Risk-Manager bewerten Gefahrenpotenzial

21.02.2006
Von Tanja Möhler
Tools helfen IT-Risiken zu messen und zu beurteilen, wie stark sie sich auf Geschäftsabläufe auswirken.

Unternehmen sind heute in weiten Teilen von der Funktionstüchtigkeit ihrer IT-Systeme abhängig. Deshalb ist ein funktionierendes IT- Risiko-Management nicht nur eine lästige Pflicht, um gesetzlichen Anforderungen zu genügen, sondern ein wichtiger Baustein, um zu verhindern, dass IT-Probleme die Geschäftsabläufe beeinträchtigen.

Hier lesen Sie …

  • welche Risiken die IT bedrohen;

  • welche Tools das IT-Risiko-Management erleichtern;

  • wie die vorgestellten Tools arbeiten und welche Ergebnisse sie liefern.

Audits und Self Assessments

Mittlerweile gibt es einige Tools, mit denen Anwender IT-Risiken messen und bewerten können. Aber auch Sicherheitsaudits durch externe Dienstleister sind dazu geeignet, die Effektivität und Effizienz der vorhandenen Security-Tools sowie von Prozessen und Maßnahmen zu prüfen.

Die Auswertung mit Tools wie
Die Auswertung mit Tools wie

Allerdings liefern sie, sofern nicht kontinuierlich betrieben, nur eine Momentaufnahme. Erfahrungsgemäß werden nach dem Audit der externen Prüfer zwar die entdeckten Schwachstellen behoben, im Lauf der Zeit treten aber neue Lücken auf, die es kontinuierlich zu schließen gilt. Darüber hinaus kommt es auch auf die Effektivität des Sicherheits-Managements an. Hier sind organisatorische Abläufe kritisch zu hinterfragen, etwa: Werden Patches und Updates regelmäßig und auf allen relevanten Systemen eingespielt? Wie geht man mit Störungsmeldungen um? Wie begegnet man Restrisiken?

Hilfreich hierbei sind Self-Assessments, die auf standardisierten Fragebögen und Checklisten beruhen. Sie sind relativ einfach zu bewerkstelligen und liefern kontinuierlich Einschätzungen über den Stand der IT-Sicherheit, die Einhaltung festgelegter Regeln sowie die Überwachung und Steuerung der IT-Prozesse. Idealerweise orientieren sich entsprechende Tools an anerkannten Methoden und Richtlinien des Risiko-Managements wie zum Beispiel BS 7799 (British Standard) beziehungsweise ISO 17799 (International Organization for Standardization), der IT Infrastructure Library (Itil) oder den Control Objectives for Information and Related Technology (CobIT). CobIT ist speziell auf die Sicherheitsbelange von Unternehmen ausgerichtet und beinhaltet auch einen Methodenkatalog für IT-Risiken.