Compliance: Gesetzestreue IT

03.11.2005
Von Harald Rost 
Neue Corporate-Governance-Regulierungen wie Basel II und der Sarbanes Oxley Act (SOX) bürden den Unternehmen ein transparentes und messbares Risiko-Management auf. Für den CIO bedeutet das, eine neue Rolle einzunehmen.

Der für die IT-Sicherheit Verantwortliche eines großen deutschen Automobilkonzerns benennt die Schwachstellen eines Unternehmens: Viele Risiken sind bekannt, jedoch nicht konsequent und konzernweit im Prozessmodell dokumentiert. Einige Verantwortlichkeiten sind für den Ernstfall zugeordnet, doch der Ablauf im Ernstfall ist nicht trainiert.Verbesserungsmaßnahmen werden im Konzernwirrwarr zerredet.

Ein funktionierendes aktives Risiko-Management ist heute jedoch noch wichtiger geworden, da es die Voraussetzung für die Compliance bildet. Risiko-Management beinhaltet weniger den Einsatz mathematisch eleganter Methoden zum Berechnen von Eintrittswahrscheinlichkeiten. Schwerpunkt ist vielmehr die "Operational Excellence", damit im Ernstfall "die Produktionsbänder nicht für zwei Tage stillstehen", so der IT-Experte.

Die Gefahren nehmen zu

Dieses zu erkennen bedeutet für die Geschäftsführungen, den Sicherheitsverantwortlichen mit wichtigen Kompetenzen und Mitteln auszustatten, um die notwendigen Prozesse für Gegenmaßnahmen zu etablieren - und zwar innerhalb der IT wie auch für das Gesamtunternehmen, denn in den operativen Geschäftsprozessen entsteht der unternehmerische Schaden - messbar und spürbar beispielsweise in der Anzahl unzufriedener Kunden, durch weniger Umsatz an einem Tag oder anderen Business-Measurements.

Einige Zahlen verdeutlichen die Situation insbesondere in Europa: Die Anzahl sicherheitsrelevanter Vorfälle in der IT ist im vergangenen Jahr um fast 25 Prozent gestiegen. Bei einem Viertel der Sicherheitsvorfälle wissen die Verantwortlichen nicht, wer oder was diese verursacht hat. Auch bei der Schadenhöhe tappen viele im Dunkeln.

Lediglich 37 Prozent haben ein unternehmensweites Sicherheitskonzept aufgelegt, und gerade einmal drei Prozent haben einen Notfallplan entwickelt! Auf die meisten Vorfälle wird also ad hoc reagiert. Und von einer Compliance sind diese Unternehmen noch meilenweit entfernt.

Die Phasen eines aktiven Risiko-Managements sind: Risikoprävention, Notfallübung, Steuerung und Verbesserung. Alle drei Phasen sind gleich wichtig, gilt es doch, zunächst mit vertretbaren Mitteln ein unsicheres Ereignis zu verhindern. Und sollte der Notfall dennoch eintreten, muss schnellstmöglich und gut vorbereitet darauf reagiert und anschließend das Gesamt-Management-System laufend verbessert werden.

Prävention heißt, aktiv mit vertretbaren Mitteln ein Risiko-Management-System für das Gesamtunternehmen aufzubauen. Dazu ist es vor allem notwendig, Transparenz auf allen Ebenen eines Unternehmens mit allen Innen- und Außenbeziehungen herzustellen. Die Wahrscheinlichkeit, dass ein Risiko tatsächlich eintritt, ist heute aufgrund des Outsourcings ganzer Unternehmensteile und durch das Arbeiten in Netzstrukturen mit der Folge der Verringerung der Fertigungstiefen um ein Vielfaches höher als noch vor einigen Jahren.

Transparenz herstellen

Insbesondere durch moderne Technologien verbreiten sich Risiken schlagartig. Was heißt nun: Transparenz herstellen? Das erinnert an die 90er Jahre, als die Norm ISO 9000 in die Unternehmen Einzug hielt, mit deren Vorgaben vor allem die Prozessqualität erhöht werden sollte. Die 20 Qualitätselemente, nach denen auditiert und zertifiziert wurde, hatten zum Ziel, durch Dokumentation von Geschäftsprozessen, Benennung von Verantwortlichen, Ziel- und Ergebnisbeschreibungen Transparenz und Messbarkeit von Qualität zu erhöhen. Unternehmen, die diesen oder ähnliche Ansätze wie Malcom Baldridge, Six Sigma oder Zero Defect fortgeführt haben, sind heute gut aufgestellt.

Zwar sind die Beweggründe für den Einsatz dieser Methoden unterschiedlich - damals höhere Qualität und Kundenzufriedenheit, heute Transparenz zur Risikoidentifikation und zum besseren Unternehmens-Controlling beispielsweise nach Sarbanes Oxley. Doch die Resultate sind ähnlich.

Prozessmodelle zur Unterstützung in der Prozessbeschreibungsphase wie auch zum Aufspüren von Verbesserungspotenzial sind heute für alle Branchen verfügbar, und für die Informationsverarbeitung existieren - zumindest für Produktionsprozesse - Referenzmodelle, beispielsweise Itil.

Ist die Transparenz in den Prozessen geschaffen, müssen in einem nächsten Schritt für jeden der Geschäftsprozesse die möglichen Risikoereignisse erarbeitet werden. Das erfordert tiefe Geschäftsprozess- und Branchenkenntnisse.

Denn die Einschätzungen der Eintrittswahrscheinlichkeiten und möglichen Schadenhöhen ergeben später das "Value-at-Risk-Portfolio". Damit wird das gesamte Risikopotenzial sichtbar, dem dann geeignete Strategien und Maßnahmen entgegenzusetzen sind. Das generiert einen enormen Bedarf an Abstimmung mit dem Executive-Management, denn letztendlich werden mit der Einordnung in das Portfolio bereits die entsprechende Strategie und damit zumindest der potenzielle Mittel- und Ressourcenbedarf festgelegt. Die Ursache-Wirkung-Analyse für jedes Risikoereignis fließt dann in den Maßnahmenplan ein.

Restrisiko bleibt

Wichtig ist, dabei nicht nur auf Technologie zu schauen. Denn große Risiken entwickeln sich meist erst als Folge einer tragischen Kombination aus menschlichem Versagen, Fehlern in den Prozessen und Technologien. Ziel dieser Phase ist es, die Anzahl der Risikoereignisse zu reduzieren und das Ausmaß der Schäden so gering wie möglich zu halten.

Trotz der besten Präventivmaßnahmen verbleibt immer ein Restrisiko. Auch kann ein akzeptiertes Risiko eingetreten sein. Dann muss schnell und effektiv ein Notfallplan abgearbeitet werden. Das ist längst nicht so selbstverständlich, wie es klingt. So kam es bei dem oben zitierten großen Automobilkonzern nach dem Eindringen eines Wurmes in die Produktionssteuerungssysteme zwar zum Alarm, aber der verantwortliche Mitarbeiter ging anschließend einfach nach Hause, da er Feierabend hatte. Die Schadenhöhe ging in die Millionen, da die Produktionsbänder für mehrere Stunden still standen - den Imageschaden durch unzufriedene Kunden nicht eingerechnet.

Im Wesentlichen sollte ein Notfallplan zunächst Antworten auf folgende Fragen geben:

- Wie identifiziere ich schnell die Ursache?

- Wie behebe ich die Schwachstelle schnellstmöglich? und

- Wie kann ich zunächst den Betrieb aufrechterhalten?

Zur Identifizierung und Behebung sollte auf Unternehmensebene ein Repository aufgebaut werden, in dem alle Risiken mit den möglichen Ursachen zentral auf dem aktuellen Stand gehalten werden.

Steuerung und Verbesserung

Ein Virus im Fahrzeug legt heute das gesamte Produkt Pkw still - und möglicherweise ist die IT gar nicht zuständig. Also wird eine unternehmensübergreifende Risiko-Governance benötigt, die über Sparten und Divisionen hinweg Verantwortlichkeiten definiert, Regelwerke erlässt, Notfallpläne aufstellt, Übungen betreibt und auch die Investitionsverantwortung trägt.

Damit wird ein Kreislauf der Verbesserungen initiiert, der ähnlich dem TQM-Ansatz funktioniert: Plan - Do - Check - Act - Improve! Der Executive dieser Risiko-Governance-Funktion sollte einem Board vorstehen, das weitreichende Kompetenzen erhält und im Idealfall an den Konzern-COO oder -CIO berichtet.

Das Risiko-Management-Board besteht aus den Risiko-Managern der einzelnen Bereiche. Die operative Verantwortung verbleibt dort. Dem Risiko-Executive obliegt auch die Verantwortung für die Kommunikation nach innen und außen. Das schließt das Marketing sowohl für die Organisation als auch für die Kommunikationsverantwortung im Krisenfall ein. Ziel dieser Phase ist es, die Rahmenbedingungen dafür zu schaffen, dass ein aktives Risiko-Management betrieben wird.