- Überfordert eine Pandemie das etablierte Risikomanagement in Unternehmen?
- Wie gehen Unternehmen in Zeiten von Lockdown und Homeoffice mit dem Datenschutz um?
- Worum geht es bei der kommenden Datenschutz-Zertifizierung
Dieser Tage haben die Datenschutz, Compliance, Prozess,- und Risikomanagement Profis der O.P.P. Beratung rund um Markus Oman und das IT-Ziviltechniker Büro www.zti.at unter Leitung von Dr. Manfred Stallinger eine umfassende Kooperation bekannt gegeben. Gemeinsam hat man sich zum Ziel gesetzt einen „Marktplatz der Besten“ rund um die genannten Themen und IT-Recht anzubieten.
Beide Unternehmen stehen für höchste Fachexpertise gepaart mit der Vernunft, Projekte pragmatisch und fokussiert auf den Nutzen des Kunden durchzuführen.
Die Zusammenarbeit dieser beiden Branchenprofis haben wir zum Anlass zum Gespräch mit Dr. Stallinger genommen. Er ist nämlich nicht nur als Sparring Partner für IT-Entscheider aktiv, wenn es um das Management der IT-Risiken geht, er ist auch selbst „Vater der in CRISAM® implementierten Methoden.“ CRISAM steht für Corporate Risk Application Method und ist eine der führenden Risikomanagement Methoden in Unternehmen.
-
Wie gut können sich den Unternehmen auf weitgehend unvorhersehbare Risiken wie eine Pandemie vorbereiten? Welche Möglichkeiten bietet das Risikomanagement dafür?
Grundsätzlich versucht das Risikomanagement denkmögliche Gefahren und deren Auswirkungen auf das Unternehmen bzw. die Organisation zu erfassen. Dafür müssen mögliche Auswirkungen, beispielsweise aus einer Pandemie, soweit operationalisiert werden, dass man daraus den Impact auf Umsatzerlöse, Personalaufwand, Sonderaufwendungen, durchaus Unterstützung seitens der Regierung und weiteres in einer zu erwartenden Bandbreite abschätzen und mit Szenarien unterlegen kann. Zusätzlich muss die Wahrscheinlichkeit des Auftretens beurteilt werden. Dies ist nicht so schwer als wie aussieht. Schaut man in die letzten 100 Jahre und insbesondere die letzten 20 Jahre zurück, so kann man feststellen, dass Epidemien mit unterschiedlichen Ausdehnungen etwa alle 10-15 Jahre auftreten. Mittels Simulationsverfahren lassen sich Risikowerte daraus ermitteln.
Zu Tode gefürchtet ist auch gestorben! Nicht jedes Risiko kann und muss durch eine Maßnahme eliminiert werden. Sobald eine Maßnahme teurer ist als der erzielte Effekt, muss diese grundsätzlich hinterfragt werden.
Dennoch sollte man „Was wäre, wenn?“ Szenarien im Rahmen des Risikomanagements durchspielen, um mögliche Auswirkungen sowie die Grenzen der Leistungsfähigkeit des Unternehmens kennen zu lernen und auch Vorsorgemaßnahmen bereithalten zu können.
-
Sie haben bekannte Risikomanagement Methoden entwickelt. Was sind die wichtigsten Anforderungen an solche Methoden?
Risikomanagement ist kein Selbstzweck und auch keine Maßnahme, die für den Abschlussprüfer betrieben wird! Eine Risikomanagement-Methode MUSS im Unternehmen einen realistisch bewertbaren Nutzen stiften, indem Schadenspotentiale quantifiziert und effiziente Milderungsmaßnahmen in technisch- und organisatorischer Hinsicht dem Vorstand oder Geschäftsführer vorgeschlagen werden.
Damit eine Risikomanagement-Methode belastbare Entscheidungsgrundlagen liefern kann, muss diese auch mit der Unternehmensplanung einhergehen. Der Entscheider stellt somit seinem „Team“ aus dem Controlling und dem Risikomanagement die Aufgabe, das angepeilte Jahresziel unter Einhaltung eines von ihm festgelegten Risikokorridors zu erreichen. Ist dies nicht möglich, so sind Ziel oder Risikoakzeptanz anzupassen.
Eine Risikomanagement-Methode muss auch auf die vorhandenen Kompetenzen der Fachexperten und auch Entscheider Rücksicht nehmen. Nicht jeder ist Mathematik- und Statistik-affin. Aus diesem Grund sind insbesondere die Risikoerfassung und Bewertung, für die Risikoeigner und Fachexperten bewältigbar zu gestalten.
Zusammengefasst sind die wichtigsten Anforderungen an eine Risikomanagement-Methode:
- die Angemessenheit und Einfachheit
- die Realitätsnähe
- die Transparenz
- Belastbarkeit
- eine bestmögliche Prognosesicherheit
- Verständlichkeit der Ergebnisse.
-
Die Corona Pandemie hat viele Unternehmen dazu gebracht Digitalisierungsschritte schneller umzusetzen, als sie es normalerweise gewagt hätten. Hat sich dadurch das Datenschutzniveau der österreichischen Unternehmen verschlechtert?
Grundsätzlich muss schon festgestellt werden, dass die Präsenz des Themas Datenschutz, insbesondere der Datenschutz-Grundverordnung, von der Pandemie und deren zumindest täglichen Medienberichten überrollt wurde. In der Überzahl aller mittleren und großen Unternehmen wurden Digitalisierungsschritte sehr wohl mit Hinsicht auf den Datenschutzes gesetzt. Kleine Unternehmen wurden von den Maßnahmen massiv überrollt und haben sich bei der Maßnahmenumsetzung nach der Decke gestreckt. Dabei wurde dem Datenschutz nicht immer die höchste Priorität zugeordnet.
Generell ist schon festzustellen, dass bei der Umsetzung eines DSGVO-konformen Datenschutz-Niveaus in vielen Bereichen noch „Luft nach oben“ verbleibt.
-
Welchen Beitrag können IT-Ziviltechniker zu Cyber Security, Datenschutz und Digitalisierung liefern? Was ist Ihre Kernaufgabe?
IT-Ziviltechniker sind staatlich befugt und beeidet, sind ausschließlich dem Auftraggeber und Gesetzgeber verpflichtet, zur Verschwiegenheit verpflichtet, und agieren unabhängig von Lieferinteressen. Das Berufsbild des IT-Ziviltechnikers könnte auch mit „ein technischer Notar für die Informationstechnologie“ umschrieben werden. Die Top 5 Arbeitsschwerpunkte eines IT-Ziviltechnikers sind dabei:
- Prüfungen von IT-Systemen, IT-Projekten, Informationssicherheits- und Risikomanagement-Systemen und IT-Konzepten
- Unterstützung beim Aufbau von Informationssicherheits- und Risikomanagement-Systemen
- Technische Zertifizierungen nach Ziviltechnikergesetz §4 Abs.3
- Datenschutz- und IT-Compliance-Prüfungen
- Erstellen von Privat- und Gerichtsgutachten sowie Ausstellen von Urkunden
-
Es kommt die Datenschutz-Zertifizierung. Worum geht es dabei?
Die Einhaltung des Datenschutzes konform den geltenden Gesetzen und Verordnungen ist mittlerweile ein wesentlicher Faktor für den Unternehmenserfolg. Das Vertrauen in die Sicherheit der Daten von Mitarbeitern, Geschäftspartnern und Kunden hängt sehr stark von der Einhaltung des Datenschutzes ab. Mit einer Datenschutz-Zertifizierung des Unternehmens bestätigt jedes Unternehmen, dass personenbezogene Daten konform der geltenden Vorschriften und Gesetze geschützt sind. Wird diese Konformität von einem Ziviltechniker in Form eines Zertifikats beurkundet, unterstreicht dieses bei den betroffenen Partnern die Sorgfaltspflicht des Unternehmens.
-
Was steckt hinter der Partnerschaft mit O.P.P.? Welchen Nutzen können ihre Kunden dadurch erwarten?
O.P.P. und ZTI, in den Personen Mag. Oman und Dr. Stallinger, sind bereits seit vielen Jahren mit den Schwerpunkten IT-Recht, Information Security Management, Risk-Management, Finanzen-Compliance, und Datenschutz tätig. Teilweise standen sich beide sogar in einer Wettbewerbssituation gegenüber. Es war immer schon die Strategie beider Unternehmen, bei 
Kundenprojekten über den „Tellerrand“ hinaus zu unterstützen, mit weiteren Projektpartnern zusammenzuarbeiten und Projektziele „in Time“ und „in Budget“ zu realisieren.
Dennoch bleibt dem Kunden noch die Aufgabe die beteiligten Partner zu koordinieren und zwischen den Projekten oder Projektteilen passende Nahtstellen, möglichst ohne Lücken und Redundanzen, zu finden. Mit der Partnerschaft wird ein integriertes Team an Experten zusammengeschweißt, sodass der Kunde die gewünschte Problemlösung aus einem „Marktplatz der Besten“ beziehen kann.
CIO OF THE DECADE
Das CIO Community Event am 20. Oktober in Frankfurt
Die Teilnahme ist für CIOs, CDOs und IT-Manager mit KEINEN Kosten verbunden.
Gilt nicht für Hersteller oder Dienstleister aus den Bereichen Software, IT-Dienstleistungen oder Unternehmensberatung.