Definition Risikomanagement in der IT

Was ist Risikomanagement?

| Autor / Redakteur: tutanch / Peter Schmitz

Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.
Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen. (Bild: Pixabay / CC0)

Das Risikomanagement in der Informationstechnologie erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit.

In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.

Da IT-Systeme immer komplexer werden und prinzipiell fehleranfällig sind, ergeben sich zahlreiche Bedrohungsszenarien mit großen Risiken. Um diesen Risiken zu begegnen und mit ihnen umzugehen, kommt das Risikomanagement zum Einsatz. Es umfasst alle Maßnahmen, die möglichen Risiken zu erkennen, zu analysieren, zu bewerten, zu überwachen und sie zu kontrollieren. Das Risikomanagement kommt schon bei der Implementierung der Informationssysteme zur Anwendung und begleitet den kompletten Lebenszyklus aller IT-Komponenten. Dies reicht von der Konzeption über die Entwicklung und Umsetzung bis hin zum Betrieb und der Stilllegung der IT-Systeme.

Ein großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriff können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.

Allgemeine Vorgehensweise im Risikomanagement

Auch in der IT kommt im Rahmen des Risikomanagements die typische Vorgehensweise des allgemeinen Risikomanagements mit seinen einzelnen Arbeitsschritten zum Einsatz. Im ersten Schritt geht es darum, die verschiedenen Risiken zu identifizieren und zu benennen. Anschließend kann die Analyse und Bewertung der Risiken erfolgen. Die Einzelrisiken werden im Hinblick auf Wahrscheinlichkeit und mögliche Auswirkungen eingeordnet. Hierfür kann eine mehrstufige Matrix verwendet werden, die Eintrittswahrscheinlichkeit und Akzeptanz der Risiken benennt. Mögliche Wahrscheinlichkeiten sind:

  • häufig
  • wahrscheinlich
  • gelegentlich
  • unwahrscheinlich
  • unvorstellbar

Auswirkungen der einzelnen Risiken können sein:

  • katastrophal
  • kritisch
  • akzeptabel
  • unwesentlich

Die Einteilungen können je nach Modell und verwendeter Matrix feiner oder grober sein. Im Rahmen der Klassifizierung der Risiken werden diese unterschiedlichen Auswirkungsklassen wie organisatorisch, rechtlich, technisch, prozessual, wirtschaftlich und weiteren zugeordnet. Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter beherrschbar zu machen. Hierfür kommen kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen zum Einsatz.

Standards des Risikomanagements

Effizientes Risikomanagement greift auf bewährte Vorgehensweisen und etablierte Standards zurück. Diese schließen die typischen Fehler selbst entwickelter Vorgehensweisen aus und sorgen für die Einhaltung des aktuellen Stands der Technik. Die Standards helfen, die risikobehafteten und sicherheitsrelevanten Prozesse der IT zu verbessern. Sie stellen Methoden zur Verfügung, ein leistungsfähiges Sicherheits- und Risikomanagement zu definieren und zu realisieren. Grundlegende Standards des IT-Sicherheits- und Risikomanagements sind beispielsweise IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen) und viele weitere.

Einzelaspekte des IT-Risikomanagements in der Praxis

Wichtige Einzelaspekte des IT-Risikomanagements in der Praxis sind die physische Sicherheit der IT und die Anwendung kryptographischer IT-Sicherheitsverfahren. Viele IT-Risiken ergeben sich durch die mangelnde physische Sicherheit der IT. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert. Das IT-Risikomanagement bewertet die Risiken durch mangelnde physische Sicherheit und sorgt bei unvertretbaren Folgen für die Einhaltung der wesentlichen Standards der physischen Sicherheit.

Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit kryptographisch abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Unternehmen sind nicht auf Cyberangriffe vorbereitet

IT-Notfallmanagement

Unternehmen sind nicht auf Cyberangriffe vorbereitet

Digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl kann jedes Unternehmen treffen, aber die wenigsten sind für diesen Fall vorbereitet. Wenn die Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, gibt es gerade einmal in 43 Prozent der Unternehmen ein Notfallmanagement das festlegt, was zu tun ist. lesen

Security-Investitionen dem CFO verständlich machen

Security- und Risiko-Management

Security-Investitionen dem CFO verständlich machen

Während es für den CIO oder CSO auf der Hand liegt, dass sie in angesichts der heutigen Bedrohungslage in IT-Security investieren sollten, muss der Chief Financial Officer (CFO) von Berufs wegen ein mögliches Security-Investment anderen Betriebskosten gegenüberstellen. Zudem ist es für ihn die Unterscheidung zwischen IT Operations und IT Security unklar, weil er in keinen der beiden Bereiche unmittelbar involviert ist. lesen

Was ist IT-Governance?

Definition IT-Governance

Was ist IT-Governance?

Die IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und liegt in der Verantwortung des Managements. Mit Hilfe der IT-Governance wird sichergestellt, dass die IT die Unternehmensziele und Unternehmensstrategie optimal unterstützt. lesen

Schaden durch Industriespionage steigt auf 55 Mrd. Euro pro Jahr

Bitkom-Studie

Schaden durch Industriespionage steigt auf 55 Mrd. Euro pro Jahr

Auch wenn die Zahl der von Industriespionage oder Sabotage betroffenen Unternehmen in den letzten zwei Jahren kaum gestiegen ist, hat der Schaden doch deutlich zugenommen. Geklaut wird aber nicht nur auf digitalem Weg. lesen

55 Milliarden Euro Schaden durch Spionage, Sabotage und Datendiebstahl

Studie zu Wirtschaftsschutz vom Bitkom

55 Milliarden Euro Schaden durch Spionage, Sabotage und Datendiebstahl

Der deutschen Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro durch Spionage, Sabotage und Datendiebstahl. Jedes zweite Unternehmen wurde in den vergangenen beiden Jahren angegriffen, und nur jedes dritte Unternehmen meldet solche Attacken den Behörden, aus Sorge vor Imageschäden. Das zeigt eine vom Digitalverband Bitkom beauftragte Studie zum Thema Wirtschaftsschutz. lesen

Mit Software Compliance-Risiken verringern

Datensicherheit

Mit Software Compliance-Risiken verringern

Daten schützen und zugleich damit arbeiten ist heute ein Balance-Akt, denn Unternehmen müssen heute dutzende Richtlinien und Auflagen befolgen und unterstehen der Kontrolle vieler verschiedener Behörden. Software-Lösungen aus der Bankenbranche versprechen, das Unvereinbare zu vereinen. lesen

Cyber-Angriffe überfordern Vorstände

Krisenmanagement

Cyber-Angriffe überfordern Vorstände

Laut einer aktuellen Studie zum Thema Cyber-Sicherheit der globalen Risikomanagementberatung Control Risks fühlen sich viele Führungskräfte angesichts der Bedrohungen aus dem Cyberspace überfordert; das denken zumindest die für Sicherheit zuständigenIT-Entscheider. lesen

HPE Software bereitet Unternehmen auf EU-Datenschutzgrundverordnung vor

Starter Kit prüft GDPR-Compliance

HPE Software bereitet Unternehmen auf EU-Datenschutzgrundverordnung vor

Hewlett Packard Enterprise (HPE) Software stellt ein Lösungspaket zur Verfügung, mit dem Unternehmen einen wichtigen ersten Schritt zur Vorbereitung auf die kommende EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR) machen können. Das Software-Paket hilft Unternehmen dabei, Informationen, die unter die neue Richtlinie fallen, zu identifizieren, zu klassifizieren und entsprechend zu sichern. lesen

Unternehmensrisiken ganz einfach managen

Security-Startups im Blickpunkt: Alyne

Unternehmensrisiken ganz einfach managen

IT-Risiken nehmen jedes Jahr weiter zu und die Fähigkeit diese effektiv zu verwalten wird von Jahr zu Jahr komplexer. Das RegTech-Startup Alyne will Unternehmen dabei helfen, Risiken so einfach zu managen, wie ein „Like“ in sozialen Netzwerken. Alyne bietet mit seinem Tool einen komfortablen und effektiven Weg, IT-Risiken eines Unternehmens mit verschiedenen Control Sets zu kanalisieren und zu identifizieren. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44751867 / Definitionen)