Teil 2: Die Aspekte des modernen IT-Risikomanagements im Überblick

Gut vorgesorgt: Tipps für das Risikomanagement in der IT
Keine Kommentare

Die Leistungsfähigkeit und die permanente Verfügbarkeit von IT werden zunehmend zu einem Wettbewerbsfaktor. Galt dies bis vor einigen Jahren nur in techniknahen Branchen, so hat sich das Bild mittlerweile gewandelt. Ohne eine funktionierende IT geht heutzutage fast nichts mehr. Um diesem Anspruch gerecht zu werden, braucht es ein durchdachtes Risikomanagement.

Ein kompletter Ausfall der Informationstechnologie (IT) ist für die meisten Unternehmen, Verwaltungen, Dienstleister und Behörden gleichbedeutend mit einem völligen Stillstand der Produktion und der Prozesse. Die steigende Bedeutung der IT hat dazu geführt, dass die Abhängigkeit von deren permanenter Verfügbarkeit nicht nur techniknahe Unternehmen betrifft, sondern auch auf Branchen zutrifft, die ursprünglich mit der IT relativ wenig zu tun hatten. Lassen Sie uns mit ein paar Beispielen beginnen:

  • Produktionsunternehmen: Die Steuerung der Herstellungsprozesse erfolgt meist rechnergestützt. Ein Ausfall oder eine Störung der IT führt dazu, dass die Produktion ins Stocken gerät. Nachgelagerte Produktionsstufen können nicht mehr zeitnah bedient werden. Letztendlich wird es zu Engpässen in der Lieferfähigkeit kommen.
  • Handel: Kassen- und Bestellsysteme sind umfassend miteinander vernetzt. Bei einem Ausfall der IT ist weder ein Verkauf von Produkten möglich, noch können Lagerbestände durch Nachbestellungen aufgefüllt werden.
  • Behörden: Zwischenzeitlich ist der technische Fortschritt auch hier soweit, dass ohne eine funktionierende IT nicht einmal Antragsformulare gedruckt werden können. Eine Sachbearbeitung ist gänzlich ausgeschlossen.

Diese Beispiele sind nicht konstruiert. Ihnen gemein ist, dass ein Ausfall der IT für einen begrenzten Zeitraum zwar zu Problemen, aber nicht zu einer Katastrophe führt. In sicherheitsrelevanten Sektoren wie in einem Krankenhaus oder einer Notrufzentrale ist die permanente Verfügbarkeit der IT von noch größerer Bedeutung. Ein Ausfall der IT muss hier vermieden werden. Möchte man die Bedeutung nicht an globalen Zusammenhängen deutlich machen, so erkennt man sie auch auf lokaler Ebene. Als Mitarbeiter eines Unternehmens oder Selbstständiger ist man darauf angewiesen, dass zum Beispiel der Rechner, die Internetverbindung, das Telefon und der Drucker funktionieren. Ist das nicht der Fall, muss man seine Aufmerksamkeit auf die Beseitigung der Störung legen. Das eigentliche Kerngeschäft kann dann nicht erledigt werden. Bestenfalls erleidet man Zeitverluste, schlimmstenfalls drohen wirtschaftliche Schäden. Zusammengefasst: Man ist persönlich von der IT an seinem Arbeitsplatz abhängig.

In diesem zweiten Teil der Artikelserie beschäftigen wir uns mit den Fragen des Risikomanagements in der IT. Aufgrund der Bedeutung der IT sind die daraus resultierenden Probleme und die sich ableitenden Entscheidungen stets strategischer Natur. Zuständig ist die IT-Leitung in Verbindung mit der Geschäftsleitung.

