Prozesse für das Risiko-Management
Risiken auch jenseits der IT im Blick
Neben dem eigentlichen Ziel - der strategischen Sicherung des Unternehmens - lassen sich mit einem Risiko-Management in operativen Abteilungen kurz- bis mittelfristig Mehrwerte generieren. Voraussetzung ist jedoch, dass das Risiko-Management nicht nur auf Erfassung, Bewertung und Tracking reiner Finanz- oder IT-Risiken ausgelegt, sondern zudem für die Herausforderungen der Fachabteilungen gewappnet ist.Der Blick in die Praxis zeigt, dass die zu schützenden Werte häufig völlig unterschiedlicher Natur und die Informationen oft nur unstrukturiert verfügbar sind. Reduzieren Unternehmen ihr Risiko-Management einzig auf das Ziel der Erfüllung von Audit-Anforderungen, greifen die Maßnahmen zu kurz. Sowohl die interne Revision als auch externe Auditoren führen in ihren umfangreichen Audits große Daten- und Informationsmengen zusammen. Sie gewinnen so ein realistisches Bild über die aktuelle (IT-)Infrastruktur, Prozesse und Datenflüsse. Nicht selten bringen Audits auch neue Erkenntnisse hervor, die helfen, ungenutzte Ressourcen und Potenziale besser auszuschöpfen. Leider werden diese Potenziale in den seltensten Fällen korrekt analysiert oder nur selten für die Umsetzung möglicher Verbesserungen genutzt. Größtenteils erfolgt lediglich eine Problembeschreibungen in Excel, die als "Findings" in den Audit-Bericht einfließen. Weder eine sinnvolle Nachverfolgung dieser "Findings" noch eine strategisch mehr als sinnvolle Ursachenforschung wird so unterstützt. Die ergriffenen Gegenmaßnahmen beschränken sich oft darauf, die Symptome eines Problems zu bekämpfen, anstatt die Ursachen nachhaltig zu beseitigen. Zudem erschwert diese Vorgehensweise die eigentliche Nachverfolgung der Umsetzung. Es liegt auf der Hand, dass sowohl eine ganzheitliche Betrachtung hinsichtlich der zu ergreifenden Gegenmaßnahmen, als auch eine zentrale Stelle zur Dokumentation und Nachverfolgung der Findings eine bedeutende Rolle spielen. Um eine Nachvollziehbarkeit des Status bereits erkannter Risiken und etablierter Sicherheitsmaßnahmen zu erreichen sowie Zuständigkeiten und Termine transparent zu machen, bedarf es eines Risiko-Management-Werkzeugs. Anstatt einfach die Findings stumpf abzuarbeiten, kann man sie so im Kontext des Unternehmens betrachten und strategische Gegenmaßnahmen ableiten. Risiko-Management-Werkzeuge In diesem Kontext ist auch eine quantitative Bewertung der bestehenden Risiken notwendig. Viele Werkzeuge des IT- oder Enterprise-Risk-Managements (ERM) - zum Beispiel die Lösungen von White Cyber Knight, Symantec oder Protecht - ermöglichen es, vorübergehend mit Kategorien und qualitativen Bewertungen zu arbeiten, bis konkrete Zahlen vorliegen. Diese Einstufungen erlauben es, schon nach kurzer Zeit die wirklich dringenden Probleme von den nachrangigen zu unterscheiden - auch ohne eine Bewertung in Euro und Cent. Dafür benötigen die Unternehmen eine enge bidirektionale Integration - auf Basis von Web-Services oder bestehender APIs (Programmierschnittstellen) - mit bereits vorhandenen Werkzeugen: mit CMDBs (Configuration Management Databases), dem Helpdesk oder Service-Desk, Schwachstellen-Management- sowie SIEM-Lösungen (Security-Information- and Event-Management) zur direkten Visualisierung und Nachverfolgung kritischer Angriffe auf sensible Assets. Bei der Auswahl der Riskio-Management-Werkzeuge sollte man darauf achten, dass die Templates für Organisation, Prozesse und Assets zur Verfügung stehen und der zuständige Mitarbeiter diese auch einfach duplizieren kann. Ohne solche Funktionen und Schnittstellen kann ein Risiko-Management-Tool zwar für blitzlichtartige Auswertungen dienen, langfristig ist der Verzicht darauf jedoch mit einem hohen Pflegeaufwand verbunden. Bedeutung valider Daten Um sinnvolle Kontextbetrachtungen durchführen zu können, bedarf es einer guten Datenbasis. Aus Asset-Management, Softwareverteilung, Lizenz-Management und Helpdesk kann das Risiko-Management-Team einen realistischen Überblick über die digitalen Assets der IT gewinnen. Ohnehin kann nur eine umfassende Zusammenarbeit der einzelnen Fachbereiche und die Entwicklung eines grundlegenden Verständnisses für deren Kernprozesse eine Identifikation der wirklich relevanten Objekte im Unternehmen gewährleisten. Bereits minimale Änderungen der Prozesse können helfen, die Risiken transparent und bewertbar zu machen. Der Blick in die Praxis: Unternehmen können, statt jeden Transportverlust oder Ladendiebstahl per Papiervordruck zu erfassen, solche Schäden direkt in einem Online-Formular erheben. Die Daten liegen in Echtzeit vor, sind sofort auswertbar und die Schäden lassen sich nach Kategorien ordnen. Betriebsunfälle erfassen Gleiches gilt für Betriebsunfälle mit Personenschäden: In Echtzeit online erfasst, stehen die Daten für eine sofortige Auswertung zur Verfügung und erleichtern somit den betrieblichen Arbeitsschutz. Sowohl die Fachkraft für Arbeitssicherheit als auch der medizinische Dienst erhalten umgehend Kenntnis von neu entstandenen oder wiederholt auftretenden Gefahrenherden, sodass sie schnell und effektiv handeln können. Insbesondere ist dies auch aus versicherungsrechtlicher Sicht relevant, da das Unternehmen so gegenüber dem Unfallversicherer nachweisen kann, dass es gefährliche Arbeitsplätze nachhaltig sichern konnte. Voraussetzung für ein gutes Risiko-Management ist also nicht die Kenntnis einer langen Liste von Findings, sondern die klare Sicht auf kritische Kernprozesse, deren Bedrohungen sowie mögliche Schwachstellen. Erst dann können die Risiko-Manager bewerten, welche Maßnahmen in welchem Rahmen langfristig zielführend sind. Erfolgsfaktor Visualisierung Wie überall in der Geschäftswelt sind nur messbare Erfolge gute Erfolge - nicht umsonst hat man aus dem Key Performance Indicator (KPI) der Begriff "Key Risk Indicator" (KRI) abgeleitet. Der KRI soll dem Top-Management helfen, die positive Auswirkung des strategischen und operationalen Risiko-Managements zu bewerten, und den "Risk Score" (Risiko-Gesamtwert) des Unternehmens zu senken. Setzen Unternehmen hier allein auf die zügige Schließung von Findings, riskieren sie die nachhaltige Verbesserung ihrer Risikosituation. Diese nachhaltige Betrachtung des Risiko-Managements sollte auch in die Gestaltung des Reportings einfließen: Trotz des angestrebten Ziels einer kontinuierlich sinkenden Behebungszeit der Findings ist die Reduzierung des globalen Risk Scores mit einer wesentlich höheren Priorität einzustufen. Folglich sind die für das Management-Reporting verwendeten KRIs sorgfältig auszuwählen und immer mit sinnvollen Vergleichswerten aus anderen Perioden zu relativieren. Für die erfolgreiche Integration eines Tool-gestützten Risiko-Managements empfiehlt sich der Einsatz solcher Werkzeuge, die entweder mit eigenen BI-Funktionen (Business Intelligence) ausgestattet sind oder sich mit BI-Werkzeugen von Drittherstellern auswerten lassen. Dabei sollte der Ansatz "Think big, start small" Anwendung finden, denn die Erfahrung aus Implementierungsprojekten hat gezeigt, dass kurzfristige Erfolge im kleinen Rahmen mit anschließender Lösungserweiterung besser funktionieren als ein umfassend angelegter Ansatz. Bis ein Beratungsteam einen nahezu vollständigen Überblick über die Risikolandschaft erreicht hat, um dann ein Mapping im Werkzeug umzusetzen, sind die erhobenen Daten meist schon veraltet. Der phasenweise Aufbau eines Enterprise-Risk-Managements erlaubt eine wesentlich flexiblere Anpassung an sich stetig verändernde Organisationsformen und Arbeitsprozesse.
Lesen Sie mehr zum Thema
