DA von C.-K. Tam, 2005

Titel

IT-Geschäftsprozessmodelle als Hilfsmittel des Risikomanagements

(DA: D-MTEC)

Betreuung

Dr. R. Mock

Abgabe

März 2005

Abstract

Die Aufgaben bestehen darin, für einen IT-Geschäftsprozess im Rahmen des Risikomanagements eine Modellierungsmethode mit anschliessender Risikoanalyse herzuleiten. Eine praxisnahe Fallstudie in Zusammenarbeit mit der Bluewin AG, Zürich, unterstützt die methodische Entwicklung und zeigt Anwendungspotentiale auf.

Der erste Teil der Arbeit stellt gängige Methoden der Geschäftsprozessmodellierung vor. Diese Methoden wurden jedoch nicht für risikoanalytische Zwecke entwickelt. Insgesamt scheint sich die ARIS-Methode am besten für die Risikoanalyse eines IT-Geschäftsprozesses zu eignen.

Im Hinblick auf die Fallstudie von Bluewin wird die ARIS-Methode den Anforderungen für eine anschliessende Risikoanalyse angepasst. Das Ergebnis dient als Ausgangspunkt für eine anschliessend durchgeführte Risikoanalyse mit Hilfe der Fault Tree Analysis Methode. Die ARIS-Modifikation besteht aus einer Aufteilung des Diagramms in eine Kunden- und Firmensicht. Dies ermöglicht ein schnelles Zuordnen identifizierter Risiken an die dafür verantwortliche Partei.

Die Fallstudie zum Anmeldungsprozess "Bluewin Phone" liefert zwei "Top Events": Für "Anmeldung fehlgeschlagen" wird das Risiko als gering eingeschätzt. "Hacker hat Zugriff auf Kundeninformationen" hätte im Falle des Eintritts schwere finanzielle Folgen. Zusätzlich wäre ein Imageschaden des Unternehmens zu erwarten. Dieses Risiko wird somit als hoch eingeschätzt und müsste schnell minimiert werden. Beispiele hierfür sind zusätzliche Sicherheitsvorkehrungen (wie die Begrenzung und Festlegung der monatlichen Kosten für einen Kunden durch die VoIP-Telefonie) oder eine Änderung des Konfigurationsprozesses der ATA-Box.