Artikelserie

Unternehmerische Risiken und IT-Risikomanagement

Die Bereitstellung von IT ist durch Unsicherheiten und Risiken gekennzeichnet. Beides sind unerwünschte Abweichungen von einem gewünschten Zustand. Dennoch stehen beide Begriffe nicht unbedingt für die gleichen Sachverhalte. Die Unsicherheit steht für Ereignisse, deren Eintritt nicht eindeutig eingeschätzt werden kann. Dazu gehört beispielsweise die Zerstörung des Rechenzentrums durch höhere Gewalt. Dagegen kann die Wahrscheinlichkeit des Eintritts von Risiken quantitativ abgeschätzt werden. Ebenso ist eine Bewertung der voraussichtlichen Folgen des Schadens möglich.

Die Aufgabe des Risikomanagements besteht in der Existenz- und Zukunftssicherung des Unternehmens. Anders ausgedrückt: Es geht um die Absicherung der Unternehmensziele unter wirtschaftlichen, finanziellen und sozialen Aspekten. Beim Umgang mit Risiken ist ein klar strukturierter Managementprozess erforderlich. Abbildung 1 gibt einen Überblick über die möglichen Unternehmensrisiken und ordnet die IT-Risiken ein.

Abb. 1: Überblick über die möglichen Unternehmensrisiken [1]

Abb. 1: Überblick über die möglichen Unternehmensrisiken [1]

Grundsätzlich kann man folgende Risikobereiche im Unternehmen identifizieren [2]:

  • Markt: z. B. Preisgestaltung, Mitbewerberverhalten, Verbraucherverhalten, Vertriebsweg
  • Produktion: z. B. Maschinen, Qualität der Erzeugnisse, Arbeitssicherheit
  • Finanzen: z. B. Umsatzstruktur, Kostenaufbau, Wechselkurs
  • Beschaffung: z. B. Lieferqualität, Flexibilität, Zuverlässigkeit
  • Mitarbeiter: z. B. Weiterbildung, Entlohnung, Fluktuation
  • Prozesse: IT, Telekommunikation, Organisation

Damit ist klar: Die Betriebssicherheit der Informationstechnologie ist nur ein Teilbereich des unternehmerischen Risikos. Während die anderen Risiken schon immer bestehen, rückt die IT als Risiko jedoch zunehmend in unser Bewusstsein. Berichte über Ausfälle und vorsätzlich herbeigeführte Störungen, beispielsweise durch Hackerangriffe, finden sich fast täglich in den Medien – ein Umstand, der eine direkte Folge der Abhängigkeit vieler Lebensbereiche von der modernen IT ist. Das Risikomanagementsystem wird als Summe solcher Handlungen verstanden, die der Erkennung, Bewertung und entsprechenden Behandlung von Chancen und Risiken dienen. Das IT-Risikomanagement setzt sich mit den IT-Risiken und der IT-Sicherheit auseinander. Dabei gilt die Regel, dass alle IT-Risiken, die die Liquidität, den Unternehmenswert oder sogar die Existenz des Unternehmens gefährden können, identifiziert, quantifiziert und dokumentiert werden müssen. Eine gut durchdachte IT-Risikostrategie ist eine Grundlage für ein erfolgreiches IT-Risikomanagement. Es ist wichtig, dass sich die IT-Risikostrategie an folgenden Grundsätzen orientiert:

  • Schaffung eines Bewusstseins der Bedeutung und Rolle des IT-Risikomanagements für den Unternehmenserfolg
  • Durchführung einer eindeutigen Risikoklassifizierung
  • Erarbeitung und Implementierung von Standards hinsichtlich bestehender Regularien, Gesetze und Richtlinien
  • Festlegung von Rollen und Verantwortlichkeiten
  • Auswahl von IT-Risikomethoden und -prozessen und Bestimmung von Controllingmaßnahmen

Ursprünglich (in den 50er-Jahren) verstand man primär unter einem Risikomanagement die finanzielle Absicherung möglicher Risiken durch eine Versicherung. Diese Form des Risikomanagements berücksichtigte jedoch nicht alle Risiken. Risiken wie Brand oder Diebstahl wurden einbezogen und auch im Versicherungsfall entschädigt. Größere Gefahren gehen jedoch von anderen Quellen aus, wogegen in der Regel keine Versicherung abgeschlossen werden kann. Risiken im IT-Bereich sind oftmals auf Fehler und Nachlässigkeiten der Mitarbeiter und des Managements zurückzuführen. Das moderne IT-Risikomanagement ist heute umfassend und versucht, alle Arten von Risiken zu identifizieren und mögliche Vorsorgemaßnahmen zu ergreifen. Das Ziel ist es, mögliche Probleme zu antizipieren.

Organisatorische Einbettung

Heutzutage kommt der IT in fast jedem Betrieb eine Schlüsselrolle zu. Daher ist es im Interesse des Managements, sich mit dem Risikomanagement in diesem Bereich auseinanderzusetzen. Je nach Organisationsstruktur des Betriebs wird das Risikomanagement unterschiedlich in das Unternehmen eingebettet [2], etwa als:

  • Teil des IT-Sicherheitsmanagements
  • Bestandteil des weiter gefassten Qualitätsmanagements
  • separater Managementbereich
  • Querschnittsfunktion für mehrere IT-Projekte

In der Praxis ist das IT-Risikomanagement oft ein Teil des Risikomanagements des gesamten Unternehmens. Abbildung 2 verdeutlicht den Zusammenhang zwischen Unternehmensstrategie, IT-Strategie, IT-Sicherheitsmanagement sowie IT-Risikomanagement.

Abb. 2: Einbettung des IT-Risikomanagements [2]

Abb. 2: Einbettung des IT-Risikomanagements [2]

Prozessschritte eines umfassenden Risikomanagements

Ein umfassendes und wirksames Risikomanagement im IT-Bereich ist sorgfältig zu planen und schrittweise zu implementieren. In Abbildung 3 sind die wesentlichen Schritte als Kreislaufmodell dargestellt. Dazu sind die folgenden Anmerkungen zu beachten [2]:

  • Risikobereiche identifizieren: Diese können in der IT ganz unterschiedlichen Charakter haben. Das Spektrum reicht von einem Stromausfall über die Nichtverfügbarkeit von spezialisierten Mitarbeitern in der IT-Abteilung bis hin zu Defekten der Hardware. Die möglichen Risiken sind aufzulisten und in Kategorien einzuordnen. Je nach Zuordnung wird man sich später bei der Risikobehandlung differenziert damit auseinandersetzen.
  • Eintrittswahrscheinlichkeit einschätzen: Für jedes identifizierte Risiko ist zu schätzen, wie hoch die Wahrscheinlichkeit ist, dass es eintritt. Sehr oft wird das Schätzen schwerfallen. Es gelingt umso besser, je bekannter die Ursachen des Risikoeintritts sind. Bei einigen Risiken wird man auf allgemeine Ausfallwahrscheinlichkeiten bzw. Angaben des Herstellers zurückgreifen können, zum Beispiel zur Haltbarkeit von Festplatten. Andere Risiken kann man anhand von bekannten Werten aus anderen Bereichen einordnen. Dazu gehören u. a. Ausfallzeiten von Personal. Für sehr bestimmte Risiken, zum Beispiel Brandschäden, arbeiten Versicherungen mit Eintrittswahrscheinlichkeiten, um die Prämie zu bestimmen. Die Schätzungen sollten so objektiv wie möglich vorgenommen werden.
  • Schadenswirkung und -höhe einschätzen: In diesem Fall ist der Vergleich mit ähnlichen, bereits eingetroffenen Fällen hilfreich. Eine individuelle Nachbetrachtung ist empfehlenswert, denn jedes Unternehmen ist von bestimmten IT-Bereichen anders abhängig.
  • Festlegung von Grenzen: Dabei sind die Grenzen gemeint, bis zu denen ein Risiko aufgrund geringer Schadenshöhe toleriert wird. Nicht jeder kleine Zwischenfall wird laut den Plänen des Risikomanagements Maßnahmen auslösen. Bestimmte Zwischenfälle gelten als normal und werden im laufenden Betrieb behoben, auch wenn sie zu kurzfristigen Beeinträchtigungen des produktiven Betriebs führen. Ein Beispiel: Der Ausfall einer Kasse in einem Supermarkt mit nahezu einem Dutzend Kassensystemen führt ggf. auch zu einem kurzfristigen Engpass, der Vorfall ist jedoch kein Problem, das in den Bereich des Risikomanagements fällt. Das technische Problem wird im laufenden Tagesgeschäft durch den Support behoben. Anders sieht es aus, wenn alle Kassensysteme durch eine Netzwerkstörung betroffen sind.
  • Behandlung von Risiken: Die Risikobehandlung umfasst personelle, organisatorische, technische und infrastrukturelle Maßnahmen. Aus den Einzelmaßnahmen muss ein Plan konstruiert werden, wie im Falle des Eintritts eines Risikos vorgegangen wird. Zu jeder Risikobehandlung gehört auch eine Kosten-Nutzen-Abwägung der Maßnahmen.
  • Überwachung von Risiken: Das IT-Risikomanagementsystem und die Umsetzung der Sicherheitsmaßnahmen müssen regelmäßig überprüft und überarbeitet werden. Möglicherweise werden dadurch neue Risiken entdeckt oder Schwachstellen in der bisherigen Risikobearbeitung deutlich.

Nur wenn jeder Schritt für alle Risiken durchlaufen wurde, ist das Risikomanagement wirksam. Es nützt beispielsweise wenig, wenn man ein Risiko kennt bzw. identifiziert hat (zum Beispiel ein Ausfall von Personal in der IT-Abteilung durch Erkrankung), jedoch keine funktionierende Vorgehensweise (zum Beispiel Überstundenregelungen der verbleibenden Mitarbeiter) im Falle des Eintritts des Risikos festgelegt hat.

Abb. 3: Der Ablauf des IT-Risikomanagements als Kreislaufmodell

Abb. 3: Der Ablauf des IT-Risikomanagements als Kreislaufmodell

Übergreifende Standards geben die Richtung beim Aufbau eines IT- Risikomanagements vor. Dazu gehören:

  • Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Das BSI veröffentlicht regelmäßig Publikationen zur Identifikation von IT-Risiken und zur Umsetzung von Sicherheitsmaßnahmen (Tabelle 1). Das angestrebte Ziel ist es, ein mittleres und ausreichendes Schutzniveau für IT-Systeme zu erreichen.
  • Information Technology Infrastructure Library (ITIL): Es handelt sich um ein prozessorientiertes Regelwerk für eine kontinuierliche Überprüfung, Optimierung und Verbesserung von IT-Prozessen. Es wurde vom britischen Office of Government Commerce veröffentlicht. Innerhalb der ITIL gibt es Hinweise zum IT-Risikomanagement in den Bereichen IT Service Community Management, Information Security Management und Availability Management
  • Control Objectives for Information and Related Technology (COBIT): Ein Prozessmodell zur Kontrolle der gesamten IT. COBIT unterscheidet drei Ebenen für das Management der IT-Ressourcen: Aktivitäten, Prozesse und Domänen. COBIT beschreibt detailliert den Aufbau eines IT-Risikomanagementsystems
Tabelle 1: Übersicht über BSI-Publikationen zum Sicherheitsmanagement [3]

Tabelle 1: Übersicht über BSI-Publikationen zum Sicherheitsmanagement [3]

Personelle Zuständigkeiten

Die Zuweisung der Verantwortung auf Entscheidungsträger trägt dazu bei, dass die Risiken frühzeitiger identifiziert und die vorgegebenen Maßnahmen umgesetzt werden. Durch die Verteilung der Aufgaben ist ein ganzheitlicher Ansatz des IT-Risikomanagements gegeben. Die Mitarbeiter sind in diesen Prozess eng eingebunden. Das führt dazu, dass das Risikobewusstsein der Mitarbeiter steigt. Tabelle 2 gibt einen Überblick über die möglichen Rollen im IT-Risikomanagementprozess.

