Integriertes Risikomanagement stützt IT-Assets in Unternehmen nachhaltig. Dabei geht es weniger um die Risikobehandlung selbst als vielmehr um Prävention und Weiterentwicklung. Unternehmerisches und verantwortungsvolles Handeln heißt auch aktives Risikomanagement. Oder?Â
Reden wir in der IT wirklich noch über die Bedeutung von Risikomanagement?
Unter Risikomanagement versteht man allgemein hin den Prozess der kontinuierlichen Identifikation, Analyse, Bewertung und Behandlung von Risiken. Kurzum: Die Augen und Ohren offenzuhalten und möglichen Vorfällen vorzubeugen. Gerade in Zeiten erhöhter Cyberangriffe eine Herausforderung für IT-Verantwortliche.Â
Damit das nicht zufällig und planlos geschieht, unterstützt methodisch ein Risikomanagement System, das die schutzbedürftigen Werte des Unternehmens benennt und dessen Risiken samt Eintrittswahrscheinlichkeit und Auswirkungsgrad transparent aufzeigt. So werden die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt. Bestenfalls mit einer Software oder App.
Risikomanagement beschreibt verantwortungsvolles und unternehmerisches Handeln und fördert den guten Schlaf der IT-Verantwortlichen. Im Fokus stehen zielgerichtet nur die relevanten Risiken, priorisiert nach Eintrittswahrscheinlichkeit und Auswirkungsgrad.
Das aktive Risikomanagement stellt deswegen eine Entscheidungsgrundlage für ein effizientes Handeln dar. IT-Verantwortliche erhalten eine Priorisierung der potenziellen Gefahrenquellen für Ihre Infrastruktur.
Welche Rolle spielt die Diskussion um den richtigen Zeitpunkt?
Informationstechnologie nimmt eine stetig wachsende Rolle in der Unterstützung von Unternehmensprozessen ein. Gleichzeitig steigen akute Bedrohungen, die einen zielführenden Umgang mit den Risiken abverlangen. Allein schon das über allen Firmen schwebende Damoklesschwert der Verschlüsselung durch Ransomware, benötigt einen nachhaltigen Umgang durch Identifikation von Schwachstellen und Risiken, deren Eintrittswahrscheinlichkeit und proaktive Identifikation von Maßnahmen. Eine gute Vorbereitung auf den Ernstfall durch ein wirksames Risikomanagement ist unumgänglich. Nicht zuletzt im Sinne der Überlebensfähigkeit eines Unternehmens.
Das Risikomanagement ist zumeist im Bereich Informationssicherheit angesiedelt. Es bildet eine Grundlage für ISO 27001 oder ISO 2301 Business Kontinuitätsmanagement, und hat außerdem eine hohe Relevanz bei der EU-Richtlinie NIS2 und DORA, dem Digital Operational Resilience Act. Daraus ergeben sich wiederum terminliche Abhängigkeiten. Die ISO-Prüfungen beispielsweise. Das Risikomanagement ermöglicht ein Reporting auf Knopfdruck und den Nachweis wie die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt werden. Â
Mit NIS2 muss bis Oktober 2024 die „The Network and Information Security (NIS) Directive“ der EU in nationales Recht überführt sein und wird damit bindend für kritische Infrastrukturen. Sie regelt die Cyber- und Informationssicherheit von Unternehmen, die den kritischen Sektoren zugeordnet werden, um das Sicherheitsniveau zu wahren. Und dabei ist zu bedenken, dass mehr Unternehmen als kritisch eingestuft sind als man allgemein vermuten mag. Nicht nur, aber besonders für die betroffenen Sektoren stellt die Vorgehensweise eines aktiven Risikomanagements und das zugehörige Tooling eine solide Basis dar. Die Intension der regulatorischen Maßnahmen ist klar und absolut notwendig: Verbesserung der Sicherheit.
Vor einer solchen Prüfung oder gesetzlichen Auflage ausreichend Zeit zu haben, ein System wie das Risikomanagement einzuführen, ist schlichtweg die richtige Entscheidung. Geht es doch um Investitionsschutz – im doppelten Sinne. Der richtige Zeitpunkt für die Einführung, zusätzlich erschwert durch fehlende oder eingeschränkte Ressourcen, ist schwer zu benennen. Die Erfahrung zeigt es: Die richtige Zeit ist jetzt.Â
Warum ist es gut, wenn man Risikomanagement als Teamsport begreift?
Risikomanagement ist nicht allein Sache der verantwortlichen Stelle für Informationssicherheit (CISO). Viele Mitarbeiter sind direkt oder indirekt betroffen, da es um die Absicherung ihrer zentralen Prozesse und der zugehörigen Werte geht, für die sie verantwortlich sind. Diese Rollen kennen die Zusammenhänge, die Werte und den kompletten Prozess. Sie müssen über Risiken in „ihren“ Prozessen Bescheid wissen und mitentscheiden, ob der Umgang damit ausreichend zielführend ist. Einerseits. Die Geschäftsführung andererseits muss genauso über unternehmenskritische Risiken Bescheid wissen und zugehörige Maßnahmenpläne kennen, dafür notwendige Ressourcen freigeben und die Umsetzung von Maßnahmenplänen bestätigen.Â
Ein Risikomanagement als verantwortungsvolle Aufgabe und Haltung auf viele Schultern zu verteilen, ist daher ein strategischer Schlüssel. Der konkrete Ansatz besteht darin, die schützenswerte Werte im Unternehmen zu identifizieren und Owner zuzuordnen. Verantwortliche, die mittels ihrer Fähigkeiten den besten Überblick haben. Initial wurde mit Ihnen die Risikoanalyse erstellt und eine Haltung des ständigen „Augen- und Ohren Offenhaltens“ aufgebaut. Eine verantwortliche Stelle wie ein CISO überwacht diesen Lebenszyklus und stellt die Unterstützung der Risiko-Owner bei der Identifikation, Bewertung und Risikobehandlung sicher. Der Prozess wiederholt sich wie das dargestellt Schwungrad zeigt:
Die Umsetzung als Teamsport in Unternehmen schont nicht nur die Ressourcen, fördert sie doch auch das Bewusstsein im Handeln. Alle relevanten Rollen beim Schutz der Unternehmensprozesse sind involviert und unterstützen die Risikominimierung. Die Bedeutung vorbeugender Maßnahmen und deren Umsetzung werden selbstverständlich. Anderseits wird auch die bewusste Vorbereitung auf Vorfälle verbessert. Schnelles Eingreifen und Lösen wird durch fertige Pläne und Schutzmaßnahmen gewährleistet. Das Schnelle Eingreifen wird regelmäßig geübt und dadurch Stress und Unordnung im Notfall minimiert. Kurzum: Die Resilienz gestärkt.
Warum ist eine Software und deren Nutzung in der Breite wichtig?
Die Frage nach dem Tool-Set gehört bei der Diskussion um ein Risikomanagement selbstredend dazu. Natürlich gibt es ausgereifte und spezialisierte Softwarelösungen, die alles erfüllen, was das Herz eines CISOs begehrt. Derartige Lösungen haben einen hohen Aufwand bei der Einführung, hohen Bedarf an Schulungen und zusätzlichen hohen Bedarf an zeitlichen wie finanziellen Ressourcen. Schwierigkeiten bei der tatsächlichen Nutzung entstehen an dem Punkt, an dem weitere notwendige Rollen integriert werden müssen. Diese Personen finden sich in einer expliziten, separaten Arbeitswelt nicht wieder. Die Softwarelösung befindet sich außerhalb ihrer gewohnten Arbeitswelt und stößt deswegen in Sachen Akzeptanz und Integration auf Widerstände. Das führt dazu, dass das Risikomanagement nur bedingt zum Leben erweckt wird. Neben technischen Hindernissen wie spezifische Logins sind es Themen wie Komplexität, Schulungsaufwand und Verwaltungsaufwand, die dazu führen, dass außer dem CISO niemand das Tool wirklich nutzt. Und damit schläft das aktive Risikomanagement schon wieder ein. Und selbst Lösungen wie unser geliebtes Excel, die ohne große Hürden von jeder Person genutzt werden könnten, sind nicht zielführend, wenn nur eine Rolle darin wirklich arbeitet. Es ist wichtig, dass sich das Risikomanagement möglichst geräuschlos in den normalen Arbeitsalltag und den dort genutzten Anwendungen integriert und somit eine natürliche Akzeptanz bei allen Beteiligten schafft.
Was stärkt die Nachhaltigkeit im Risikomanagement?
Mit der Einführung des Risikomanagements wappnen sich Firmen und besonders IT-Verantwortliche gegenüber exogenen Einflüssen. Transparenz für ISO, NIS2 etc. ermöglichen Reporting auf Knopfdruck. Positive Nebenwirkungen lassen sich wie folgt beschreiben:Â
- Risikomanagement wird intrinsisch Bestandteil unternehmerischen Handelns.
- Durch die Aufgabenverteilung stärken Unternehmen die Resilienz der Teams.
- Risiken können präventiv als kontinuierliches Qualitätsmanagement aufgearbeitet werden.
- Die Übersicht bietet eine valide Entscheidungsgrundlage für eine Priorisierung im Ressourceneinsatz.
- Risiken können als Chancen genutzt werden – Innovationsmanagement.