Suchen

Definition Risikomanagement in der IT Was ist Risikomanagement?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Das Risikomanagement in der Informationstechnologie erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit.

Firma zum Thema

Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.
Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.
(Bild: Pixabay / CC0 )

In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.

Da IT-Systeme immer komplexer werden und prinzipiell fehleranfällig sind, ergeben sich zahlreiche Bedrohungsszenarien mit großen Risiken. Um diesen Risiken zu begegnen und mit ihnen umzugehen, kommt das Risikomanagement zum Einsatz. Es umfasst alle Maßnahmen, die möglichen Risiken zu erkennen, zu analysieren, zu bewerten, zu überwachen und sie zu kontrollieren. Das Risikomanagement kommt schon bei der Implementierung der Informationssysteme zur Anwendung und begleitet den kompletten Lebenszyklus aller IT-Komponenten. Dies reicht von der Konzeption über die Entwicklung und Umsetzung bis hin zum Betrieb und der Stilllegung der IT-Systeme.

Ein großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriff können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.

Allgemeine Vorgehensweise im Risikomanagement

Auch in der IT kommt im Rahmen des Risikomanagements die typische Vorgehensweise des allgemeinen Risikomanagements mit seinen einzelnen Arbeitsschritten zum Einsatz. Im ersten Schritt geht es darum, die verschiedenen Risiken zu identifizieren und zu benennen. Anschließend kann die Analyse und Bewertung der Risiken erfolgen. Die Einzelrisiken werden im Hinblick auf Wahrscheinlichkeit und mögliche Auswirkungen eingeordnet. Hierfür kann eine mehrstufige Matrix verwendet werden, die Eintrittswahrscheinlichkeit und Akzeptanz der Risiken benennt. Mögliche Wahrscheinlichkeiten sind:

  • häufig
  • wahrscheinlich
  • gelegentlich
  • unwahrscheinlich
  • unvorstellbar

Auswirkungen der einzelnen Risiken können sein:

  • katastrophal
  • kritisch
  • akzeptabel
  • unwesentlich

Die Einteilungen können je nach Modell und verwendeter Matrix feiner oder grober sein. Im Rahmen der Klassifizierung der Risiken werden diese unterschiedlichen Auswirkungsklassen wie organisatorisch, rechtlich, technisch, prozessual, wirtschaftlich und weiteren zugeordnet. Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter beherrschbar zu machen. Hierfür kommen kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen zum Einsatz.

Standards des Risikomanagements

Effizientes Risikomanagement greift auf bewährte Vorgehensweisen und etablierte Standards zurück. Diese schließen die typischen Fehler selbst entwickelter Vorgehensweisen aus und sorgen für die Einhaltung des aktuellen Stands der Technik. Die Standards helfen, die risikobehafteten und sicherheitsrelevanten Prozesse der IT zu verbessern. Sie stellen Methoden zur Verfügung, ein leistungsfähiges Sicherheits- und Risikomanagement zu definieren und zu realisieren. Grundlegende Standards des IT-Sicherheits- und Risikomanagements sind beispielsweise IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen) und viele weitere.

Einzelaspekte des IT-Risikomanagements in der Praxis

Wichtige Einzelaspekte des IT-Risikomanagements in der Praxis sind die physische Sicherheit der IT und die Anwendung kryptographischer IT-Sicherheitsverfahren. Viele IT-Risiken ergeben sich durch die mangelnde physische Sicherheit der IT. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert. Das IT-Risikomanagement bewertet die Risiken durch mangelnde physische Sicherheit und sorgt bei unvertretbaren Folgen für die Einhaltung der wesentlichen Standards der physischen Sicherheit.

Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit kryptographisch abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.

(ID:44751867)

Über den Autor