IT-Risikomanagement in europäischen Unternehmen. Wird schon alles gut gehen…

Das IT-Risikomanagement in europäischen Unternehmen ist schlecht. Das behaupte ich einfach durch meine Erfahrung, durch die Kommunikation mit verantwortlichen IT-Sicherheits- und IT-Risikomanagern von Unternehmen, die ich kenne, und es wurde mir beim Lesen verschiedener Quellen jüngst auch noch einmal bestätigt.

Das Risikomanagement ist älter als das IT-Risikomanagement. Der Siegeszug des IT-Risikomanagements kam unter anderem durch SOX und nachfolgend durch das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich). Die IT wurde immer wichtiger und unterstützte mit der Zeit immer mehr Geschäftsprozesse, da man ihr ein besonderes Maß an Aufmerksamkeit zukommen ließ. Die Hauptfrage, die ein IT-Risikomanager mehrmals im Jahr beantworten muß, lautet: “Mit welcher Wahrscheinlichkeit tritt ein wie großer Schadensfall (gut wäre auch zu wissen wo) ein?”. Dies wird berichtet. Etwa berichten größere Unternehmen “Keine Schäden >5 Mio Euro mit einer Eintrittswahrscheinlichkeit von 40 Prozent” . Das Freifahrtticket  für die Geschäftsführung. Sehr oft endet das IT-Risikomanagement an dieser Stelle. Alles wird fleißig eingetragen und berichtet. Fertig. Sehr oft werden auch Schutzbriefe erstellt, die die eingesetzten IT-Sicherheitsmaßnahmen kategorisiert listen. Dann wird das Ganze in einem Notensystem von meistens denselben Personen bewertet, damit man auch im Unternehmen zeigen kann, wo genau man steht. Alles zusammen läßt dies haftende Vorstände, Geschäftsführer oder Unternehmer besser schlafen. Ein Trugschluss! 

Betrachtet man das Thema IT-Risikomanagement genauer, stellen sich viele andere Fragen. Wo ist das IT-Risikomanagement im Unternehmen aufgehängt? Ist der IT-Sicherheitsbeauftragte auch für IT-Risikomanagement zuständig? An wen berichtet der IT-Sicherheitsbeauftragte das IT-Risikomagement? Wer berichtet die dezentralen IT-Risiken – etwa eines international aufgestellten Unternehmens – an den verantwortlichen für IT-Risikomanagement in der Zentrale? Gibt es überhaupt einen Verantwortlichen? Wie wird berichtet? Kann ein IT-Sicherheitsbeauftrager das IT-Risikomanagement überhaupt richtig an eine andere Organisation innerhalb desselben Unternehmens berichten, oder besteht hier ein Interessenskonflikt? Wer konsolidiert alle Unternehmensrisiken? Ist das IT-Risikomanagement statisch oder dynamisch? Gibt es eine Corporate-Risk-Management-Funktion? Wer sitzt in dem Gremium? Welchen Einfluss hat Corporate Risk Management im Unternehmen? Hat IT-Risikomanagement heutzutage ausschließlich mit IT zu tun, oder wie gehen damit Compliance, Discovery, Forensik, Datenschutz einher, die ihre jeweiligen Hauptmerkmale nicht unbedingt in der IT haben? Ein komplexes Thema. 

Eine Firma, die 100.000.000 Euro wert ist, und die laut Eintrittswahrscheinlichkeit ein Risiko von 1:1.000.000 zu tragen hat, dass sie einen Gesamt-IT-Ausfall hat, der länger als 7 Tage dauert, und sie damit pleite geht, trägt ein mathematisches Risiko von genau 100 Euro. Nach der Risikomanagement-Formel, die ich einmal gelernt habe, die richtige Rechnung. Weit gefehlt. Dieses so genannte statische Risikomanagement sollte tabu sein. So einfach ist es nämlich nicht. Andere Aspekte müssen einfließen. Risikomanager von Rückversicherungen, von Börsen und Banken wissen das (zum Teil (:-) ) besser. Nur leider haben nicht nur diese zwei Branchen mit IT-Risiken zu kämpfen.

Natürlich können alle Firmen ihre Geschäftsrisiken immer besser einschätzen. Spätestens wenn jeder CFO in einem Wutanfall die vermeidbaren Schäden in seiner Bilanz kompensieren muß, wird es ernst. Dann kennt man die Schäden. Besser wäre es, das Risiko genauer zu kennen. Dazu fehlt es meistens an einer IT-Risikostrategie, und ist sie vorhanden, an einer guten. Die meisten IT-Risikostrategien heutiger Unternehmen, selbst jener, die sich laut eigener Werbung für innovativ halten, bestehen aus einem Excel-Sheet. Die Verantwortlichen aus der IT werden oft gar nicht, oder sehr oft nicht ausreichend in die allgemeine Strategie zur Bekämpfung von Geschäftsrisiken eingebunden. „Wir haben doch eine interne Rückversicherung etabliert“. Stimmt, aber das bring nur mehr Liquidität in der Größenordnung von 15%. Immerhin!

Laut einer Studie von Computer Associates und dem britischen Analyse- und Forschungsunternehmen Freeform Dynamics geben 60 Prozent der Befragten an, dass die Geschäftsrisiken für ihr Unternehmen einen wichtigen Agendapunkt darstellen, doch nur 30 Prozent der IT-Leiter sind an Diskussionen zum Thema Geschäftsrisiko auf Unternehmensebene beteiligt (Quelle: Computer Associates News).  Es verhält sich wie …99 Prozent der Unternehmen geben an Virenschutz einzusetzen, und 86 Prozent berichten dennoch über Infektionen…

Stellen Sie sich nun bitte ein großes Unternehmen vor. Wenn es der IT-Leiter dort nicht mitbekommt, wird es nie bis zum IT-Risikomanager durchdringen, der meistens in der IT ein paar Stufen tiefer aufgehängt ist. Das Excel-Sheet ablösende Technologien werden zu selten eingesetzt (siehe mein Artikel zu eDiscovery). Die Devise heißt immer wieder “…wird schon alles gut gehen…Weihnachten und Ostern fallen auf einen Tag”, aber genau so ist es nicht. Standards in der Bewertung der Risiken und Beurteilung der IT gehen nicht einher mit Standards für IT-Sicherheit, Datenschutz – und nur selten – mit ganzheitlicher Unternehmenssicherheit (Corporate Risk Governance – Security Governance). Da werden Risikomanagementberichte beschönigt, obwohl man weiß, dass ganze Unternehmensableger z.B. keine Disaster- Recovery-Vorkehrungen – ob Plan oder Systeme oder beides NICHT – erstellt haben. Das sind grobe Risiken. Geht man ins Detail, so gibt es mindestens genauso viele feine Risiken etwa beim Informationszugriff, Schutz vor Malware, bei der Authentifizierung, verteilte Datenzugriffe, im Dokumentenmanagement, bei der Archivierung, GobS, GDPdu, u.v.m., die keine Berücksichtigung finden. Das Thema endet leider erst wieder in einem Report der IT-Governance, des IT-Sicherheits- bzw. IT-Risikomanagers an den IT-Leiter. Leider alles Daten, die zwar schön aufbereitet sind, aber leider auf falschen Tatsachen basieren. Das legt man besser beiseite. Auch wird mitunter nicht berichtet, dass die Summe von Einzelrisiken die Eintrittswahrscheinlichkeit eines Disasters (z.B. 40 Prozent wahrscheinlich bei übersteigenden 5 Millionen Euro Schaden) übersteigen könnten, denn woher sollte es der Risikomanager wissen? Alle berichten fröhlich im Chor, dass sie keine Risiken dieser Größenordnung haben. Und doch entstehen sie, treten ein und sorgen für ein Loch in der Kasse. Jahr für Jahr. Selbst Audit-Reports weisen darauf hin, aber so viele Reports? Wer soll die alle lesen und bearbeiten, und woher das viele Geld nehmen, um die Lücken zu schließen? Das macht die IT-Governance. Wird schon alles gut gehen.

