Abstract

Informationstechnologie vereinfacht die Vernetzung von Wirtschaftseinheiten
und erhoht so die Abhangigkeit einzelner
Wirtschaftssubjekte von anderen. Dies fuhrt nicht nur zu
neuen Risiken, sondern auch zu neuen Anreizstrukturen beim
Risikomanagement. In Literatur und Praxis werden IT-Security-
Audits oft abstrakt als Mittel gegen Trittbrettfahrer
genannt, die Manahmen zur Risikoreduzierung bewusst unterlassen.
Security-Audits sind jedoch aufwandig und mussen
exakt das richtige Signal liefern, um positiven Nutzen
zu generieren: Die im Einzelfall erforderliche Grundlichkeit
eines Security-Audits hangt von Parametern des zu untersuchenden
Wirtschaftssubjekts und dessen Umfeld ab. Dieser
Beitrag formalisiert Security-Audits im Rahmen der Theorie
von IT-Sicherheitsinvestitionen und leitet aus einem spieltheoretischen
Modell mit interdependenten Risiken Empfehlungen
fur Management und Regulierer ab.

Share

COinS