Die Geschäftswelt wandelt sich ständig. Neue Konkurrenten drängen in den Markt, Anforderungen und Wünsche der Kunden verändern sich laufend. Gleichzeitig sind internationale Compliance-Vorgaben und gesetzliche Vorschriften von Behörden wie der US-amerikanischen FDA oder der EU-Kommission einzuhalten. Dadurch steigt in Unternehmen die Komplexität der Geschäftsprozesse und der Daten stetig an. Zugleich wandeln sich IT-Architekturen durch Virtualisierung, Cloud Computing, Social Media, Enterprise Mobility inklusive Bring your own Device (ByoD) und weitere IT-Technologien und werden vielschichtiger. Hinzu kommt, dass im Zeitalter des "extending enterprise" die Unternehmen durch IT-Lösungen immer enger miteinander vernetzt sind und Geschäftsprozesse elektronisch abwickeln statt auf Papier.
Sicherheitsvorfälle steigen rasant an
Die Kehrseite der Medaille ist jedoch, dass dadurch die Daten- und Informationssicherheit mehr denn je akuten externen wie auch internen Bedrohungen ausgesetzt ist. Notierten 2009 lediglich 41 Prozent der Betriebe einen Anstieg externer Attacken durch Hacker, staatliche Spionageprogramme oder organisierte Kriminalität, waren es 2011 bereits 72 Prozent. 2012 berichteten 77 Prozent der Unternehmen über eine Zunahme externer Bedrohungen.
46 Prozent registrierten 2012 eine Zunahme interner Sicherheitsvorfälle und -verletzungen; knapp drei Viertel sind auf die Sorglosigkeit oder Unachtsamkeit von Mitarbeitern zurückzuführen. Zu diesen Ergebnissen kommt die Wirtschaftsprüfungsgesellschaft Ernst & Young in ihrem "Global Security Information Survey", an dem mehr als 1.800 Manager aus 64 Ländern teilnahmen.
Der Experton-Analyst Alexander Hemzal schätzt, dass 40 bis 50 Prozent aller Unternehmen bereits mit konkreten IT-Sicherheitsvorfällen durch gezielte Angriffe und andere IT-sicherheitsrelevante Ereignisse konfrontiert waren. Obwohl die Firmen inzwischen Fortschritte zur Verbesserung ihrer Informationssicherheit gemacht haben, hinken sie beim IT-Risiko-Management hinterher.
Fallen geschäftskritische IT-Prozesse deswegen aus, kann das für Unternehmen unter Umständen existenzgefährdend sein.
Stiefkind IT-Risiko-Management
Trotzdem werden laut Hemzal die IT-Sicherheit und das IT-Risiko-Management noch stiefmütterlich behandelt. Der Experton-Analyst schätzt, dass lediglich die Hälfte aller Unternehmen in Deutschland IT-Notfallpläne für Sicherheitsvorfälle hat. Falls solche vorhanden seien, handle es sich in vielen Fällen um reine "Schrankware".
Diese Tendenz wird durch die Ernst & Young-Untersuchung bestätigt, die nach den Top-fünf-Prioritäten bei der IT-Sicherheit in den nächsten zwölf Monaten fragte. Lediglich 18 Prozent der Studienteilnehmer gaben an, dass für sie ein IT-Risiko-Management-System für mehr Informationssicherheit an erster Stelle steht. 40 Prozent setzen dieses Thema auf Platz vier und fünf der Prioritätenliste.
Das verwundert schon deshalb, weil Hemzal zufolge deutsche Unternehmen rechtlich dazu verpflichtet sind, ein IT-Risiko-Management-System aufzubauen. Das ergebe sich aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gemäß §91 Aktien-Gesetz und § 43 des GmbH-Gesetzes. Mit dem KonTraG fordert der Gesetzgeber ausdrücklich die Einrichtung eines Überwachungssystems, "damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".
Die richtige IT-Risiko-Strategie
Allerdings sind der Aufbau und die Organisation eines IT-Risiko-Management-Systems alles andere als trivial: Es "bedeutet kontinuierliche Investitionen in Maßnahmen, die hoffentlich nie ergriffen werden müssen", schreibt Hemzal. Ein IT-Risiko-Management-System darf nicht mit dem IT-Sicherheitsmanagement verwechselt werden. Ersteres hat strategischen Charakter, Letzteres ist mehr operativ auf den Schutz von Daten und Informationen sowie die Abwehr diesbezüglicher Gefahren ausgerichtet. Dazu zählen Aspekte wie die Einhaltung von IT-Policies, Identity Management und Data Access oder Datensicherheit und Datenschutz.
Im Rahmen eines IT-Risiko-Managements sollte die Risikoklassifikation grundsätzlich aus der Businessperspektive erfolgen. Es werden die Geschäftsprozesse identifiziert, die maßgeblich zum Unternehmenserfolg beitragen und die Bedrohungsszenarien. Damit die IT nicht in den Hintergrund gerät, sind Prozesse und IT laut Hemzar von Beginn an als Einheit zu begreifen und die Abhängigkeit der Betriebsabläufe von den unterstützenden IT-Systemen zu ermitteln.
Risiken ermitteln, Notfallpläne erarbeiten
Für jeden Geschäftsprozess müssen die Applikationen auf ihre Kritikalität, also den finanziellen Risiken bei Störungsfällen oder einem kompletten Ausfall, bewertet werden. Die Risiken der IT-Systeme sind dabei mittels Schwachstellenanalysen zu ermitteln. In Abhängigkeit von den Geschäftsprozessen und gesetzlichen Vorgaben sind für jede Anwendung die Verfügbarkeits-, Integritäts-, Vertraulichkeitsanforderungen zu definieren.
Auf dieser Grundlage kann dann die IT-Service-Continuity-Strategie erarbeitet werden sowie ein Notfallplan, in dem die personellen Zuständigkeiten und die zur Wiederherstellung nötigen Maßnahmen und Arbeitsschritte festgelegt sind. Der Notfallplan muss in die Unternehmensprozesse integriert und regelmäßig getestet und aktuell gehalten werden, etwa wenn eine neue Anwendung in Betrieb genommen wird. Laut Ernst & Young sind beim IT-Risiko-Management außerdem aktuelle Trends in der Business-IT zu berücksichtigen. Dazu zählen etwa der Einsatz von Social-Media-Plattformen oder wenn Mitarbeiter ihre Arbeitsaufgaben gemäß der Devise ByoD mit dem eigenen Mobilgerät erledigen.
Soweit die Theorie. Die Praxis sieht etwas anders aus. Zwar verantwortet inzwischen in 26 Prozent der Unternehmen das Top-Management, also CEO, CFO oder COO, auch das Thema Informationssicherheit. Doch nur fünf Prozent haben ein Information-Security-Reporting an der Chief Risk Officer etabliert, der intern für die Verwaltung des Risiko-Profils verantwortlich ist. Es überrascht daher kaum, wenn 70 Prozent der Befragten mitteilen, die Informationssicherheit entspreche nur zum Teil den tatsächlichen Anforderungen.