Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

IT-Risiken steuern

09.11.2004


Die Aufwände für Informationstechnologien stellen nach den Personal- und Immobilienkosten vielfach den größten Investitionsposten für Unternehmen dar. Je nach Branche beanspruchen IT-Budgets heute zwischen 3 und 15 Prozent des Umsatzes. Tendenz steigend. Aber sind die unternehmerischen IT-Werte ihr Geld wert? Die Rolle der IT hat sich vom reinen Kostenfaktor, der die strategischen Unternehmensziele unterstützt, in den letzten Jahren zu einem Schlüsselfaktor und einem integralen Bestandteil dieser Strategie gewandelt. IT ist mehr denn je erfolgskritisch. Aber holen Unternehmen auch das Maximum aus ihren Informationstechnologien heraus?

... mehr zu:
»CMDB »Risikomanagement

IT-Governance heißt das Zauberwort, über den heute die Nutzung der Informations-Technologie in einem Unternehmen gesteuert und überwacht wird. Eine wirksame IT-Governance hilft dabei, sicher zu stellen, dass die IT die Unternehmensziele unterstützt, die Investitionen in die IT optimal ausnützt und die IT-bezogenen Risiken und Möglichkeiten angemessen Hand habt. Gerade der letzte Aspekt, das IT-Risikomanagement, soll im folgenden Beitrag näher beleuchtet werden.

IT-Risiken zu verstehen, ist der erste Schritt zur Vermeidung derselben. Im vergangenen Jahr verursachten die spektakulären Stromausfälle in den USA und Europa IT-Schäden von mehreren Milliarden Euro. Stillstehende Server oder Computerviren können den Betrieb lahm legen. Das ist nicht nur ein finanzielles Fiasko, sondern zumindest für größere Kapitalgesellschaften auch ein rechtliches Problem. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt Vorständen bzw. Geschäftsführern seit Mai 1998 vor, ein angemessenes Risikomanagement zu etablieren. Und spätestens 2006 wird mit Basel II die Fremdkapitalfinanzierung für Unternehmen an eine fundierte Risiko-Analyse geknüpft. Die Integration eines Risikomanagements, das die zentrale Rolle der IT berücksichtigt, tut not. Dabei geht es darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken zu priorisieren, potenzielle Drohverluste zu ermitteln oder zu einer realistischen Portfoliobewertung zu kommen. Bislang gibt es kaum geeignete Werkzeuge, um eine exakte IT-Risikobewertung anhand von finanziellen Kennzahlen vorzunehmen.   

 
Analyse der Einflussfaktoren als Grundlage des Risikomanagements

Dem Thema Risiko kann man sich auf verschiedene Weise nähern. Am Beginn der Beschäftigung mit dem Thema steht in der Regel eine so genannte Business Impact Analyse. Diese betrachtet den Gesamtausfall der IT und deren Auswirkungen auf die Geschäftsfelder in Unternehmen. Es gilt, die den Bedrohungen zugrundeliegenden Muster, Strukturen und die Wechselwirkungen der einzelnen Faktoren zu erkennen, um entsprechende Gegenmaßnahmen treffen zu können. Die Ermittlung von Drohverlusten, also finanziell messbare Verluste, die bei Eintritt eines angenommenen Schadenereignisses entstehen, erfolgt anhand einer Risiko-Matrix. Im Idealfall werden hierzu Interviews mit Vertretern aus den Fachbereichen bzw. des Managements geführt, detaillierte Fragebogen ausgewertet sowie ein – ggf. mehrere – Workshop(s) zur Vertiefung der relevanten Themenstellungen abgehalten. Auf dieser Ebene wird der Ausfall der Geschäftsprozesse betrachtet.

