Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

IT-Risiken steuern

09.11.2004


Die Aufwände für Informationstechnologien stellen nach den Personal- und Immobilienkosten vielfach den größten Investitionsposten für Unternehmen dar. Je nach Branche beanspruchen IT-Budgets heute zwischen 3 und 15 Prozent des Umsatzes. Tendenz steigend. Aber sind die unternehmerischen IT-Werte ihr Geld wert? Die Rolle der IT hat sich vom reinen Kostenfaktor, der die strategischen Unternehmensziele unterstützt, in den letzten Jahren zu einem Schlüsselfaktor und einem integralen Bestandteil dieser Strategie gewandelt. IT ist mehr denn je erfolgskritisch. Aber holen Unternehmen auch das Maximum aus ihren Informationstechnologien heraus?

... mehr zu:
»CMDB »Risikomanagement

IT-Governance heißt das Zauberwort, über den heute die Nutzung der Informations-Technologie in einem Unternehmen gesteuert und überwacht wird. Eine wirksame IT-Governance hilft dabei, sicher zu stellen, dass die IT die Unternehmensziele unterstützt, die Investitionen in die IT optimal ausnützt und die IT-bezogenen Risiken und Möglichkeiten angemessen Hand habt. Gerade der letzte Aspekt, das IT-Risikomanagement, soll im folgenden Beitrag näher beleuchtet werden.

IT-Risiken zu verstehen, ist der erste Schritt zur Vermeidung derselben. Im vergangenen Jahr verursachten die spektakulären Stromausfälle in den USA und Europa IT-Schäden von mehreren Milliarden Euro. Stillstehende Server oder Computerviren können den Betrieb lahm legen. Das ist nicht nur ein finanzielles Fiasko, sondern zumindest für größere Kapitalgesellschaften auch ein rechtliches Problem. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt Vorständen bzw. Geschäftsführern seit Mai 1998 vor, ein angemessenes Risikomanagement zu etablieren. Und spätestens 2006 wird mit Basel II die Fremdkapitalfinanzierung für Unternehmen an eine fundierte Risiko-Analyse geknüpft. Die Integration eines Risikomanagements, das die zentrale Rolle der IT berücksichtigt, tut not. Dabei geht es darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken zu priorisieren, potenzielle Drohverluste zu ermitteln oder zu einer realistischen Portfoliobewertung zu kommen. Bislang gibt es kaum geeignete Werkzeuge, um eine exakte IT-Risikobewertung anhand von finanziellen Kennzahlen vorzunehmen.   

 
Analyse der Einflussfaktoren als Grundlage des Risikomanagements

Dem Thema Risiko kann man sich auf verschiedene Weise nähern. Am Beginn der Beschäftigung mit dem Thema steht in der Regel eine so genannte Business Impact Analyse. Diese betrachtet den Gesamtausfall der IT und deren Auswirkungen auf die Geschäftsfelder in Unternehmen. Es gilt, die den Bedrohungen zugrundeliegenden Muster, Strukturen und die Wechselwirkungen der einzelnen Faktoren zu erkennen, um entsprechende Gegenmaßnahmen treffen zu können. Die Ermittlung von Drohverlusten, also finanziell messbare Verluste, die bei Eintritt eines angenommenen Schadenereignisses entstehen, erfolgt anhand einer Risiko-Matrix. Im Idealfall werden hierzu Interviews mit Vertretern aus den Fachbereichen bzw. des Managements geführt, detaillierte Fragebogen ausgewertet sowie ein – ggf. mehrere – Workshop(s) zur Vertiefung der relevanten Themenstellungen abgehalten. Auf dieser Ebene wird der Ausfall der Geschäftsprozesse betrachtet.

Allgemein lassen sich vier Einfluß-Bereiche unterscheiden

  • Beeinträchtigung der Aufgabenerfüllung (Leistung)
  • Imageverlust (Außensicht)
  • Finanzielle Auswirkungen (Kosten)
  • Verstöße gegen Gesetze/Vorschriften (Vertragsstrafen)

