Ungewissheit hat viele Gesichter, Ausmaße und Auswirkungen – ob Klimawandel, Inflation, Lieferengpässe, Personalmangel, Wirtschaftskrise, Pandemie, Hackerangriff, Phishing. Die Liste ist lang, die Bedrohungen werden immer vielfältiger. Ungewissheiten machen nervös. Unvorhergesehene Gefahren erwischen uns eiskalt. Doch auch wenn wir nicht genau wissen, was eigentlich auf uns zukommt, gibt es viele Möglichkeiten sich vorzubereiten.
IT-Risiken managen – das kleine 1×1
IT-Risiken werden oft mit Bauchgefühl und gesundem Menschenverstand erkannt und Maßnahmen best guess ergriffen. Wir empfehlen das dringend zu ändern und IT-Risikomanagement systematisch anzugehen. Doch worauf kommt es beim IT-Risikomanagement an? Wo fangen wir an und wo hören wir auf? Fragen, die wir unserem IT-Sicherheitsspezialisten Richard Fritzsche stellen.
Was ist denn überhaupt Risikomanagement?
Im klassischen Risikomanagement bewege ich mich, wenn ich die Gefährdungen für mein Unternehmen identifiziere, Risiken einschätze und Gegenmaßnahmen definiere, noch bevor ein solcher Fall eintritt. Im Prinzip geht es darum zu ermitteln, welche Risiken für das Unternehmen oder die Behörde wirklich bedrohlich sein können, und diese von denen zu unterscheiden, die zwar existieren, aber letztlich auch beim Eintreten keine großen Auswirkungen haben. Das Vorgehen stellt sicher, dass wirkungsvolle, zielgerichtete Maßnahmen ergriffen werden.
Also kurz gesagt: Gefahr erkannt, Gefahr gebannt. Und wie fange ich am besten in meiner Organisation damit an?
Alles baut auf einer sorgfältigen Risikoanalyse auf, die alle bestehenden und potenziellen Risiken auflistet, die beim Eintreten zu schädlichen Konsequenzen führen können und schlimmstenfalls Unternehmensziele gefährden. Im Ergebnis habe ich meine Risikomatrix und sehe, welche Tragweite ein Risiko hat und wo Handlungsbedarf besteht.
In einem weiteren Schritt geht es darum festzulegen, wie ich mit dem Risiko umgehen möchte, und die passenden Risikomaßnahmen zu entwickeln und abzuwägen: Was kostet es das Risiko zu beseitigen oder zumindest das Risiko zu verkleinern? Oder kann ich es auch akzeptieren?
Die ganze Welt ist im Fluss. Immer wieder neue Gefährdungen. Kann ich denn je unter mein Risikomanagement einen Strich ziehen und sagen: Jetzt habe ich alles?
Nein, der Zustand wird nicht eintreffen. Es gibt im Risikomanagement keinen Zustand „done“. Risikomanagement ist ein iterativer Prozess, der verlangt, dass ich mir immer wieder Gedanken darüber mache, ob meine Risiken noch aktuell sind oder wo neue entstanden sind. Dabei gibt es einige hilfreiche
Fragestellungen:
Was hat sich in meinem Haus geändert? Gibt es neue Maschinen, neue Mitarbeiter, neue Arbeitsweisen, neue Produkte? Welche Bedrohungen gibt es hinsichtlich der wirtschaftlichen Lage, der Umwelt, der Lieferketten usw.? Die Liste neuer Gefährdungen, aus denen Risiken entstehen, die auf meine Geschäftsprozesse wirken, ist nie zu Ende.
Da bleibt nur, stets am Ball zu bleiben?
Anders geht es nicht, außer dranzubleiben. Hier hilft es einen Managementprozess für ein integriertes Risikomanagement zu implementieren. Dieser ermöglicht mir Risiken aus der Sicht verschiedener Disziplinen und Unternehmensbereiche heraus strukturiert zu dokumentieren, zu klassifizieren und Maßnahmen festzulegen, die für alle betroffenen Bereiche wirken.
Wenn du sagst integriertes Risikomanagement, dann ist damit ein geordnetes Verfahren für meine gesamte Organisation gemeint?
