Risiken lauern überall. Wenn wir über die Straße gehen, laufen wir Gefahr, von einem Fahrzeug erfasst zu werden. Treten wir eine Flugreise an, können wir abstürzen. Attentate gibt es mittlerweile überall, und in exotischen Ländern lauern tödliche Krankheiten und giftige Tiere. Der Grund, warum wir trotz alledem noch den Kopf aus der Tür stecken, ist das Wissen, wie unwahrscheinlich jedes dieser Ereignisse in unserem individuellen Fall ist. Bewusst oder unbewusst wägen wir ständig Gefahren und Wahrscheinlichkeiten gegeneinander ab und betreiben so Risiko-Management - sei es durch Abschluss einer Versicherungspolice oder durch Vorsichtsmaßnahmen wie das Anschnallen im Auto.
Unternehmen müssen das Thema stringenter handhaben, denn ihnen drohen Gefahren, die schnell das wirtschaftliche Überleben gefährden können. Vor allem im Bereich IT nehmen die Bedrohungen zu, etwa durch immer komplexere Prozesse, kürzere Reaktionszeiten, den sich verschärfenden Wettbewerb oder ausufernde Compliance-Vorgaben. Die Erkenntnis, dass die gesamte Informationstechnik in das Risiko-Management einbezogen werden muss, setzt sich daher immer mehr durch. Um welche Risiken es sich dabei genau handelt und welche Gegenmaßnahmen möglich sind, ist allerdings noch weitgehend unklar.
Risiken kennen und beherrschen lernen
Mathematisch betrachtet ist ein Risiko das Produkt aus der Eintrittswahrscheinlichkeit eines Ereignisses und seinen Auswirkungen. Ein Risiko ist dann am größten, wenn ein Ereignis mit hoher Wahrscheinlichkeit eintritt und gleichzeitig schwer wiegende Auswirkungen hat. Risiken lassen sich demnach auf zweierlei Arten verkleinern: indem dafür gesorgt wird, dass der Eintritt unwahrscheinlicher und/oder die Folgen abgemildert werden. Sie sind beispielsweise zu reduzieren, indem bestimmte Regeln eingehalten werden, etwa im Hinblick auf Sicherheitsvorkehrungen, Materialeigenschaften oder auch Höchstgeschwindigkeiten. Übertragen auf Organisationen bedeutet das: Vor jeder Entscheidung sollte eine Risiko-Nutzen-Analyse stehen, mit der abgeschätzt werden kann, ob der Nutzen, sprich: der zu erwartende Gewinn, das Restrisiko überwiegt. Zu den Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden können, zählt der Bereich Informationstechnik. In nahezu keiner Organisation wäre ein länger andauernder Ausfall der IT-Systeme zu kompensieren, sondern hätte in den meisten Fällen katastrophale Folgen. Die zunehmende Technikabhängigkeit der Firmen hat dazu geführt, dass Risikobetrachtungen auch die Systeme einbeziehen. Hier werden gemeinhin die Bereiche Sicherheit, Verfügbarkeit, Performance und Compliance als IT-bezogene Risikofaktoren benannt.
Risikofaktoren in der IT
Vor allem Sicherheit wird in diesem Zusammenhang häufig aufgeführt, nicht zuletzt deshalb, weil dieser Begriff im allgemeinen Sprachgebrauch eher mit einem Risiko assoziiert wird als die anderen Kategorien. Sicherheitsrisiken umfassen unter anderem Angriffe auf Firmennetze von außerhalb, bösartigen Programmcode etwa in Form von Viren oder Trojanern oder auch den unautorisierten Zugriff auf Informationen oder Systeme. Durch heutige USB-Sticks mit Kapazitäten von 4 Gigabyte oder mehr passen die wichtigsten Firmengeheimnisse oft locker in die Hosentasche eines verärgerten Mitarbeiters.
Gegen Sicherheitsrisiken kann man sich am besten schützen, indem man seine Hard- und Software auf dem neuesten Stand hält, moderne Sicherheitseinrichtungen nutzt und gleichzeitig intern durch Regeln ("Policies") dafür sorgt, dass wichtige Informationen das Haus nicht unerlaubt verlassen. Ein nahezu hundertprozentiger Schutz ist hier zwar aufwändig zu realisieren, aber möglich.
An zweiter Stelle steht meist das Thema Verfügbarkeit. Auch hier ist eine Verfügbarkeitsrate von nahe 100 Prozent in den meisten Rechenzentren inzwischen gang und gäbe. Ausgeklügelte Backup- und Recovery-Strategien, Virtualisierung und die komplette Spiegelung von Datenbanken oder ganzen Rechenzentren auf andere Standorte sorgen dafür, dass sich selbst der Komplettausfall eines Standorts, etwa durch Brand, Wasserschaden oder Naturkatastrophen, meist in kurzer Zeit überbrücken lässt. Das ist auch dringend notwendig, denn ansonsten droht nicht nur eine unproduktive Zeit für die eigenen Mitarbeiter: In der verflochtenen Ökonomie von heute sind Firmen häufig auch vom kontinuierlichen Datenaustausch untereinander abhängig. Ein Beispiel hierfür ist die Finanzbranche: Ein Ausfall bei der Deutschen Börse hätte Konsequenzen hinab bis auf die Ebene der Schalter in den Sparkassen, wo die Mitarbeiter für ihre Kunden keine Wertpapieraufträge mehr ausführen könnten. Oder auch in der Produktion, bei der die Lieferung der Komponenten "just-in-time" fest eingeplant ist. Hier wird die Verfügbarkeit oft über Service-Level-Agreements (SLAs) geregelt, deren Nichteinhaltung empfindliche Strafen nach sich ziehen kann.
Ein weiteres Risiko ist mangelnde Performance. Das kann wohl jeder PC-Anwender nachvollziehen, der schon einmal rechenintensive Prozesse auf einem nicht mehr ganz taufrischen Rechner gestartet hat. Die IT ist ein wichtiges Werkzeug, somit hängen Effektivität und Produktivität einer Organisation in erheblichem Maße davon ab, inwieweit dieses Werkzeug die Arbeit unterstützt oder behindert. Unternehmen sind gut beraten, eine leistungsfähige Infrastruktur aufzubauen und auf wettbewerbsfähigem Niveau zu halten. Probleme mit Verfügbarkeit und Performance können sich schnell zu alptraumhaften Szenarien entwickeln: Denn natürlich fällt der Web-Shop im Weihnachtsgeschäft aus, oder der Banken-Server bricht genau an dem Tag zusammen, an dem aufgrund eines Börsencrashs alle Anwender gleichzeitig ihre Order aufgeben wollen.
Sonderrisiko Compliance
Die Einhaltung behördlicher und sonstiger Vorschriften, sprich: Compliance, als IT-Risiko einzustufen, mag auf den ersten Blick wenig einleuchten. Vor dem Hintergrund, dass heute kaum ein Geschäftsvorgang ohne IT-Applikationen stattfindet, ergibt dies jedoch durchaus Sinn. Lang ist die Liste der Gesetze und Regeln, denen ein Unternehmen im Hinblick auf seine IT-Prozesse ausgesetzt ist: Sie beginnt mit den ganz normalen Aufbewahrungs- und Sorgfaltsanforderungen an die Buchführung, die in Deutschland durch das Handelsgesetzbuch geregelt sind. Verglichen mit dem im Jahr 2002 in den USA verabschiedeten Sarbanes-Oxley Act (SOX) mit seinen Vorgaben im Hinblick auf die Firmenberichterstattung ist das allerdings Kleinkram. Das Gesetz gilt für alle in den Vereinigten Staaten börsennotierten Unternehmen sowie deren Tochterfirmen, auch in der EU. Besonders brisant ist die Section 404, nach der jeder Jahresbericht eine Beurteilung der Wirksamkeit des internen Kontrollsystems durch die Geschäftsführung sowie ein entsprechendes Testat eines Wirtschaftsprüfers enthalten muss. Damit obliegt dem Management die Verantwortung für die Effizienz der internen Kontrollsysteme, was auch die bei der Rechnungslegung involvierten IT-Systeme umfasst. SOX hat damit gravierende Auswirkungen auf die IT, denn die Umsetzung erfordert die Implementierung, Dokumentation und Überprüfung der Kontrollmechanismen.
Erweiterte Haftung
Auch hierzulande wurde 1998 mit der Verabschiedung des "Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. So ist die Firmenleitung gezwungen, ein unternehmensweites Risikofrüherkennungssystem einzuführen und zu betreiben sowie Aussagen zu Risiken und Risikostruktur im Lagebericht des Jahresabschlusses zu veröffentlichen. Dazu muss die Unternehmensführung sicherstellen, dass die IT-Infrastruktur alle Anforderungen erfüllen kann und sich im Idealfall auch neue Vorgaben rasch umsetzen lassen. Hier spielt auch die Struktur eine große Rolle: Ansätze wie Service-orientierte Architekturen oder firmenweite Datenintegrationslösungen helfen, Informationen jeder Art bereitzustellen und zu nutzen.
Es wäre aber zu kurz gegriffen, zu glauben, alle Probleme ließen sich allein mit technischen Mitteln lösen. Eine große Rolle spielt immer auch die Organisation. Im Zuge einer umfassenden IT-Risikobetrachtung ist daher besonderes Augenmerk auf die Prozesse zu richten. So kam die Studie "IT Risk Management Report 2" des Sicherheitsanbieters Symantec zu dem Ergebnis, dass mehr als die Hälfte aller IT-Zwischenfälle auf prozessuale Schwierigkeiten zurückzuführen sind. Dabei ist meist kein Prozess definiert, um den Vorfall zu bewältigen. Abhilfe schaffen hier Ansätze des IT-Service-Managements wie etwa die IT Infrastructure Library (Itil), Standards wie ISO/IEC 17799 (Security) und 20000 (Audits) oder die Control Objectives for Information and Related Technology (Cobit).
Fachliteratur zum Thema
Königs, Hans-Peter: "IT-Risiko-Management mit System". Praxisbezogener Leitfaden für das IT-Risiko-Management im Unternehmen. Systematisch werden hier die Risiken rund um IT-Systeme, IT-Projekte und IT-Dienstleistungen behandelt (2006, Vieweg+Teubner, 280 Seiten).
Seibold, Holger: "IT-Risikomanagement". Das Buch diskutiert grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten des IT-Risiko-Managements und zeigt, wie es in das bestehende Risiko-Management eines Unternehmens zu integrieren ist. Der Autor ist IT-Risiko-Manager bei der LBBW (2006, Oldenbourg Verlag, 283 Seiten).
Schmidt, Klaus: "Der IT Security Manager”. Dieses Buch legt den Schwerpunkt nicht auf die Technik, sondern auf die Management-Aspekte von IT-Security. Beschrieben wird unter anderem, wie sich IT-Risiken kontinuierlich managen lassen und notwendige organisatorische Maßnahmen getroffen werden können (2006, Hanser Fachbuchverlag, 308 Seiten).
Hempel, Jan Markus und Wiemken, Florian: "Managerhaftung im Wandel. Sarbanes-Oxley und Corporate Governance in Deutschland: IT-Risiko-Management und Compliance". Für Vorstände und Aufsichtsräte unter Umständen eine sehr aufschlussreiche Lektüre. Die Autoren arbeiten bei einer internationalen Prüfungsgesellschaft (2006, Salzwasser-Verlag, 225 Seiten).
Problemzone Prozesskette
Ein Sonderfall bei der Betrachtung der Prozesse sind im Hintergrund laufende Job-Ketten, die in fast allen Unternehmen über Jahre gewachsen sind. Heute laufen sie meist vollautomatisch ab und steuern durch Zeit- oder Event-Trigger unternehmensweite Abläufe - etwa in ERP-Umgebungen Jobs mit Bezug zur Infrastruktur. Durch die zunehmende Automatisierung und damit Verflechtung von Prozessen wissen die Verantwortlichen aber häufig gar nicht mehr, welche Schritte wann abgearbeitet werden und wie die Ergebnisse zustande kommen. Solange alles einwandfrei läuft, ist das kein Problem - wohl aber dann, wenn eine umfangreiche Prozesskette zum Stillstand kommt.
Ein Beispiel aus dem Finanzsektor: Bei der Erstellung der jährlichen Versicherungsabrechnungen laufen mitunter Tausende einzelner Jobs/Prozesse ab, bevor die Abrechnungen schließlich gedruckt werden. Zudem erfordern automatisierte Abläufe häufig noch manuelle Eingriffe, die dann nicht mehr nachvollziehbar sind, so dass sich Fehlerquellen nur schwer identifizieren lassen. "Im Prinzip muss sich jedes Unternehmen, das heute ERP-Lösungen einsetzt und entsprechende Prozesse mit externen Tools steuern möchte, darüber klar sein, dass nicht nur die ERP-Software revisionssicher sein muss, sondern auch alle Tools im Rechenzentrum, die für die Automation eingesetzt werden", bestätigt Vincent Stüger, Chief Technology Officer (CTO) bei UC4 Software, einem auf Prozessautomatisierung und -integration spezialisierten Softwareanbieter. "Kein Wirtschaftsprüfer testiert bei der heutigen Gesetzeslage einen Jahresabschluss, wenn eine nachträgliche Manipulation von Datensätzen möglich ist."
Banken konnten bis vor kurzem ihre Risiken bündeln, ihnen einen wohlklingenden Namen geben und sie anschließend mit Gewinn verkaufen. In den letzten Jahren ließ sich auf diese Weise viel Geld verdienen - vorausgesetzt, man fand jemanden, der einem die gekauften Risiken wieder abkaufte. In der IT gibt es leider keine Möglichkeit, Risiken so elegant loszuwerden. Für Unternehmen ist es demnach an der Zeit, nachvollziehbare und messbare IT-Prozesse zu implementieren und ihre internen Kontrollsysteme auch auf die IT auszuweiten.
Nützliche Links zum Thema Risiko-Management
RiskNet: Grundlegendes und Hintergründe zum Thema;
Risiko Manager: Fachzeitschrift mit Schwerpunkt Finanzbranche;
Compliance-Magazin: Fachbeiträge und Informationen zu Governance, Risk & Compliance (GRC);
Symantec IT Risk Management Report 2 (Download);
Nur die Spitze des Eisbergs
Aber Vorsicht: Viele Risiken sind auf den ersten Blick nicht zu erkennen, und gerade in der Unternehmenswelt stellen die sichtbaren Risiken oft nur die Spitze des Eisbergs dar - etwa zwei Drittel liegen unter der Wasseroberfläche. Aus diesem Grund sollten Manager besser nicht auf Sicht fahren, sondern automatische Prozesse für ein umfassendes IT-Risiko-Management implementieren. (kf)