DIE HERAUSFORDERUNG

Das interne IT-Risikomanagement (ITRM) des Kunden war auf einem seit Jahren etablierten Niveau, wurde jedoch kaum angewandt. Die Prozessdokumente waren unvollständig und nur bedingt nutzbar. Nicht alle Mitarbeitenden wussten von spezifischen ITRM-Anforderungen, vielen waren lediglich die Anforderungen aus dem Konzernrisikomanagement bekannt.

In Bezug auf das Risikomanagement des Konzerns existierten bereits zahlreiche Vorgaben für die IT. Diese mussten im Aufbau des ITRM Berücksichtigung finden. Teilweise war der Sprachgebrauch im Konzernrisikomanagement und im ITRM widersprüchlich.

Zunächst bezog sich das ITRM nur auf Risiken, die die Hard- und Softwaresysteme betrachten. Neben dem Schutz dieser Systeme dient es auch dem Schutz von analogen Systemen/Informationsquellen. Die Fehlerquelle „User“ wurde nur bedingt einbezogen.

In seiner bestehenden Form war das ITRM nicht verwendbar. Dies galt insbesondere für Cloud-Initiativen, die sonst daraus Mehrwerte durch angemessene Prozesse zur Einschätzung der Risikolage ziehen könnten.

UNSER LÖSUNGSVORSCHLAG

Um die Prozesse des Risikomanagements für die IT im Unternehmen in Hinblick auf Sicherheit und Cloud-Projekte zu optimieren, wurde ein ISO/IEC 27005 orientierter Ansatz gewählt. Hierfür erfolgte eine Näherung über die betrachteten Assets und den Scope des ITRM. Die relevanten Bedrohungen wurden im nächsten Schritt identifiziert, um daraufhin Schwachstellen für die Bedrohungen zu finden. Abschließend wurde ein Risikoszenario entwickelt, welches nach Schadensausmaß und Eintrittswahrscheinlichkeit bewertet wurde. Eine priorisierte Liste der Risiken wurde für die weitere Arbeit nach dem Risiko-Assessment für das Management ausgearbeitet.

Das Schaubild zeigt den Ablauf einer Risikoüberprüfung

Im Zuge der Implementierung wurden Dokumente erarbeitet, um den Prozess des ITRM in die vorhandenen Strukturen einzuarbeiten. Dieser Prozess wurde im Konzernrisikomanagement verankert. Ein weiterer wichtiger Bestandteil war die Befähigung der Mitarbeitenden, das ITRM im laufenden Betrieb aufrecht zu erhalten. Die Sensibilisierung für Risiken aus der IT fand während des Projektes statt.

ERZIELTE ERFOLGE DES PROJEKTS

Ein ITRM-Prozess wurde implementiert. Der Prozess wurde in die vorhandenen Strukturen eingearbeitet. Ein systematisches Herangehen zur Identifikation und Behandlung von Risiken aus der IT wurde etabliert.

Damit verbunden konnten bisher nicht genutzte Potenziale gehoben und für Cloud-Initiativen und generelle Projekte genutzt werden. Das ITRM wurde wieder ein fester und unterstützender Bestandteil konzernrelevanter Prozesse.

Lessons Learned

Die Arbeit mit den Nutzern des Prozesses hat sich als zentraler Faktor für den Erfolg der Implementierung herausgestellt. Ohne die notwendige Befähigung der Anwender wäre ein erfolgreicher Projektabschluss nicht möglich gewesen und für den Kunden kein nutzbarer Prozess entstanden, da das Know-how an vielen Stellen fehlte. Der Schulungsaufwand und der einheitliche Sprachgebrauch sind als Herausforderungen nicht zu unterschätzen.