Wie kann man Risikomanagement prägnant definieren?

 
Bei RM geht es darum, relevante Risiken für den Geschäftsbetrieb zu identifizieren und adäquate Maßnahmen festzulegen. Hierbei müssen naturgemäß Kompromisse hinsichtlich Effektivität und Kosten eingegangen werden. 

Welche Unternehmen müssen sich aus Ihrer Sicht vorrangig mit dem Thema Risikomanagement beschäftigen?

 
Jedes Unternehmen muss Risiken managen, insbesondere solche, die sich bei der Steuerung der Geschäftsprozesse auf IT Lösungen verlassen. Die Ergebnisse des RM hängen selbstverständlich von der Branche ab - eine Bank wird Risiken anders bewerten als beispielsweise eine Einzelhandelskette. Zudem spielen das zur Verfügung stehende Budget & die Manpower eine große Rolle - kleine Unternehmen agieren hier anders, als Großkonzerne. 

Sind aus Ihrer Sicht die Haftungsverpflichtungen für die Geschäftsleitung ein Treiber für mehr Investitionen in die IT-Sicherheit?

 
Ja. SOX, Basel II, Europäischer Datenschutz, HIPAA, FDA Part 11 und andere Regularien führen zur notwendigen Aufmerksamkeit auf Ebene der Geschäftsführung. Plötzlich wird klar, dass es hier ein Problem gibt.
 
Beispiel: SOX-Verletzungen können zu Haftstrafen führen - mehr als unschön. Es folgt zur Illustration ein (selbstverständlich überspitzt dargestellter) Dialog zwischen Management und Fachabteilung:
 

• M: "Was muss denn nun gemacht werden?"
• A: "Wir müssen die finanziellen Transaktionen kontrollieren."
• M: "Wo müssen wir anpacken?"
• A: "Die Finanzdaten werden von unseren Anwendungen verarbeitet."
• M: "Wieviele haben wir davon? 10?"
• A: "Eher mehrere hundert"
• M: "Wer um alles in der Welt hat die denn eingeführt?"
• A: "Wir ..."

In solchen Dialogen zwischen Führungsebene und Fachabteilungen wird oftmals zum ersten mal klar, dass jedes Unternehmen selbst Systeme und Anwendungen entwickelt/eingeführt hat und für deren Sicherheit verantwortlich ist.

Welche Vorteile können sich  Ihrer Ansicht nach ergeben, wenn sich Unternehmen planvoll mit ihren Risiken auseinandersetzen oder anders, kann dies auch als Chance für die Unternehmen betrachtet werden?

 
Ein Unternehmen, dass seine Risiken kennt, kann Maßnahmen ergreifen und strategisch und ruhig agieren. Ein Unternehmen, dass dies nicht tut, kann nur reagieren und ad-hoc Maßnahmen ergreifen, die unter dem Strich teurer, immer fehleranfälliger und weniger effektiv sind. Kontrollierte Risiken sind daher aus meiner Sicht ein klarer Wettbewerbsvorteil. 

Ihre Empfehlung an die Unternehmen gibt es Tools und Methoden, mittels derer die Einführung und Organisation eines Risikomanagement im Unternehmen sinnvoll unterstützt werden kann?

 
Sicherheitsprodukte führen nicht zu Sicherheit. Netzwerkbasierte Angriffe werden beispielsweise als Risiko anerkannt, weshalb viel Budget in Maßnahmen wie Firewalls & Co fliesst. Dies lässt weniger bekannte Risiken außen vor, wie etwa Software Sicherheit (also Vermeidung von Fehlern auf Anwendungsebene, die Angriffe erlauben, bei denen Firewalls nicht greifen). Es ist daher wichtig, Prozesse aufzusetzen, die Risiken aufdecken und dabei helfen, die richtigen Kompromisse zu finden. Dabei sind in erster Linie kompetente Personen wichtig - sowohl Sicherheitsexperten aber insbesondere auch die Fachabteilungen. Methoden sind aus meiner Sicht austauschbar, die richtigen Leute unverzichtbar.
 

Von Dr. Markus Schumacher, Geschäftsführer der Virtual Forge GmbH

 

• Verwandte Themen
• Risk Management in Echtzeit