Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

IT-Risiken steuern

09.11.2004


Die Aufwände für Informationstechnologien stellen nach den Personal- und Immobilienkosten vielfach den größten Investitionsposten für Unternehmen dar. Je nach Branche beanspruchen IT-Budgets heute zwischen 3 und 15 Prozent des Umsatzes. Tendenz steigend. Aber sind die unternehmerischen IT-Werte ihr Geld wert? Die Rolle der IT hat sich vom reinen Kostenfaktor, der die strategischen Unternehmensziele unterstützt, in den letzten Jahren zu einem Schlüsselfaktor und einem integralen Bestandteil dieser Strategie gewandelt. IT ist mehr denn je erfolgskritisch. Aber holen Unternehmen auch das Maximum aus ihren Informationstechnologien heraus?

... mehr zu:
»CMDB »Risikomanagement

IT-Governance heißt das Zauberwort, über den heute die Nutzung der Informations-Technologie in einem Unternehmen gesteuert und überwacht wird. Eine wirksame IT-Governance hilft dabei, sicher zu stellen, dass die IT die Unternehmensziele unterstützt, die Investitionen in die IT optimal ausnützt und die IT-bezogenen Risiken und Möglichkeiten angemessen Hand habt. Gerade der letzte Aspekt, das IT-Risikomanagement, soll im folgenden Beitrag näher beleuchtet werden.

IT-Risiken zu verstehen, ist der erste Schritt zur Vermeidung derselben. Im vergangenen Jahr verursachten die spektakulären Stromausfälle in den USA und Europa IT-Schäden von mehreren Milliarden Euro. Stillstehende Server oder Computerviren können den Betrieb lahm legen. Das ist nicht nur ein finanzielles Fiasko, sondern zumindest für größere Kapitalgesellschaften auch ein rechtliches Problem. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt Vorständen bzw. Geschäftsführern seit Mai 1998 vor, ein angemessenes Risikomanagement zu etablieren. Und spätestens 2006 wird mit Basel II die Fremdkapitalfinanzierung für Unternehmen an eine fundierte Risiko-Analyse geknüpft. Die Integration eines Risikomanagements, das die zentrale Rolle der IT berücksichtigt, tut not. Dabei geht es darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken zu priorisieren, potenzielle Drohverluste zu ermitteln oder zu einer realistischen Portfoliobewertung zu kommen. Bislang gibt es kaum geeignete Werkzeuge, um eine exakte IT-Risikobewertung anhand von finanziellen Kennzahlen vorzunehmen.   

 
Analyse der Einflussfaktoren als Grundlage des Risikomanagements

Dem Thema Risiko kann man sich auf verschiedene Weise nähern. Am Beginn der Beschäftigung mit dem Thema steht in der Regel eine so genannte Business Impact Analyse. Diese betrachtet den Gesamtausfall der IT und deren Auswirkungen auf die Geschäftsfelder in Unternehmen. Es gilt, die den Bedrohungen zugrundeliegenden Muster, Strukturen und die Wechselwirkungen der einzelnen Faktoren zu erkennen, um entsprechende Gegenmaßnahmen treffen zu können. Die Ermittlung von Drohverlusten, also finanziell messbare Verluste, die bei Eintritt eines angenommenen Schadenereignisses entstehen, erfolgt anhand einer Risiko-Matrix. Im Idealfall werden hierzu Interviews mit Vertretern aus den Fachbereichen bzw. des Managements geführt, detaillierte Fragebogen ausgewertet sowie ein – ggf. mehrere – Workshop(s) zur Vertiefung der relevanten Themenstellungen abgehalten. Auf dieser Ebene wird der Ausfall der Geschäftsprozesse betrachtet.

Allgemein lassen sich vier Einfluß-Bereiche unterscheiden

  • Beeinträchtigung der Aufgabenerfüllung (Leistung)
  • Imageverlust (Außensicht)
  • Finanzielle Auswirkungen (Kosten)
  • Verstöße gegen Gesetze/Vorschriften (Vertragsstrafen)