Allgemein lassen sich vier Einfluß-Bereiche unterscheiden

  • Beeinträchtigung der Aufgabenerfüllung (Leistung)
  • Imageverlust (Außensicht)
  • Finanzielle Auswirkungen (Kosten)
  • Verstöße gegen Gesetze/Vorschriften (Vertragsstrafen)

Um Risiken aus Sicht der IT spezifizieren zu können, ist es wichtig, die Abhängigkeiten der Prozesse von wichtigen Anwendungen und IT-Ressourcen transparent zu machen. Bezogen auf die IT ergeben sich Bedrohungskriterien wie Verfügbarkeit von Systemen oder Vertraulichkeit bzw. Integrität von Daten. Bewährt hat sich hier ein eher objektorientierter Ansatz, der IT-Komponenten als Objekte von IT-Bedrohungen kennzeichnet, z.B. Hardware, Betriebssysteme, Software oder Daten. Für die IT-Risiken, welche auf einzelne Geschäftsfelder, Prozesse oder einzelne Anwendungen bzw. IT-Systeme wirken, werden die IT-Bedrohungen aufgeschlüsselt, gewichtet und entsprechend zugeordnet. Methoden der Top-Down- und Bottom-Up-Analyse haben sich hierbei bewährt. Empfehlenswert ist der kombinierte Einsatz qualitativer und quantitativer Bewertungsmaßstäbe sowie deren periodische Überprüfung.

Modelle für das operative IT Risikomanagement

Die Identifizierung und Bewertung der Risiken wurde bereits oben skizziert. Neben dieser Analyse der Einflussfaktoren als Basis für die Ermittlung der Drohverluste ist das Modell Ausgangspunkt für die operative Einführung von Risikomanagement in Unternehmen. Im Rahmen des Beitrages kann nicht detailliert auf dieses komplexe Thema, das oft im Rahmen von Audit-Verfahren durchgeführt wird, eingegangen werden. Deswegen sei auf eine Reihe von unterschiedlichen Standards verwiesen, die im Rahmen des Vorgehensmodells ihren Einsatz finden, u.a. das Business Risk Model von Ernst & Young, welches den Fokus auf das allgemeine Risikomanagement legt oder Richtlinien nach BS 7799 bzw. ISO 17799. Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet nicht nur für den Öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology (CobIT) wichtige Beiträge für ein effektives Management von IT-Risiken. Während CobIT auch einen Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische Beschreibung von Themen wie Configuration Management, Service Level Agreement oder das Security Management auf Teilbereiche des Risikomanagements und unterstützt damit insbesondere die Risiko-Vermeidung.

Anforderungen an ein ideales Werkzeug für IT-Risikomanagement

Ein funktionierendes Risikomanagement lebt von der Aktualität seiner Daten, die – in verschiedenen Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein System für Risikomanagement muß diese zentralen Prozesse der Informationsgewinnung, -verarbeitung und –mitteilung unterstützen. So sollten Informationen auf Fragen wie z.B. „Bei welchen Anwendungen gibt es keine Service Level Agreements?“ oder „Welche Anwendungen sind länger als 3 Jahre im Einsatz?“ auf Knopfdruck zur Verfügung stehen. Ein entsprechendes System verfügt über folgende prozessunterstützenden Komponenten:

  • Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und IT-Services (aus technischer wie kaufmännischer Sicht)
  • Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen Maßnahmen
  • Regelmäßiger Soll/Ist-Abgleich
  • Dokumentation von Risiken und deren Maßnahmen
  • Reporting inkl. graphischer Risiko-Landkarte
  • Einfacher, rollenbasierter Zugang (IT-Wissensportal)

 Den Kern einer Anwendung für Risikomanagement bildet die Configuration Management Database (CMDB) mit den Informationen über sämtliche IT-Komponenten entlang ihres Lebenszyklus und deren Abhängigkeiten. IT-Bestände, Verträge und Softwarelizenzen werden transparent. Die Kenndaten der für die Risikobetrachtung relevanten IT-Assets lassen sich nun ebenfalls in der CMDB hinterlegen. Da Informationen zu Services sowie Vertragsdaten, beispielsweise Service Level-Vereinbarungen (SLA´s), ebenfalls integriert werden können und insbesondere die Beziehungen im gesamten Kontext abgebildet und ausgewertet werden können, lassen sich so bei Bedarf technische Wirkketten und ihr Risikopotenzial en detail aufzeigen. Verwaltet ein IT-Provider für einen Großkunden beispielsweise dessen Mailservice und ist eine Verfügbarkeit desselben von 97 Prozent vereinbart, lassen sich die zugehörigen Parameter definieren, deren Nichteinhaltung ein ggf. hohes Risiko darstellt. Eine werkzeuggestützte Schwellwerteüberwachung (z.B. Response Time etc.) stellt ein sinnvolles Monitoring dieses Risikos sicher. Sinnvoll ist eine graphische Darstellung der Inhalte mithilfe von so genannten Themennetzen (Topic Maps), die im Ernstfall ein rasches Navigieren durch die technischen Wirkketten ermöglichen und in Ampelfarben die kritischen Faktoren im Kontext anzeigen.

Komplexe Wechselwirkungen, wie sie sich bei der aktiven Verwaltung von IT-Risiken darstellen, können nur durch ein Gesamtsystem hinreichend abgebildet werden, welches auch andere IT-Disziplinen unterstützt und die Verbindung zur der kaufmännischen Welt der ERP-Systeme gewährleistet. So ist es entscheidend, dass auch die Lösungsdaten aus dem Problem- und Changeprozess aktualisiert in die CMDB zurückfließen, so dass eine dynamische Informationsversorgung gewährleistet ist. Funktionalitäten des Service & Change-Moduls sind mit der Abbildung der Maßnahmen auch für das Risiko-Monitoring verantwortlich.

Um Drohverluste zu quantifizieren und eine entsprechende Maßnahmensteuerung durchführen zu können, ist die enge Verzahnung mit IT-Kostenmanagement-Funktionalitäten unabdingbar. Wenn man weiß, wie die Aufwände für den Server-Betrieb liegen, wie sich die Kosten für einen SAP-Arbeitsplatz im einzelnen zusammensetzen oder welchen Anteil IT-Leistungen an einem „Leben-Vertrag“ haben, lassen sich auch die kritischen Faktoren für solche Prozesse herausfiltern und proaktiv steuern, beispielsweise, indem man bestimmte Eskalationsmechanismen für eine Störung definiert und integriert. Aber nicht die Technologie per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den diese IT-Komponenten konkret für die Produktivität und Wertschöpfung haben und den es aufrecht zu erhalten gilt. So lässt sich werkzeuggestützt und auf der Grundlage einer einheitlichen empirischen Datenbasis ein unternehmensindividuelles IT-Risikoportfolio abbilden, das auch IT-Planungs- und Budgetierungsprozesse beeinflusst.   

IT-Controlling gute Grundlage

Die Sicherheitsprozesse sind in den letzten Jahren durch Zugriffskontrollen, Backup-Rechenzentren etc. insbesondere im Bereich der Großrechner intensiv weiterentwickelt worden. Besonders problematisch bleibt jedoch das Gefährdungspotenzial, welches von außen, vor allem durch offene Systeme wie das Internet, auf Unternehmen einwirkt. Die Komplexität und Undurchschaubarkeit der heterogen verteilten IT-Systeme und -Komponenten erhöht das Risiko, dass besonders kritische IT-Assets nicht identifiziert werden und als „Damoklesschwert“ über den Unternehmensaktivitäten hängen. Deswegen erscheint ein umfassendes IT-Controlling, welches Transparenz über die IT-Infrastruktur, deren Kosten und Leistungen schafft, eine gute Grundlage für ein effizientes IT-Risikomanagement zu sein. Wenn Unternehmen über eine flexible Gesamtlösung im Bereich IT-Controlling verfügen, sind die Zusatzaufwände zur Implementierung eines wirksames IT-Risikomanagements relativ gering. Bestehende Informationen aus dem IT-Assetmanagement-System können genutzt und mit weiteren Inhalten zu Risiken angereichert werden. So lässt sich die Konfigurationslandschaft der IT mit geringen Investitionen um eine Risikolandschaft ergänzen. Und damit können Unternehmen sich dem eigentlichen Geschäftszweck widmen: dem Identifizieren und Realisieren ihrer Markt-Chancen!

Thomas Gerick | USU AG
Weitere Informationen:
http://www.usu.de

Weitere Berichte zu: CMDB Risikomanagement

Weitere Nachrichten aus der Kategorie Wirtschaft Finanzen:

nachricht RWI/ISL-Containerumschlag-Index beendet das Jahr 2016 mit Rekordwert
24.01.2017 | RWI – Leibniz-Institut für Wirtschaftsforschung

nachricht IMK-Konjunkturindikator: Rezessionsgefahr nahe Null
18.01.2017 | Hans-Böckler-Stiftung

Alle Nachrichten aus der Kategorie: Wirtschaft Finanzen >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Scientists spin artificial silk from whey protein

X-ray study throws light on key process for production

A Swedish-German team of researchers has cleared up a key process for the artificial production of silk. With the help of the intense X-rays from DESY's...

Im Focus: Forscher spinnen künstliche Seide aus Kuhmolke

Ein schwedisch-deutsches Forscherteam hat bei DESY einen zentralen Prozess für die künstliche Produktion von Seide entschlüsselt. Mit Hilfe von intensivem Röntgenlicht konnten die Wissenschaftler beobachten, wie sich kleine Proteinstückchen – sogenannte Fibrillen – zu einem Faden verhaken. Dabei zeigte sich, dass die längsten Proteinfibrillen überraschenderweise als Ausgangsmaterial schlechter geeignet sind als Proteinfibrillen minderer Qualität. Das Team um Dr. Christofer Lendel und Dr. Fredrik Lundell von der Königlich-Technischen Hochschule (KTH) Stockholm stellt seine Ergebnisse in den „Proceedings“ der US-Akademie der Wissenschaften vor.

Seide ist ein begehrtes Material mit vielen erstaunlichen Eigenschaften: Sie ist ultraleicht, belastbarer als manches Metall und kann extrem elastisch sein....

Im Focus: Erstmalig quantenoptischer Sensor im Weltraum getestet – mit einem Lasersystem aus Berlin

An Bord einer Höhenforschungsrakete wurde erstmals im Weltraum eine Wolke ultrakalter Atome erzeugt. Damit gelang der MAIUS-Mission der Nachweis, dass quantenoptische Sensoren auch in rauen Umgebungen wie dem Weltraum eingesetzt werden können – eine Voraussetzung, um fundamentale Fragen der Wissenschaft beantworten zu können und ein Innovationstreiber für alltägliche Anwendungen.

Gemäß dem Einstein’schen Äquivalenzprinzip werden alle Körper, unabhängig von ihren sonstigen Eigenschaften, gleich stark durch die Gravitationskraft...

Im Focus: Quantum optical sensor for the first time tested in space – with a laser system from Berlin

For the first time ever, a cloud of ultra-cold atoms has been successfully created in space on board of a sounding rocket. The MAIUS mission demonstrates that quantum optical sensors can be operated even in harsh environments like space – a prerequi-site for finding answers to the most challenging questions of fundamental physics and an important innovation driver for everyday applications.

According to Albert Einstein's Equivalence Principle, all bodies are accelerated at the same rate by the Earth's gravity, regardless of their properties. This...

Im Focus: Mikrobe des Jahres 2017: Halobacterium salinarum - einzellige Urform des Sehens

Am 24. Januar 1917 stach Heinrich Klebahn mit einer Nadel in den verfärbten Belag eines gesalzenen Seefischs, übertrug ihn auf festen Nährboden – und entdeckte einige Wochen später rote Kolonien eines "Salzbakteriums". Heute heißt es Halobacterium salinarum und ist genau 100 Jahre später Mikrobe des Jahres 2017, gekürt von der Vereinigung für Allgemeine und Angewandte Mikrobiologie (VAAM). Halobacterium salinarum zählt zu den Archaeen, dem Reich von Mikroben, die zwar Bakterien ähneln, aber tatsächlich enger verwandt mit Pflanzen und Tieren sind.

Rot und salzig
Archaeen sind häufig an außergewöhnliche Lebensräume angepasst, beispielsweise heiße Quellen, extrem saure Gewässer oder – wie H. salinarum – an...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Neuer Algorithmus in der Künstlichen Intelligenz

24.01.2017 | Veranstaltungen

Gehirn und Immunsystem beim Schlaganfall – Neueste Erkenntnisse zur Interaktion zweier Supersysteme

24.01.2017 | Veranstaltungen

Hybride Eisschutzsysteme – Lösungen für eine sichere und nachhaltige Luftfahrt

23.01.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Im Interview mit Harald Holzer, Geschäftsführer der vitaliberty GmbH

24.01.2017 | Unternehmensmeldung

MAIUS-1 – erste Experimente mit ultrakalten Atomen im All

24.01.2017 | Physik Astronomie

European XFEL: Forscher können erste Vorschläge für Experimente einreichen

24.01.2017 | Physik Astronomie