Sie sind hier: HomeDatacenter

Kommentar: Compliance-Budget: Warum versagt das Risikomanagement in der IT?

Betrachtet man die ungeheuren Geldmittel, die für das Thema Compliance in den Unternehmen aufgewendet werden, dann ist die Frustration nicht mehr weit. Der größte Teil des Compliance-Budget wird für die Bürokratie, sprich der Dokumentation der Sicherheitsmechanismen und nicht für die Verbesserung der Sicherheitsfunktionen ausgegeben. Dies ist auch einer der Gründe, weshalb das Risikomanagement sich so schlecht in der IT umsetzen lässt.

Mathias Hein, Consultant

In großen Unternehmen haben sich inzwischen alle Varianten des Risikomanagements durchgesetzt, während nur wenige kleine Unternehmen diese teuren Funktionen nutzen. Das Ziel eines Risikomanagements besteht darin, die möglichen Gefahren für das Unternehmen zu identifizieren und diese in ihren Auswirkungen entweder zu reduzieren oder über Versicherungen das unternehmerische Risiko abzufedern.

Beispielsweise erkennt eine Fluggesellschaft, dank seines Risikomanagement-Programms, rechtzeitig steigende Treibstoffpreise. Höhere Treibstoffkosten kann die Wettbewerbsfähigkeit der Fluggesellschaft behindern. Aus diesem Grund beschafft sich das Unternehmen auf dem freien Markt rechtzeitig genügend preiswerten Treibstoff. Bei einem Automobilhersteller fallen aufgrund einer Naturkatastrophe in einem Land ein oder mehrere Zulieferer aus. Dadurch wäre die Just-In-Time-Versorgung der Produktion mit den entsprechenden Baukomponenten bedroht. Aus diesem Grund werden rechtzeitig Ersatzlieferanten beauftragt.

Versucht man die Prinzipien des Risikomanagements in der IT anzuwenden, dann stößt man permanent auf Schwierigkeiten. Jedes Risikomanagement-Programm beginnt damit, dass alle IT-Assets und deren Kritikalität für den Geschäftsbetrieb identifiziert werden müssen. Diese Aufgabe lässt sich nur sehr schwer oder überhaupt nicht lösen.

Es ist teuer und fast unmöglich, alle IT-Assets in einem Unternehmen zu identifizieren.

Die Identifizierung der Vermögenswerte scheint auf den ersten Blick ein einfaches Problem zu sein. In der Praxis erweist sich diese Aufgabe aber als hoch komplex. Zu den IT-Assets gehören alle Computer (Desktops, Laptops, Server, Print-Server), jede Anwendung (Datenbank, E-Mail, ERP), jeder Datensatz (Kundenlisten, Preislisten, Angebote), alle E-Mails, alle Dokumente (in allen Versionen), alle Identitäten und alle Kommunikationsströme. Durch die Verbreitung von Comsumer-Geräten (Smartphones, I-Pads, E-Reader) in den Unternehmen gehören natürlich auch die auf diesen Geräten gespeicherten Daten zu den IT-Assets. Man darf natürlich auch die in der Cloud abgelegten Daten nicht vergessen. Die IT ist kompliziert und entzieht sich den gängigen Regeln.