Compliance wird derzeit für sich betrachtet. Man möchte ja nicht alles noch komplizierter machen. Sicherheitsmanager lehnen die Verantwortung für das Thema ab – und das mit Recht, denn sie sind ja keine Anwälte. Reporting? ”Nein…das haben wir noch nicht”. Jahr für Jahr liegt die Betonung auf “noch”. Leider braucht man das Reporting aber noch für Korrelation und Forensik, nun ja, “das haben wir dann eben auch noch nicht”. Dann aber bitte noch mehr Mobilität, und nach dem Laptop auch noch Kleinstcomputer wie PDAs einführen. Infrastrukturmanager werden ständig durch den Technologiehunger von IT-Leitern oder Vorständen unter Druck gesetzt. Nicht erst einmal das richtig nutzen, was schon eingeführt wurde. Nein, neues muß her, das hatte der IT-Leiter des anderen Unternehmens, den man in der VIP Lounge am Flughafen getroffen hat, das brauchen wir nun auch. Kleinkram wie Smartphones, PDAs oder Blackberry’s werden erst gar nicht in der Risikobilanz berücksichtigt. Zumal es Unternehmen in Deutschland geben soll, die durch eingetretene Schäden nicht davor abweichen, einen Blackberry zu nutzen, auch wenn sie dadurch schon abgehört wurden, das ist alles kein Risiko.

Um das Thema in den Griff zu bekommen, muß man erst einmal eine richtige Organisation aufbauen, die Corporate Risk Management heißt, und die Risiken des gesamten Unternehmens steuert. Sie sollte auf keinen Fall in der IT aufghängt sein.
Ich bin davon überzeugt, dass die Informationssicherheit nicht in der IT aufgehängt sein sollte, auch wenn ich hier Herrn Tom Scholtz von Gartner sehr widerspreche. Überall, wo ich bisher die Informationssicherheit eingerichtet, oder in der Informationssicherheit gearbeitet habe, und wo die Informationssicherheit in der IT angesiedelt war, hat es meistens nicht richtig funktioniert. Das summen Kollegen aus vielen deutschen und internationalen Unternehmen im Chor. Die Informationssicherheit und das IT-Risikomanagement sollten allenfalls Standbeine in die IT haben. Der Berichtsweg sollte ganz weit weg, und damit gar nicht erst in die IT sein. Man sollte an Corporate Risk Management/Corporate Governance berichten, das/die an die Finanz oder besser noch an den Vorstand für Unternehmenssicherheit berichtet. Ein Konzernleiter beziehungsweise Vorstand für Unternehmenssicherheit. In der Geschäftsführung. Alle Themen laufen bei ihm zusammen. Eine sehr wichtige Position. Unternehmensrisiken konsolidieren, das geht nur gemeinsam mit den anderen, die Risiken steuern. Für die IT reicht es, dass jemand existiert, der es in der IT umsetzen kann. Letzteres ist nur die Ausführung (operative IT-Security) und sollte nicht überbewertet werden. Zumal sind es sehr oft Provider, die es dann umsetzen, zumindest in Grossunternehmen. 

IT-Leiter müssen sich verstärkt von dem Gedanken lösen, dass sie für den Themenbereich Informationssicherheit zuständig sind. Sie sind ausführende Gewalt (operativ) und Zulieferer, betreuen die Firewalls, sonst nichts. Ich gestalte Forensik ganz sicher nicht in der IT, lasse sie aber durch die IT ausführen. So verhält es sich auch mit der Informationssicherheit und ganz klar mit dem IT-Risikomanagement.

IT-Sicherheit und IT-Risikomanagement müssen raus aus der IT!!! Wird schon alles gut gehen…

27.07.2010
Alexander Tsolkas