Categories: Unternehmen

Identifizierung von IT-Risiken: Wer kann hierbei unterstützen?

Die Mehrzahl der Verantwortlichen von IT-Einheiten, insbesondere die der kleineren und mittleren Unternehmen (KMU), gehen mit den Risiken in der IT, speziell der Sicherheit, häufig sehr sorglos um. Sie sind der Meinung: “So etwas kann bei uns nicht passieren“. Die aktuelle Situation beschrieb ein Autor bei silicon.de mit: “in den letzten Jahren sind die Themen Risk-Management […] etwas aus dem Blickfeld der IT-Manager gerückt“. Dies kann darauf zurückgeführt werden, dass Risiken ein “schlechtes Gefühl” hervorrufen und mit “Mängeln in der IT-Organisation“ oder mit “Unfähigkeit“ und “Versagen“ gleichgesetzt werden. Ein weiterer Aspekt ist, dass die gemeldeten IT-Risikopotenziale verschwindend gering sind gegenüber den anderen Risiken im Finanz- und Versicherungssektor.

Beispiele aus der Praxis

Ein mit dem Berliner Flughafen vergleichbares Beispiel ist der Flughafen von Denver. Dieser sollte 1993 in Betrieb gehen, allerdings gab es Verzögerungen bei der Software für die Gepäckabfertigung. Man spricht von 500 Millionen Dollar Schaden und “es fehlte ein Risiko-Management“. Beim Kuala Lumpur International Airport fiel kurz nach der Eröffnung das zentrale Netzwerk aus. FoxMeyer Corp., ein 5 Milliarden-Dollar-Medikamenten-Großhandel in Amerika, musste nach Problemen beim Umstieg auf ein neues Softwaresystem Konkurs anmelden.

Diese Beispiele zeigen, dass die IT einen wichtigen Beitrag zur Erreichung der Geschäftsziele liefert. Dass die IT hierbei vor Risiken – gemäß dem Grundsatz “keine Wirtschaftlichkeit ohne Risiken“ – nicht gefeit ist, die sogar Auswirkungen auf das Geschäftsmodell nach sich ziehen können, ist jedem Verantwortlichen einsichtig. Er sollte in diesem Zusammenhang an die Statements angesehener Autoren wie Murphy oder Tom DeMarco denken: “If anything can go wrong, it will“ oder “no risk, no fun“.

Risiken sind ein Bestandteil der Geschäftstätigkeit und werden durch diese geschaffen. Risiken zu vermeiden, bedeutet, Geschäft aufzugeben. Risiken begleiten die Auslagerungen, die Projekte, die Verträge, die Beteiligungen oder werden durch Mitarbeiter verursacht. Nachrichten wie “ein Programmierfehler hat 30 Millionen EC-und Kreditkarten in Deutschland außer Gefecht gesetzt“, “schon wieder Datenschutzverstöße bei xxx“, “ein langjähriger Mitarbeiter von xxx ist verhaftet worden, nachdem er sämtliche Administrationspasswörter […] geändert hatte“ sind Beispiele für Letzteres.

Dass sich hinter Risiken nicht nur Mängel bei Menschen oder IT-Systemen verbergen, zeigt das folgende Beispiel: “als Folge eines Schiffunglücks sank auch eine Festplatte auf den Grund des Meeres“. Neben diesem externen Ereignis eines sogenannten “operationellen Risikos“ gibt es aber noch viele weitere Risiken wie Marktrisiken (zum Beispiel Marktveränderungen, Insolvenzen, Personalknappheit), neue Anforderungen seitens Benutzern oder Aufsichtsämtern, Risiken aus Verträgen sowie Rechtsrisiken, Reputationsrisiken durch verstärkte öffentliche Kommunikation, Risiken im Hinblick auf die anvisierten Geschäftsziele, Strategien und geschäftspolitischen Entscheidungen beziehungsweise die sogenannten Opportunitätsschäden.

Obwohl einige Risiken mit hohen Schadenpotenzialen bis in Milliardenhöhe belegt sind (zum Beispiel bei Schadensersatzforderungen, Patent- oder Urheberrechtsverletzungen), treten gerade im Umfeld der Informationstechnologie Risiken auf, die weniger mit Euro beziffert werden können. Teilweise sind sie verborgen in den IT-unterstützten Geschäftsprozessen (-> Business Continuity Management), in Ressourcenerhöhungen, in Terminverzögerungen, in der Bindung des IT-Personals mit unvorhergesehenen Aufgaben oder lassen sich bei Wechseln im IT-Management zurückverfolgen. Auch weisen zahlreiche Nachrichtenmeldungen – hier ist silicon.de eine wunderbare Quelle – auf versteckte IT-Schäden hin (“Jeder verlorene Datensatz verursacht Schäden in Höhe von 157 €“; “Milliardenschäden durch falsche SW-Lizenzierung erwartet“; “Projekt gab xxx Euro aus und wurde nun eingestellt“). Ein Vorstand brachte dies – im Zusammenhang mit den Risiken der letzten Jahre – wie folgt zum Ausdruck: “Ich hätte mir auch nicht träumen lassen, dass es einmal so weit kommt“.

