IT-Risiken

Die Bedeutung von IT-Sicherheit für die Unternehmen

Die IT hat in den letzten Jahren für die Unternehmen wesentlich an Bedeutung gewonnen. Während früher die IT als „black box“ Mittel zum Zweck war, wird die IT heute als ein entscheidendes Erfolgspotential für effizientere und transparente Unternehmensprozesse bewertet.

Wesentliche Unternehmensprozesse werden durch die IT unterstützt bzw. erst ermöglicht. Neue Märkte und neue Produkte werden durch neue Technologien erreicht bzw. erst möglich. Bei all den Chancen und neuen Möglichkeiten muss die Frage nach der IT-Sicherheit bzw. den mit den neuen Entwicklungen verbundenen Risiken gestellt werden.

Die IT nur als Erfolgsfaktor und nicht auch als Risikoquelle zu betrachten, bedeutet den möglichen Erfolg zu gefährden.

IT-Sicherheit beginnt mit strategischen und konzeptionellen Vorgaben

Aus diesem Grund ist es notwendig, eindeutige Vorgaben an die IT-Sicherheitsstrategie, verbunden mit den
IT-Sicherheitszielen zu erlassen und zu kommunizieren, sowie die zur deren Erreichung notwendige
IT-Sicherheitsmaßnahmen einzurichten sowie permanent zu kontrollieren.

Denn es gilt, den Einsatz der IT so zu steuern, dass die Unternehmensprozesse sicher und anforderungsgerecht funktionieren und die Vermögenswerte gesichert werden.

Die aus der Unternehmensstrategie abgeleitete IT-Sicherheitsstrategie bildet die unternehmensspezifischen Rahmenbedingungen für die IT-Sicherheit.

Bei der Erarbeitung des darauf basierenden IT-Sicherheits-konzeptes sind die IT-Risiken zu definieren und Maßnahmen zu deren Abwendung zu ergreifen.

IT-Sicherheit ist kein statischer Zustand, sondern ein dynamischer, risikoorientierter Prozess, der permanent überwacht und weiterentwickelt werden muss

Im Rahmen des Risikomanagementsystems muss die permanente und zeitnahe Überwachung dieser IT-Risiken erfolgen sowie die zeitnahe Erfassung neu hinzukommender Risiken. Je nach Größe und Komplexität des Unternehmens und der Bedeutung der IT im Unternehmen kann dies auch erfordern, dass dafür eine Organisationseinheit oder Stelle eingerichtet wird.

Durch die IT-Revision erfolgt ebenfalls die Betrachtung der IT-Risiken, ausgehend von festzustellenden Schwachstellen, allerdings nicht permanent, sondern rollierend auf der Grundlage von festgelegten Prüfungsplänen oder Anlass bezogen.

Der Wirtschaftsprüfer beschäftigt sich im Rahmen seiner Tätigkeiten zur Prüfung des Jahresabschlusses gleichfalls mit IT-Risiken. Diese beurteilt er hinsichtlich der möglichen Auswirkungen auf die Rechnungslegung.

Die Kommunikation der dabei erkennbaren Risiken aus dem Risikomanagementsystem, IT-Revision und anderer externer Prüfungen ist zwingende Voraussetzung für die Weiterentwicklung der IT-Sicherheitsstrategie.

Es gilt, zum einen eine IT-Sicherheitsstrategie festzulegen und umzusetzen, sowie ein Risikomanagementsystem bezogen auf die IT-Risiken einzurichten bzw. auszurichten.

Erfolgsfaktoren für ein erfolgreiches, auf IT-Risiken ausgerichtetes Risikomanagementsystem

Die Anforderungen an die IT-Sicherheit müssen eindeutig und verbindlich von dem Management definiert sein.

IT-Risiken müssen auf der Grundlage von Sicherheitspolitik und Sicherheitsrichtlinien permanent überwacht und kommuniziert werden. Das Management und die Führungskräfte müssen lernen, dass IT-Risiken steuerbar sind.
IT-Risikoprozesse müssen in die Geschäftsabläufe des Unter-nehmens eingebunden sein. Die Verantwortlichen und jeder mit der IT befasste Mitarbeiter müssen für IT-Risiken sensibilisiert sein.

Der Stellenwert von IT-Sicherheitsvorkehrungen für den Geschäftsbetrieb

Wesentliche Unternehmensprozesse werden heute oft durch komplexe und integrierte IT-Systeme unterstützt bzw. gesteuert. In diesen Fällen ist die IT-Sicherheit eine wesentliche Voraussetzung für die Funktionssicherheit von Unternehmensprozessen, für die Verfügbarkeit und Integrität von Daten und Programmen sowie für den Schutz von Vermögenswerten.

Unterbrechungen im Arbeitsablauf, hervorgerufen durch fehlende Sicherheitsvorkehrungen in den IT-Systemen, verbunden mit Schwachstellen in der internen Kontrolle, führen zu vermögensgefährdenden Zeitverlusten und Kosten-steigerungen.

Die Maßnahmen zum Schutz der Funktionsfähigkeit betrieblicher Prozesse und des Unternehmensvermögens durch Vermeidung, Abwehr bzw. frühzeitiger Erkennung von unternehmens-gefährdenden Indikatoren müssen zeitnah betrachtet und permanent verifiziert werden.

Wesentliche Schritte zu einem erfolgreichen IT-Sicherheitskonzept

Die IT-Sicherheit wird nicht durch isolierte Einzelmaßnahmen erreicht, sondern durch ein integriertes
IT-Sicherheitskonzept. Am Anfang eines Sicherheitskonzeptes steht die, an die Unternehmensaufgabe und -prozesse ausgerichtete IT-Sicherheitsstrategie und -politik.

Darauf Bezug nehmend wird das IT-Sicherheitskonzept erstellt, in dem zunächst eine Schutzbedarfsanalyse durchgeführt wird. Im Ergebnis der Schutzbedarfsanalyse werden die wesentlichen IT-Schutzmaßnahmen definiert und umgesetzt.

Die Sensibilität für die IT-Sicherheit als Indikator für die Prozess-Sicherheit ist die Voraussetzung für das Verständnis von notwendigen IT-Sicherheitsmaßnahmen. Es wäre fatal, erst dann über IT-Sicherheitsmaßnahmen nachzudenken, wenn bereits Schäden entstanden sind, da es das Ziel sein muss, durch geeignete Maßnahmen, Schäden zu vermeiden.

Praxisbezogene Fragestellungen zur Einschätzung der vorhandenen IT-Sicherheit

Folgende grundsätzliche Fragen an die IT-Sicherheit als erster Indikator für die Prozess-Sicherheit haben sich bewährt:

Ist die Bedeutung der IT im Unternehmen bekannt?

  • Wie groß ist im Unternehmen die Abhängigkeit der Geschäftsprozesse von der Funktionsfähigkeit der IT?
  • Besteht im Unternehmen die Transparenz über die maximal tolerierbare Dauer eines IT-Ausfalles?
  • Welche vorbeugenden Maßnahmen zur Vermeidung eines Ausfalls der IT sind im Unternehmen getroffen worden?
  • Wie ist das Unternehmen auf einen Ausfall der IT vorbereitet?
  • Sind verbindliche Verfahren für einen sicheren und organisierten Notbetrieb vorhanden?
  • Sind angemessene Maßnahmen zur Zutritts- und Zugangssicherheit getroffen worden?
  • Ist die Zugriffssicherheit von innen und von außen sichergestellt?

Fazit:

Erst wenn die Fragestellung an die Auswirkung eines Ausfalls der IT-Systeme betriebswirtschaftlich und prozessorientiert beantwortet ist, kann eine unternehmerische Einschätzung und Entscheidung über notwendige
IT-Schutzmaßnahmen sinnvoll getroffen werden.

In diesem Zusammenhang stellt sich die Frage, wie lange das Unternehmen einen Ausfall der IT ohne wesentliche Schäden ertragen bzw. überleben kann.

Viele Unternehmen wissen das konkret noch nicht!!

Die Unternehmen haben zwei Möglichkeiten, entweder darauf zu warten, um den entstandenen Schaden festzustellen oder eine vorsorgliche Risikoanalyse und Schutzbedarfsanalyse durchzuführen und darauf basierend ausreichende
IT-Sicherheitsmaßnahmen einzurichten.