Sie sind hier: Home » Governance » Anforderungen

Unternehmensweites Risikomanagement


Risikomanagement als Basis für Governance in der Informationssicherheit
Eine quantitative Bewertung bestehender operativer Risiken bildet in erster Linie die Basis für Angaben im Geschäftsbericht


Lars Rudolff:
Lars Rudolff: Risikomanagement als Basis für eine effektive Steuerung der Informationssicherheit, Bild: Secaron AG

Von Lars Rudolff*

(27.02.08) - Der Trend in der Informationssicherheit in großen Unternehmen geht hin zu einem integrierten und steuernden Ansatz, der mehrere Disziplinen wie das Sicherheits- und Risikomanagement sowie das Business Continuity-Management umfasst. Dies bestätigen anerkannte Marktforschungsunternehmen. Dieser Artikel beleuchtet mögliche Ansätze bei der konkreten Umsetzung eines Risikomanagements in der Informationssicherheit und zeigt die Parallelen zu einer in vielen Unternehmen angestrebten oder bereits umgesetzten Governance-Strategie.

Ziele eines Risikomanagements
Mit einem Risikomanagement in der Informationssicherheit können in einem Unternehmen die folgenden Ziele verfolgt werden:
1. Quantitative Bewertung von bestehenden operativen Risiken
2. Meldung von Risiken an die Unternehmensführung zur Steuerung der Risikolandschaft des Gesamtunternehmens
3. Steuerung von Budget

Eine quantitative Bewertung bestehender operativer Risiken bildet in erster Linie die Basis für Angaben im Geschäftsbericht. Insbesondere für Unternehmen des Finanzsektors fließen diese Werte darüber hinaus in die Bemessung des benötigten Eigenkapitals mit ein, wie es durch Basel II im Banken- beziehungsweise durch Solvency II im Versicherungsumfeld gefordert ist. Aspekte zur Erreichung dieses Ziels werden hier nicht im Detail betrachtet, da hierfür besondere Anforderungen an die Art und Genauigkeit der Bewertungsschemata sowie an die Prozesse gestellt werden, die für einen Governance-Ansatz nicht benötigt werden und teilweise auch nicht erreicht werden können.

Ziel einer Meldung von Informationssicherheitsrisiken an die Unternehmensführung ist es, diese in das unternehmensweite Risikomanagement zu integrieren, wie es zum Beispiel im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vorgeschrieben ist. Dort werden neben operativen Risiken, zu denen auch die Risiken in der Informationssicherheit gehören, auch strategische, Finanz- oder Marktrisiken erfasst und gesteuert. Aus diesem Prozess werden in regelmäßigen Abständen unternehmenskritische Risiken an die Unternehmensführung gemeldet und teilweise ebenfalls im Geschäftsbericht veröffentlicht.

Das Finden, das Erreichen und der Erhalt eines angemessenen Sicherheitsniveaus und damit die Steuerung von Ressourcen und Budget sind ein zentrales Ziel der Prozesse in der Informationssicherheit. Für die Auswahl und Priorisierung von Schutzmaßnahmen kann ein an den Unternehmenszielen ausgerichtetes Risikomanagement einen wichtigen Beitrag leisten.

Risikomanagementprozess

>> Definition und Etablierung
Bei der Definition und Etablierung des Prozesses werden bereits wichtige Weichenstellungen vorgenommen, die für die Ausrichtung des Risikomanagements in der Informationssicherheit und damit für die Erreichung der oben genannten Ziele entscheidend sind. Die inhaltliche Ausrichtung kann aus der Sicherheitsleitlinie eines Unternehmens abgeleitet werden. Diese beinhaltet die Strategie in der Informationssicherheit, insbesondere wie das Unternehmen grundsätzlich mit Risiken umgeht und welche Schutzziele (Vertraulichkeit, Integrität oder Verfügbarkeit) für die Erreichung der Unternehmensziele entscheidend sind. Diese Zielsetzungen müssen direkt oder indirekt bei der Strategie des Risikomanagementprozesses und deren Verankerung in die Sicherheitsorganisation mit betrachtet werden.

>> Betrieb
Die Anforderungen der Fachbereiche, die auf Sicherheit und Zuverlässigkeit ihrer Systeme angewiesen sind, müssen im Betrieb des Risikomanagementprozesses kontinuierlich und systematisch erhoben werden. Diese beinhalten zum Beispiel den Schutzbedarf, Wiederanlaufzeiten oder Anforderungen bezüglich der Wiederherstellbarkeit von Daten.

Um den Aufwand, den der Betrieb eines Risikomanagementsystems mit sich bringt, in einem vertretbaren Rahmen zu halten, hat sich in der Praxis ein zweistufiges Vorgehen bewährt: Für Prozesse, Anwendungen oder Systeme (zusammenfassend Assets genannt) mit mittleren und geringen Anforderungen genügt die Definition und Umsetzung eines oder mehrerer Basissicherheitsniveaus, die in Bezug auf Kosten und Betrieb der Systeme angemessen sind. In großen Umgebungen bietet sich darüber hinaus die Definition von Musterarchitekturen an, die diese Sicherheitsniveaus bereits vollständig abdecken und damit eine wesentliche Vereinfachung für IT-Projekte und den Betrieb darstellen.

Für kritische Assets (Assets mit hohen Anforderungen) müssen detaillierte Betrachtungen der bestehenden Risiken und deren Ursachen vorgenommen werden. Denn dies sind die wichtigsten Assets für die Geschäftsprozesse und die Reduktion dieser Risiken ist im Allgemeinen mit den höchsten Kosten verbunden. Für diese Assets können im Rahmen dieser Betrachtungen Schutzmaßnahmen definiert und mittels einer Kosten-Nutzen Analyse bewertet werden. Zwingende Voraussetzung für die Identifikation der kritischen Assets ist jedoch die oben angesprochene flächendeckende Aufnahme der Anforderungen für alle Assets.

>> Erfolgsfaktoren
Um einen Risikomanagementprozess in der Informationssicherheit in einem Unternehmen erfolgreich einführen und betreiben zu können, sind einige wichtige Voraussetzungen zu erfüllen:
1. Das Management des Unternehmens muss das Thema uneingeschränkt unterstützen
2. Es müssen Verantwortlichkeiten definiert und ausreichend Ressourcen zur Verfügung gestellt werden
3. Risiken zu melden darf nicht mit Schuldzuweisungen verbunden sein; vielmehr muss die Reduktion der erkannten Risiken im Vordergrund stehen und das Risiko als Herausforderung verstanden werden
4. In allen Phasen des Prozesses müssen allen Beteiligten die Ziele klar sein beziehungsweise klar vermittelt werden
5. Die Methoden und Metriken müssen klar verständlich und an andere Prozesse im Unternehmen angelehnt sein

Sind diese Voraussetzungen erfüllt, kann das Risikomanagement nahtlos in die bestehenden Abläufe im Unternehmen eingebunden werden.

Ergebnisse
Folgende Ergebnisse können aus einem umfassenden Prozess abgeleitet werden:
• Flächendeckendes Bild über kritische Risiken für die Sicherheit von Informationen
• Definition angemessener Schutzmaßnahmen sowie deren Priorisierung
• Daten zur Steuerung weiterer Prozesse

Durch die oben beschriebene Vorgehensweise entsteht ein vollständiges Bild über alle kritischen Risiken für die Sicherheit von Informationen in einem Unternehmen. Durch die Einhaltung eines Basissicherheitsniveaus für Assets mit mittleren und geringen Anforderungen können Risiken für den überwiegenden Teil der IT-Landschaft mit geringem Aufwand auf ein definiertes und akzeptables Niveau gebracht werden. Diese Risiken sind im Allgemeinen für ein unternehmensweites Risikomanagement nicht relevant und müssen daher auch nicht im Detail bekannt oder bewertet sein. Mit Assets, die hohe Anforderungen aus Sicht der Fachbereiche erfüllen müssen, können dagegen sehr wohl Risiken verbunden sein, die für das unternehmensweite Risikomanagement relevant sind. Diese Risiken können jedoch im Detail erfasst und bewertet werden und gelangen daher entsprechend der etablierten Meldewege zur Unternehmensführung.

Im Rahmen der Detailbetrachtung einzelner Assets mit hohen Anforderungen werden Schutzmaßnahmen definiert und im Rahmen einer Kosten-Nutzen Analyse bewertet. Durch dieses Vorgehen ist sichergestellt, dass das Budget für wirtschaftlich sinnvolle Maßnahmen eingesetzt wird. Darüber hinaus kann über die Kosten-Nutzen Analyse auch eine Priorisierung der Maßnahmen vorgenommen werden, um gezielt die höchsten Risiken in möglichst kurzer Zeit reduzieren zu können.

Nicht zuletzt können die Ergebnisse der Risikobewertungen auch zur Steuerung weiterer Prozesse im Unternehmen dienen. Dies kann zum Einen dadurch geschehen, dass konkrete Schutzmaßnahmen im Rahmen dieser Prozesse umgesetzt werden (zum Beispiel als Vorgaben für das Indentity Management oder für IT-Architekturen). Zum Anderen können Daten, die für das Risikomanagement erhoben wurden, in anderen Prozessen weiter Verwendung finden. Beispiele hierfür sind das Business Continuity Management, für das viele der oben beschriebenen Anforderungen ebenfalls benötigt werden, oder klassische Betriebsprozesse wie das Incident Management, für das die Informationen zur Priorisierung der internen Abläufe genutzt werden können.

Governance in der Informationssicherheit
Der international anerkannte CobiT Standard (Control Objectives for Information and related Technology) definiert die folgenden fünf sogenannten Focus Areas für IT-Governance:
>> Strategic alignment
>> Value delivery
>> Resource management
>> Risk management
>> Performance measurement

Angewandt auf Governance in der Informationssicherheit können diese Focus Areas wie folgt interpretiert werden:
Strategic alignment fordert die Ausrichtung an den Unternehmenszielen. Ein an den Unternehmenszielen ausgerichtetes Risikomanagement als zentraler Prozess in der Informationssicherheit stellt sicher, dass alle übrigen Strategien und Prozesse ebenfalls konform mit den Zielen der Unternehmensführung sind.

Indem die Risiken im Unternehmen kontinuierlich erfasst und bewertet werden, können Entwicklungen und Fortschritte in der Informationssicherheit transparent dargestellt werden. Damit kann deren Wertbeitrag (Value delivery) regelmäßig gemessen und gegenüber Management und Unternehmensführung belegt werden.

Risk management, also die strukturierte Erfassung, Bewertung und Steuerung von Risiken, ist ebenso wie der optimale Einsatz von Ressourcen und Budget (Resource management) durch die konsequente Auswahl und Priorisierung von Schutzmaßnahmen ein zentrales Ziel des Risikomanagements in der Informationssicherheit.

Durch die Definition, Erfassung und Auswertung von Kennzahlen kann auch ein Performance measurement in der Informationssicherheit erreicht werden. Viele dieser Werte können aus dem Risikomanagement abgeleitet werden. Beispiele hierfür sind der Grad der Erfassung der Anforderungen, der Anteil der erfassten Risiken über einem gewissen Schwellwert oder der Umsetzungsstand der definierten Schutzmaßnahmen.

Fazit
Aus der Sicherheitsstrategie eines Unternehmens und damit aus den Anforderungen der Unternehmensführung lassen sich Strategien und Ziele für das Risikomanagement in der Informationssicherheit ableiten.

>> Welches der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit steht für den Erfolg des Unternehmens im Vordergrund?
>> Wie wird mit Risiken umgegangen?
>> Welche Stellen im Unternehmen sind in den Prozess eingebunden?

Das sind zentrale Fragen, die bei der Definition und Etablierung eines Risikomanagements in einem Unternehmen berücksichtigt werden müssen. Darüber hinaus sind die Anforderungen von Fachabteilungen wichtige Anhaltspunkte für die Bewertung und Steuerung von Risiken. All diese Aspekte fließen in einen umfassenden Risikomanagementprozess ein und bilden die Entscheidungsgrundlage für die Ausgestaltung von Sicherheitsmaßnahmen und für den sinnvollen Einsatz personeller Ressourcen und des Budgets. Das Risikomanagement bildet damit die Basis für eine effektive Steuerung der Informationssicherheit in einem Unternehmen und ermöglicht das Finden, das Erreichen und den Erhalt eines angemessenen Sicherheitsniveaus.

* Der Autor Lars Rudolff ist Senior-Consultant bei der Secaron AG, Unternehmensberatung in allen Fragen der Informationssicherheit
(Secaron: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Anforderungen

  • Managerverantwortlichkeit in der Diskussion

    Die Bayerische Justizministerin und stellvertretende CSU-Vorsitzende Dr. Beate Merk zum Kompromiss der Großen Koalition zur Managervergütung und Managerverantwortlichkeit: "Das sind nicht mehr als erste Trippelschritte in die richtige Richtung. Die Vorschläge aus Berlin reichen jedoch nicht aus."

  • Corporate Governance und Gesellschaftsrecht

    Fischer & Partner LLP weist auf einen Beschluss der Europäische Kommission hin: Danach werden Vertragsverletzungsverfahren gegen zwölf Mitgliedstaaten, die es unterlassen haben, bestimmte Binnenmarktrichtlinien in den Bereichen Gesellschaftsrecht und Corporate Governance in nationales Recht umzusetzen, fortgesetzt.

  • Governance und Vorstandsgehälter in Deutschland

    Die aktienkursorientierte Vergütung wird überschätzt und die Berichterstattung ist weiterhin intransparent. Dies ist das Ergebnis der Studie "Vergütung deutscher Vorstandsorgane von 2005 bis 2007". Sie ist Teil gemeinsamer Forschungsaktivitäten des Instituts für Unternehmensführung (IBU) der Universität Karlsruhe (TH) und des Center for Entrepreneurial and Financial Studies (CEFS) der Technischen Universität München zum Themenkomplex Corporate Governance.

  • Governance von ERP-Applikationen

    Governance von ERP-Applikationen ist aus zahlreichen Gründen zu einem wichtigen Thema für das Management geworden. In den letzten Jahren sich häufende Fälle von Missmanagement-Skandalen, Forderungen nach mehr Transparenz und Nachvollziehbarkeit der Geschäfts-Prozesse, wachsende Bedenken bezüglich Datenschutz und Sicherheit der Infrastruktur sowie die Notwendigkeit, rasch auf unerwartete Verfügbarkeits-Störungen reagieren zu können sind die Treiber für die Suche nach geeigneten Ansätzen und Tools.

  • Unternehmensweites Risikomanagement

    Der Trend in der Informationssicherheit in großen Unternehmen geht hin zu einem integrierten und steuernden Ansatz, der mehrere Disziplinen wie das Sicherheits- und Risikomanagement sowie das Business Continuity-Management umfasst. Dies bestätigen anerkannte Marktforschungsunternehmen. Dieser Artikel beleuchtet mögliche Ansätze bei der konkreten Umsetzung eines Risikomanagements in der Informationssicherheit und zeigt die Parallelen zu einer in vielen Unternehmen angestrebten oder bereits umgesetzten Governance-Strategie.

  • Open Source und IT Governance

    Hewlett-Packard (HP) unterstützt Unternehmen durch eine neue Governance-Initiative für den Einsatz von freier und Open Source Software (FOSS). Die von HP gestartete Initiative "Fossbazaar" sowie das Werkzeug "Fossology" sollen IT-Verantwortlichen dabei helfen, lizenzrelevante, finanzielle und sicherheitskritische Risiken beim Einsatz von freier und quelloffener Software im Unternehmen zu minimieren.

  • Corporate Governance bei den Kantonalbanken

    Eine zeitgemäße Corporate Governance hilft den Kantonalbanken und ihren Eignern, den Kantonen, Transparenz im unternehmerischen Handeln zu schaffen und ein ausgewogenes Verhältnis von Führung und Kontrolle zu erreichen. Zusammen mit einer erfolgreichen Kunden- und Marktausrichtung ist dies die Basis, um das Risiko von finanziellen oder reputationsbezogenen Fehlentwicklungen zu minimieren, das Vertrauen der Kundschaft und der Öffentlichkeit zu erhalten und so eine erfolgreiche Weiterentwicklung zu gewährleisten.

  • Was ist Corporate Governance?

    Corporate Governance wird in Deutschland zunehmend zum Thema. Nicht nur Skandale wie bei VW und Siemens, sondern auch das Engagement ausländischer Finanzinvestoren zwingt dazu, die Praxis der Unternehmensführung hierzulande auf den Prüfstand zu stellen. Deutsche Aufsichtsgremien sind nicht selten personell aufgebläht, überaltert und inkompetent. Doch Deutschland braucht Kontrolleure, die ihre Aufgabe nicht als Ehrenamt verstehen, sondern als professionelle Aufgabe. Denn ihre Arbeit prägt die Unternehmenskultur in unserem Lande.

  • Integrierter Ansatz für Business Governance

    Die Business Governance gewinnt in den Unternehmen weltweit an Bedeutung. Sie ist ein kontinuierlicher Prozess - oder vielmehr eine Kontrollfunktion, die von der Unternehmensleitung initiiert wird, um die betriebswirtschaftliche Performance zu maximieren. Mit Hilfe von Business Governance wird festgelegt, wie das Unternehmen gesteuert werden, Entscheidungen treffen und unter bestimmten Rahmenbedingungen reagieren soll.

  • Governance und Mittelstand

    Der Mittelstand in Deutschland sieht sich seit einigen Jahren mit den Herausforderungen einer sich immer stärker beschleunigenden Globalisierung konfrontiert. Verstärkter Kostendruck, erhöhter Kapitalbedarf und verschärfter Wettbewerb um qualifizierte Mitarbeiter sind die Folgen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen