Risikomanagement integrieren. Sind Sie schon über den Berg?
Wieso Risikomanagement?
Vorsicht ist besser als Nachsicht! Oder würden Sie Ihre Server von einem Rechenzentrumsbetreiber hosten lassen, der sein Rechenzentrum an einer flachen Küste oder auf einer karibischen Insel hat? Der Blick aufs Meer wäre mitunter sehr schön, doch Sie sind sicher daran interessiert, dass der Zugriff auf Ihre Daten auch dann noch gewährleistet ist, wenn der Meeresspiegel um 2 Meter gestiegen ist.
Unerwünschte Ereignisse, bei deren Eintritt dem Unternehmen ein Schaden entsteht, lassen sich relativ genau im Voraus bestimmen. Hochwasser könnte beispielsweise so ein Ereignis sein. Beim Risikomanagement geht es unter anderem darum, sich im Vorhinein über solche Szenarien Gedanken zu machen und im besten Fall proaktiv Maßnahmen zu treffen, die eine Auswirkung auf den IT-Betrieb zumindest reduzieren oder sogar gänzlich verhindern.
Zur Wahrheit gehört aber auch, dass nicht alle Ereignisse vorab reduziert oder verhindert werden können. Das führt dazu, dass nach Eintritt eines Ereignisses, nur noch reagiert werden kann. Niemand wird je ausschließen können, dass ein Mitarbeiter oder eine Mitarbeiterin aus Versehen auf einen Link in einer E-Mail klickt und somit Schadsoftware ins Netzwerk des Unternehmens gelangt oder Mutter Natur ihre Macht demonstriert ...
Herausforderungen des Risikomanagements
Verlassen wir das flache Land an der Küste und steigen auf den Berg! Um erfolgreich Risikomanagement betreiben zu können, ist es für die Unternehmen wesentlich, sich einigen Herausforderungen bewusst zu werden und sich einen angemessenen Überblick zu verschaffen.
Eine der wichtigsten Herausforderungen, die sich die Unternehmen aus unserer Sicht beim Risikomanagement stellen müssen, ist die Tatsache, dass im Unternehmen meist nicht alle geschäftskritischen Prozesse bekannt und die Abhängigkeiten zur IT hergestellt worden sind. In der Konsequenz weiß das Unternehmen also nicht, wenn eine IT-Komponente ausfällt und wie sich das auf einen geschäftskritischen Prozess auswirkt.
Ein weiterer wichtiger Punkt, der mit dem vorherigen in Verbindung steht, ist die Integration der eingesetzten IT in die Wertschöpfungsprozesse. In vielen Fällen ist die IT nicht bzw. nicht vollständig in die Wertschöpfungsprozesse integriert, was wiederum zu Risiken führt, die betrachtet werden müssen. Ebenfalls ist es für Unternehmen wichtig, auf Zwischenfälle zu achten und diese entsprechend zu behandeln. Oft werden die Gefahren und Schadensauswirkungen von Zwischenfällen unterschätzt, da ihnen meist nicht genug Beachtung, in Form einer zumindest kurzen Analyse, geschenkt wird.
Als Nächstes wäre noch der Punkt der Kostenbetrachtung zu nennen. Viele Unternehmen machen beim Risikomanagement den Fehler, die Risiken ausschließlich aus der Kostensicht zu bewerten. Möglichkeiten wie Reputationsverluste des Unternehmens, Mitarbeiterzufriedenheit oder negative Berichterstattung werden oft außen vorgelassen, obwohl sie für eine genaue Betrachtung ebenso wichtig sind. Als letzter Punkt ist noch das oft fehlende Wissen im Unternehmen zu nennen. Diese Wissenslücke kann z. B. durch eine unzureichende Qualifizierung der Mitarbeitenden oder die fehlende Erfahrung des Unternehmens mit dem Thema Risikomanagement entstehen. Entscheidend ist, dass Unternehmen das Thema angehen und am besten eine Rolle im Unternehmen schaffen, die dieses Thema verantwortet.
Integration eines erfolgreichen Risikomanagements
Die Frage, die sich Unternehmen jetzt stellen müssen, ist wie sie eine geeignete Strategie zur Identifikation, Analyse, Beurteilung und Bewertung von Risiken einführen können. Unser Tipp: Schritt für Schritt konzentriert voranschreiten, um nicht daneben zu steigen und abzustürzen. Folgende Aspekte sollten Sie dabei in den Fokus rücken:
- Das Festlegen einer geeigneten Risikostrategie.
- Das Schaffen sinnvoller Bewertungsmaßstäben, welche als Entscheidungsgrundlage dienen.
- Die Identifikation von allen Prozessen und Verfahren zur Informationsverarbeitung.
- Die Bewertung der erhobenen Prozesse und Verfahren, nach den vorab definierten Kriterien.
- Die Identifikation möglicher Risiken für die Prozesse oder Verfahren. Hier können als Unterstützung auch die elementaren Gefährdungen aus dem BSI IT-Grundschutz Kompendium genommen werden.
- Die Bewertung der einzelnen Risiken, mit den relevanten Entscheidungsträgern.
- Die Evaluation geeigneter Maßnahmen zur Reduzierung, Vermeidung oder Übertragung der Risiken.
- Die Einführung eines Prozesses zum Überprüfen der Umsetzungsstatus der festgelegten Maßnahmen.
Planen Sie die „Tour“ Riskmanagement und brechen Sie nicht überhastet auf. Nehmen Sie sich für die o. g. Punkte ausreichend Zeit und gehen Sie die einzelnen Tätigkeiten gründlich durch. Für das Umsetzen der einzelnen Schritte kann es zielführend sein, die einzelnen Vorhaben in Phasen zu unterteilen, z. B. in eine Planungs-, Umsetzungs-, Ergebnis- und Reflexionsphase.
Die Planungsphase. Planen Ihrer Route, um glücklich und entspannt den Gipfen zu erreichen.
In dieser Phase ist es wichtig, alle Beteiligten (Stakeholder) an einen Tisch zu holen. Legen Sie gemeinsam den Geltungsbereich fest, für den Sie mögliche Risiken identifizieren wollen. Finden Sie alle internen und externen Ansprechpartner zu Ihrem Vorhaben. Überlegen Sie, wen Sie für die Umsetzungs- und Ergebnisphase benötigen. Die/der Informationssicherheitsbeauftragte, mögliche Risikoeigner:innen oder Verfahrensverantwortliche bringen die nötige Fachkenntnis über die zu beurteilenden Zielobjekte mit. Definieren Sie alle Bewertungsparameter, die im Rahmen der Beurteilung und Bewertung relevant sind. Sie benötigen definierte Schutzklassen, für die Einschätzung des Schutzbedarfs, bzw. der Kritikalität Ihrer Zielobjekte. Machen Sie sich Gedanken über geeignete Abstufungen zu den Schadenshöhen und der Eintrittswahrscheinlichkeit, um daraus Ihre Risikoklassen zu bilden. Denken Sie auch an mögliche Kriterien, wann Sie ein Risiko ohne zusätzliche Maßnahmen annehmen. Ihre Risiko-Akzeptanzkriterien.
Die Umsetzungsphase. Spezifische Analyse der Route und möglicher Gefahren.
Im nächsten Schritt sollten Sie sich eine Übersicht über Ihre geschäftskritischen Werte verschaffen und diese, nach internen Vorgaben, priorisieren. Für die ausgewählten Zielobjekte können Sie jetzt Risiken identifizieren und anhand Ihrer Kriterien bewerten. Stellen Sie sich dabei die Fragen: Wie hoch ist die Wahrscheinlichkeit, dass ein Schaden durch das zuvor eruierte Risiko entsteht und wie hoch wäre der potenzielle Schaden? Je nach Ergebnis ist das Ihre Entscheidungsgrundlage für eine Möglichkeit der Risikobehandlung. Prinzipiell können Sie jedes Risiko reduzieren, übertragen, vermeiden, oder tragen. Es ist Ihre Entscheidung. Dokumentieren Sie diese intern, um für spätere Bewertungen eine nachvollziehbare Grundlage zu haben.
Die Ergebnisphase. Los geht´s!
Der letzte Schritt umfasst die Aufbereitung Ihrer Ergebnisse. Ihre Risiken müssen im Unternehmen sichtbar gemacht werden, um diese behandeln und die Restrisiken akzeptieren zu können. Binden Sie in dieser Phase auch das Top-Management, bzw. die Geschäftsführung mit ein. Diese trägt die Gesamtverantwortung und kann bei der Priorisierung unterstützen. Behalten Sie einmal analysierte, bewertete und behandelte Risiken fortwährend im Auge, in dem Sie geeignete Prozesse zur kontinuierlichen Überwachung und ggf. Neubewertung Ihrer Risiken schaffen. Dies kann z. B. durch IT-Service Management Tools mit entsprechender Funktionalität erfolgen, was zu empfehlen wäre, da hier eine Verbindung von Störungen im Unternehmen zu den Risiken hergestellt werden kann. Es können somit verschiedenste Auswertungen gemacht werden, um genau zu wissen, an welcher Stellschrauben in Ihrem Unternehmen gedreht werden muss, um beispielsweise die Sicherheit zu erhöhen oder Ausfälle zu reduzieren.
Reflexion der wichtigsten Stellen der Wanderung
Wo war es gefährlich? Was kann beim nächsten Mal besser gemacht werden?
Auch wenn sich die Risiken jeden Tag ändern können, scheuen Sie nicht die Herausforderung. Stellen Sie sich ihnen. Durch die Einführung eines Risikomanagements schaffen Sie ein Bewusstsein für Ihre wichtigen Werte im Unternehmen. Mit der Zeit profitieren Sie von den etablierten Steuerungs-, Kontroll- und Überwachungsprozessen. Jeder kennt seine Aufgaben und Verantwortlichkeiten und Sie etablieren langfristig ein gesteigertes Risikobewusstsein und eine gelebte Sicherheitskultur.
Und zu guter Letzt, durch Ihre Dokumentation und Nachweisführung haben Sie für alle Vorhaben Planungssicherheit bzgl. benötigter Ressourcen und des Budgets. Somit schaffen Sie die Grundlage für die Einhaltung der Compliance.
Sehen Sie das Risikomanagement jetzt als große Herausforderung und als riesigen, unüberwindbaren Berg? Das ist in diesem Fall sicher nicht notwendig. Es ist vielmehr ein Bergpass bei dem hinter der nächsten Kehre wieder eine Verbesserung steht und Sie weiter Richtung Gipfel aufsteigen lässt. Nehmen Sie alle benötigten Stakeholder mit und machen Sie sich gemeinsam auf den Weg, den Gipfel des Risikomanagements zu erklimmen. Seien Sie motiviert und betrachten Sie das Riskmanagement als Chance, um unbeschwerter und sicherer ans Ziel zu kommen!
Während andere noch im Tal umherirren und von der Flut bedroht sind, schauen Sie von einer erhöhten Position ins Tal, mit einem höheren Reifegrad des Risikomanagements, wissen aber gleichzeitig, dass Sie noch ein Stück zu gehen haben.
Wir von der Cassini können Sie als Bergführer begleiten, die Chancen des Risikomanagements zu erkennen und Ihre Motivation aufrecht zu erhalten falls es mal steiler wird.
Sie möchten regelmäßig die neuesten Informationen zum Thema Digitalisierung und digitale Transformation erhalten und über spannende neue Jobangebote informiert werden?
Melden Sie sich kostenlos für unseren Newsletter an.
Ja, ich möchte den regelmäßigen Newsletter von Cassini erhalten. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
*Pflichtangaben