IT-Risikomanagement noch ausbaufähig

-
15. Juni 2016
-
Von Stefan Hirschmann

Das IT-Risikomanagement in Unternehmen weist nach einer aktuellen Untersuchung durch das Beratungshaus Carmao noch häufig erhebliche Schwächen auf. So besteht hierfür nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. Wichtig sei, die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen, sagt Carmao-Geschäftsführer Ulrich Heun. Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.

Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden. Beim Auf- oder Ausbau eines IT-Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Sowohl externe (IT-Sicherheitsgesetz, die Bankenaufsicht, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden, rät Risikomanager Heun. Es existieren bereits etliche Standards und Best Practices im IT-Risikomanagement, u.a. der BSI-Grundschutz, ISO 27005, ISO 31000, COBIT for Risk. Die etablierten Standards bieten zumeist ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden. Risiken zu managen, bedeute in erster Linie, sie zu steuern, sagt Heun. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, sei eine gezielte Steuerung aber kaum möglich. Daher sei es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden, weiß Heun. Mitarbeiter dürften darüber hinaus nicht dafür bestraft werden, der Überbringer schlechter Nachrichten zu sein. IT-Risikomanagement sei eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur müsse von oben vorgelebt werden. (DJN)

Bildquelle: © psdesign1 - Fotolia.com