Tabelle 2: Rollen des IT-Risikomanagementprozesses [1]

Tabelle 2: Rollen des IT-Risikomanagementprozesses [1]

Risikopolitik

Grundsätzlich sind nicht alle Risiken zu vermeiden. Ein Restrisiko verbleibt immer. Die Risikopolitik definiert, in welchem Ausmaß man bestimmte Risiken akzeptiert [2]. Sie ist unternehmensindividuell festzulegen und zielt darauf ab, die Chancen zu maximieren und die Gefahren zu minimieren. Die Risikopolitik im Unternehmen dient als Verhaltenskodex für jeden einzelnen Mitarbeiter. Der Umgang bzw. die Vorgehensweise mit IT-Risiken wird durch die jeweiligen Unternehmensziele bestimmt.

Ein Beispiel: Das Bereitstellen von einem ungefilterten Internetzugriff für alle Mitarbeiter birgt datenschutzrechtliche und sicherheitsrelevante Risiken. Andererseits ermöglicht es den Mitarbeitern auch, sich umfassend und schnell über aufgabenrelevante Fragen zu informieren und erlaubt eine effektive Arbeitsweise. Das Risiko kann durch einen Verhaltenscodex gemindert werden. In diesem wird beschrieben, wie sich die Mitarbeiter zu verhalten haben.

Wirtschaftliche Betrachtung

Früher galt die IT ausschließlich als Instrument zur Datenverarbeitung. Heutzutage ist das nicht mehr der Fall. Die IT spielt eine Schlüsselrolle und wird immer mehr zum Erfolgsfaktor. Die Kosten der IT unterteilen sich in direkte und indirekte Kosten. Zu den direkten Kosten gehören die Anschaffungskosten. Die indirekten Kosten ergeben sich u. a. durch die Unternehmensrisiken, die durch Probleme bei der IT verursacht werden. Diese Art von Kosten ist durchaus hoch, sie sind aber logischerweise schwer zu quantifizieren. Das IT-Risikomanagement kennt folgende Ansätze zur Abschätzung der Kosten [3]:

  • Return on Security Investment (ROSI): Dies ist ein wichtiges Instrument des IT-Risikocontrollings. Es geht um die Berechnung der Rentabilität von Sicherheitsinvestitionen. Dabei handelt es sich um eine Verhältniszahl aus dem Ergebnis der Sicherheitsaufwendungen und den dafür notwendigen Maßnahmen in Bezug auf ein Jahr. Anders ausgedrückt: Welche Schäden konnten durch die IT-Sicherheitsmaßnahmen abgewendet werden und welcher Aufwand war dazu notwendig?
  • Total Cost of Ownership (TCO): Diese Kennzahl wird zur Ermittlung der monetären Gesamtaufwendungen des Erwerbs, der Einrichtung, der Wartung und des Recyclings des IT-Equipments eingesetzt. Die Gesamtkosten müssen auch die Bereiche der IT-Sicherheit und des IT-Risikomanagements einschließen.
  • Balanced Scorecard (BSC): Dabei ist eine speziell für die Belange des IT-Risikomanagements ausgestaltete Version der BSC gemeint. Ebenso wie bei einer Standard-BSC sind vier Sichtweisen vorhanden: finanzielle Perspektive, Kundenperspektive, interne Prozessperspektive und eine Lern- und Entwicklungsperspektive.