Um Risiken aus Sicht der IT spezifizieren zu können, ist es wichtig, die Abhängigkeiten der Prozesse von wichtigen Anwendungen und IT-Ressourcen transparent zu machen. Bezogen auf die IT ergeben sich Bedrohungskriterien wie Verfügbarkeit von Systemen oder Vertraulichkeit bzw. Integrität von Daten. Bewährt hat sich hier ein eher objektorientierter Ansatz, der IT-Komponenten als Objekte von IT-Bedrohungen kennzeichnet, z.B. Hardware, Betriebssysteme, Software oder Daten. Für die IT-Risiken, welche auf einzelne Geschäftsfelder, Prozesse oder einzelne Anwendungen bzw. IT-Systeme wirken, werden die IT-Bedrohungen aufgeschlüsselt, gewichtet und entsprechend zugeordnet. Methoden der Top-Down- und Bottom-Up-Analyse haben sich hierbei bewährt. Empfehlenswert ist der kombinierte Einsatz qualitativer und quantitativer Bewertungsmaßstäbe sowie deren periodische Überprüfung.

Modelle für das operative IT Risikomanagement

Die Identifizierung und Bewertung der Risiken wurde bereits oben skizziert. Neben dieser Analyse der Einflussfaktoren als Basis für die Ermittlung der Drohverluste ist das Modell Ausgangspunkt für die operative Einführung von Risikomanagement in Unternehmen. Im Rahmen des Beitrages kann nicht detailliert auf dieses komplexe Thema, das oft im Rahmen von Audit-Verfahren durchgeführt wird, eingegangen werden. Deswegen sei auf eine Reihe von unterschiedlichen Standards verwiesen, die im Rahmen des Vorgehensmodells ihren Einsatz finden, u.a. das Business Risk Model von Ernst & Young, welches den Fokus auf das allgemeine Risikomanagement legt oder Richtlinien nach BS 7799 bzw. ISO 17799. Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet nicht nur für den Öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology (CobIT) wichtige Beiträge für ein effektives Management von IT-Risiken. Während CobIT auch einen Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische Beschreibung von Themen wie Configuration Management, Service Level Agreement oder das Security Management auf Teilbereiche des Risikomanagements und unterstützt damit insbesondere die Risiko-Vermeidung.

Anforderungen an ein ideales Werkzeug für IT-Risikomanagement

Ein funktionierendes Risikomanagement lebt von der Aktualität seiner Daten, die – in verschiedenen Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein System für Risikomanagement muß diese zentralen Prozesse der Informationsgewinnung, -verarbeitung und –mitteilung unterstützen. So sollten Informationen auf Fragen wie z.B. „Bei welchen Anwendungen gibt es keine Service Level Agreements?“ oder „Welche Anwendungen sind länger als 3 Jahre im Einsatz?“ auf Knopfdruck zur Verfügung stehen. Ein entsprechendes System verfügt über folgende prozessunterstützenden Komponenten:

  • Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und IT-Services (aus technischer wie kaufmännischer Sicht)
  • Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen Maßnahmen
  • Regelmäßiger Soll/Ist-Abgleich
  • Dokumentation von Risiken und deren Maßnahmen
  • Reporting inkl. graphischer Risiko-Landkarte
  • Einfacher, rollenbasierter Zugang (IT-Wissensportal)

 Den Kern einer Anwendung für Risikomanagement bildet die Configuration Management Database (CMDB) mit den Informationen über sämtliche IT-Komponenten entlang ihres Lebenszyklus und deren Abhängigkeiten. IT-Bestände, Verträge und Softwarelizenzen werden transparent. Die Kenndaten der für die Risikobetrachtung relevanten IT-Assets lassen sich nun ebenfalls in der CMDB hinterlegen. Da Informationen zu Services sowie Vertragsdaten, beispielsweise Service Level-Vereinbarungen (SLA´s), ebenfalls integriert werden können und insbesondere die Beziehungen im gesamten Kontext abgebildet und ausgewertet werden können, lassen sich so bei Bedarf technische Wirkketten und ihr Risikopotenzial en detail aufzeigen. Verwaltet ein IT-Provider für einen Großkunden beispielsweise dessen Mailservice und ist eine Verfügbarkeit desselben von 97 Prozent vereinbart, lassen sich die zugehörigen Parameter definieren, deren Nichteinhaltung ein ggf. hohes Risiko darstellt. Eine werkzeuggestützte Schwellwerteüberwachung (z.B. Response Time etc.) stellt ein sinnvolles Monitoring dieses Risikos sicher. Sinnvoll ist eine graphische Darstellung der Inhalte mithilfe von so genannten Themennetzen (Topic Maps), die im Ernstfall ein rasches Navigieren durch die technischen Wirkketten ermöglichen und in Ampelfarben die kritischen Faktoren im Kontext anzeigen.

Komplexe Wechselwirkungen, wie sie sich bei der aktiven Verwaltung von IT-Risiken darstellen, können nur durch ein Gesamtsystem hinreichend abgebildet werden, welches auch andere IT-Disziplinen unterstützt und die Verbindung zur der kaufmännischen Welt der ERP-Systeme gewährleistet. So ist es entscheidend, dass auch die Lösungsdaten aus dem Problem- und Changeprozess aktualisiert in die CMDB zurückfließen, so dass eine dynamische Informationsversorgung gewährleistet ist. Funktionalitäten des Service & Change-Moduls sind mit der Abbildung der Maßnahmen auch für das Risiko-Monitoring verantwortlich.

Um Drohverluste zu quantifizieren und eine entsprechende Maßnahmensteuerung durchführen zu können, ist die enge Verzahnung mit IT-Kostenmanagement-Funktionalitäten unabdingbar. Wenn man weiß, wie die Aufwände für den Server-Betrieb liegen, wie sich die Kosten für einen SAP-Arbeitsplatz im einzelnen zusammensetzen oder welchen Anteil IT-Leistungen an einem „Leben-Vertrag“ haben, lassen sich auch die kritischen Faktoren für solche Prozesse herausfiltern und proaktiv steuern, beispielsweise, indem man bestimmte Eskalationsmechanismen für eine Störung definiert und integriert. Aber nicht die Technologie per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den diese IT-Komponenten konkret für die Produktivität und Wertschöpfung haben und den es aufrecht zu erhalten gilt. So lässt sich werkzeuggestützt und auf der Grundlage einer einheitlichen empirischen Datenbasis ein unternehmensindividuelles IT-Risikoportfolio abbilden, das auch IT-Planungs- und Budgetierungsprozesse beeinflusst.   

IT-Controlling gute Grundlage

Die Sicherheitsprozesse sind in den letzten Jahren durch Zugriffskontrollen, Backup-Rechenzentren etc. insbesondere im Bereich der Großrechner intensiv weiterentwickelt worden. Besonders problematisch bleibt jedoch das Gefährdungspotenzial, welches von außen, vor allem durch offene Systeme wie das Internet, auf Unternehmen einwirkt. Die Komplexität und Undurchschaubarkeit der heterogen verteilten IT-Systeme und -Komponenten erhöht das Risiko, dass besonders kritische IT-Assets nicht identifiziert werden und als „Damoklesschwert“ über den Unternehmensaktivitäten hängen. Deswegen erscheint ein umfassendes IT-Controlling, welches Transparenz über die IT-Infrastruktur, deren Kosten und Leistungen schafft, eine gute Grundlage für ein effizientes IT-Risikomanagement zu sein. Wenn Unternehmen über eine flexible Gesamtlösung im Bereich IT-Controlling verfügen, sind die Zusatzaufwände zur Implementierung eines wirksames IT-Risikomanagements relativ gering. Bestehende Informationen aus dem IT-Assetmanagement-System können genutzt und mit weiteren Inhalten zu Risiken angereichert werden. So lässt sich die Konfigurationslandschaft der IT mit geringen Investitionen um eine Risikolandschaft ergänzen. Und damit können Unternehmen sich dem eigentlichen Geschäftszweck widmen: dem Identifizieren und Realisieren ihrer Markt-Chancen!

Thomas Gerick | USU AG
Weitere Informationen:
http://www.usu.de

Weitere Berichte zu: CMDB Risikomanagement

Weitere Nachrichten aus der Kategorie Wirtschaft Finanzen:

nachricht RWI/ISL-Containerumschlag-Index: Aufwärtstendenz setzt sich fort
21.02.2017 | RWI – Leibniz-Institut für Wirtschaftsforschung

nachricht Ergebnisse der IAB-Stellenerhebung für das 4. Quartal 2016: Anhaltend hohes Niveau offener Stellen
21.02.2017 | Institut für Arbeitsmarkt- und Berufsforschung der Bundesagentur für Arbeit (IAB)

Alle Nachrichten aus der Kategorie: Wirtschaft Finanzen >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: „Vernetzte Autonome Systeme“ von acatech und DFKI auf der CeBIT

Auf der IT-Messe CeBIT vom 20. bis 24. März präsentieren acatech – Deutsche Akademie der Technikwissenschaften und das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) in Kooperation mit der Deutschen Messe AG vernetzte Autonome Systeme. In Halle 12 am Stand B 63 erwarten die Besucherinnen und Besucher unter anderem Roboter, die Hand in Hand mit Menschen zusammenarbeiten oder die selbstständig gefährliche Umgebungen erkunden.

Auf der IT-Messe CeBIT vom 20. bis 24. März präsentieren acatech – Deutsche Akademie der Technikwissenschaften und das Deutsche Forschungszentrum für...

Im Focus: Kühler Zwerg und die sieben Planeten

Erdgroße Planeten mit gemäßigtem Klima in System mit ungewöhnlich vielen Planeten entdeckt

In einer Entfernung von nur 40 Lichtjahren haben Astronomen ein System aus sieben erdgroßen Planeten entdeckt. Alle Planeten wurden unter Verwendung von boden-...

Im Focus: Mehr Sicherheit für Flugzeuge

Zwei Entwicklungen am Lehrgebiet Rechnerarchitektur der FernUniversität in Hagen können das Fliegen sicherer machen: ein Flugassistenzsystem, das bei einem totalen Triebwerksausfall zum Einsatz kommt, um den Piloten ein sicheres Gleiten zu einem Notlandeplatz zu ermöglichen, und ein Assistenzsystem für Segelflieger, das ihnen das Erreichen größerer Höhen erleichtert. Präsentiert werden sie von Prof. Dr.-Ing. Wolfram Schiffmann auf der Internationalen Fachmesse für Allgemeine Luftfahrt AERO vom 5. bis 8. April in Friedrichshafen.

Zwei Entwicklungen am Lehrgebiet Rechnerarchitektur der FernUniversität in Hagen können das Fliegen sicherer machen: ein Flugassistenzsystem, das bei einem...

Im Focus: HIGH-TOOL unterstützt Verkehrsplanung in Europa

Forschung am Karlsruher Institut für Technologie (KIT) unterstützt die Europäische Kommission bei der Verkehrsplanung: Anhand des neuen Modells HIGH-TOOL lässt sich bewerten, wie verkehrspolitische Maßnahmen langfristig auf Wirtschaft, Gesellschaft und Umwelt wirken. HIGH-TOOL ist ein frei zugängliches Modell mit Modulen für Demografie, Wirtschaft und Ressourcen, Fahrzeugbestand, Nachfrage im Personen- und Güterverkehr sowie Umwelt und Sicherheit. An dem nun erfolgreich abgeschlossenen EU-Projekt unter der Koordination des KIT waren acht Partner aus fünf Ländern beteiligt.

Forschung am Karlsruher Institut für Technologie (KIT) unterstützt die Europäische Kommission bei der Verkehrsplanung: Anhand des neuen Modells HIGH-TOOL lässt...

Im Focus: Zinn in der Photodiode: nächster Schritt zur optischen On-Chip-Datenübertragung

Schon lange suchen Wissenschaftler nach einer geeigneten Lösung, um optische Komponenten auf einem Computerchip zu integrieren. Doch Silizium und Germanium allein – die stoffliche Basis der Chip-Produktion – sind als Lichtquelle kaum geeignet. Jülicher Physiker haben nun gemeinsam mit internationalen Partnern eine Diode vorgestellt, die neben Silizium und Germanium zusätzlich Zinn enthält, um die optischen Eigenschaften zu verbessern. Das Besondere daran: Da alle Elemente der vierten Hauptgruppe angehören, sind sie mit der bestehenden Silizium-Technologie voll kompatibel.

Schon lange suchen Wissenschaftler nach einer geeigneten Lösung, um optische Komponenten auf einem Computerchip zu integrieren. Doch Silizium und Germanium...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Aufbruch: Forschungsmethoden in einer personalisierten Medizin

24.02.2017 | Veranstaltungen

Österreich erzeugt erstmals Erdgas aus Sonnen- und Windenergie

24.02.2017 | Veranstaltungen

Big Data Centrum Ostbayern-Südböhmen startet Veranstaltungsreihe

23.02.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Fraunhofer HHI auf dem Mobile World Congress mit VR- und 5G-Technologien

24.02.2017 | Messenachrichten

MWC 2017: 5G-Hauptstadt Berlin

24.02.2017 | Messenachrichten

Auf der molekularen Streckbank

24.02.2017 | Biowissenschaften Chemie