbeiter einstellen Teams zusammenstellen
Detaillierte Kosten und Zeitschätzung mit mehreren Methoden Produkt an Kostenvorgaben orientieren Inkrementelle Entwicklung Wiederverwendung von Software Anforderungen streichen
Benutzerbeteiligung Prototypen Frühzeitiges Benutzerhandbuch
Prototypen Aufgabenanalyse Benutzerbeteiligung
Anforderungen streichen Prototypen Kosten/NutzenAnalyse Entwicklung an den Kosten orientieren
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
26
Top 10 Elemente der Risiko-Analyse (2)
6 Kontinuierliche Anfor derungsänderungen
7 Defizite bei extern gelieferten Komponenten
8 Defizite bei extern erledigten Aufträgen
9 Defizite in der Echtzeitleistung
10 Überfordern der Softwaretechnik
Hohe Änderungsschwelle Imkrementelle Entwicklung (Änderungen auf spätere Erweiterungen verschieben)
Leistungstest Inspektionen Kompatibilitätsanalyse
Prototypen Frühzeitige Überprüfung Verträge auf Erfolgsbasis
Simulation Prototypen Leistungstest Instrumentierung Modellierung Tuning
Technische Analyse Kosten/NutzenAnalyse Prototypen
Risikoelement RisikomanagementTechniken
Quellen: [ Mayr, S.172 ], [ Balzert, S. 179]
Softwaremanagement, © Prof. Uwe Aßmann 27
10.3 Planung von Gegenmaßnahmen
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
28
Risiko-Versicherung (1)
Software-Versicherung ( DT-Versich. ist billiger (Schaden, Diebstahl))
• Versichert das Nichtfunktionieren der Datensicherung (falsches oder zerstörtes Backup, Einbruch, Brand, Viren, ...)
⇒ versichert ist: - Wiedereingabe der Daten* - Wiederbeschaffung der Software u. DT
!!! Folgeschäden sind nicht versichert
• Folgende Schäden werden ersetzt:– Störung oder Ausfall der DV-Anlage, der DFÜ, Stromvers., Klima– Bedienungsfehler (falsche DT, falsche Befehlseingabe)– Computerviren– Vorsatz Dritter (Sabotage, Progr.- oder Datenmanipulation, Hacker)– Über- oder Unterspannung– elektrostat. Aufladung, elektromagn. Störung– höhere Gewalt (Blitz, Hochwasser, ...)
* z. B. Wiedereingabe von 1MByte z. B. 5 000 €
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
29
Risiko-Versicherung (2)
Anbieter
• Unister GELD.de GmbH Leipzig http://www.geld.de/risiko-versicherung.html
• Gerling-Konzern (Versich.-Beteiligungsgesellschaft (Holding) in > 30 Ländern)
http://www.gerling.de
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
30
Beispiel Versicherungsarten (1)
Elektronikversicherung am Bsp. einer großen Versich. (500 MA, 18 Standorte)
Versicherungsarten:
1. Sachversicherung SV
2. Datenträgervers. DTV
3. Softwarevers. SWV
ABE = Allg. Bedingungen für Elektronikvers.
Ersatz zum Nennwert der Anlage (Schadendurch Einwirkung von außen)Erweiterung: Leihgerät während Reparatur
wie bei 1., ohne “auswechselbare” DThier: Materialwert + Reko der Daten u. Progr. ==>! versichert ist das Nicht-funktionieren der eigenen Datensicherung
Bei Verlust /Veränderung auch ohne Sach-schaden. Bsp.: DFÜ, Bedienfehler, Viren, Manipulation Dritter.Leistung: Kosten der Wiederherstellung
!!!DT-Versicherung ist in Softwareversicherung enthalten
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
31
Beispiel Versicherungsarten (2)
4. Versicherung ext. Netze
5a) Mehrkostenvers. MKV
5b) Elektronik-Betriebsunterbrech.- versicherung ELBU
Mehrkosten für ein Ausweichkonzept (Anmietung, Gebäude, Personal u.a.), max. 1 Jahr
für Folgeschädeneines sachschadenbedingten Ausfalls =>wenn Ausweichmaßn. nicht möglich,für entgangenen Gewinn u. fortl. Kosten
noch: Elektronikversicherung am Bsp. einer großen Versichung
Versicherungsarten:
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
32
Risiko-Management im V-Modell XT
Quelle: VModell XT Dokumentation; URL: http://ftp.unikl.de/pub/vmodellxt/Release1.1/Dokumentation/html/
Vorgehensbaustein Projektmanagement
Aktivität Risiken managenvorbeugend, in periodisch kurzen Schritten
• Risiken identifizieren, bewerten, Maßnahmen planen,
• Risiken überwachen und Wirksam-keit der Maßnahmen verfolgen.
Produkt RisikolisteEs werden
• die identifizierten Risiken ermittelt • sie werden fortgeschrieben und verwaltet• die geplanten Gegenmaßn. festgehalten.
Für die Risikoliste ist der PL verantwortlich
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
33
Kritikalitätseinstufung (1)
Kritikalität Art des Fehlverhaltens (für technische Systeme)
hoch Fehlverhalten kann zum Verlust von Menschenleben führenmittel Fehlverhalten kann die Gesundheit von Menschen gefährden oder zur
Zerstörung von Sachgütern führenniedrig Fehlverhalten kann zur Beschädigung von Sachgütern führen,
ohne jedoch Menschen zu gefährdenkeine Fehlverhalten gefährdet weder die Gesundheit von Menschen
noch Sachgüter
Kritikalität Art des Fehlverhaltens (für administrative Informationssysteme) hoch Fehlverhalten macht sensitive Daten für unberechtigte
Personen zugänglich oder verhindert administrative Vorgänge (z. B. Gehaltsauszahlung, Mittelzuweisung) oder führt zu Fehlentscheidungen infolge fehlerhafter Daten
niedrig Fehlverhalten verhindert Zugang zu Informationen, die regelmäßig benötigt werden
keine Fehlverhalten beeinträchtigt die zugesicherten Eigenschaften nicht wesentlich
Quelle: [ Balzert, S. 296 ]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
34
Kritikalitätseinstufung (2)Beispiel einer projektspezifischen Kritikalitätseinstufung für eine Realzeitanwendung (z. B. Flugsicherung)
Kritikalität Art des Fehlverhaltenshoch Fehlverhalten, das zu fehlerhaften Positionsangaben der
Flugobjekte am Kontrollschirm führen kannniedrig Fehlverhalten, das zum Ausfall von Plandaten und damit zu
Abflugverzögerungen führen kannkeine alle übrigen Arten von Fehlverhalten
Maßnahmen zur Abwehr der Auswirkung von Fehlverhalten ⇒ Konstruktive Maßnahmen:
Entwicklung von eigensicheren bzw. fehlertoleranten Funktionseinheiten,Konfigurierung von redundanten oder diversitären Funktionseinheiten
(unter diversitär wird in diesem Zusammenhang die Realisierung redundanter Funktionseinheiten durch unterschiedliche Algorithmen oder physische Prinzipien verstanden)
⇒ Analytische Maßnahmen:Durchführung umfangreicher Verifikation und Validation bis zur Zertifikationsreife
Quelle: [ Balzert, S. 296 ]
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
35
Kritikalitäten/Methoden-Matrix
Konstruktive Qualitätssicherungsmethoden Kritikalitätsstufe(Erstellungsmethoden) hoch mittel niedrig keine
SWAnforderungen mit SADT • • •Grobentwurf mit HOOD • • •Feinentwurf mit HOOD PDL • • •Feinentwurf mit VDM (algebraisch) •Programmierrichtlinien XYZ befolgen • • • • Strukturierte Programmierung • • • •Verwendung eines validierten Compilers • • •Analytische Qualitätssicherungsmethoden Kritikalitätsstufe
(Prüfmethoden) hoch mittel niedrig keineWalkthrough • • • •Audit für Aktivitäten laut QSPlan • • •Durchschnittliche C1Testabdeckung von mind. 90 % • • • •Durchschnittliche C2Testabdeckung von mind. 90 % • • •Informelle Prüfung gemäß Prüfspezifikation • •Korrektheitsbeweis Code versus Feinentwurf •Stat. Analyse bzgl. Einh. der Programmierrichtl. XYZ • • • •Simulation • Quelle: VModell ‘97: Handbuchsammlung
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
36
Werkzeuge zur Risikobehandlung(1)
Die meisten Werkzeuge haben sich aus firmeninternen Vorgehensweisen zur Behandlung des Risikomanagements entwickelt. Folgende Ansätze (unvollständig) sind erkennbar:
Erweiterung von Projektmanagement-Werkzeugen um Komponenten zur Risikoanalyse und –überwachung,
z.B. Microsoft Project erweitert um Add-In @RISKhttp://www.palisade-europe.com/riskproject/
weitere sind enthalten in der Übersicht:
http://www.risknet.de/Loesungsanbieter.52.0.html
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
37
IT-Sicherheit (1)
zur ITSicherheitskonzeption:(BSI = Bundesamt für Sicherheit in der Informationstechnik)
1. Ermittlung der Schutzbedürftigkeit Schaden für das Unternehmen durch Vertraulichkeits und Integritätsverlust
2. Bedrohungsanalyse Hardware, Software, Datenträger ==> Szenarien durchspielen, Sicherheitslücken im Schwachstellenkatalog beschreiben
3. Risikoanalyse Mängel in der Absicherung wie Internetzugänge, Standleitungen usw.
Abschottungen zwischen Unternehmenszweigen bzw. kritischen Bereichen wie Geschäftsführung, Forschungsabteilungen, Buchhaltung oder Personalwesen .