Ja, richtig. Dahinter steckt, dass ich für mein gesamtes Unternehmen ein festes und einheitliches Vorgehen im Risikomanagement definiere. Das fängt dabei an, dass ich eine für diese Bereiche gültige Risikomatrix bestimme und danach festlege, welche Risiken akzeptiert werden können. Zum Beispiel, dass niedrige oder unkritische Risiken immer akzeptiert werden und keiner weiterer Maßnahmen bedürfen.
Dazu gehört aber auch Schritte und Verantwortlichen im Prozess klar festzulegen. Wer ist eigentlich befugt ein Risiko einzuschätzen? Wer ist der sogenannte Risikoeigentümer? Wer steuert diesen Prozess und übergibt die Informationen an das Management? Im Vorfeld gilt es ebenfalls festzulegen, welche
Disziplinen in das Risikomanagement integriert werden. Sei es das Informationssicherheitsmanagement, Business Continuity Management oder IT-Notfallmanagement, oder auch das IT-Service-Management – hier unterstützt SoftEd beim Aufbau, bei der Implementierung, beim Betrieb und mit Schulungen natürlich auch bei der Anwendung dieser Systeme.
Kann ich beim Risikomanagement auch klein anfangen und das Ganze dann ausbauen?
Ja, das geht insofern man einen bestimmten Bereich betrachtet, zum Beispiel aus der Informationssicherheit oder einem Geschäftsprozess heraus. Das Vorgehen ist aber immer dasselbe:
- Geltungsbereich identifizieren
- Rahmenbedingungen festlegen, bspw. die Matrix bestimmen
- Verantwortlichkeiten im Prozess des Risikomanagements bestimmen
- Dann geht es los: Gefährdungen ermitteln, Risiken einschätzen, Maßnahmen dagegen definieren und umsetzen.
Was sagst du Unternehmen, denen IT-Risikomanagement wie ein weiterer Papiertiger im Unternehmen vorkommt?
Dass es natürlich mit Aufwand verbunden ist. Wir dürfen uns da nichts vormachen: Risikoanalysen sind große, zeitaufwändige Aufgaben, für die es Ressourcen braucht, vor allem am Anfang. Aber es gibt auch gute Hilfe dabei, Anleitungen und Frameworks wie bspw. die ISO 31000 oder ISO27005. Sehr konkret und empfehlenswert ist die im IT-Grundschutz beschriebene Risikoanalyse. Der Standard 200-3 bietet da eine
gute Anleitung. Enthalten ist beispielsweise auch eine umfangreiche Gefährdungsübersicht, die für die konkreten Analysen als Ausgangspunkt genommen werden kann. Bei SoftEd gibt es zu den einzelnen Frameworks Beratungsangebote und Trainings.
Fazit
Insgesamt muss es jetzt darum gehen, wie ich in meinem Unternehmen mit IT-Risiken umgehe – einheitlich, strukturiert, nachhaltig. Denn die Gefährdungen werden nicht weniger. Im Gegenteil, es werden mehr. Da nur punktuell etwas umzusetzen, wird leider nicht reichen. Wir sollten die Chance und die Zeit nutzen uns vorzubereiten, Risiken zu minimieren und Assets zu schützen.
Zuverlässige Reaktions- und Recovery-Skills werden auch in Zukunft essenziell sein. Sicherheitsentscheider sollten jedoch auch auf proaktive Maßnahmen setzen, um Schwachstellen zu finden, bevor Angreifer es tun. Risiken minimieren und Assets schützen – SoftEd unterstützt Sie dabei Ihren Fokus von der Reaktion auf die Prävention zu erweitern.
SoftEd Trainingsangebot
- Trainings zu Risikomanagement (ISO3000), BSI IT-Grundschutz und ITIL/ITSM Systemen
- Awareness Kurse (Mitarbeitersensibilisierungen zur IT-Sicherheit und Korruptionsprävention)
SoftEd Beratungsangebote
Unser Security-Team steht Ihnen mit Rat und Tat zur Seite, um professionell Eintrittswahrscheinlichkeiten und Auswirkungen von Bedrohungen zu minimieren:
- Etablierung eines integrierten Risikomanagements
- Business Continuity und IT-Notfallmanagement
- BSI IT-Grundschutz Coaching
- ITIL Coaching
Jetzt kostenfreien Beratungstermin buchen: Beratungsangebote & Kontakt