Wie Top Unternehmen im Jahr 2020 IT-Risiken bewerten und managen

by Fernando Ducoing

Bleiben Sie IMMER auf dem neuesten Stand in den Bereichen IT, Digitalisierung, Führung und Marketing – Abonnieren Sie jetzt den Confare NEWSLETTER – Gemeinsam. Besser. Informiert.

Newsletteranmeldung_horizontal

Ein Weg zur Beurteilung von Risiken kann aus einer rein operativen Betrachtung heraus gemacht werden.

• Was waren meine Problemfelder in der Vergangenheit?
• Wodurch wurden Störungen verursacht?
• In welchen Bereichen sehe ich aktuell meine grössten Risiken?

So eine Betrachtung wird zu kurzfristigen Massnahmen führen, was in besonders herausfordernden Situationen durchaus ein Zugang sein kann, um rasch die gröbsten Probleme abzudecken und mit begrenzten Ressourcen wichtige Businessprozesse aufrecht zu erhalten. Als langfristige Strategie empfiehlt sich sicher die Anlehnung an einen oder mehrere Kontrollkataloge. Viele Unternehmen müssen als Voraussetzung in der weiteren Vernetzung mit Kunden und Partnern die Anforderung erfüllen, spezifische Normen einzuhalten und dafür auch Zertifizierungen vorzulegen. Mit der Hilfe von Kontrollkatalogen erfolgt eine systematische Beurteilung des Status Quo und die Entwicklung eines Massnahmenkatalogs, um ein gefordertes Security Level zu erreichen.

Es geht nicht darum, eine bestimmte Anforderung so zu erfüllen, dass sie als erledigt abgehakt werden kann. Ziel ist es, die unterschiedlichen Punkte so zu nutzen, dass das Security Niveau tatsächlich langfristig gehoben werden kann. Das umfasst immer neben den technischen Massnahmen auch organisatorische und prozessuale Anpassungen.

Christopher Ehmsen
T-Systems

Christopher Ehmsen

Vier Dimensionen, um der Herausforderung der Cyber-Resilienz zu begegnen:

1. Bedrohungsschutz (Threat Protection)
2. Anpassungsfähigkeit & Maturität (Adaptability & Maturity)
3. Beständigkeit (Durability)
4. Fähigkeit zur Wiederherstellung (Recoverability)

Ein konsequent gelebter IT Risk Management Prozess ist essentiell, um die notwendigen Sicherheitsmassnahmen in den 4 Dimensionen zu erkennen und die vitalen Systeme der Unternehmung zu schützen. Der „Schlüsselfaktor Resilienz“ muss dabei eine elementare Rolle innerhalb
vom Unternehmen und in der ganzen Wertschöpfungskette mit Partnerunternehmen und Endkunden spielen.

Martin Schellenberg
Schutz & Rettung Zürich

Martin Schellenberg - Schutz & Rettung Zürich

Struktur und Augenmass – Wie weit soll IT-Risikomanagement gehen?

Risikomanagement braucht einen strukturierten Ansatz. Sich nur auf das Bauchgefühl zu verlassen wäre fahrlässig,
sich bis zum letzten Detail zu vertiefen wäre zu kostspielig. Es gilt ein Gesamtbild zu verfolgen und die entsprechenden
Massnahmen konsequent zu planen.

In der Tendenz glaube ich, dass wir dazu neigen zu umfassend zu denken. Wir haben tausende von Schwachstellen zu managen, die Angreifer aber benötigen nur eine Schwachstelle, um erfolgreich zu sein. Wenn man so will eine „unfaire“ Ausgangslage, die wir aber nicht ändern können.

Konrad Zöschg
Flughafen Zürich

Konrad Zöschg
Gerhard Grün

Gerhard Grün
Erber

Wichtig für mich ist eine Verantwortung. Das ist keine Tätigkeit, die nebenbei mitgemacht werden kann, sondern mit entsprechenden Ressourcen eingeplant werden muss. Diese Rolle darf nach Möglichkeit nicht von jenen eingenommen werden, die Systeme implementieren oder warten.

