Thought Leadership
Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung und Planung einer umfassenden IT-bezogenen Risikominimierungs-Strategie vor, der Empfehlungen der ISACA entspricht.
Auch wenn zahlreiche kleinere IT-Unternehmen und -Abteilungen die Planung ihrer Risikominimierung völlig vernachlässigen, ein Zuviel an Planung ist ebenso wenig sinnvoll. Vor allem KMUs, aber oft auch größere Unternehmen können ihr Risikomanagement durchaus schlank und formlos planen.
Lesen Sie auch die anderen Beiträge der Serie „RIsikomanagement“:
Teil 1: Klassifizierung IT-spezifischer Risiken
Teil 2: Ein Drei-Stufenplan für das Risikomanagement
Teil 3: Risikominimierung und das Netzwerk
Stufe 1: Risikoauflichtung und Kostenabschätzung
Der erste Schritt eines strategischen Risikomanagements ist, die Hauptrisiken der drei oben genannten Risikokategorien zu identifizieren.
Es gibt verschiedene Standard- Risikolisten; eine der komplettesten ist in der CobiT-Studie enthalten. Allerdings sind diese meist viel zu umfangreich und umfassend für die Belange einer IT-Abteilung oder eines kleineren IT-Unternehmens. Jedes Projekt beinhaltet eine Reihe eigener, spezifischer Risiken, die Gefahr eingeschlossen, dass die Aufgabe niemals oder mangelhaft abgeschlossen wird oder dass Budget und Zeitplan überzogen werden.
Die reine Erstellung einer Liste aller Risiken ist in der Regel relativ einfach, eine Beurteilung dieser Risiken in Hinblick auf potenzielle Kosten und Bedeutung für das Unternehmen ist dagegen schon deutlich schwieriger. Während Risikolisten im Allgemeinen universell einsetzbar sind, können die Kosten, die durch diese Risken verursacht werden, von Unternehmen zu Unternehmen deutlich variieren.
Für Finanzunternehmen beispielweise können kleinste Verzögerungen bei der Transaktionsübermittlung gravierende Auswirkungen haben, während Unternehmen der produzierenden Industrie hier meist eine höhere Toleranz haben, dafür aber in hohem Maß von der Performanz ihrer ERP-Systeme abhängen. Dies erschwert eine genaue Abschätzung der Kosten einzelner Risiken für das jeweilige Unternehmen.
Der für die Risikoplanung Verantwortliche wird versuchen, möglichst viele Informationen sowohl von Entscheidern seines Unternehmens als auch von Branchenorganisationen oder von Kollegen anderer Unternehmen seiner Branche einzuholen. Die Kostenabschätzung muss nicht präzise sein, wichtig ist zunächst, überhaupt eine Schätzung zu haben. Diese ist die Basis für die Entscheidung, welcher Aufwand in die Risikominimierung investiert werden soll. Außerdem muss festgelegt werden, was für den Schutz des Unternehmens vor Standardgefahren wie Viren und Trojaner eingeplant werden muss.
Die wichtigen Fragen für den Planenden sind:
- Wie viel soll für die Standards im Vergleich zu anderen Risiken eingeplant werden?
- Wann übersteigen die Ausgaben den Kosten-Nutzen Rahmen?
Die Antworten auf diese grundlegenden Fragen hängen nicht zuletzt von den Kosten ab, die im Schadensfall durch die IT-Risiken verursacht werden können.
Ebenfalls mit einbezogen werden muss die Wahrscheinlichkeit, dass der entsprechende Schaden eintritt. So sind beispielsweise Viren ein ständiges Problem, wobei der einzelne Virus in der Regel keine großen Schäden verursacht und mit relativ geringem Aufwand beseitigt werden kann. Katastrophen sind weit weniger wahrscheinlich, können aber, so sie denn auftreten, ein Unternehmen vollständig ruinieren.
Stufe 2: Kostenminimierung
Eine erste Kostenabschätzung muss keine exakten Zahlen beinhalten – es ist nicht nötig, hier bereits Kostenvoranschläge einzuholen. Grobe Schätzungen anhand einer Internet-Recherche oder anhand von Erfahrungswerten sind völlig ausreichend. Wichtig ist, neben den aufzuwendenden Geldern auch die Kosten für die benötigte Arbeitszeit der involvierten Mitarbeiter zu berücksichtigen. Solange sich die Risikominimierung auf Kauf und Installation von Hard- und Software beschränken lässt, ist eine Kostenabschätzung sehr einfach. Darüber hinaus und insbesondere für den Katastrophenfall existieren verschiedenste Strategien zu unterschiedlichen Kosten und von unterschiedlicher Effizienz. Bei der Entscheidung, welche Strategie für das eigene Unternehmen die geeignetste ist, müssen verschiedene Faktoren berücksichtigt werden:
- Tolerierbarkeit langer Ausfallzeiten
- verfügbare Ressourcen zur Problemlösung
- das Potenzial des Unternehmens, eine größere Katastrophe zu überstehen (Risikotoleranz)
Ein kleines Unternehmen, das nicht in der Lage ist, eine Katastrophe zu überstehen, würde mit dem Aufbau eines externen Rechenzentrums zur Datensicherung und -wiederherstellung (DR – data recovery) Geld verschwenden. Kann sich das Unternehmen nicht mehr als eine regelmäßige Datensicherung auf Datenträger leisten, so wird diese Sicherung eben zur DR-Lösung des Unternehmens, ob sie nun die tatsächlichen DR-Anforderungen des Unternehmens erfüllt oder nicht. Hier können Alternativen wie SaaS-Anbieter eine interessante Option sein.
Bei der Planung zur Risikominimierung kann sich auch herausstellen, dass die Kosten zur Minimierung mancher Risiken die zu erwartenden Schäden übersteigen. In diesem Fall wird man vernünftigerweise von einer Risikominimierung absehen. Bei der Festlegung der Strategie zur Risikominimierung sollte auch die von der Unternehmensleitung zu definierende Risikotoleranz des Unternehmens mit berücksichtigt werden.
Stufe 3: Langfristige Planung
Risikominimierung ist ein kontinuierlicher Prozess. Vor allem die Knappheit frei verfügbarer Ressourcen erfordert eine langfristige Planung. Risiken ändern sich mit der Zeit, und so müssen Strategien ständig kontrolliert und gegebenenfalls angepasst werden.
Virengefahr an sich ist ein konstantes Risiko, einzelne Viren ändern sich dagegen ständig. So routiniert ein Unternehmen also im Bereich Virenschutz auch sein mag ist trotzdem ständige Aufmerksamkeit nötig, um auf neue Viren reagieren zu können.
Jederzeit können neue Gefahren wie beispielweise durch Funknetzwerke und War Walkers auftreten und besonders die Expansion von Unternehmen in neue Märkte und neue Geschäftszweige oder auch die Übernahme anderer Unternehmen erhöhen das Grundrisiko signifikant.
Dirk Paessler, CEO bei der Paessler AG
