IT-Risikomanagement für Unternehmen
Als Risikomanagement wird eine Aufgabe bezeichnet, die an eine Organisationseinheit in Unternehmen oder Behörden gestellt ist. Sie gilt als Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und im Nachgang bewertet werden. Das Risikomanagement setzt sich aus den Disziplinen Risikobeurteilung, Risikobewältigung und Risikokommunikation zusammen. Darüber hinaus kann die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung unterteilt werden. Vor dem eigentlichen Risikomanagement steht die Risikowahrnehmung. Ist diese unzureichend, wirkt sich dies negativ auf alle nachfolgenden Phasen des Risikomanagements aus.
Risikomanagement in der Informationstechnologie
In der Informationstechnologie erkennt, analysiert, bewertet und überwacht das Risikomanagement die verschiedenen IT-Risiken. So begleitet es den gesamten System-Lebenszyklus der IT und hält diverse Maßnahmen und Notfallpläne für verschiedene Szenarien bereit. Vor allem Unternehmen, die auf funktionierende IT-Systeme angewiesen sind, sollten auf ein umfassendes Risikomanagement setzen, um etwaige (finanzielle) Schäden zu vermeiden. Als mögliche Risiken können hier vor allem Hardwareausfälle, Softwarefehler, Datendiebstahl oder -verlust sowie ungewolltes Auslesen der eigenen Daten durch Außenstehende genannt werden.
Großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriffe können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.
Wie funktioniert das IT-Risikomanagement?
Am Anfang des eigentlichen Risikomanagements steht die Risikowahrnehmung. So geht es im ersten Schritt darum, die möglichen Risiken zu identifizieren und zu benennen. Im Anschluss daran erfolgen Analyse und Bewertung der Risiken. Hierbei werden die Einzelrisiken im Hinblick auf Wahrscheinlichkeit (häufig, wahrscheinlich, gelegentlich, unwahrscheinlich, unvorstellbar) und mögliche Auswirkungen (katastrophal, kritisch, akzeptabel, unwesentlich) eingeordnet. Selbstverständlich können diese Einteilungen je nach Modell und angewandter Matrix angepasst werden.
Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter händelbar zu machen. Kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen sind hier unabdingbar.
Worauf ist beim IT-Risikomanagement zu achten?
Beim IT-Risikomanagement gilt es, die physische Sicherheit der IT und die Anwendung verschlüsselter IT-Sicherheitsverfahren zu beachten. Mangelnde physische Sicherheit der IT ist der Grund, warum sich viele IT-Risiken erst ergeben. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert.
Unternehmen, die keine Möglichkeit haben in den eigenen Räumlichkeiten für die notwendige Sicherheit zu sorgen, lagern Komponenten sowie Prozesse an externe, zertifizierte Rechenzentren aus. Dies hat nicht nur zum Vorteil, dass ihre eigene IT entlastet wird, sondern auch, dass die Risikofaktoren entsprechend minimiert sind.
Darüber hinaus ergeben sich eine Reihe weiterer Vorteile, die ebenfalls berücksichtigt werden sollten: Rechenzentren sind nicht nur auf dem aktuellen Stand der (Sicherheits-) Technik, sondern stellen durch eine redundante Anbindung eine Hochverfügbarkeit der Daten sicher. Gegen Katastrophenfälle wie Großbrände, Erdbeben oder Gebietsevakuierungen bietet ein Rechenzentrum bestmöglichen Schutz, da ein SAN-System (Storage Area Network System) in einem ausgelagerten Rechenzentrum dabei hilft, Recovery Time Objective (RTO) und Recovery Point Objective (RPO) gegen Null laufen zu lassen und somit einen finanziellen Schaden zu verhindern. Ebenfalls redundant sind die Klimatisierungssysteme, die bei stark schwankenden Außentemperaturen für eine optimale Innentemperatur sorgt.
Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit verschlüsselt abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.
Weitere Informationen zu den Themen Daten- und Serversicherheit und Anbindung und Cyber-Security erhalten Sie unter Tel. 0231 930 66 469 oder per E-Mail an geschaeftskunden@dokom21.de.
