Risikomanagement-Prozessmodellierung im militärischen Umfeld

Bachelor-Studiengang IT Security

Christoph Elshuber, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa 

Ausgangslage

Organisationen im privaten und öffentlichen Sektor sind zunehmend von Informationstechnologien (IT) abhängig um ihre Unternehmensziele zu erreichen. Kommt es zu Störungen und Ausfällen der IT-Systeme, zieht dies in der Regel beträchtliche finanzielle, sowie Imageschäden nach sich. Aus diesem Grund ist es für Unternehmen wichtig, Risiken zu minimieren bevor sie entstehen. Dies kann durch gezieltes Risikomanagement erfolgen.

Auch staatliche Einrichtungen müssen auf die immer größere Bedeutung von IT und die damit einhergehenden Bedrohungen angemessen reagieren. Darunter fällt auch das Kommando Führungsunterstützung und Cyber Defence (KdoFüU&CD) des Bundesministeriums für Landesverteidigung (BMLV). Ein Teil der IKT-Services des Kommandos arbeitet mit personenbezogenen Daten. Diese müssen wegen der im Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) ein Risikomanagement vorweisen. Das Kommando nimmt dieses Ereignis als Anlass, die vorhandenen Risikomanagementprozesse einer Evaluierung zu unterziehen. Dafür sollen die Prozesse neu modelliert werden, um wieder dem aktuellen Stand zu entsprechen.

Ziel

Das Ziel dieser Arbeit ist, aufzuzeigen, welche Prozesse und Verantwortlichkeiten bzw. Rollen für die Einführung, den Betrieb und die Wartung eines Risikomanagement-Systems im BMLV – KdoFüU&CD notwendig sind. Zusätzlich soll herausgearbeitet werden, inwiefern sich die militärischen Einflüsse auf den Risikomanagement-Prozessschritt ‚Risikoassessment‘ auswirken. Durch eine Evaluierung von diversen Risikomanagementstandards (beispielsweise ISO, NIST, BSI, OCTAVE Allegro) sollen die Unterschiede zwischen den einzelnen Standards bei der Prozessmodellierung aufgezeigt werden. Unter Berücksichtigung dieser Evaluierung sollen in weiterer Folge passende Risikomanagement-Prozesse für das KdoFüU&CD ausgearbeitet und modelliert werden.

Ergebnis

Im Zuge dieser Arbeit wurden die Unterschiede bei der Prozessmodellierung zwischen einzelnen Risikomanagement-Standards und Normen dargestellt. Durch die Aufbereitung war es möglich, eine Modellierung durchzuführen, welche die Aspekte mehrerer Standards berücksichtigt und ihre Stärken einarbeitet. Anhand der modellierten Prozesse zeigte sich, dass eine Kombination aus mehreren Standards erforderlich war, um eine optimale Prozessmodellierung für das KdoFüU&CD erarbeiten zu können.