computerwoche.de

Security

IT-Risiko-Management

Risiken managen - eine Aufgabe der IT?

21.11.2008
Von Kirsten  Messer-Schmidt und Oliver Kuklok
Kein Unternehmen kann mehr auf IT verzichten. Eine systematische Betrachtung der aus der IT resultierenden Risiken ist daher unerlässlich.

Wenn in einem Industrieunternehmen die Steuerungssoftware für Großmaschinen über zwei Tage nicht funktioniert, kann der Stillstand ruinöse Folgen haben. Doch auch der Ausfall von Arbeitsplatzsystemen oder Netzkomponenten zieht möglicherweise schwerwiegende Konsequenzen nach sich. Trotz des hohen Schadenspotenzials steht das IT-Risiko-Management - außer im Projektbereich - in vielen Firmen noch am Anfang. So beziehen Unternehmen die IT-Funktionen häufig nur generisch in ihre Risikobetrachtung ein: Risiken werden erst benannt und bewertet, wenn sie bereits zur Gefährdung geworden sind.

Nicht umsonst widmen IT-Governance- und Prozessmodelle dem Risiko-Management große Aufmerksamkeit. Cobit etwa betrachtet es als einen der fünf Kernbereiche der IT-Governance und definiert entsprechende Abläufe (etwa den Prozess "Assess and manage IT-Risks.")

Was ist ein IT-Risiko?

IT-Risiken kann es nur in Bezug auf Unternehmensziele geben. Grundsätzlich sollten sich Firmen die Frage stellen, welche Risiken ihnen aus dem Einsatz von IT-Systemen im Hinblick auf ihre Geschäftsziele erwachsen. IT-Risiken sind nur insofern Risiken für eine IT-Einheit selbst (intern oder extern), als diese Einheit durch fehlende Abwehrmechanismen die eigene Existenz gefährdet.

Risiko-Management im Allgemeinen und IT-Risiko-Management im Besonderen bedeuten nicht, einen einzelnen Spezialisten, der gerade Zeit hat, mit der Aufgabe zu betrauen, "sich mal ein paar Risiken zu überlegen und diese zu klassifizieren". Ernst gemeintes Risiko-Management, das als Steuerungsinstrument genutzt werden kann, erfordert eine strukturierte und wiederholbare Herangehensweise. Es ist daher als eigener Prozess innerhalb der Prozesslandschaft zu verankern.

Risiko-Management - die Aufgabenverteilung zwischen Business und IT. Quelle: Corporate Quality Consulting
Risiko-Management - die Aufgabenverteilung zwischen Business und IT. Quelle: Corporate Quality Consulting

Risiko-Management muss "top-down" erfolgen, also von der Firmenleitung getrieben sein: Zum einen ist sie dazu gesetzlich verpflichtet, zum anderen hat sie zu entscheiden, welche Risiken sie zu tragen bereit ist. Für den Aufbau eines Risiko-Managements im Unternehmen bietet sich folgendes Vorgehen an (die beschriebenen Aktivitäten können teilweise parallel ablaufen):