Wolfram Funk, Senior Advisor, über Risikomanagement
In den vergangenen Jahren ist „Risikomanagement“ in den verschiedensten Facetten thematisiert worden, und die Frage nach den grundlegenen Zielsetzungen des Risikomanagements ist schnell beanwortet: man möchte Bedrohungen, Schwachstellen und Risiken für das Unternehmen verstehen, Risiken bzw. das Restrisiko so weit wie möglich kalkulierbar machen, die Höhe der Risikoakzeptanz festlegen, Prioritäten bei Sicherheitsmaßnahmen setzen, Investitionen in Sicherheitsmaßnahmen rechtfertigen und letztlich das Sicherheitsbewusstsein im Unternehmen erhöhen – auch und insbesondere beim Management.
Interessanter ist aber die Frage, warum viele deutsche Anwenderunternehmen das Risikomanagement im Spannungsfeld zwischen IT und Business nur unvollständig umsetzen. Dies hängt unmittelbar mit den Grenzen des Risikomanagements in der praktischen Umsetzung zusammen. Zum einen geht es dabei um die Frage des Risikomanagement-Ansatzes: quantitative Analysen sind sehr komplex und basieren oftmals auf einer unsicheren Datenbasis. Qualitative Ansätze wiederum sind wenig hilfreich für Kosten-Nutzen-Analysen von Securitymaßnahmen.
Mit Blick auf die organisatorische Seite ist eine Einbettung des IT-Risikomanagements in das unternehmensweite Risikomanagement notwendig – sonst droht die Beschränkung auf rein operative IT-Risiken. Wichtige Fragen sind dabei: sind die Rollen innerhalb der IT-Abteilung geklärt? Ist die Zusammenarbeit mit dem unternehmensweiten Risikomanagement institutionalisiert? Weitere Fallstricke finden sich in mangelndem Management-Support, fehlender Sicherheitskultur oder dadurch, dass keine „akzeptablen Risiken“ festgelegt werden. Oftmals kann sich der CISO (Chief Information Security Officer) oder Risk Manager mit seinen bzw. ihren Vorschlägen nicht durchsetzen, und es gibt kein Budget für die Umsetzung der Maßnahmen.
Aus technischer Sicht adressieren IT-Anbieter aus verschiedensten Bereichen die Kunden mit Lösungen für „Risk Management“. Die Transparenz über konkrete Funktionalitäten ist aber derzeit gering. Außerdem sind manche Lösungen aus dem GRC-Segment (Governance, Risk & Compliance) als eher komplex zu bewerten.
Für eine pragmatische und dennoch zielführende Vorgehensweise beim Risikomanagement gibt es aus Sicht der Experton Group verschiedene Vorgehensweisen. Bei einer qualitativen Analyse mit Datenklassifizierung etwa lassen sich die Schutzanforderungen je Information (Prozess, System) nach einheitlichem Klassifizierungsschema festlegen, z.B. sehr sensitive Information, mittlere Verfügbarkeit, hohe Integrität. Damit können die Top-Risiken abgeschätzt und priorisiert werden. Dieser Ansatz eignet sich für eine erste Kurzanalyse im Mittelstand.
Eine semi-quantitative Analyse wiederum basiert auf der weitestmöglichen Quantifizierung der Risiken im Sinne der Wahrscheinlichkeit und der erwarteten Auswirkungen eines Sicherheitsproblems. Die Risiken werden dabei auf einer Ordinalskala einsortiert, zum Beispiel von 1 („geringer Impact auf das Geschäft“) bis 5 („existenzgefährdend für die Firma“). Dieser Ansatz ist verständlich fürs Management und trägt gleichzeitig der unscharfen Datenbasis Rechnung.
Die Business Impact Analysis (BIA) ist ein weiteres gängiges Verfahren. Dabei wird ein Rating der wirtschaftlichen Auswirkungen von Bedrohungen, die bestimmte Schwachstellen im IT-Bereich ausnutzen, aufgestellt. Die Business Dependency Analysis zielt in eine ähnliche Richtung: welche Auswirkungen hat ein (eventuell zunächst unkritischer) Ausfall von System A auf die Systeme B bis Z?
Insgesamt müssen sich die Unternehmen grundsätzlich überlegen, welche Ziele sie bei einzelnen Risk Assessments verfolgen. Geht es nur darum, die Effizienz und Wirksamkeit der IT-Sicherheitsmaßnahmen zu überprüfen und optimieren beziehungsweise die Überwachung des operativen Betriebs? Oder wird ein grundlegender Schutz von Unternehmens-Assets angestrebt und die Entscheidung über strategische (IT-) Investitionen geplant? Beide Zielsetzungen sind wichtig und sollten Hand in Hand gehen.