Ein systematischer und strukturierter Ansatz ist der Schlüssel zum Erfolg,um IT Risiken gesamthaft zu erfassen, beurteilen und managen zu können. Gerade in unserer schnelllebigen Zeit ist es wichtig den Ansatz laufend zu überprüfen und aktuelle Einflussfaktoren zu berücksichtigen.

Gottfried Tonweber
EY

Gottfried Tonweber

Business Impact Analyse beim Flughafen Zürich

Konrad Zöschg

Konrad Zöschg
Flughafen Zürich

Wir haben zusammen mit den Fachbereichen gute Erfahrungen mit Business Impact Analysen gemacht. Wir haben dabei gefragt, was im Business passiert, wenn die IT für eine Stunde, einen Tag, eine Woche oder einen Monat nicht zur Verfügung steht. Ähnliche Fragen stellten wir auch bei der Datenintegrität. Dabei haben wir wohl gegenseitig Erkenntnisse gewonnen, die wir so noch nicht vermutet hätten. Wir haben dabei bewusst nicht Eintrittswahrscheinlichkeit und Schadensausmass multipliziert, denn wir sind nicht in der Lage, eine Eintrittswahrscheinlichkeit eines Cyber Angriffs, also einer kriminellen Handlung, zu benennen. So ist und bleibt der Dialog mit den externen Kunden und den internen Fachbereichen der wichtigste Baustein für ein gegenseitiges Verständnis und die Beurteilung von Risiken.

Kommunikation und Transparenz – Ein gemeinsames Verständnis für IT-Risiko schaffen.

IT-Risiko ist ein Begriff, zu dem es ganz viele Deutungen gibt. Für die Fachabteilungen ist es ein Risiko, das die IT hat, für den CIO sind es die Anwender und für die Geschäftsführung ist es zu teuer, sich auch noch damit zu befassen, wenn es nicht gerade schlagend wird. Am Besten ist es, wenn sich alle mal darüber einig werden, was IT Risikomanagement denn leisten soll.

An oberster Stelle stehen für uns die beiden Begriffe Transparenz und Nachvollziehbarkeit. Nur damit können Risiken sichtbar gemacht und allen Verantwortlichen in das Bewusstsein gerufen werden. Das bedeutet aber auch, dass in der IT grundlegende Hausaufgaben gemacht sein müssen. So bilden beispielsweise ein gelebtes und voll integriertes Assetmanagement oder ein funktionierendes
Changemanagement das stabile Fundament für alle relevanten Security Themen. Erst dann können mit konkreten Massnahmen die identifizierten Risiken reduziert und gemanaged werden.

Thomas Zapf
VERBUND

Thomas Zapf, Styria Media Group
Marcus Frantz ÖBB

Marcus Frantz
ÖBB

Durch diesen strukturierten Prozess, durch das Abwägen des finanziellen Risikos und der notwendigen Investitionen, aber auch die Diskussion über Business Continuity Massnahmen (die ja nicht immer IT-technisch gelöst sein müssen, da gehen auch manchmal einfach nur die guten Stücke Bleistift & Papier), kann ich mit den Fachbereichen einen transparenten und für diese nachvollziehbaren
Dialog führen. Wenn dieser regelmässig gelebt wird, dann etabliert sich dieses Verständnis tief in der DNA des Unternehmens.

Existierende Missverständnisse im Unternehmen muss man ausräumen. IT-Risiken sind nicht der Virenausbruch oder der Stromausfall im Datacenter. IT-Risiken sind Unternehmensrisiken, die den Fortbestand des Unternehmens durch IT-verursachte Geschäftsstörungen bedrohen und damit den Geschäftserfolg gefährden. Für ein klares Lagebild ist es notwendig, durch schonungslose Ehrlichkeit über den Zustand des Environments und der Abhängigkeiten zu Geschäftsprozessen und Services Bescheid zu wissen und dies zu dokumentieren.“

Wolfgang Mayer
HOERBIGER

Wolfgang Mayer
Mehr zum Thema finden Sie im neuen Cyber Security Factsheet 2020 powerd by T-Systems Alpine:
Factsheet Cyber Security download
CIO Event: #CIO2020

Sharing is caring!

0 comment

Für Sie ausgewählt

Leave a Comment