Um Risiken aus Sicht der IT spezifizieren zu können, ist es wichtig, die Abhängigkeiten der Prozesse von wichtigen Anwendungen und IT-Ressourcen transparent zu machen. Bezogen auf die IT ergeben sich Bedrohungskriterien wie Verfügbarkeit von Systemen oder Vertraulichkeit bzw. Integrität von Daten. Bewährt hat sich hier ein eher objektorientierter Ansatz, der IT-Komponenten als Objekte von IT-Bedrohungen kennzeichnet, z.B. Hardware, Betriebssysteme, Software oder Daten. Für die IT-Risiken, welche auf einzelne Geschäftsfelder, Prozesse oder einzelne Anwendungen bzw. IT-Systeme wirken, werden die IT-Bedrohungen aufgeschlüsselt, gewichtet und entsprechend zugeordnet. Methoden der Top-Down- und Bottom-Up-Analyse haben sich hierbei bewährt. Empfehlenswert ist der kombinierte Einsatz qualitativer und quantitativer Bewertungsmaßstäbe sowie deren periodische Überprüfung.

Modelle für das operative IT Risikomanagement

Die Identifizierung und Bewertung der Risiken wurde bereits oben skizziert. Neben dieser Analyse der Einflussfaktoren als Basis für die Ermittlung der Drohverluste ist das Modell Ausgangspunkt für die operative Einführung von Risikomanagement in Unternehmen. Im Rahmen des Beitrages kann nicht detailliert auf dieses komplexe Thema, das oft im Rahmen von Audit-Verfahren durchgeführt wird, eingegangen werden. Deswegen sei auf eine Reihe von unterschiedlichen Standards verwiesen, die im Rahmen des Vorgehensmodells ihren Einsatz finden, u.a. das Business Risk Model von Ernst & Young, welches den Fokus auf das allgemeine Risikomanagement legt oder Richtlinien nach BS 7799 bzw. ISO 17799. Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet nicht nur für den Öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology (CobIT) wichtige Beiträge für ein effektives Management von IT-Risiken. Während CobIT auch einen Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische Beschreibung von Themen wie Configuration Management, Service Level Agreement oder das Security Management auf Teilbereiche des Risikomanagements und unterstützt damit insbesondere die Risiko-Vermeidung.

Anforderungen an ein ideales Werkzeug für IT-Risikomanagement

Ein funktionierendes Risikomanagement lebt von der Aktualität seiner Daten, die – in verschiedenen Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein System für Risikomanagement muß diese zentralen Prozesse der Informationsgewinnung, -verarbeitung und –mitteilung unterstützen. So sollten Informationen auf Fragen wie z.B. „Bei welchen Anwendungen gibt es keine Service Level Agreements?“ oder „Welche Anwendungen sind länger als 3 Jahre im Einsatz?“ auf Knopfdruck zur Verfügung stehen. Ein entsprechendes System verfügt über folgende prozessunterstützenden Komponenten:

  • Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und IT-Services (aus technischer wie kaufmännischer Sicht)
  • Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen Maßnahmen
  • Regelmäßiger Soll/Ist-Abgleich
  • Dokumentation von Risiken und deren Maßnahmen
  • Reporting inkl. graphischer Risiko-Landkarte
  • Einfacher, rollenbasierter Zugang (IT-Wissensportal)

 Den Kern einer Anwendung für Risikomanagement bildet die Configuration Management Database (CMDB) mit den Informationen über sämtliche IT-Komponenten entlang ihres Lebenszyklus und deren Abhängigkeiten. IT-Bestände, Verträge und Softwarelizenzen werden transparent. Die Kenndaten der für die Risikobetrachtung relevanten IT-Assets lassen sich nun ebenfalls in der CMDB hinterlegen. Da Informationen zu Services sowie Vertragsdaten, beispielsweise Service Level-Vereinbarungen (SLA´s), ebenfalls integriert werden können und insbesondere die Beziehungen im gesamten Kontext abgebildet und ausgewertet werden können, lassen sich so bei Bedarf technische Wirkketten und ihr Risikopotenzial en detail aufzeigen. Verwaltet ein IT-Provider für einen Großkunden beispielsweise dessen Mailservice und ist eine Verfügbarkeit desselben von 97 Prozent vereinbart, lassen sich die zugehörigen Parameter definieren, deren Nichteinhaltung ein ggf. hohes Risiko darstellt. Eine werkzeuggestützte Schwellwerteüberwachung (z.B. Response Time etc.) stellt ein sinnvolles Monitoring dieses Risikos sicher. Sinnvoll ist eine graphische Darstellung der Inhalte mithilfe von so genannten Themennetzen (Topic Maps), die im Ernstfall ein rasches Navigieren durch die technischen Wirkketten ermöglichen und in Ampelfarben die kritischen Faktoren im Kontext anzeigen.

Komplexe Wechselwirkungen, wie sie sich bei der aktiven Verwaltung von IT-Risiken darstellen, können nur durch ein Gesamtsystem hinreichend abgebildet werden, welches auch andere IT-Disziplinen unterstützt und die Verbindung zur der kaufmännischen Welt der ERP-Systeme gewährleistet. So ist es entscheidend, dass auch die Lösungsdaten aus dem Problem- und Changeprozess aktualisiert in die CMDB zurückfließen, so dass eine dynamische Informationsversorgung gewährleistet ist. Funktionalitäten des Service & Change-Moduls sind mit der Abbildung der Maßnahmen auch für das Risiko-Monitoring verantwortlich.

Um Drohverluste zu quantifizieren und eine entsprechende Maßnahmensteuerung durchführen zu können, ist die enge Verzahnung mit IT-Kostenmanagement-Funktionalitäten unabdingbar. Wenn man weiß, wie die Aufwände für den Server-Betrieb liegen, wie sich die Kosten für einen SAP-Arbeitsplatz im einzelnen zusammensetzen oder welchen Anteil IT-Leistungen an einem „Leben-Vertrag“ haben, lassen sich auch die kritischen Faktoren für solche Prozesse herausfiltern und proaktiv steuern, beispielsweise, indem man bestimmte Eskalationsmechanismen für eine Störung definiert und integriert. Aber nicht die Technologie per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den diese IT-Komponenten konkret für die Produktivität und Wertschöpfung haben und den es aufrecht zu erhalten gilt. So lässt sich werkzeuggestützt und auf der Grundlage einer einheitlichen empirischen Datenbasis ein unternehmensindividuelles IT-Risikoportfolio abbilden, das auch IT-Planungs- und Budgetierungsprozesse beeinflusst.   

IT-Controlling gute Grundlage

Die Sicherheitsprozesse sind in den letzten Jahren durch Zugriffskontrollen, Backup-Rechenzentren etc. insbesondere im Bereich der Großrechner intensiv weiterentwickelt worden. Besonders problematisch bleibt jedoch das Gefährdungspotenzial, welches von außen, vor allem durch offene Systeme wie das Internet, auf Unternehmen einwirkt. Die Komplexität und Undurchschaubarkeit der heterogen verteilten IT-Systeme und -Komponenten erhöht das Risiko, dass besonders kritische IT-Assets nicht identifiziert werden und als „Damoklesschwert“ über den Unternehmensaktivitäten hängen. Deswegen erscheint ein umfassendes IT-Controlling, welches Transparenz über die IT-Infrastruktur, deren Kosten und Leistungen schafft, eine gute Grundlage für ein effizientes IT-Risikomanagement zu sein. Wenn Unternehmen über eine flexible Gesamtlösung im Bereich IT-Controlling verfügen, sind die Zusatzaufwände zur Implementierung eines wirksames IT-Risikomanagements relativ gering. Bestehende Informationen aus dem IT-Assetmanagement-System können genutzt und mit weiteren Inhalten zu Risiken angereichert werden. So lässt sich die Konfigurationslandschaft der IT mit geringen Investitionen um eine Risikolandschaft ergänzen. Und damit können Unternehmen sich dem eigentlichen Geschäftszweck widmen: dem Identifizieren und Realisieren ihrer Markt-Chancen!

Thomas Gerick | USU AG
Weitere Informationen:
http://www.usu.de

Weitere Berichte zu: CMDB Risikomanagement

Weitere Nachrichten aus der Kategorie Wirtschaft Finanzen:

nachricht RWI/ISL-Containerumschlag-Index tritt auf der Stelle
24.11.2016 | RWI – Leibniz-Institut für Wirtschaftsforschung

nachricht Lemgoer Wissenschaftler wollen smarte Banknote realisieren
08.11.2016 | Hochschule Ostwestfalen-Lippe

Alle Nachrichten aus der Kategorie: Wirtschaft Finanzen >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Greifswalder Forscher dringen mit superauflösendem Mikroskop in zellulären Mikrokosmos ein

Das Institut für Anatomie und Zellbiologie weiht am Montag, 05.12.2016, mit einem wissenschaftlichen Symposium das erste Superresolution-Mikroskop in Greifswald ein. Das Forschungsmikroskop wurde von der Deutschen Forschungsgemeinschaft (DFG) und dem Land Mecklenburg-Vorpommern finanziert. Nun können die Greifswalder Wissenschaftler Strukturen bis zu einer Größe von einigen Millionstel Millimetern mittels Laserlicht sichtbar machen.

