Interview mit Rainer Schellhaas, Security-Experte
COBIT & ITIL für das Riskmanagement in der IT nutzen - IT als Nervensystem zu wichtig, um unkontrolliert zu existieren
IT-Security-Experte Holger Schellhaas über die Notwendigkeit zum Einsatz von etablierten IT-Standards
(24.11.06) - Holger Schellhaas ist IT-Security-Experte aus München und berät Unternehmen beim Umsetzen von IT Governance. Im Vorfeld des Conex-Forums "Compliance & IT Governance" am 24. April 2007 hat Michael Ghezzo mit ihm ein Gespräch über Risikomanagement in der IT und die Potenziale von ITIL und COBIT geführt.
Michael Ghezzo: IT-Governance ist im Moment ein besonders beliebtes Buzzword – Was verbirgt sich dahinter wirklich und was sind die Auswirkungen in der Praxis?
Holger Schellhaas: IT Governance steht für die Steuerbarkeit und Transparenz der IT, also für die Fähigkeit einer IT-Organisation, die erhaltenden und innovativen IT-Investitionen zur Unterstützung der strategischen Unternehmensziele auszurichten. Die neue Herausforderung heißt, sich nicht nur - wie in den vergangenen Jahren um Effiziensteigerung und Kostenkontrolle zu kümmern, sondern den Beitrag der IT zum Unternehmenserfolg auch tatsächlich zu bewerten.
Die Auswirkungen in der Praxis sind vielfältig: Während einige die IT insgesamt als strategischen Wertschöpfer ansehen, fragen andere provokativ "does IT matter?" und implizieren damit, dass IT als "Strom aus der Steckdose" ein austauschbarer Service wird. Wieder andere fordern eine strikte Industrialisierung der IT und damit verbunden die transparente Aufschlüsselung aller IT-Services nach verrechenbaren Standardleistungen. Eines gilt nach Gartner aber in jedem Fall: Nur wenn IT-Verantwortliche auch im Vorstand ihre Nützlichkeit beweisen können, werden sie mittelfristig ihre Posten behalten.
Ghezzo: SOX und Basel II bringen neue Herausforderungen für das IT-Management. Welche Bedeutung bekommt dadurch IT-Sicherheit?
Schellhaas: Weltweit gelten mittlerweile mehr als 25.000 Regulierungen und gesetzliche Auflagen - wie die GDPdU, Basel II, KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen), Solvency II, FDA-Compliance oder der Sarbanes-Oxley-Act, welche sich über alle Branchen hinweg massiv auf die IT auswirken. Sei es in der geforderten Transparenz der IT-Prozesse oder der Dokumentationspflicht von Geschäftsabläufen - immer stehen diese Vorschriften im Zusammenhang mit der Reduzierung von Risiken. IT-Sicherheit bekommt so (endlich) eine weit mehr strategische Bedeutung, weil technische Lösungen nicht mehr ohne prozessuale und organisatorische Einbindung etabliert werden.
Ghezzo: Sicherheit ist auch eine Kostenfrage – Wie können IT-Manager Awareness für Sicherheitsanforderungen erzeugen und Investitionen in Sicherheit fundiert argumentieren?
Schellhaas: Die Erfordernisse des Risikomanagements können zum großen Teil nur durch IT-gestützte Lösungen erfüllt werden - die IT wird also wieder einmal als "Kostenverursacher" verdammt werden. Aufklärung tut not und zwar in dem Sinne, die "ordnungspolitischen Fesseln" in Erfolg umzumünzen und als Chance für die IT-Sicherheit darzustellen. Gefragt ist die Kompetenz der IT-Manager und ihre eigene Sensibilität für das Thema "Security Awareness" Die Herausforderung liegt darin, herauszustreichen, dass die IT als Nervensystem zu wichtig ist, um unkontrolliert zu existieren.
Ghezzo: Wie kann ein umfassendes Risk-Managements in der IT aussehen?
Schellhaas: Vor fünf Jahren war das Virenschreiben eine Kunst, die ersten Hacker - so Jewgenij Kaspersky , der berühmte Virenjäger - "waren noch Idealisten". Jetzt haben wir es mit einer kriminellen "Virenindustrie" zu tun - mit der Konsequenz, dass wir lernen müssen, den Umgang mit Risiken zu beherrschen. Ein umfassendes Risk Management heißt, die Risiken in der IT und aufgrund der IT durch das Aufstellen eines angemessenen Risikobudgets zu bewältigen. Im Rahmen diese Budgets ist ein Prozess zu etablieren, in dem die IT-Risiken regelmäßig identifiziert, anhand von Risikokennzahlen auf ihre Geschäftsauswirkungen hin bewertet und in einer Risikomatrix nach Handlungsbedarf klassifiziert werden. Das lässt sich in der Praxis durchaus pragmatisch mit Hilfe strukturierter Templates und standardisierter Verfahren umsetzen.
Ghezzo: Welche Rolle spielen Standards wie COBIT und ITIL dabei?
Schellhaas: Die Notwendigkeit zum Einsatz von etablierten IT-Standards wie COBIT (Control Objectives for Information and related Technology), ITIL (IT Information Library) und ISO 17799 wird sich aufgrund eines noch steigenden Datenmissbrauchs sowie der zunehmenden Regulierungen und Vorschriften verstärken. Bis 2006 werden laut Forrester und Meta Group (jetzt Gartner Group) über 40 Prozent aller IT-Organisationen entsprechende Regelwerke und Prozesse - vor allem zur Risikobetrachtung - eingeführt haben. Die Standards stellen anerkannte Steuerungsziele und Rahmenbedingungen für den Aufbau einer Informationssicherheitsarchitektur bereit.
Durch die dadurch erreichte Verknüpfung von Service- und Sicherheitsmanagement zu einem gemeinsamen Störungsmanagement verpuffen die hohen Investitionskosten nicht mehr ohne echten Nutzen. So wie der Einsatz von ITIL für CIOs schon fast zum Alltag gehört, so wird IT-Sicherheit mit COBIT und ITIL zum Handwerkszeug für Sicherheitsexperten werden. (Conex: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>