Bleiben Sie IMMER auf dem neuesten Stand in den Bereichen IT, Digitalisierung, Führung und Marketing – Abonnieren Sie jetzt den Confare NEWSLETTER – Gemeinsam. Besser. Informiert.
Ein Weg zur Beurteilung von Risiken kann aus einer rein operativen Betrachtung heraus gemacht werden.
• Was waren meine Problemfelder in der Vergangenheit?
• Wodurch wurden Störungen verursacht?
• In welchen Bereichen sehe ich aktuell meine grössten Risiken?
So eine Betrachtung wird zu kurzfristigen Massnahmen führen, was in besonders herausfordernden Situationen durchaus ein Zugang sein kann, um rasch die gröbsten Probleme abzudecken und mit begrenzten Ressourcen wichtige Businessprozesse aufrecht zu erhalten. Als langfristige Strategie empfiehlt sich sicher die Anlehnung an einen oder mehrere Kontrollkataloge. Viele Unternehmen müssen als Voraussetzung in der weiteren Vernetzung mit Kunden und Partnern die Anforderung erfüllen, spezifische Normen einzuhalten und dafür auch Zertifizierungen vorzulegen. Mit der Hilfe von Kontrollkatalogen erfolgt eine systematische Beurteilung des Status Quo und die Entwicklung eines Massnahmenkatalogs, um ein gefordertes Security Level zu erreichen.
Es geht nicht darum, eine bestimmte Anforderung so zu erfüllen, dass sie als erledigt abgehakt werden kann. Ziel ist es, die unterschiedlichen Punkte so zu nutzen, dass das Security Niveau tatsächlich langfristig gehoben werden kann. Das umfasst immer neben den technischen Massnahmen auch organisatorische und prozessuale Anpassungen.
Christopher Ehmsen
T-Systems
Vier Dimensionen, um der Herausforderung der Cyber-Resilienz zu begegnen:
1. Bedrohungsschutz (Threat Protection)
2. Anpassungsfähigkeit & Maturität (Adaptability & Maturity)
3. Beständigkeit (Durability)
4. Fähigkeit zur Wiederherstellung (Recoverability)
Ein konsequent gelebter IT Risk Management Prozess ist essentiell, um die notwendigen Sicherheitsmassnahmen in den 4 Dimensionen zu erkennen und die vitalen Systeme der Unternehmung zu schützen. Der „Schlüsselfaktor Resilienz“ muss dabei eine elementare Rolle innerhalb
vom Unternehmen und in der ganzen Wertschöpfungskette mit Partnerunternehmen und Endkunden spielen.
Martin Schellenberg
Schutz & Rettung Zürich
Struktur und Augenmass – Wie weit soll IT-Risikomanagement gehen?
Risikomanagement braucht einen strukturierten Ansatz. Sich nur auf das Bauchgefühl zu verlassen wäre fahrlässig,
sich bis zum letzten Detail zu vertiefen wäre zu kostspielig. Es gilt ein Gesamtbild zu verfolgen und die entsprechenden
Massnahmen konsequent zu planen.
In der Tendenz glaube ich, dass wir dazu neigen zu umfassend zu denken. Wir haben tausende von Schwachstellen zu managen, die Angreifer aber benötigen nur eine Schwachstelle, um erfolgreich zu sein. Wenn man so will eine „unfaire“ Ausgangslage, die wir aber nicht ändern können.
Konrad Zöschg
Flughafen Zürich
Gerhard Grün
Erber
Wichtig für mich ist eine Verantwortung. Das ist keine Tätigkeit, die nebenbei mitgemacht werden kann, sondern mit entsprechenden Ressourcen eingeplant werden muss. Diese Rolle darf nach Möglichkeit nicht von jenen eingenommen werden, die Systeme implementieren oder warten.
Ein systematischer und strukturierter Ansatz ist der Schlüssel zum Erfolg,um IT Risiken gesamthaft zu erfassen, beurteilen und managen zu können. Gerade in unserer schnelllebigen Zeit ist es wichtig den Ansatz laufend zu überprüfen und aktuelle Einflussfaktoren zu berücksichtigen.
Gottfried Tonweber
EY
Business Impact Analyse beim Flughafen Zürich
Konrad Zöschg
Flughafen Zürich
Wir haben zusammen mit den Fachbereichen gute Erfahrungen mit Business Impact Analysen gemacht. Wir haben dabei gefragt, was im Business passiert, wenn die IT für eine Stunde, einen Tag, eine Woche oder einen Monat nicht zur Verfügung steht. Ähnliche Fragen stellten wir auch bei der Datenintegrität. Dabei haben wir wohl gegenseitig Erkenntnisse gewonnen, die wir so noch nicht vermutet hätten. Wir haben dabei bewusst nicht Eintrittswahrscheinlichkeit und Schadensausmass multipliziert, denn wir sind nicht in der Lage, eine Eintrittswahrscheinlichkeit eines Cyber Angriffs, also einer kriminellen Handlung, zu benennen. So ist und bleibt der Dialog mit den externen Kunden und den internen Fachbereichen der wichtigste Baustein für ein gegenseitiges Verständnis und die Beurteilung von Risiken.
Kommunikation und Transparenz – Ein gemeinsames Verständnis für IT-Risiko schaffen.
IT-Risiko ist ein Begriff, zu dem es ganz viele Deutungen gibt. Für die Fachabteilungen ist es ein Risiko, das die IT hat, für den CIO sind es die Anwender und für die Geschäftsführung ist es zu teuer, sich auch noch damit zu befassen, wenn es nicht gerade schlagend wird. Am Besten ist es, wenn sich alle mal darüber einig werden, was IT Risikomanagement denn leisten soll.
An oberster Stelle stehen für uns die beiden Begriffe Transparenz und Nachvollziehbarkeit. Nur damit können Risiken sichtbar gemacht und allen Verantwortlichen in das Bewusstsein gerufen werden. Das bedeutet aber auch, dass in der IT grundlegende Hausaufgaben gemacht sein müssen. So bilden beispielsweise ein gelebtes und voll integriertes Assetmanagement oder ein funktionierendes
Changemanagement das stabile Fundament für alle relevanten Security Themen. Erst dann können mit konkreten Massnahmen die identifizierten Risiken reduziert und gemanaged werden.
Thomas Zapf
VERBUND
Marcus Frantz
ÖBB
Durch diesen strukturierten Prozess, durch das Abwägen des finanziellen Risikos und der notwendigen Investitionen, aber auch die Diskussion über Business Continuity Massnahmen (die ja nicht immer IT-technisch gelöst sein müssen, da gehen auch manchmal einfach nur die guten Stücke Bleistift & Papier), kann ich mit den Fachbereichen einen transparenten und für diese nachvollziehbaren
Dialog führen. Wenn dieser regelmässig gelebt wird, dann etabliert sich dieses Verständnis tief in der DNA des Unternehmens.
Existierende Missverständnisse im Unternehmen muss man ausräumen. IT-Risiken sind nicht der Virenausbruch oder der Stromausfall im Datacenter. IT-Risiken sind Unternehmensrisiken, die den Fortbestand des Unternehmens durch IT-verursachte Geschäftsstörungen bedrohen und damit den Geschäftserfolg gefährden. Für ein klares Lagebild ist es notwendig, durch schonungslose Ehrlichkeit über den Zustand des Environments und der Abhängigkeiten zu Geschäftsprozessen und Services Bescheid zu wissen und dies zu dokumentieren.“
Wolfgang Mayer
HOERBIGER