Weit über hundert Jahre lang galt die von Ernst Abbe 1873 publizierte Theorie zur Auflösungsgrenze von Lichtmikroskopen als ein in Stein gemeißeltes Gesetz....

Im Focus: Durchbruch in der Diabetesforschung: Pankreaszellen produzieren Insulin durch Malariamedikament

Artemisinine, eine zugelassene Wirkstoffgruppe gegen Malaria, wandelt Glukagon-produzierende Alpha-Zellen der Bauchspeicheldrüse (Pankreas) in insulinproduzierende Zellen um – genau die Zellen, die bei Typ-1-Diabetes geschädigt sind. Das haben Forscher des CeMM Forschungszentrum für Molekulare Medizin der Österreichischen Akademie der Wissenschaften im Rahmen einer internationalen Zusammenarbeit mit modernsten Einzelzell-Analysen herausgefunden. Ihre bahnbrechenden Ergebnisse werden in Cell publiziert und liefern eine vielversprechende Grundlage für neue Therapien gegen Typ-1 Diabetes.

Seit einigen Jahren hatten sich Forscher an diesem Kunstgriff versucht, der eine simple und elegante Heilung des Typ-1 Diabetes versprach: Die vom eigenen...

Im Focus: Makromoleküle: Mit Licht zu Präzisionspolymeren

Chemikern am Karlsruher Institut für Technologie (KIT) ist es gelungen, den Aufbau von Präzisionspolymeren durch lichtgetriebene chemische Reaktionen gezielt zu steuern. Das Verfahren ermöglicht die genaue, geplante Platzierung der Kettengliedern, den Monomeren, entlang von Polymerketten einheitlicher Länge. Die präzise aufgebauten Makromoleküle bilden festgelegte Eigenschaften aus und eignen sich möglicherweise als Informationsspeicher oder synthetische Biomoleküle. Über die neuartige Synthesereaktion berichten die Wissenschaftler nun in der Open Access Publikation Nature Communications. (DOI: 10.1038/NCOMMS13672)

Chemische Reaktionen lassen sich durch Einwirken von Licht bei Zimmertemperatur auslösen. Die Forscher am KIT nutzen diesen Effekt, um unter Licht die...

Im Focus: Neuer Sensor: Was im Inneren von Schneelawinen vor sich geht

Ein neuer Radarsensor erlaubt Einblicke in die inneren Vorgänge von Schneelawinen. Entwickelt haben ihn Ingenieure der Ruhr-Universität Bochum (RUB) um Dr. Christoph Baer und Timo Jaeschke gemeinsam mit Kollegen aus Innsbruck und Davos. Das Messsystem ist bereits an einem Testhang im Wallis installiert, wo das Schweizer Institut für Schnee- und Lawinenforschung im Winter 2016/17 Messungen damit durchführen möchte.

Die erhobenen Daten sollen in Simulationen einfließen, die das komplexe Geschehen im Inneren von Lawinen detailliert nachbilden. „Was genau passiert, wenn sich...

Im Focus: Neuer Rekord an BESSY II: 10 Millionen Ionen erstmals bis auf 7,4 Kelvin gekühlt

Magnetische Grundzustände von Nickel2-Ionen spektroskopisch ermittelt

Ein internationales Team aus Deutschland, Schweden und Japan hat einen neuen Temperaturrekord für sogenannte Quadrupol-Ionenfallen erreicht, in denen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Von „Coopetition“ bis „Digitale Union“ – Die Fertigungsindustrien im digitalen Wandel

02.12.2016 | Veranstaltungen

Experten diskutieren Perspektiven schrumpfender Regionen

01.12.2016 | Veranstaltungen

Die Perspektiven der Genom-Editierung in der Landwirtschaft

01.12.2016 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Parkinson-Krankheit und Dystonien: DFG-Forschergruppe eingerichtet

02.12.2016 | Förderungen Preise

Smart Data Transformation – Surfing the Big Wave

02.12.2016 | Studien Analysen

Nach der Befruchtung übernimmt die Eizelle die Führungsrolle

02.12.2016 | Biowissenschaften Chemie