Risikomanagement

Risikomanagement - das klingt wichtig, doch was verbirgt sich eigentlich hinter diesem Begriff?

Definition Risikomanagement: Was ist Risikomanagement?

Sie wünschen sich eine kurze Risikomanagement-Definition? Die bekommen Sie gern: Risikomanagement identifiziert, erkennt, überwacht und bewertet Risiken, die für die IT in ihrer gesamten Lebensdauer bestehen. Doch das ist nur der erste Schritt, denn im zweiten stellt Risikomanagement, auch Risk Management gennant, diesen Risiken entsprechende Notfallpläne und wirkungsvolle Maßnahmen entgegen. Die Umsetzung all dieser Maßnahmen kann dann folglich als Risikomanagementprozess bezeichnet werden.

IT-Risikomanagementprozess muss Teil der Unternehmensziele werden

IT-Risikomanagement muss Teil der Unternehmensziele und als ganzheitlicher Risikomanagementprozess umgesetzt werden. Das bedeutet, das Risk Management muss von Seiten der Geschäftsleitung auf operativer Ebene in die Hand genommen werden. Zur gleichen Zeit werden zusätzlich Gremien und verantwortliche Personen zur Überwachung der Maßnahmen des IT-Risikomanagements eingesetzt, die somit die Aufgabe der strategischen Arbeit übernehmen. Risikomanager müssen also auf beiden Ebenen aktiv werden und alle erforderlichen Maßnahmen müssen als ganzheitliches Risikomanagementsystem organisiert werden.

Ziele von Risikomanagement - Definition

Es steht außer Frage: Zahlreiche Unternehmensprozesse basieren heutzutage auf funktionierender IT. Als Folge dessen wird die IT immer komplexer und dadurch auch immer anfälliger - sie muss also geschützt werden. Viele IT-Komponenten hängen als ganze IT-Systeme zusammen, die wiederum für die Aufrechterhaltung wichtiger Geschäftsprozesse essenziell sind. Bei Ausfall drohen massive Schäden für das betreffende Unternehmen. Genau hier setzt das IT-Risikomanagement mit seinem obersten Ziel an: Es identifiziert Risiken, schätzt deren Bedeutung ein und beugt ihrem Eintritt vor.

Wichtig für Risikomanager zu wissen: Welche Risiken gibt es?

Hier ist alles miteinzubeziehen, was der IT und damit auch mit ihr in Verbindung stehenden Unternehmensprozessen zustoßen kann. Viele Risiken ergeben sich heute durch das Internet und auch dadurch, dass so vieles bereits ausschließlich digital stattfindet. Hackerangriffe sind beispielsweise eine echte Gefahr und damit in Verbindung stehend auch Spionage, Datendiebstahl, -verlust und -missbrauch. Auch ein Ausfall von Hardware sowie Softwarefehler müssen als gravierende Risiken in Betracht gezogen werden.

Risikomanagementprozess

Es sind also zahlreiche Szenarien für mögliche Schäden denkbar. An dieser Stelle des Risikomanagementprozesses werden nun Maßnahmen entwickelt, die sich damit befassen, eben solche Schadensszenarien zu vermeiden, indem Risiken im Voraus erkannt und kontrolliert werden. Dabei ist es wichtig, jedes IT-Element miteinzubeziehen, und das ab Minute eins, da es in den Unternehmensprozess integriert wird und eine Leistung erbringt. Sobald ein IT-Element implementiert wird, beginnt also dessen Risikomanagement und wird fortgeführt, solange dieses Element in Betrieb ist und bis es schließlich außer Kraft gesetzt und stillgelegt wird.

Risikomanagementsystem greift auch auf Ebene physischer Sicherheit

Auch der Aspekt der physischen Sicherheit ist als Teil des IT-Risikomanagements nicht zu vernachlässigen. Unbefugter Zugriff wie auch externe Bedrohungen durch Feuer und Ähnliches stellen ebenfalls ein Risiko für IT-Systeme dar. Um diesem Risiko zu begegnen, sind IT-Komponenten zunächst an einer geeigneten Stelle unterzubringen - und damit ist im wahrsten Sinne des Wortes ein sicherer Ort gemeint. Denn so kann der Gefahr eines unbefugten Zugriffs entgegengewirkt werden. Zusätzlich können dann zum Beispiel kryptographische IT-Sicherheitsverfahren (Verschlüsselungen) eingesetzt werden.

Auch für die physische IT-Sicherheit ergeben sich also Risiken, die ebenfalls im Rahmen des IT-Riskmanagements bewertet werden.

Riskmanagement - Gefahrenstelle Internet: Das Internet ist eine große, brandaktuelle Gefahrenquelle, zum Beispiel durch drohende Computerviren etc., genauso wie pozentielle Angriffe von außen. Hackerangriffe stellen grundsätzlich immer eine große Bedrohung für IT-Systeme dar, denn sie bergen die Gefahr von Datendiebstahl, -manipulation und -missbrauch. Deshalb setzt ganzheitliches Risikomanagement natürlich auch hier an - Risiken werden auch in diesem Bereich eingegrenzt und potenzielle negative Auswirkungen begrenzt. Ein optimales IT Risk Management hält für den Fall der Fälle auf die entsprechenden Risikobereiche zugeschnittene Notfallmaßnahmen und -pläne bereit.

Schritte des Risikomanagements

Der Risikomanagementprozess kann zum Beispiel in folgenden Schritten umgesetzt werden:

  • IT-Risikobereiche identifizieren/erkennen: Welche Systeme sind bedroht? In diesem Schritt werden sensible IT-System ausfindig gemacht und anschließend wird die Frage beantwortet: Wie wichtig sind diese Systeme?
  • Risiken benennen: Was kann diesen Systemen passieren? Welche Risiken drohen ihnen? Nun wird möglichst genau identifiziert, was jedem dieser Systeme im Einzelnen zustoßen kann.
  • Risikoanalyse und -bewertung: Anschließend werden alle identifizierten Risiken bewertet (nach Eintrittswahrscheinlichkeit, Auswirkungen etc.), dies kann zum Beispiel mit Hilfe einer mehrstufigen Matrix erfolgen
  • Risikobewältigung: Welche Maßnahmen können das Risiko minimieren? Was kann getan werden, um mögliche Folgen bestmöglich zu beherrschen? Zu welchem Budget?
  • Risikoüberwachung: Wie entwickeln sich die Risiken? Welche neuen kommen hinzu? Reporting und Monitoring der entsprechenden Planung und Entwicklungen werden präzise dokumentiert und verfolgt.

Anerkannte Standards als Leitfaden für Risikomanagement

In Standards werden bewährte Vorgehensweisen zusammengefasst und diese sind ein sinnvoller Leitfaden zur Entwicklung und Umsetzung eines erfolgreichen Risikomanagements. Der neueste Stand der Technik wird durch Befolgen der Standards eingehalten und gesichert. Außerdem können gefährdete IT-Systeme, für die ein besonders großes Risiko besteht, mit Hilfe der Richtlinien dieser Standards optimiert werden. Auch im Ernstfall können so unternehmensrelevante und unbedingt nötige technische Voraussetzungen eingehalten werden.

Gängige Standards des Sicherheits- und Risikomanagements sind: IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen).