IT – Risikomanagement

Die IT ist für die meisten Unternehmen heute kritisch. Ausfälle der IT kann man sich kaum mehr leisten. Deshalb nimmt die Bedeutung des Risikomanagement für die IT zu. Wann sprechen wir von IT-Risiken und wie kann man damit umgehen?

Eine einfache Definition lautet: Risiken liegen dann vor, wenn Unsicherheit besteht in Bezug auf die Zielerreichung. Risikomanagement umfasst die Entdeckung und Bewertung von Risiken und der Definition und Umsetzung von Massnahmen um die Risiken zu beherrschen. Soweit die Theorie – was heisst das aber für die IT bzw. für das IT-Risikomanagement?

Wenn man sich auf die Suche nach geeigneter Literatur macht, findet man viel zum Thema „Risikomanagement“, das generisch ist und sich auf Risiken in der Führung von Unternehmen allgemein bezieht. Auch die gängigen Standards, insbesondere ISO 31000 haben dieses generische Verständnis von Risikomanagement. Das hilft für das IT-Risikomanagement nicht konkret weiter.

Sucht man spezifischer nach IT-Risikomanagement, so wird man ebenfalls fündig. Die Literatur hat dort aber oft einen zu engen Fokus und sieht Risiken nur in den Bereichen Sicherheit der IT. Dort geht es um die Frage, wie IT-Systeme gegen Angriffe oder Schäden durch Fahrlässigkeit geschützt werden können. Ist die allgemeine Risikoliteratur zu generisch, so ist dieser Ansatz zu spezifisch. Wir müssen daher einen Schritt zurück machen und uns fragen: „Was sind IT-Risiken“?

IT wird in der Regel nicht als Selbstzweck betrieben – sie unterstützt Geschäftsprozesse und ist oft direkt für die Kunden des Unternehmens sichtbar und/oder ist Bestandteil der Produkte- oder Dienstleistungsproduktion des Unternehmens. Der Nutzen der IT, die effektive und effiziente Unterstützung des Geschäfts ist daher ein sinnvoller Ausgangspunkt für die Ermittlung von IT-Risiken.

Man unterscheidet üblicherweise den „IT–Betrieb“ von bestehenden Systemen von den „IT-Projekten“, die diese Systeme entwickeln oder anpassen. Die beiden Gebiete unterscheiden sich auch sowohl in den Zielen wie in den Risiken. Der Betrieb muss primär kostengünstig und zuverlässig gute Qualität liefern. Alles was die Verfügbarkeit oder Leistung der Systeme gefährdet, ist ein Risiko.  Projekte müssen im vorgegebenen Zeitrahmen und zu den vereinbarten Kosten die geforderten Resultate liefern. Alles was den Fortschritt hemmt oder die Resultate in Frage stellt, ist ein Risiko. Je dynamischer das Umfeld ist, desto wichtiger wird das Risikomanagement: viele Veränderungen erhöhen die Wahrscheinlichkeit von Zielabweichungen in Betrieb und Projekten.

Mit „Risk IT“ wurde von ISACA (Information Systems Audit and Control Association) ein Rahmen geschaffen, der eine breite und differenzierte Betrachtung von IT-Risiken fördert. Risk IT adressiert die oben dargestellten Bereiche: Nutzen der IT, Projekte und Betrieb. Risk IT enthält neben den Anleitungen zum Prozess auch umfangreiche Kataloge von möglichen IT-Risiken, welche als Checkliste für die Ermittlung von möglichen Bedrohungen benutzt werden können. Die Betrachtung reicht dort von Umwelteinflüssen über die Entscheidprozesse der Beschaffung und IT-Prozesse bis zur Gefahr durch Schadsoftware. Hilfreich ist auch der Ansatz, die Risiken in Szenarien darzustellen. Anhand von Szenarien wird konkret dokumentiert:

  • welche Vorkommnisse führen zum Auftreten des  Risiko,
  • wer kann diese Vorkommnisse  auslösen,
  • wird das Risiko versehentlich oder absichtlich ausgelöst,
  • wie schnell tritt ein Risiko ein und wie lange dauert es an,
  • welche Ressourcen betrifft es.

Statt einer langen Liste von nur kurz benannten und wenig durchdachten Risiken entsteht über Szenarien eine kurze Liste von Bedrohungen, die Substanz hat.

Nach der Identifikation und Bewertung von Risiken folgt der wichtigste Teil: die Definition von Massnahmen und deren konsequente Umsetzung. Nur wenn sich der Kreis hier mit Umsetzung und Neubewertung immer wieder schliesst, hat das Risikomanagement einen konkreten Nutzen.

Intercai (Schweiz) AG unterstützt seit vielen Jahren ihre Kunden in der Optimierung ihrer IT-Service und –Projektprozesse. Wir kennen aus Erfahrung die Risiken, welche den Wert der IT-Investitionen in Frage stellen und helfen unseren Kunden die richtigen Massnahmen zu ergreifen um die Risiken zu eliminieren. Ausgehend von den geschäftlichen Anforderungen an IT-Betrieb und IT-Projekte einerseits und Checklisten aus bestehenden Standards andererseits werden Risiken ermittelt und bewertet. Daraus werden Massnahmen abgeleitet. Mit der Umsetzung der Massnahmen und der Neubewertung der Risiken schliesst sich der Kreis.

IT - Risk Management

Eine Antwort zu “IT – Risikomanagement”

  1. Franco

    Spannender Artikel, der die Leser zum Nachdenken führt.
    Guter Ansatz für methodische Themenbehandlung.

    Antworten

Hinterlasse eine Antwort