IT-Risiken steuern

Die Aufwände für Informationstechnologien stellen nach den Personal- und Immobilienkosten vielfach den größten Investitionsposten für Unternehmen dar. Je nach Branche beanspruchen IT-Budgets heute zwischen 3 und 15 Prozent des Umsatzes. Tendenz steigend. Aber sind die unternehmerischen IT-Werte ihr Geld wert? Die Rolle der IT hat sich vom reinen Kostenfaktor, der die strategischen Unternehmensziele unterstützt, in den letzten Jahren zu einem Schlüsselfaktor und einem integralen Bestandteil dieser Strategie gewandelt. IT ist mehr denn je erfolgskritisch. Aber holen Unternehmen auch das Maximum aus ihren Informationstechnologien heraus?

IT-Governance heißt das Zauberwort, über den heute die Nutzung der Informations-Technologie in einem Unternehmen gesteuert und überwacht wird. Eine wirksame IT-Governance hilft dabei, sicher zu stellen, dass die IT die Unternehmensziele unterstützt, die Investitionen in die IT optimal ausnützt und die IT-bezogenen Risiken und Möglichkeiten angemessen Hand habt. Gerade der letzte Aspekt, das IT-Risikomanagement, soll im folgenden Beitrag näher beleuchtet werden.

IT-Risiken zu verstehen, ist der erste Schritt zur Vermeidung derselben. Im vergangenen Jahr verursachten die spektakulären Stromausfälle in den USA und Europa IT-Schäden von mehreren Milliarden Euro. Stillstehende Server oder Computerviren können den Betrieb lahm legen. Das ist nicht nur ein finanzielles Fiasko, sondern zumindest für größere Kapitalgesellschaften auch ein rechtliches Problem. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt Vorständen bzw. Geschäftsführern seit Mai 1998 vor, ein angemessenes Risikomanagement zu etablieren. Und spätestens 2006 wird mit Basel II die Fremdkapitalfinanzierung für Unternehmen an eine fundierte Risiko-Analyse geknüpft. Die Integration eines Risikomanagements, das die zentrale Rolle der IT berücksichtigt, tut not. Dabei geht es darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken zu priorisieren, potenzielle Drohverluste zu ermitteln oder zu einer realistischen Portfoliobewertung zu kommen. Bislang gibt es kaum geeignete Werkzeuge, um eine exakte IT-Risikobewertung anhand von finanziellen Kennzahlen vorzunehmen.   
 
Analyse der Einflussfaktoren als Grundlage des Risikomanagements

Dem Thema Risiko kann man sich auf verschiedene Weise nähern. Am Beginn der Beschäftigung mit dem Thema steht in der Regel eine so genannte Business Impact Analyse. Diese betrachtet den Gesamtausfall der IT und deren Auswirkungen auf die Geschäftsfelder in Unternehmen. Es gilt, die den Bedrohungen zugrundeliegenden Muster, Strukturen und die Wechselwirkungen der einzelnen Faktoren zu erkennen, um entsprechende Gegenmaßnahmen treffen zu können. Die Ermittlung von Drohverlusten, also finanziell messbare Verluste, die bei Eintritt eines angenommenen Schadenereignisses entstehen, erfolgt anhand einer Risiko-Matrix. Im Idealfall werden hierzu Interviews mit Vertretern aus den Fachbereichen bzw. des Managements geführt, detaillierte Fragebogen ausgewertet sowie ein – ggf. mehrere – Workshop(s) zur Vertiefung der relevanten Themenstellungen abgehalten. Auf dieser Ebene wird der Ausfall der Geschäftsprozesse betrachtet.

