Thought Leadership
Das Leben ist voller Risiken. Nachdem es unmöglich ist, diese völlig auszuschalten, werden vorausschauende Unternehmen Ressourcen einplanen, um Risiken zu minimieren und mögliche Verluste zu kontrollieren.
Im traditionellen Geschäftsleben heißt das Synonym für Risikomanagement in der Regel Versicherung. In der IT liegt der Fokus auf der technischen Behebung eines auftretenden Problems, zumeist ohne große Vorausplanung. Dass diese Vorgehensweise gravierende Nachteile mit sich bringt, liegt auf der Hand. So werden beispielsweise bei auftretenden Problemen wichtige Ressourcen bei der Problembehebung gebunden.
Darüber hinaus tendiert die IT dazu, sich auf zwei Arten von Risiken zu fokussieren: Malware (Viren, Trojaner & Co.) und Datenverluste (verursacht durch Malware oder Hardwaredefekte). Dies führt häufig dazu, dass andere Risiken völlig ignoriert werden, die aber letztlich nicht weniger Aufmerksamkeit erfordern.
Lesen Sie auch die anderen Beiträge der Serie „RIsikomanagement“:
Teil 1: Klassifizierung IT-spezifischer Risiken
Teil 2: Ein Drei-Stufenplan für das Risikomanagement (folgt)
Teil 3: Risikominimierung und das Netzwerk (folgt)
Auf der anderen Seite kann ein Zuviel an Risikomanagement Ressourcen binden, die sinnvoller in anderen Bereichen eingesetzt werden könnten. Entscheidend ist, die richtige Balance zu finden und Ressourcen überlegt einzusetzen, um eine maximale Risikominimierung bei minimalen Kosten zu erreichen.
Die Bedeutung der Netzwerküberwachung für viele Bereiche des Risikomanagements in der IT wird oft unterschätzt und vernachlässigt. Natürlich wird in Netzwerküberwachungssoftware investiert, um defekte Switche und überlastete Leitungen zu identifizieren. Hier liegt jedoch weit mehr Potential vor, wie beispielweise das Entdecken unzulässiger Downloads, das Optimieren des kompletten Netzwerks und somit eine Beschleunigung der gesamten Geschäftsprozesse oder auch ein zusätzlicher Sicherheitsfaktor durch das frühzeitige Erkennen ungewöhnlicher Aktivität (Malware!). In einer Welt, in der Verzögerungen von Sekundenbruchteilen bei der Datenübertragung oftmals entscheidende Auswirkungen haben, können diese Faktoren den Ausschlag geben.
Eine umfassende und sehr detaillierte Untersuchung zu IT-spezifischen Risiken findet sich in der CobiT-Studie (Control Objectives for Information and related Technology) 5 der ISACA (Information Systems Audit and Control Association). Diese Untersuchung beschäftigt sich mit IT-spezifischen Risiken unter besonderer Berücksichtigung des Netzwerkbetriebs. Sie verfolgt einen dreistufigen Ansatz zur Identifizierung, Beurteilung und Planung einer umfassenden IT-bezogenen Risikominimierungs-Strategie. Dabei weist sie der Netzwerküberwachung eine Schlüsselrolle zu.
Zur Klassifizierung IT-spezifischer Risiken
Zunächst die schlechte Nachricht: Risiken lassen sich nicht ausschalten. Das Ziel des Risikomanagements ist Probleme zu identifizieren, die minimiert werden können (und sollten) und die Kosten zu deren Minimierung auf einem Level zu halten, das für das Unternehmen akzeptabel ist. Dies beinhaltet aber immer ein unvermeidliches unternehmerisches Restrisiko.
Kleine und mittlere Unternehmen (KMUs) können dabei mit unwahrscheinlichen, aber existenzbedrohenden Risiken konfrontiert werden, die akzeptiert werden müssen, da der Aufwand zur Vermeidung dieser Risiken für das Unternehmen nicht tragbar wäre.
Bedauerlicherweise agieren gerade KMUs im IT-Bereich bei ihrer Sicherheit häufig nur „Gefahren-bezogen“ ohne wirklich vorausplanendes Risikomanagement: Computerviren werden zur Gefahr, die IT installiert Anti-Virus-Software; Trojaner werden zur Gefahr, die IT installiert eine Firewall und so weiter. Diese Vorgehensweise bringt vor allem zwei Probleme mit sich:
- Erstens ist sie kurzsichtig: Sie beachtet nur einen Teil des Gesamtrisikos – normalerweise die technisch lösbaren Risiken.
- Zweitens unsystematisch und reaktiv: Sie führt zu einer Anhäufung von Hard- und Software, jede davon nur für ein Problem angeschafft, ohne zentrales
Management oder durchgängiges Konzept. Eine IT-Abteilung, die ständig nur „Feuerwehr spielt“, kann niemals wirklich erfolgreich sein. Hier muss ein Schritt zurück gemacht und ein Risikoplan entwickelt werden.
Risikokategorien
Die IT ist im Wesentlichen mit drei Kategorien von Risiken konfrontiert:
1) Technische Risiken
Technische Risiken sind die traditionellen Belange der IT, die von Viren verursachten Ausfällen bis hin zu „exotischeren“ Fällen wie Denialof- Service-Attacken oder sogenannten „War Walkers“ reichen. Mit War Walkers werden Hacker bezeichnet, die von außerhalb des Firmengebäudes in Funknetzwerke eindringen.
Die meisten Maßnahmen gegen diese Probleme sind ebenfalls technischer Natur, allerdings sind strenge Unternehmensrichtlinien in diesem Bereich ebenfalls von entscheidender Bedeutung. Dass Firewalls und Anti-Viren-Systeme auch auf mobilen Geräten installiert werden, ist dabei noch eine relativ offensichtliche Maßnahme. Dass Mitarbeiter keine unkontrollierten (und oft ungeschützten) WiFi-Knoten installieren können, wäre hier eine weitere sinnvolle Richtlinie.
Eine leistungsfähige Lösung zur Netzwerküberwachung wie beispielsweise PRTG Network Monitor der Paessler AG kann ungewöhnliche und somit verdächtige Aktivität im Netz frühzeitig erkennen und über die reine Warnung hinaus auch gleich den Verursacher identifizieren.
2) Rechtliche und personelle Risiken
Hier ist die Rede von der Vorbereitung auf eventuelle rechtliche Forderungen, unter die beispielsweise die Archivierung des E-Mail-Verkehrs fällt. Aber auch Mitarbeiter, die illegale Downloads über ihren betrieblichen Internetzugang tätigen oder potenzielle Spionage oder Sabotage durch Angestellte spielen hier eine Rolle.
Diese Gefahren sind schwerer zu handhaben, da die Technik hier keine eindeutigen Lösungen liefern kann. Strenge Unternehmensrichtlinien und eine gute Personalführung sind die Schlüssel zur Minimierung dieser Risiken. Vorgesetzte sollten ausreichend in Personalführung geschult sein. Die Vorstellung, dass ein guter Angestellter nur mittels Beförderung ein guter Vorgesetzter wird, ist ein landläufiger Irrtum.
Auch hier kann professionelle Netzwerküberwachung bei richtigem Einsatz einige potenzielle Risiken minimieren. So bietet beispielsweise PRTG Network Monitor über eine Vielzahl von WMI-Sensoren die Überwachung von Exchange- Servern, liefert kontinuierlich Livedaten zu Art und Umfang des Netzwerkverkehrs und warnt aktiv bei Auffälligkeiten und Veränderungen.
3) Natürliche und von Menschen verursachte Katastrophen
Überschwemmungen, Brände oder Sturmschäden sind zwar nicht sehr wahrscheinlich, haben aber, wenn sie dann doch auftreten, umso dramatischere Auswirkungen. Adäquate Strategien für diese Risiken zu finden gehört zu einer der schwierigsten Aufgaben des Risikomanagements. Angeboten werden zahlreiche Strategien zu unterschiedlichsten Preisen und mit verschiedenen Schutzstufen. All diese Strategien müssen in Zusammenhang mit der Gesamtsituation des Unternehmens beurteilt werden. Vor allem sollte Katastrophenmanagement mit gesundem Menschenverstand angegangen werden.
In der vernetzten Welt von heute können selbst relativ kleine Unternehmen ihre Datenzentren in modernen, sicheren Einrichtungen weit entfernt von katastrophengefährdeten Gebieten einrichten (unter Umständen gemeinsam mit anderen Unternehmen). Ebenso können existenzielle IT-Funktionalitäten in Form von SaaS (Software-as-a-Service) an Dienstleister ausgelagert werden, die ein deutlich höheres Sicherheitsniveau gewährleisten können, als das Unternehmen dies im eigenen Haus zu vertretbaren Kosten schaffen kann.
Auch bei der Minimierung dieser Risiken spielt eine zuverlässige Netzwerküberwachung, wie sie PRTG zu leisten imstande ist, eine nicht zu unterschätzende Rolle. Egal, ob das Unternehmen sein Rechenzentrum in Eigenregie auslagert oder als Service an einen Dienstleister vergibt: Eine ständige Verfügbarkeit und maximale Leistung beim Datentransfer sind essenzielle Anforderungen an ein externes Rechenzentrum und nur ein kontinuierliches und verlässliches Monitoring kann dies gewährleisten.
Dirk Paessler, CEO bei der Paessler AG