Entscheidungshilfe

Ein Entscheidungsmodell zum Management von IT-Risiken wurde im Rahmen des CASED-Teilprojekts an der TU Darmstadt entwickelt. Das Ziel ist es, den Anwendern Hilfe bei der Auswahl alternativer Maßnahmen zum IT-Risikomanagement zu geben. Ein wichtiger Ausgangspunkt ist die Modellierung der Geschäftsprozesse. Für die einzelnen Prozesse werden Sicherheitslücken identifiziert. Als nächstes werden für die identifizierten Risiken die möglichen Schäden und die zugehörigen Eintrittswahrscheinlichkeiten geschätzt. Dabei sind die Informatiker meist auf Hilfe, zum Beispiel zur Einschätzung der Kosten, angewiesen. Die IT-Abteilung schätzt dagegen die Wahrscheinlichkeiten mit der ein bestimmtes System ausfallen kann. Auf diese Weise ist es möglich, die Investitionen in die IT-Sicherheit zu bewerten und auszuwählen. Dabei entspricht das ökonomisch sinnvolle meist nicht dem technisch machbaren Sicherheitsniveau. Das bedeutet: Nicht alle technischen Vorkehrungen die möglich sind, sind auch aus finanzieller Perspektive sinnvoll. Wie bereits ausgeführt, muss man mit einem Restrisiko leben. Jedoch kann die Größe dieses Risikos festgelegt werden; außerdem muss sie zum Geschäftsmodell passen. Abbildung 4 verdeutlicht den Zusammenhang von potenzieller Schadenshöhe und Eintrittswahrscheinlichkeit bei der Wahl unterschiedlicher Sicherheitsprogramme (Alternativen).

Die Alternativen können somit anhand folgender Kriterien bewertet werden: die Eintrittswahrscheinlichkeit für bestimmte Schäden, die durchschnittliche Höhe des Schadens und die Schwankungsbreite der Schadenshöhe. Das Entscheidungsmodell ist somit eine Hilfe um zwischen verschiedenen Sicherheitsniveaus abzuwägen. Dabei kann man sehr gut mit einer Klassifizierungsmatrix für die möglichen Schäden arbeiten (Tabelle 3). Ein Schaden sollte dabei einer Stufe zugeordnet werden. Jeder Stufe liegt ein monetärer Bereich zugrunde, der sich an den betrieblichen Gegebenheiten ausrichtet. Unternehmen, die durch den Ausfall der IT beispielsweise keine Kundengeschäfte mehr abwickeln können, können diesen Schaden monetär in Bezug auf den entgangenen Umsatz messen. Dabei muss man berücksichtigen, ob nach dem Herstellen der Betriebsbereitschaft etwaige Umsatzausfälle wieder nachgeholt werden können, oder ob diese dauerhaft verloren sind.

Tabelle 3: Möglichkeit zur Klassifizierung von Schäden [4]

Tabelle 3: Möglichkeit zur Klassifizierung von Schäden [4]

Fazit

IT wird immer mehr zu einem Wettbewerbsfaktor für zunehmende Bereiche der Wirtschaft. Mit dieser zusätzlichen Aufgabe geht auch eine größere Verantwortung einher. Kann die IT die von ihr geforderte Leistung nicht erbringen, ist in vielen Fällen die Geschäftstätigkeit nachhaltig gefährdet. Vorsorge ist keine Option, sondern ein absolutes Muss! Die Abschätzung der IT-Risiken mit einem umfassenden Risikomanagement wird zu einer zentralen Aufgabe des strategischen Managements. Technik, Verwaltung, Administration und externe Dienstleister müssen gemeinsam an einem umfassenden Risikoplan arbeiten.

 

Literaturverzeichnis:

[1] Fricke, Florian: „IT-Risikomanagement: Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems“, Diplomarbeit, Magdeburg, 2010
[2] Heuermann, Roland: „Strategisches IT-Management in Privatwirtschaft und Verwaltung“, De Gruyter Oldenbourg, 2014
[3] Helbich, Guido: „Analyse des IT-Risikomanagements im Hinblick auf Wirtschaftlichkeitsaspekte“, Thesis, 2014
[4] Stocker, Joachim; Wenzel, Sven; Jürjens, Jan: „IT-Risiko-Check: Das Wissen um geschäftskritische IT-Risiken“, Publikation Universität Koblenz, 2015

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -