IT-Risikomanagement

Kontakt: Stephan Schmidt, Seyit Ahmet Camtepe

 

Risiko- und Geschäftsprozessmanagement sind aufgrund einer Vielzahl betrieblicher, technischer und rechtlicher Aspekte zentrale Elemente moderner IT-basierter Unternehmensnetzwerke. Zunehmend komplexere wechselseitige Abhängigkeiten in der unterliegenden IT-Infrastruktur sowie Flexibilitätsanforderungen in hochdynamischen, netzbasierten Umgebungen können mit herkömmlichen Methodologien für Risikomanagement nicht ausreichend erfasst werden, da diese lediglich statische und oftmals lediglich qualitative Bewertungen vornehmen. Insbesondere durch Vernetzung entstehende Kaskadeneffekte bleiben in diesem Zusammenhang unberücksichtigt.

Im Forschungsgebiet IT-Risikomanagement entwickeln wir quantitative Verfahren für das Risikomanagement in IT-basierten Netzwerken. Der zugrundeliegende Risikomanagement-Prozess teilt sich in drei Phasen. In der Risk Assessment-Phase werden Wertigkeit von Geschäftsprozessen auf hoher und Bedrohungen auf niedriger Abstraktionsebene quantifiziert. Die Zusammenführung der Abstraktionsebenen erfolgt durch graphentheoretische Verfahren und Bayessche Netzwerke, wodurch z.B. Geschäftsprozessumsätze auf Hardwareebene heruntergebrochen werden, so dass abschließend für jedes modellierte Gerät der monetäre Wert feststeht, den das Unternehmen durch dessen kontinuierlichen Betrieb realisiert.

Dies ermöglicht in der zweiten Phase den Einsatz von algorithmischen Verfahren aus den Bereichen Spiel- und Kontrolltheorie sowie Markow-Entscheidungsprozesse, um unter Vorgabe eines Budgets optimale Risk Mitigation-Strategien für gegebene diskretisierte Zeiträume zu entwerfen. In der abschließenden Risk Transfer-Phase werden Verfahren für die Umplanung von Geschäftsprozessen vorgeschlagen, die inhärent risikoreichen Abhängigkeiten unterliegen, welche in der Mitigationsphase identifiziert wurden. Algorithmen, die in den CC SEC-Forschungsfeldern Kollaborative Sicherheit und Netzwerk- und Sicherheitssimulation entwickelt und evaluiert wurden, können in der Mitigationsphase angewendet werden, insofern sie das von NeSSi und dem IT-Risikomanagement verwendete Discrete Event-Modell unterstützen.