1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

Transkript

1 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig genannt. Durch IT sind viele neuartige Produkte und Dienstleistungen entstanden, die Zusammenarbeit zwischen Unternehmen hat sich wesentlich verändert. Fragen der Informationssicherheit und des Datenschutzes rücken zunehmend in den Vordergrund, wie Datenschutzskandale, etwa einer Suchmaschine, eines Social-Network-Anbieters und mehrerer US-Telefongesellschaften und IT-Provider, verdeutlichen. Unter diesen Bedingungen IT erfolgreich zu steuern, setzt ein hohes Maß an fachlicher und sozialer Kompetenz, effektiven und effizienten Methoden, Erfahrung und Geschick voraus. Davon betroffen sind nicht nur Unternehmen, sondern Organisationen jeder Art. Alle öffentlichen (staatlichen und nichtstaatlichen) Einrichtungen werden daher ebenso in die folgenden Überlegungen einbezogen wie gemeinnützige Organisationen, auch wenn einheitlich der Begriff»Unternehmen«verwendet wird. Zum Streben nach bestmöglicher IT-Unterstützung aller Geschäftsprozesse kommt die Verpflichtung, das Unternehmen und seine Eigentümer vor Schaden durch die IT zu bewahren. Denn mit den vielfältigen neuen Herausforderungen gehen zwangsläufig neue Bedrohungen und Verwundbarkeiten einher. Was passiert, wenn die IT nicht verfügbar ist? Wenn sie Fehler in den Geschäftsprozessen verursacht, die Missbrauch, Datenmanipulation oder Datenspionage ermöglicht? Nicht alles lässt sich durch verantwortungsvolle Führung verhindern, wohl aber kann verlangt werden, dass das Unternehmen vorbereitet ist und angemessene Gegenmaßnahmen ergreift. Sich über mögliche Bedrohungen und Verwundbarkeiten zu informieren, ist deshalb eine zentrale Forderung an die IT-Leitungsebenen. Es geht dabei um einen zielorientierten und besonnenen Umgang mit einer künftigen Situation, auf die man sich bereits heute einstellen muss. Das erfordert

2 2 eine genaue Kenntnis der gegenwärtigen Situation in der IT und im Gesamtunternehmen. Gegenmaßnahmen kosten Zeit und Geld. Zu schnell kann aus übertriebener Sorge zu viel investiert werden. Dieser Endpunkt im Kontinuum des Aufwands verbietet sich ebenso wie der Anfangspunkt geringstmöglichen Aufwandes, der auf zu großem Optimismus baut. Ziel aller Bemühungen und Überlegungen ist es, in betriebswirtschaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhalten, deutlich zu reduzieren oder ihre Auswirkungen zu begrenzen. Der Anwendungsbereich dieser Überlegungen (vgl. Abb. 1 1) erstreckt sich auf alle IT-Systeme Eingeschlossen sind Großrechner ebenso wie Server und Arbeitsplatzrechner, aber auch alle mobilen Geräte sowie IT-Infrastrukturelemente (bspw. Appliances), wie Firewalls, Router oder zentrale Speichersysteme (SAN). Software Dazu zählen neben Software zur Unterstützung der unterschiedlichen Geschäftsprozesse auch das Betriebssystem und andere für den IT-Betrieb notwendige Software (Middleware), ebenso Spezialsoftware in IT-Systemen (Firmware), unabhängig davon, ob die Software bereits eingesetzt oder noch entwickelt wird. Daten bzw. Informationen Eingeschlossen sind alle Daten zur Konfiguration und Administration von Software sowie Dokumente mit IT-Bezug. IT-Prozesse zur Unterstützung von Geschäftsprozessen, aber auch administrativer IT-Betriebsabläufe, wie Datensicherungen. organisatorischen Regelungen, wie Berechtigungen und Verantwortlichkeiten. sonstigen IT-Ressourcen Personen und Organisationseinheiten, die in irgendeiner Form einen Bezug zu den genannten Elementen haben. Der Begriff IT-Organisation umfasst dabei organisatorische Regelungen (Ablauforganisation) und Organisationseinheiten (Aufbauorganisation) mit IT-Bezug. Zur IT-Organisation gehören demzufolge die IT- Abteilung sowie Bereiche und Rollen in den Fachabteilungen mit IT- Bezug.