4. Erstellung des Sicherheitskonzeptes technische und organisatorische Maßnahmen, die die Risiken auf ein tolerierbares
Niveau reduzieren, Auflistung von Restrisiken
Bedrohungspotentiale unterteilen in tragbare und nicht tragbare Risiken, Schadenshöhe und Eintrittswahrscheinlichkeit bewerten ==> Risikomatrix
http://www.bsi.bund.de
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
38
IT-Sicherheit (2)
zu 1) Schutzbedürftigkeit durch Sicherheitsgrundfunktionen,
die gegen die drei Grundbedrohungen wirken
Verlust der Verfügbarkeit, der Integrität, der Vertraulichkeit - Identifikation und Authentisierung
- Rechteverwaltung und -prüfung
- Beweissicherung (gegen Missbrauch von Rechten)
- Wiederaufbereitung (geg. unerlaubten Inf.-fluss bei Speichern, Disketten)
- Fehlerüberbrückung und Gewährleistung der Funktionalität (Verfügbarkeit des Systems oder spezieller Funktionen, z. B. bei Gefährdung von Menschen: Luftverkehr, Kraftwerke, ...)
- Übertragungssicherung (Anforderungen an Kommunikationspartner, Übertragungswege, Vorgang der Übertragung, ...)
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
39
IT-Sicherheit (3)
zu 2): Grundbedrohungen:
a) Verlust der Verfügbarkeit (des IT-Systems, von Inf. bzw. Daten)
b) Verlust der Integrität (Modifizierung von Programmen und Daten nur durch Befugte,
ordnungsgemäße Verarbeitung und Übertragung)c) Verlust der Vertraulichkeit
(von Informationen/Daten, Programmen , z. B. bei geheimzuhaltenden Verfahren)
Bedrohungen setzen an Objekten an und können über Objekte Schaden anrichten
⇒ Schutz der Objekte gegen Bedrohungen.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
40
IT-Sicherheit (4)
Objektgruppen:
Infrastruktur IT-Räume, AufbewahrungsräumeStromversorgung, Klima, Zutrittskontrolle, Feuerschutz, ...
---------------------------------------------------------------------------------------------------------------Materielle Hardware Benutzerterminal, wechselbare SpeicherObjekte Nutzerzugang, ...
Datenträger Ur-Versionen, Anwendungs-Software, Sicherungskopien, ...
Paperware Bedienungsanleitungen, Betriebsvorschr. für Normalbetrieb und Notfall, Protokoll-
ausdruck, Anw.-Ausdruck
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
41
IT-Sicherheit (5)
Software Anw.-Software, Betriebssystem-SW, Zusatz-Software
LogischeObjekte Anw.-Daten Eingabe, Verarbeitung, Speicherung,
Ausgabe, Aufbewahrung
Kommunikation Dienstleistungsdaten (Nutzer-), Netzsteuerungsdaten
-------------------------------------------------------------------------------------------------------------------
Personelle Personen betriebsnotwendige Personen, Objekte überwachende Personen, Hilfspersonal
noch Objektgruppen:
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
42
IT-Sicherheit (6)
Risiken der Risikoanalyse (3 Möglichkeiten)
• Risiken unterschätzt:
⇒ Schaden tritt ein
Risiken überschätzt:⇒ Vermeidbare Kosten; Verlust von Chancen
• Risiken richtig eingeschätzt:⇒ Nutzen nicht beweisbar⇒ nachlassendes Risikobewusstsein
zu 3):
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
43
IT-Sicherheit (7)
zu 4): Erstellung des Sicherheitskonzeptes
Schritt 9: Auswahl von Maßnahmen10: Bewertung der Maßnahmen11: Kosten-/Nutzen-Betrachtung12: Restrisikoanalyse
Schritt 9) Maßnahmebereiche:- Infrastruktur: Bauliche und infrastrukturelle Maßnahmen
(Gelände, Gebäude, Fenster, Türen, Decken, ...)
- Organisation: Regelung von Abläufen und VerfahrenEinsatz eines IT-Sicherheitsbeauftragten
- Personal: Schulung, Motivation, Sanktionen, ...
- Hardware/ Identifikation und Authentisierung, Software: Zugriffskontrolle, Beweissicherung
Wiederaufbereitung, Übertragungssicherheit
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
44
IT-Sicherheit (8)
noch zu Schritt 9) Maßnahmebereiche
Kommunikations- z. B. Verschlüsselungsverfahren zur technik: Wahrung von Integrität und Vertraulichkeit
- Abstrahlschutz: gegen mißbräuchlichen Gewinn von Informationen
- Notfallvorsorge: Wiederherstellung der Betriebsfähigkeit nachAusfall
- Versicherungen: - von Hardware (Elektronik-Sachversicherung)- für Datenträger- gegen Folgeschäden von Betriebsunterbrechungen- für die betriebliche Haftpflicht- für den Rechtsschutz u. a.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
45
IT-Sicherheit (9)
zu Schritt 10) Bewertung der Maßnahmen:- Beschreibung des Zusammenwirkens der Maßnahmen- Überprüfung der Auswirkungen auf den Betrieb des IT-Systems- Überprüfung auf Vereinbarkeit mit Vorschriften (A-Recht, Datenschutz)- Bewertung der Wirksamkeit der Maßnahmen
zu Schritt 11) Kosten/Nutzen:- Kosten der Maßnahmen- Verhältnis Kosten/Nutzen
⇒ andere Maßnahmen?
zu Schritt 12) Restrisikoanalyse:- sind die Restrisiken tragbar?
⇒ evtl. zurück zu Schritt 9
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
46
IT-Sicherheit (10)
Ergebnis: IT-Sicherheitskonzept mit
- Ordnung der Maßnahmen mit Prioritäten
- personeller Verantwortung
- Zeitplan zur Realisierung der Maßnahmen
- Hinweisen zur Überprüfung auf Einhaltung der Maßnahmen
- Zeitpunkt zur Überprüfung des IT-Sicherheitskonzepts
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
47
IT-Sicherheit (11)
Beispiel zur Organisation in einer kleinen und einer mittelgroßen Organisation
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
48
IT-Sicherheit (12) IT-Sicherheitsniveau
Quelle: http://www.bsi.bund.de/
Maximal: Schutz vertraulicher Informationen Informationen im höchsten Maße korrekt Zentrale Aufgaben ohne ITEinsatz nicht durchführbar. Knappe Reaktionszeiten für kritische Entscheidungen Ausfallzeiten sind nicht akzeptabel. Hoch: Der Schutz in sicherheitskritischen Bereichen stärker Die verarbeiteten Informationen müssen korrekt sein Fehler erkennbar und vermeidbar In zentralen Bereichen laufen zeitkritische Vorgänge oder es werden dort Massenaufgaben bearbeitet es können nur kurze Ausfallzeiten toleriert werden. Mittel: Kleinere Fehler können toleriert werden, Fehler, die die Aufgabenerfüllung erheblich beeinträchtigen, müssen jedoch erkenn oder vermeidbar sein. Längere Ausfallzeiten sind nicht zu tolerieren. Niedrig: Vertraulichkeit von Informationen ist nicht gefordert. Fehler können toleriert werden, solange sie die Erledigung der Aufgaben nicht unmöglich machen; längere Ausfallzeiten sind jedoch hinnehmbar.
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
49
IT-Sicherheit (13) Datensicherungskonzept
Durch - technisches Versagen, - versehentliches Löschen oder - Manipulation können gespeicherte Daten unbrauchbar werden bzw. verloren gehen.
Maßnahmebündel für den IT-Grundschutz:
Ziel: kurzfristige Wiederaufnahme des IT-Betriebes durch redundanten Datenbestand
Betrifft: - Organisation - Personal (Verpflichtung, Vertretung, Schulung, Verfahren beim Ausscheiden usw.)
- Gebäude, Verkabelung, - Büroraum (Fenster, Türen, Schlüssel, Zutrittsregelung, Kontrollgänge, . . . )- Datenträgerarchiv, . . .
(Es ex. ein BSI IT-Grundschutzhandbuchim Auftrag des BSI erarbeitet, zur Erstellungvon IT-Sicherheitskonzepten)
http://www.bsi.bund.de/gshb
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
50
IT-Sicherheit (14) Datenverlust
Verlust gespeicherter Daten: • Entmagnetisierung von magnetischen Datenträgern durch Alterung
oder durch ungeeignete Umfeldbedingungen (Temperatur, Luftfeuchte), • Störung magnetischer Datenträger durch äußere Magnetfelder, • Zerstörung von Datenträgern durch höhere Gewalt wie Feuer oder Wasser, • versehentliches Löschen oder Überschreiben von Dateien, • technisches Versagen von Peripheriespeichern (Headcrash), • fehlerhafte Datenträger, • unkontrollierte Veränderungen gespeicherter Daten (Integritätsverlust) und • vorsätzliche Datenzerstörung durch Computer-Viren usw.
Beispiel Minimaldatensicherungskonzept:
- Software: erworben oder selbst erstellt, einmalig Vollsicherung- Systemdaten: sind mindestens einmal monatlich mit einer Generation zu sichern. - Anwendungsdaten: mindestens monatlich Vollsicherung im Drei-Generationen-Prinzip- Protokolldaten: mindestens monatlich Vollsicherung im Drei-Generationen-Prinzip
Ergänzende Kontrollfragen: Werden sämtliche Mitarbeiter, auch neu eingestellte, auf ein Datensicherungskonzept oder ersatzweise auf das Minimaldatensicherungskonzept hingewiesen und verpflichtet?
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
51
IT-Sicherheit (15) Notfall-Vorsorge
(Maßnahmen zur Wiederherstellung der Betriebsfähigkeit)Phase 1: Planung der Notfallvorsorge Maßnahmen während des Betriebes (z. B. Rauchverbot, Stromversorgung, Wartung, Datensicherung) Notfallpläne (Teile eines Notfallhandbuchs) mit Maßnahmen bei Eintreten eines Notfalls.
Phase 2: Umsetzung der Notfallvorsorgemaßnahmen Ziel: Eintrittswahrscheinlichkeit eines Notfalls verringern sowie zügige und wirtschaftliche Wiederherstellung der Betriebsfähigkeit.
Phase 3: Durchführung von Notfallübungen Umsetzung der im Notfall-Handbuch aufgeführten Maßnahmen einüben und Steigerung deren Effizienz.Phase 4: Umsetzung geplanter Maßnahmen nach Eintreten eines Notfalls
Notfallvorsorge: u. a.: M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen M 6.2 Notfall-Definition, Notfall-Verantwortlicher M 6.8 Alarmierungsplan M 6.3 Erstellung eines Notfall-Handbuches M 6.12 Notfallübungen M 6.5 Definition des eingeschränkten IT-Betriebs M 6.16 Versicherungen M 6.6 Untersuchung interner und externer Ausweichmöglichkeiten M 6.11 Erstellung eines Wiederanlaufplans M 6.14 Ersatzbeschaff.-plan
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
52
BSI-Sicherheitszertifikat
Die europäischen Sicherheitskriterien ( I nformation T echnology S ecurity E valuation C riteria ITSEC ) = Grundlage für die Prüfung der Vertrauenswürdigkeit von ITProdukten (Korrektheit u. Wirksamkeit der Sicherheitsfunktionen wie Authentisierung, Zugriffskontrolle und Übertragungssicherung). Die Sicherheitsfunktionen wirken gegen folgende drei Grundbedrohungen: Verlust der Vertraulichkeit Integrität Verfügbarkeit Der Zertifizierungsreport enthält neben dem Sicherheitszertifikat einen Bericht, in dem Details der Prüfung und Zertifizierung veröffentlicht werden. (Sicherheitseigenschaften des ITProdukts, abzuwehrende Bedrohungen, Anforderungen an Installation und Einsatzumgebung, Maßnahmen gegen inhärente Schwachstellen.)
Pro
f. U
we
Aß
man
n, S
oftw
arem
anag
eme
nt
53
Gemeinsame Kriterien
(Prüfung und Bewertung der Sicherheit von Informationstechnik)
• Common Criteria for Information Technology Security Evaluation (CC), Version 2.0" , 5/1998 unter Beteiligung Deutschlands, Frankreichs, Großbritanniens,
Kanadas, der Niederlande und der USA
für die Bewertung der Sicherheitseigenschaften der informationstechnischen Produkte und Systeme
Teil 1: Einführung und allgemeines Modell Teil 2: Funktionale Sicherheitsanforderungen Teil 2: Anhang Teil 3: Anforderungen an die Vertrauenswürdigkeit
(CC Version 2.0, deutsche Übersetzung am 16.02.1999 im Bundesanzeiger bekanntgemacht)
• CC-Dokumentation gegliedert: (abrufbar im Framemaker- und PDF-Format)
Quelle: http://www.bsi.bund.de/cc/
