Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

IT-Risiken steuern

09.11.2004


Die Aufwände für Informationstechnologien stellen nach den Personal- und Immobilienkosten vielfach den größten Investitionsposten für Unternehmen dar. Je nach Branche beanspruchen IT-Budgets heute zwischen 3 und 15 Prozent des Umsatzes. Tendenz steigend. Aber sind die unternehmerischen IT-Werte ihr Geld wert? Die Rolle der IT hat sich vom reinen Kostenfaktor, der die strategischen Unternehmensziele unterstützt, in den letzten Jahren zu einem Schlüsselfaktor und einem integralen Bestandteil dieser Strategie gewandelt. IT ist mehr denn je erfolgskritisch. Aber holen Unternehmen auch das Maximum aus ihren Informationstechnologien heraus?

... mehr zu:
»CMDB »Risikomanagement

IT-Governance heißt das Zauberwort, über den heute die Nutzung der Informations-Technologie in einem Unternehmen gesteuert und überwacht wird. Eine wirksame IT-Governance hilft dabei, sicher zu stellen, dass die IT die Unternehmensziele unterstützt, die Investitionen in die IT optimal ausnützt und die IT-bezogenen Risiken und Möglichkeiten angemessen Hand habt. Gerade der letzte Aspekt, das IT-Risikomanagement, soll im folgenden Beitrag näher beleuchtet werden.

IT-Risiken zu verstehen, ist der erste Schritt zur Vermeidung derselben. Im vergangenen Jahr verursachten die spektakulären Stromausfälle in den USA und Europa IT-Schäden von mehreren Milliarden Euro. Stillstehende Server oder Computerviren können den Betrieb lahm legen. Das ist nicht nur ein finanzielles Fiasko, sondern zumindest für größere Kapitalgesellschaften auch ein rechtliches Problem. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt Vorständen bzw. Geschäftsführern seit Mai 1998 vor, ein angemessenes Risikomanagement zu etablieren. Und spätestens 2006 wird mit Basel II die Fremdkapitalfinanzierung für Unternehmen an eine fundierte Risiko-Analyse geknüpft. Die Integration eines Risikomanagements, das die zentrale Rolle der IT berücksichtigt, tut not. Dabei geht es darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken zu priorisieren, potenzielle Drohverluste zu ermitteln oder zu einer realistischen Portfoliobewertung zu kommen. Bislang gibt es kaum geeignete Werkzeuge, um eine exakte IT-Risikobewertung anhand von finanziellen Kennzahlen vorzunehmen.   

 
Analyse der Einflussfaktoren als Grundlage des Risikomanagements

Dem Thema Risiko kann man sich auf verschiedene Weise nähern. Am Beginn der Beschäftigung mit dem Thema steht in der Regel eine so genannte Business Impact Analyse. Diese betrachtet den Gesamtausfall der IT und deren Auswirkungen auf die Geschäftsfelder in Unternehmen. Es gilt, die den Bedrohungen zugrundeliegenden Muster, Strukturen und die Wechselwirkungen der einzelnen Faktoren zu erkennen, um entsprechende Gegenmaßnahmen treffen zu können. Die Ermittlung von Drohverlusten, also finanziell messbare Verluste, die bei Eintritt eines angenommenen Schadenereignisses entstehen, erfolgt anhand einer Risiko-Matrix. Im Idealfall werden hierzu Interviews mit Vertretern aus den Fachbereichen bzw. des Managements geführt, detaillierte Fragebogen ausgewertet sowie ein – ggf. mehrere – Workshop(s) zur Vertiefung der relevanten Themenstellungen abgehalten. Auf dieser Ebene wird der Ausfall der Geschäftsprozesse betrachtet.

Allgemein lassen sich vier Einfluß-Bereiche unterscheiden

  • Beeinträchtigung der Aufgabenerfüllung (Leistung)
  • Imageverlust (Außensicht)
  • Finanzielle Auswirkungen (Kosten)
  • Verstöße gegen Gesetze/Vorschriften (Vertragsstrafen)

Um Risiken aus Sicht der IT spezifizieren zu können, ist es wichtig, die Abhängigkeiten der Prozesse von wichtigen Anwendungen und IT-Ressourcen transparent zu machen. Bezogen auf die IT ergeben sich Bedrohungskriterien wie Verfügbarkeit von Systemen oder Vertraulichkeit bzw. Integrität von Daten. Bewährt hat sich hier ein eher objektorientierter Ansatz, der IT-Komponenten als Objekte von IT-Bedrohungen kennzeichnet, z.B. Hardware, Betriebssysteme, Software oder Daten. Für die IT-Risiken, welche auf einzelne Geschäftsfelder, Prozesse oder einzelne Anwendungen bzw. IT-Systeme wirken, werden die IT-Bedrohungen aufgeschlüsselt, gewichtet und entsprechend zugeordnet. Methoden der Top-Down- und Bottom-Up-Analyse haben sich hierbei bewährt. Empfehlenswert ist der kombinierte Einsatz qualitativer und quantitativer Bewertungsmaßstäbe sowie deren periodische Überprüfung.

Modelle für das operative IT Risikomanagement

Die Identifizierung und Bewertung der Risiken wurde bereits oben skizziert. Neben dieser Analyse der Einflussfaktoren als Basis für die Ermittlung der Drohverluste ist das Modell Ausgangspunkt für die operative Einführung von Risikomanagement in Unternehmen. Im Rahmen des Beitrages kann nicht detailliert auf dieses komplexe Thema, das oft im Rahmen von Audit-Verfahren durchgeführt wird, eingegangen werden. Deswegen sei auf eine Reihe von unterschiedlichen Standards verwiesen, die im Rahmen des Vorgehensmodells ihren Einsatz finden, u.a. das Business Risk Model von Ernst & Young, welches den Fokus auf das allgemeine Risikomanagement legt oder Richtlinien nach BS 7799 bzw. ISO 17799. Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet nicht nur für den Öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology (CobIT) wichtige Beiträge für ein effektives Management von IT-Risiken. Während CobIT auch einen Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische Beschreibung von Themen wie Configuration Management, Service Level Agreement oder das Security Management auf Teilbereiche des Risikomanagements und unterstützt damit insbesondere die Risiko-Vermeidung.

Anforderungen an ein ideales Werkzeug für IT-Risikomanagement

Ein funktionierendes Risikomanagement lebt von der Aktualität seiner Daten, die – in verschiedenen Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein System für Risikomanagement muß diese zentralen Prozesse der Informationsgewinnung, -verarbeitung und –mitteilung unterstützen. So sollten Informationen auf Fragen wie z.B. „Bei welchen Anwendungen gibt es keine Service Level Agreements?“ oder „Welche Anwendungen sind länger als 3 Jahre im Einsatz?“ auf Knopfdruck zur Verfügung stehen. Ein entsprechendes System verfügt über folgende prozessunterstützenden Komponenten:

  • Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und IT-Services (aus technischer wie kaufmännischer Sicht)
  • Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen Maßnahmen
  • Regelmäßiger Soll/Ist-Abgleich
  • Dokumentation von Risiken und deren Maßnahmen
  • Reporting inkl. graphischer Risiko-Landkarte
  • Einfacher, rollenbasierter Zugang (IT-Wissensportal)

 Den Kern einer Anwendung für Risikomanagement bildet die Configuration Management Database (CMDB) mit den Informationen über sämtliche IT-Komponenten entlang ihres Lebenszyklus und deren Abhängigkeiten. IT-Bestände, Verträge und Softwarelizenzen werden transparent. Die Kenndaten der für die Risikobetrachtung relevanten IT-Assets lassen sich nun ebenfalls in der CMDB hinterlegen. Da Informationen zu Services sowie Vertragsdaten, beispielsweise Service Level-Vereinbarungen (SLA´s), ebenfalls integriert werden können und insbesondere die Beziehungen im gesamten Kontext abgebildet und ausgewertet werden können, lassen sich so bei Bedarf technische Wirkketten und ihr Risikopotenzial en detail aufzeigen. Verwaltet ein IT-Provider für einen Großkunden beispielsweise dessen Mailservice und ist eine Verfügbarkeit desselben von 97 Prozent vereinbart, lassen sich die zugehörigen Parameter definieren, deren Nichteinhaltung ein ggf. hohes Risiko darstellt. Eine werkzeuggestützte Schwellwerteüberwachung (z.B. Response Time etc.) stellt ein sinnvolles Monitoring dieses Risikos sicher. Sinnvoll ist eine graphische Darstellung der Inhalte mithilfe von so genannten Themennetzen (Topic Maps), die im Ernstfall ein rasches Navigieren durch die technischen Wirkketten ermöglichen und in Ampelfarben die kritischen Faktoren im Kontext anzeigen.

Komplexe Wechselwirkungen, wie sie sich bei der aktiven Verwaltung von IT-Risiken darstellen, können nur durch ein Gesamtsystem hinreichend abgebildet werden, welches auch andere IT-Disziplinen unterstützt und die Verbindung zur der kaufmännischen Welt der ERP-Systeme gewährleistet. So ist es entscheidend, dass auch die Lösungsdaten aus dem Problem- und Changeprozess aktualisiert in die CMDB zurückfließen, so dass eine dynamische Informationsversorgung gewährleistet ist. Funktionalitäten des Service & Change-Moduls sind mit der Abbildung der Maßnahmen auch für das Risiko-Monitoring verantwortlich.

Um Drohverluste zu quantifizieren und eine entsprechende Maßnahmensteuerung durchführen zu können, ist die enge Verzahnung mit IT-Kostenmanagement-Funktionalitäten unabdingbar. Wenn man weiß, wie die Aufwände für den Server-Betrieb liegen, wie sich die Kosten für einen SAP-Arbeitsplatz im einzelnen zusammensetzen oder welchen Anteil IT-Leistungen an einem „Leben-Vertrag“ haben, lassen sich auch die kritischen Faktoren für solche Prozesse herausfiltern und proaktiv steuern, beispielsweise, indem man bestimmte Eskalationsmechanismen für eine Störung definiert und integriert. Aber nicht die Technologie per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den diese IT-Komponenten konkret für die Produktivität und Wertschöpfung haben und den es aufrecht zu erhalten gilt. So lässt sich werkzeuggestützt und auf der Grundlage einer einheitlichen empirischen Datenbasis ein unternehmensindividuelles IT-Risikoportfolio abbilden, das auch IT-Planungs- und Budgetierungsprozesse beeinflusst.   

IT-Controlling gute Grundlage

Die Sicherheitsprozesse sind in den letzten Jahren durch Zugriffskontrollen, Backup-Rechenzentren etc. insbesondere im Bereich der Großrechner intensiv weiterentwickelt worden. Besonders problematisch bleibt jedoch das Gefährdungspotenzial, welches von außen, vor allem durch offene Systeme wie das Internet, auf Unternehmen einwirkt. Die Komplexität und Undurchschaubarkeit der heterogen verteilten IT-Systeme und -Komponenten erhöht das Risiko, dass besonders kritische IT-Assets nicht identifiziert werden und als „Damoklesschwert“ über den Unternehmensaktivitäten hängen. Deswegen erscheint ein umfassendes IT-Controlling, welches Transparenz über die IT-Infrastruktur, deren Kosten und Leistungen schafft, eine gute Grundlage für ein effizientes IT-Risikomanagement zu sein. Wenn Unternehmen über eine flexible Gesamtlösung im Bereich IT-Controlling verfügen, sind die Zusatzaufwände zur Implementierung eines wirksames IT-Risikomanagements relativ gering. Bestehende Informationen aus dem IT-Assetmanagement-System können genutzt und mit weiteren Inhalten zu Risiken angereichert werden. So lässt sich die Konfigurationslandschaft der IT mit geringen Investitionen um eine Risikolandschaft ergänzen. Und damit können Unternehmen sich dem eigentlichen Geschäftszweck widmen: dem Identifizieren und Realisieren ihrer Markt-Chancen!

Thomas Gerick | USU AG
Weitere Informationen:
http://www.usu.de

Weitere Berichte zu: CMDB Risikomanagement

Weitere Nachrichten aus der Kategorie Wirtschaft Finanzen:

nachricht IAB-Arbeitsmarktbarometer: Beschäftigung legt weiter zu
29.05.2017 | Institut für Arbeitsmarkt- und Berufsforschung der Bundesagentur für Arbeit (IAB)

nachricht RWI/ISL-Containerumschlag-Index sinkt nach März-Hoch
23.05.2017 | RWI – Leibniz-Institut für Wirtschaftsforschung

Alle Nachrichten aus der Kategorie: Wirtschaft Finanzen >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Neue Methode für die Datenübertragung mit Licht

Der steigende Bedarf an schneller, leistungsfähiger Datenübertragung erfordert die Entwicklung neuer Verfahren zur verlustarmen und störungsfreien Übermittlung von optischen Informationssignalen. Wissenschaftler der Universität Johannesburg, des Instituts für Angewandte Optik der Friedrich-Schiller-Universität Jena und des Leibniz-Instituts für Photonische Technologien Jena (Leibniz-IPHT) präsentieren im Fachblatt „Journal of Optics“ eine neue Möglichkeit, glasfaserbasierte und kabellose optische Datenübertragung effizient miteinander zu verbinden.

Dank des Internets können wir in Sekundenbruchteilen mit Menschen rund um den Globus in Kontakt treten. Damit die Kommunikation reibungslos funktioniert,...

Im Focus: Strathclyde-led research develops world's highest gain high-power laser amplifier

The world's highest gain high power laser amplifier - by many orders of magnitude - has been developed in research led at the University of Strathclyde.

The researchers demonstrated the feasibility of using plasma to amplify short laser pulses of picojoule-level energy up to 100 millijoules, which is a 'gain'...

Im Focus: Lässt sich mit Boten-RNA das Immunsystem gegen Staphylococcus aureus scharf schalten?

Staphylococcus aureus ist aufgrund häufiger Resistenzen gegenüber vielen Antibiotika ein gefürchteter Erreger (MRSA) insbesondere bei Krankenhaus-Infektionen. Forscher des Paul-Ehrlich-Instituts haben immunologische Prozesse identifiziert, die eine erfolgreiche körpereigene, gegen den Erreger gerichtete Abwehr verhindern. Die Forscher konnten zeigen, dass sich durch Übertragung von Protein oder Boten-RNA (mRNA, messenger RNA) des Erregers auf Immunzellen die Immunantwort in Richtung einer aktiven Erregerabwehr verschieben lässt. Dies könnte für die Entwicklung eines wirksamen Impfstoffs bedeutsam sein. Darüber berichtet PLOS Pathogens in seiner Online-Ausgabe vom 25.05.2017.

Staphylococcus aureus (S. aureus) ist ein Bakterium, das bei weit über der Hälfte der Erwachsenen Haut und Schleimhäute besiedelt und dabei normalerweise keine...

Im Focus: Can the immune system be boosted against Staphylococcus aureus by delivery of messenger RNA?

Staphylococcus aureus is a feared pathogen (MRSA, multi-resistant S. aureus) due to frequent resistances against many antibiotics, especially in hospital infections. Researchers at the Paul-Ehrlich-Institut have identified immunological processes that prevent a successful immune response directed against the pathogenic agent. The delivery of bacterial proteins with RNA adjuvant or messenger RNA (mRNA) into immune cells allows the re-direction of the immune response towards an active defense against S. aureus. This could be of significant importance for the development of an effective vaccine. PLOS Pathogens has published these research results online on 25 May 2017.

Staphylococcus aureus (S. aureus) is a bacterium that colonizes by far more than half of the skin and the mucosa of adults, usually without causing infections....

Im Focus: Orientierungslauf im Mikrokosmos

Physiker der Universität Würzburg können auf Knopfdruck einzelne Lichtteilchen erzeugen, die einander ähneln wie ein Ei dem anderen. Zwei neue Studien zeigen nun, welches Potenzial diese Methode hat.

Der Quantencomputer beflügelt seit Jahrzehnten die Phantasie der Wissenschaftler: Er beruht auf grundlegend anderen Phänomenen als ein herkömmlicher Rechner....

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Lebensdauer alternder Brücken - prüfen und vorausschauen

29.05.2017 | Veranstaltungen

49. eucen-Konferenz zum Thema Lebenslanges Lernen an Universitäten

29.05.2017 | Veranstaltungen

Internationale Konferenz an der Schnittstelle von Literatur, Kultur und Wirtschaft

29.05.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Intelligente Sensoren mit System

29.05.2017 | Messenachrichten

Geckos kommunizieren überraschend flexibel

29.05.2017 | Biowissenschaften Chemie

1,5 Millionen Euro für vier neue „Innovative Training Networks” an der Universität Hamburg

29.05.2017 | Förderungen Preise