Allgemein lassen sich vier Einfluß-Bereiche unterscheiden

• Beeinträchtigung der Aufgabenerfüllung (Leistung)
• Imageverlust (Außensicht)
• Finanzielle Auswirkungen (Kosten)
• Verstöße gegen Gesetze/Vorschriften (Vertragsstrafen)

Um Risiken aus Sicht der IT spezifizieren zu können, ist es wichtig, die Abhängigkeiten der Prozesse von wichtigen Anwendungen und IT-Ressourcen transparent zu machen. Bezogen auf die IT ergeben sich Bedrohungskriterien wie Verfügbarkeit von Systemen oder Vertraulichkeit bzw. Integrität von Daten. Bewährt hat sich hier ein eher objektorientierter Ansatz, der IT-Komponenten als Objekte von IT-Bedrohungen kennzeichnet, z.B. Hardware, Betriebssysteme, Software oder Daten. Für die IT-Risiken, welche auf einzelne Geschäftsfelder, Prozesse oder einzelne Anwendungen bzw. IT-Systeme wirken, werden die IT-Bedrohungen aufgeschlüsselt, gewichtet und entsprechend zugeordnet. Methoden der Top-Down- und Bottom-Up-Analyse haben sich hierbei bewährt. Empfehlenswert ist der kombinierte Einsatz qualitativer und quantitativer Bewertungsmaßstäbe sowie deren periodische Überprüfung.

Modelle für das operative IT Risikomanagement

Die Identifizierung und Bewertung der Risiken wurde bereits oben skizziert. Neben dieser Analyse der Einflussfaktoren als Basis für die Ermittlung der Drohverluste ist das Modell Ausgangspunkt für die operative Einführung von Risikomanagement in Unternehmen. Im Rahmen des Beitrages kann nicht detailliert auf dieses komplexe Thema, das oft im Rahmen von Audit-Verfahren durchgeführt wird, eingegangen werden. Deswegen sei auf eine Reihe von unterschiedlichen Standards verwiesen, die im Rahmen des Vorgehensmodells ihren Einsatz finden, u.a. das Business Risk Model von Ernst & Young, welches den Fokus auf das allgemeine Risikomanagement legt oder Richtlinien nach BS 7799 bzw. ISO 17799. Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet nicht nur für den Öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology (CobIT) wichtige Beiträge für ein effektives Management von IT-Risiken. Während CobIT auch einen Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische Beschreibung von Themen wie Configuration Management, Service Level Agreement oder das Security Management auf Teilbereiche des Risikomanagements und unterstützt damit insbesondere die Risiko-Vermeidung.

Anforderungen an ein ideales Werkzeug für IT-Risikomanagement

Ein funktionierendes Risikomanagement lebt von der Aktualität seiner Daten, die – in verschiedenen Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein System für Risikomanagement muß diese zentralen Prozesse der Informationsgewinnung, -verarbeitung und –mitteilung unterstützen. So sollten Informationen auf Fragen wie z.B. „Bei welchen Anwendungen gibt es keine Service Level Agreements?“ oder „Welche Anwendungen sind länger als 3 Jahre im Einsatz?“ auf Knopfdruck zur Verfügung stehen. Ein entsprechendes System verfügt über folgende prozessunterstützenden Komponenten:

• Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und IT-Services (aus technischer wie kaufmännischer Sicht)
• Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen Maßnahmen
• Regelmäßiger Soll/Ist-Abgleich
• Dokumentation von Risiken und deren Maßnahmen
• Reporting inkl. graphischer Risiko-Landkarte
• Einfacher, rollenbasierter Zugang (IT-Wissensportal)

 Den Kern einer Anwendung für Risikomanagement bildet die Configuration Management Database (CMDB) mit den Informationen über sämtliche IT-Komponenten entlang ihres Lebenszyklus und deren Abhängigkeiten. IT-Bestände, Verträge und Softwarelizenzen werden transparent. Die Kenndaten der für die Risikobetrachtung relevanten IT-Assets lassen sich nun ebenfalls in der CMDB hinterlegen. Da Informationen zu Services sowie Vertragsdaten, beispielsweise Service Level-Vereinbarungen (SLA´s), ebenfalls integriert werden können und insbesondere die Beziehungen im gesamten Kontext abgebildet und ausgewertet werden können, lassen sich so bei Bedarf technische Wirkketten und ihr Risikopotenzial en detail aufzeigen. Verwaltet ein IT-Provider für einen Großkunden beispielsweise dessen Mailservice und ist eine Verfügbarkeit desselben von 97 Prozent vereinbart, lassen sich die zugehörigen Parameter definieren, deren Nichteinhaltung ein ggf. hohes Risiko darstellt. Eine werkzeuggestützte Schwellwerteüberwachung (z.B. Response Time etc.) stellt ein sinnvolles Monitoring dieses Risikos sicher. Sinnvoll ist eine graphische Darstellung der Inhalte mithilfe von so genannten Themennetzen (Topic Maps), die im Ernstfall ein rasches Navigieren durch die technischen Wirkketten ermöglichen und in Ampelfarben die kritischen Faktoren im Kontext anzeigen.

Komplexe Wechselwirkungen, wie sie sich bei der aktiven Verwaltung von IT-Risiken darstellen, können nur durch ein Gesamtsystem hinreichend abgebildet werden, welches auch andere IT-Disziplinen unterstützt und die Verbindung zur der kaufmännischen Welt der ERP-Systeme gewährleistet. So ist es entscheidend, dass auch die Lösungsdaten aus dem Problem- und Changeprozess aktualisiert in die CMDB zurückfließen, so dass eine dynamische Informationsversorgung gewährleistet ist. Funktionalitäten des Service & Change-Moduls sind mit der Abbildung der Maßnahmen auch für das Risiko-Monitoring verantwortlich.

Um Drohverluste zu quantifizieren und eine entsprechende Maßnahmensteuerung durchführen zu können, ist die enge Verzahnung mit IT-Kostenmanagement-Funktionalitäten unabdingbar. Wenn man weiß, wie die Aufwände für den Server-Betrieb liegen, wie sich die Kosten für einen SAP-Arbeitsplatz im einzelnen zusammensetzen oder welchen Anteil IT-Leistungen an einem „Leben-Vertrag“ haben, lassen sich auch die kritischen Faktoren für solche Prozesse herausfiltern und proaktiv steuern, beispielsweise, indem man bestimmte Eskalationsmechanismen für eine Störung definiert und integriert. Aber nicht die Technologie per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den diese IT-Komponenten konkret für die Produktivität und Wertschöpfung haben und den es aufrecht zu erhalten gilt. So lässt sich werkzeuggestützt und auf der Grundlage einer einheitlichen empirischen Datenbasis ein unternehmensindividuelles IT-Risikoportfolio abbilden, das auch IT-Planungs- und Budgetierungsprozesse beeinflusst.   

IT-Controlling gute Grundlage

Die Sicherheitsprozesse sind in den letzten Jahren durch Zugriffskontrollen, Backup-Rechenzentren etc. insbesondere im Bereich der Großrechner intensiv weiterentwickelt worden. Besonders problematisch bleibt jedoch das Gefährdungspotenzial, welches von außen, vor allem durch offene Systeme wie das Internet, auf Unternehmen einwirkt. Die Komplexität und Undurchschaubarkeit der heterogen verteilten IT-Systeme und -Komponenten erhöht das Risiko, dass besonders kritische IT-Assets nicht identifiziert werden und als „Damoklesschwert“ über den Unternehmensaktivitäten hängen. Deswegen erscheint ein umfassendes IT-Controlling, welches Transparenz über die IT-Infrastruktur, deren Kosten und Leistungen schafft, eine gute Grundlage für ein effizientes IT-Risikomanagement zu sein. Wenn Unternehmen über eine flexible Gesamtlösung im Bereich IT-Controlling verfügen, sind die Zusatzaufwände zur Implementierung eines wirksames IT-Risikomanagements relativ gering. Bestehende Informationen aus dem IT-Assetmanagement-System können genutzt und mit weiteren Inhalten zu Risiken angereichert werden. So lässt sich die Konfigurationslandschaft der IT mit geringen Investitionen um eine Risikolandschaft ergänzen. Und damit können Unternehmen sich dem eigentlichen Geschäftszweck widmen: dem Identifizieren und Realisieren ihrer Markt-Chancen!