Risiko-Identifikation

Der erste und wichtigste Schritt eines Risikomanagement-Prozesses ist die Risiko-Identifikation. Nur die Risiken, die erkannt wurden, können überhaupt einer Kontrolle und Steuerung unterworfen werden. Der unbedarfte Betrachter wird zuerst einmal nur Standard-Risiken wie Terminverfehlung oder Ressourcenerhöhung auf seine Merkliste schreiben. Doch sind dies “alle“ Risiken und insbesondere sind es die für eine Institution bzw. das Top-Management “wesentlichen“ Risiken? Wie kann eine weitgehende “Vollständigkeit“ herbeigeführt werden? Hier helfen einige Quellen weiter.

a) Zurückführend auf wirtschaftliche Probleme und Insolvenzen haben schon Ende der 90er Jahre (aufsichts-)rechtliche Instanzen die fehlende Bereitschaft mit dem Umgang von Risiken und deren Akzeptanz erkannt. Im Rahmen der Corporate Governance wurden daher zahlreiche Bestimmungen erlassen, wie mit Risiken zu verfahren ist, wer verantwortlich hierfür ist und welche Risiken auf jeden Fall zu den “wesentlichen“ Risiken gezählt werden müssen. Die (aufsichts-)rechtlichen Bestimmungen sind daher eine erste wichtige Quelle.

b) Die Auswertung von Schadensdatenbanken erweist sich leider meist als schwierig, da diese vertraulich sind und der Zugriff nur einem beschränkten Teilnehmerkreis ermöglicht wird. Hier können als Alternative die Meldungen aus der täglichen Presse – als sehr wichtiges Beispiel sei der silicon.de-Nachrichtendienst genannt – verwendet werden.

c) In Ergänzung zu den externen Nachrichten hilft auch häufig ein Kommunikationsaustausch mit befreundeten Partnerunternehmen oder Kollegen anderer Firmen, eine Unterstützung durch übergeordnete Verbände (und auch Handwerkskammern) sowie Konzernzentralen oder eventuell ein Blick in die Informationsbestände konkurrierender Institutionen. Auch eine Analyse der Risikolisten von externen Dienstleistern (im Rahmen eines Outsourcing), von Töchtern eines Konzerns oder von Kunden können dem Risiko-Verantwortlichen weiterhelfen.

d) Wer nicht auf externe Unterstützung verzichten möchte, kann auf externe Berater zurückgreifen. Diese sind darauf spezialisierte Unternehmen oder Einzel-Berater mit Background IT-Risikomanagement. Hierbei sollten Wirtschaftsprüfer, Aufsichtsämter oder Revisoren nicht ausgespart werden, da diese im Umfeld IT-Risikoidentifizierung große Erfahrung aufzuweisen haben und gern gesehene Lieferanten für Hinweise sein können. Teilweise bieten auch Unternehmen Seminare oder Tagungen an, mit Inhalten bezüglich Risiken in Projekten, in Verträgen oder bei Auslagerungen.

e) Last but not least sollten individuelle Risiken immer aktuell und auf die einzelne Institution zugeschnitten sein. Man wird daher nicht darum herum kommen, im Rahmen von internen Workshops (-> brain storming, Analyse der Geschäfts- und IT-Ziele sowie derer Strategien) spezifische IT-Risiken, die sich an der Institution wie auch am fokussierten IT-Risiko-Objekt auszurichten haben, erarbeiten zu müssen. Das Top-Management muss hierbei unabdingbar einbezogen werden. Interne Schadensdatenbanken, interne Projektabschlussdokumentationen, interne Meldearchive und “alte, erfahrene“ Mitarbeiter können im Laufe der Zeit für eine Vollständigkeit der wesentlichen Risiken sorgen.

Fazit

Nicht die (aufsichts-)rechtlichen Vorgaben sind Anlass für ein Risikomanagement. Risiken sind ein Bestandteil der alltäglichen Arbeit und sollten dementsprechend im Rahmen einer Corporate Governance selbständig einer Kontrolle und Steuerung unterworfen werden. Die Risikoidentifikation ist hierbei der wichtigste erste Schritt. Revisoren, Wirtschaftsprüfer und Aufsichtsämter prüfen nur die korrekte Umsetzung und Aktualisierung der Risikoprozesse in größeren Institutionen.

Risiken zu identifizieren ist kein “Ein-Mann-Job“. Nicht DER Projektleiter oder DER CIO legen die Risiken fest. Risikoidentifizierung ist Aufgabe einer Gruppe. Es macht Sinn, die für ein Unternehmen “wesentlichen“ und “aktuellen“ Risiken – abhängig von den Geschäftszielen und Geschäftsstrategien – zentral bestimmen zu lassen und im Rahmen einer Risikotabelle den Mitarbeitern an die Hand zu geben. Hierdurch wird der zentralen Verantwortung durch das Top-Management Sorge getragen und eine Einheitlichkeit innerhalb der Institution sichergestellt.

Da die zu identifizierenden Einzel-Risiken am individuellen Risiko-Objekt ausgerichtet und möglichst vollständig erfasst werden müssen, bedarf es der weiteren Ausformulierung und Anpassung durch die entsprechenden Objekt-Verantwortlichen. Auf die “wesentlichen“ Risiko-Objekte wird in einer der nächsten Beiträge eingegangen.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago