DER AUFTRAG
Vor dem Hintergrund einer angekündigten externen Prüfung, sollten die Prozesse rund um das IT-Risikomanagement (ITRM) betrachtet, sowie Schwachstellen und Bedrohungen identifiziert werden. Im Weiteren sollte das ITRM auf eine ISO 27001 Zertifizierung vorbereitet werden.
ÜBER DAS UNTERNEHMEN
Bei dem Kunden handelt es sich um den IT-Dienstleister eines großen deutschen Versicherungskonzerns. Der Konzern beschäftigt Das Unternehmen beschäftigt knapp 700 Mitarbeitende.
Monate
Projektdauer
Mitarbeitende
kundenseitig
Mitarbeitende
direkt gruppe
befähigte
Mitarbeitende
überarbeitete
Prozesse
eingeführter
Prozess
DIE HERAUSFORDERUNG
Das interne IT-Risikomanagement (ITRM) des Kunden war auf einem seit Jahren etablierten Niveau, wurde jedoch kaum angewandt. Die Prozessdokumente waren unvollständig und nur bedingt nutzbar. Nicht alle Mitarbeitenden wussten von spezifischen ITRM-Anforderungen, vielen waren lediglich die Anforderungen aus dem Konzernrisikomanagement bekannt.
In Bezug auf das Risikomanagement des Konzerns existierten bereits zahlreiche Vorgaben für die IT. Diese mussten im Aufbau des ITRM Berücksichtigung finden. Teilweise war der Sprachgebrauch im Konzernrisikomanagement und im ITRM widersprüchlich.
Zunächst bezog sich das ITRM nur auf Risiken, die die Hard- und Softwaresysteme betrachten. Neben dem Schutz dieser Systeme dient es auch dem Schutz von analogen Systemen/Informationsquellen. Die Fehlerquelle „User“ wurde nur bedingt einbezogen.
In seiner bestehenden Form war das ITRM nicht verwendbar. Dies galt insbesondere für Cloud-Initiativen, die sonst daraus Mehrwerte durch angemessene Prozesse zur Einschätzung der Risikolage ziehen könnten.
UNSER LÖSUNGSVORSCHLAG
Um die Prozesse des Risikomanagements für die IT im Unternehmen in Hinblick auf Sicherheit und Cloud-Projekte zu optimieren, wurde ein ISO/IEC 27005 orientierter Ansatz gewählt. Hierfür erfolgte eine Näherung über die betrachteten Assets und den Scope des ITRM. Die relevanten Bedrohungen wurden im nächsten Schritt identifiziert, um daraufhin Schwachstellen für die Bedrohungen zu finden. Abschließend wurde ein Risikoszenario entwickelt, welches nach Schadensausmaß und Eintrittswahrscheinlichkeit bewertet wurde. Eine priorisierte Liste der Risiken wurde für die weitere Arbeit nach dem Risiko-Assessment für das Management ausgearbeitet.

Das Schaubild zeigt den Ablauf einer Risikoüberprüfung
Im Zuge der Implementierung wurden Dokumente erarbeitet, um den Prozess des ITRM in die vorhandenen Strukturen einzuarbeiten. Dieser Prozess wurde im Konzernrisikomanagement verankert. Ein weiterer wichtiger Bestandteil war die Befähigung der Mitarbeitenden, das ITRM im laufenden Betrieb aufrecht zu erhalten. Die Sensibilisierung für Risiken aus der IT fand während des Projektes statt.
ERZIELTE ERFOLGE DES PROJEKTS
Ein ITRM-Prozess wurde implementiert. Der Prozess wurde in die vorhandenen Strukturen eingearbeitet. Ein systematisches Herangehen zur Identifikation und Behandlung von Risiken aus der IT wurde etabliert.
Damit verbunden konnten bisher nicht genutzte Potenziale gehoben und für Cloud-Initiativen und generelle Projekte genutzt werden. Das ITRM wurde wieder ein fester und unterstützender Bestandteil konzernrelevanter Prozesse.
Lessons Learned
Die Arbeit mit den Nutzern des Prozesses hat sich als zentraler Faktor für den Erfolg der Implementierung herausgestellt. Ohne die notwendige Befähigung der Anwender wäre ein erfolgreicher Projektabschluss nicht möglich gewesen und für den Kunden kein nutzbarer Prozess entstanden, da das Know-how an vielen Stellen fehlte. Der Schulungsaufwand und der einheitliche Sprachgebrauch sind als Herausforderungen nicht zu unterschätzen.
Kommentar des Projektleiters

Consultant Risikomanagement und Public Cloud – Kristijan Lipic
Nach Startschwierigkeiten aufgrund von unterschiedlichen Definitionen und einem divergierenden Verständnis der relevanten Begriffe, wurden in einem kurzen Zeitraum wertvolle Ergebnisse erzielt. Die Zusammenarbeit gestaltete sich im Weiteren als sehr produktiv und zielorientiert.
Der enge und regelmäßige Austausch über die Dokumente half bei der Erarbeitung von nutzbaren Ergebnissen. Die Verbindung von internen und externen Experten unterstützte die Wissensvermittlung und half mit Best Practices und Erfahrung, diesen gemeinsamen Erfolg zu erzielen.
Kontakt
Hamburg
Köln
Im Mediapark 6b
50670 Köln
München
Landaubogen 1
81373 München
Paderborn
Technologiepark 9
33100 Paderborn