3 3 IT-Prozesse implementieren organisatorische Regelungen machen Vorgaben Personen Organisationseinheiten sonstige Ressourcen Abb. 1 1 Informationssystem bilden fachliche Logik ab und steuern nutzen Daten nutzen werden verarbeitet, gespeichert, ein- und ausgegeben Software IT-System Anwendung oder System zur Anwendungsentwicklung Zusammengenommen bilden die beiden ersten Elemente eine Anwendung oder ein System für die Anwendungsentwicklung. Alle sieben Elemente beschreiben ein Informationssystem. Die Disziplin, die sich mit Risiken aus dem Betrieb und der Nutzung solcher Informationssysteme befasst, wird IT-Risikomanagement genannt. Definition Aufbau des Buches und Hinweise zur Nutzung der Praxiselemente Das Buch gliedert sich in vier größere Themenbereiche (vgl. Abb. 1 2). IT-Risiko (Kapitel 2) IT-Risikomanagement (Kapitel 3) Aufbauorganisation des IT-Risikomanagements (Kapitel 4) IT-Risikomanagement-Prozess (Kapitel 5) Methoden und Werkzeuge für das IT-Risikomanagement (Kapitel 6) Risikomanagement im IT-Betrieb (Kapitel 7) Einführung des IT-Risikomanagements (Kapitel 9) Das Interne Kontrollsystem in der IT (Kapitel 10) Prüfung des IT-Risikomanagements (Kapitel 11) Risikomanagement in IT-Projekten (Kapitel 8) Grundbegriffe Elemente Einsatz weiterführende Aspekte Abb. 1 2 Struktur des Buches

4 4 Der erste Themenbereich (Kap. 2 und 3) legt die begrifflichen Grundlagen. Der zweite Themenbereich (Kap. 4 bis 6) behandelt die Organisation des IT-Risikomanagements, den IT-Risikomanagement-Prozess sowie Methoden, Werkzeuge und Dokumente des IT-Risikomanagements. Der dritte Themenbereich (Kap. 7 bis 9) betrachtet das IT-Risikomanagement im IT-Betrieb und in IT-Projekten sowie Schritte zu seiner Einrichtung. Der vierte Themenbereich (Kap. 10 und 11) stellt das Interne Kontrollsystem und seine Bedeutung für das IT-Risikomanagement dar und erläutert die Prüfung des IT-Risikomanagements hinsichtlich Angemessenheit und Wirksamkeit. Ein wichtiges Ziel ist es, die Theorie des IT-Risikomanagements für die Praxis aufzubereiten. Dazu hebt das Buch wichtige Definitionen hervor, ergänzt die Theorie durch kleine (Anwendungs-)Beispiele und hilft bei der Umsetzung durch Praxishinweise, konkrete Handlungsempfehlungen und Muster als Anregung für die Erstellung eigener Checklisten. Ein Praxishinweis ist erkennbar am Hinweis in der Marginalspalte und einem grau unterlegten Kasten: Praxishinweis Konkrete Fragestellung Als Antwort auf die jeweilige Fragestellung sind in einem Praxishinweis wichtige Erfahrungen in knapper Form zusammengefasst. Handlungsempfehlungen sind gekennzeichnet durch einen Hinweis in der Marginalspalte und eine Schritt-für-Schritt-Empfehlung zur Umsetzung: Handlungsempfehlung Schritt-für-Schritt-Empfehlung für die Bearbeitung einer bestimmten Fragestellung Schritt 1 Schritt 2 Handlungsempfehlung Inhaltlich nächste Aktivität, gegebenenfalls Alternativen, Bedingungen Checklisten enthalten Punkte, die bei der Beschäftigung mit einer Aufgabe Berücksichtigung finden sollten. Sie sind in der Marginalspalte gekennzeichnet und als Tabelle ausgestaltet. Checkliste Checkliste zur Aufgabenstellung 1. Zu beachtender Aspekt, gegebenenfalls mit Unterpunkten 2. Weitere Frage im Kontext Grad der Erfüllung/Abdeckung, Statusinformation nicht erfüllt, erfüllt, kann aber noch verbessert werden, erfüllt

5 5 Wie können Vorlagen und Überlegungen aus Büchern, Zeitschriften und dem Internet im eigenen Unternehmen eingesetzt werden? Beim Auf- und Ausbau des eigenen IT-Risikomanagements können viele Anregungen hilfreich sein. Allerdings ist eine direkte Übernahme von Inhalten selten möglich. Eine Anpassung an die individuellen Verhältnisse ist meist notwendig, auch wenn der Beitrag das Gegenteil suggerieren sollte. In der Regel müssen Begriffe in die Sprachwelt des Unternehmens übertragen werden. inhaltliche Details zu Prozessen und der IT auf Übereinstimmung geprüft und angepasst werden. Dies betrifft beispielsweise verwendete Systematisierungen, Klassifizierungen, Einheiten, Farbcodes und Symbole. Besonderheiten des eigenen Unternehmens ergänzt werden. Dabei handelt es sich meist um Spezifika aus der Geschäftstätigkeit, die im Dialog mit den betroffenen Fachabteilungen ermittelt werden müssen. Praxishinweis