IT-Sicherheit

Vier typische Fehler beim Risiko-Management

Sabine Prehl ist freie Journalistin und lebt in München.
Wie hoch das IT-Sicherheitsbudget ausfällt, hängt auch von der Qualität des Risiko-Managements ab.

Auch wenn die IT-Security-Ausgaben weiter steigen - wegen der weltweiten Wirtschaftskrise sind die Budgets derzeit schwieriger zu rechtfertigen, warnen die Experten von Gartner. "In Krisenzeiten werden die IT-Ausgaben in Unternehmen genau überprüft. IT-Sicherheit und Risiko-Management bilden hier keine Ausnahme, auch wenn sie weniger stark betroffen sind als die IT-Budgets insgesamt", so Jay Heiser, Research Vice President bei Gartner. Um Sicherheitsausgaben zu rechtfertigen, komme es daher darauf an, dass Maßnahmen im Bereich Security und Risikokontrolle explizite Geschäftsziele erreichten und das Unternehmen die Verantwortung für die Risiken übernehme.

Ein unzureichendes oder fehlerhaftes Risiko-Management kann jedoch dazu führen, dass diese Ziele nicht erreicht werden, warnt der Analyst. Vor allem in Deutschland besteht hier noch einiger Nachholbedarf beim Thema Risko-Management, wie eine Studie der Experton Group zeigt.

Besonders verbreitet sind laut Gartner die vier folgenden Fehler:

  1. Pauschale Herangehensweise: Nicht überall ist der gleiche Schutz-Level angebracht. Die Security-Ausgaben sollten danach bemessen werden, wie hoch die Risiken in der jeweiligen Abteilung sind. Zu viel Schutz ist uneffektiv und unwirtschaftlich.

  2. Risko-Planung basiert nicht auf dem Bedarf im Unternehmen. Oft entsprechen Risiko-Management-Maßnahmen eher den Vorstellungen der IT-Verantwortlichen als denen des Business. Wenn die Maßnahmen aber nicht auf Business-Zielen basieren, lassen sie sich auch nicht rechtfertigen.

  3. Risiko-bezogene Kommunikation ist zu komplex. Sicherheitsverantwortliche müssen einen Weg finden, um dem Business die Kritikalität von spezifischen IT-Systemen und Geschäftsprozessen verständlich zu vermitteln. Gartner empfiehlt zu diesem Zweck eine dreistufige Skala (hoch, mittel, niedrig).

  4. Alle Risiken werden der IT-Organisation übertragen. Viele Abteilungsleiter vertreten fälschlicherweise die Auffassung, dass die IT-Organisation jedes Risiko effektiv adressiert. Dadurch lässt sich diese leicht zum Sündenbock machen. Besser ist es, wenn alle Systeme und Prozesse spezifischen Abteilungsleitern "gehören", die dann auch für damit verbundene Missstände verantwortlich sind.

"Einfache, leicht zu verwaltende Risiko-Management-Frameworks, die explizite Akzeptanz besehender Risiken und Security-Level-Agreements helfen, das Unternehmen mit dem richtigen Maß an IT-Sicherheit zu versorgen und die Security-Ausgaben vor Kürzungen zu bewahren", fasst Heiser zusammen. Ein erster Schritt bestehe darin, die Business-Manager nicht als Problem zu sehen, das gelöst werden müsse, sondern sie wie Kunden zu behandeln, die sichere und verlässliche IT-Services benötigen.