Schwächen im Risk-Management

Cloud und Social Media gefährden die IT-Sicherheit

04.06.2013
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors

Im Rahmen eines IT-Risiko-Managements sollte die Risikoklassifikation grundsätzlich aus der Businessperspektive erfolgen. Es werden die Geschäftsprozesse identifiziert, die maßgeblich zum Unternehmenserfolg beitragen und die Bedrohungsszenarien. Damit die IT nicht in den Hintergrund gerät, sind Prozesse und IT laut Hemzar von Beginn an als Einheit zu begreifen und die Abhängigkeit der Betriebsabläufe von den unterstützenden IT-Systemen zu ermitteln.

Risiken ermitteln, Notfallpläne erarbeiten

Für jeden Geschäftsprozess müssen die Applikationen auf ihre Kritikalität, also den finanziellen Risiken bei Störungsfällen oder einem kompletten Ausfall, bewertet werden. Die Risiken der IT-Systeme sind dabei mittels Schwachstellenanalysen zu ermitteln. In Abhängigkeit von den Geschäftsprozessen und gesetzlichen Vorgaben sind für jede Anwendung die Verfügbarkeits-, Integritäts-, Vertraulichkeitsanforderungen zu definieren.

Auf dieser Grundlage kann dann die IT-Service-Continuity-Strategie erarbeitet werden sowie ein Notfallplan, in dem die personellen Zuständigkeiten und die zur Wiederherstellung nötigen Maßnahmen und Arbeitsschritte festgelegt sind. Der Notfallplan muss in die Unternehmensprozesse integriert und regelmäßig getestet und aktuell gehalten werden, etwa wenn eine neue Anwendung in Betrieb genommen wird. Laut Ernst & Young sind beim IT-Risiko-Management außerdem aktuelle Trends in der Business-IT zu berücksichtigen. Dazu zählen etwa der Einsatz von Social-Media-Plattformen oder wenn Mitarbeiter ihre Arbeitsaufgaben gemäß der Devise ByoD mit dem eigenen Mobilgerät erledigen.

Soweit die Theorie. Die Praxis sieht etwas anders aus. Zwar verantwortet inzwischen in 26 Prozent der Unternehmen das Top-Management, also CEO, CFO oder COO, auch das Thema Informationssicherheit. Doch nur fünf Prozent haben ein Information-Security-Reporting an der Chief Risk Officer etabliert, der intern für die Verwaltung des Risiko-Profils verantwortlich ist. Es überrascht daher kaum, wenn 70 Prozent der Befragten mitteilen, die Informationssicherheit entspreche nur zum Teil den tatsächlichen Anforderungen.

Zur Startseite