Auswirkungen des CObIT-Konzept

Beschreiben Sie, auf welche Aufgabenbereiche des strategischen Informationsmanagements das CObIT-Konzept Auswirkungen hat.

„Generelle Immunität gegen IT-Sicherheitsrisiken gibt es nicht.“ Daran ist nicht nur das knappe IT-Budget schuld sondern auch die Komplexität der IT spielt eine wichtige Rolle.

Abhelfen kann ein gezieltes Risikomanagement, indem es die Einflussfaktoren genau untersucht und transparent macht. „Projektrisiken können durch gezielte und umfassende Planung unter Kontrolle gehalten werden.“ Die Probleme die auftreten können sind von vielfältiger Natur und nicht leicht abzuwehren.

Am Anfang steht die Schutzbedarfsfeststellung. „Sie liefert die Grundlage für Vereinbarungen zur Entwicklung, Wartung und Betrieb der jeweiligen IT-Anwendung, der Wert dieser Anwendung wird darin aus fachlicher Sicht beschrieben. Bezüglich der IT-Sicherheit lauten die Schutzziele Verfügbarkeit, Vertraulichkeit, Verbindlichkeit und Integrität.“ Um diese Maßnahmen zu erreichen z.B. auf unbefugten Zutritt, gesetzliche Bestimmungen, Empfindlichkeit der Soft- und Hardware sowie Anwendungsfehler zu identifizieren und durchzuführen – im Bestfall bereits im Rahmen der Entwicklung. Dafür bedarf es einer Abstimmung, die es ermöglichen jede Anwendung in sehr hohen, hohen, mittleren und niedrigen Schutzbedarf einzustufen. „Die Einstufung definiert, inwieweit die jeweilige Anwendung kritisch für den wirtschaftlichen Erfolg ist.“

Anwendungen mit mittleren oder niedrigen Schutzbrief werden durch den Grundschutzbrief abgedeckt – sichergestellt durch die Ausstattung und die Abläufe der IT-Abteilung. „Der Grundschutz lässt sich nach Bedarf ausgestalten.“ Anknüpfspunkte findet man im IT-Grundschutzhandbuch (BIS) oder in einem Standard für IT-Organisation und Prozesse wir CObIT.

Für Anwendungen mit höherem Schutzbedarf wird eine anwendungsspezifische Risikosammlung und Analyse durchgeführt, welche die Hard- und Software, Schnittstellen, Organisationen und Abläufe berücksichtigt. Die dann folgende Risikobewertung beinhaltet die Eintrittswahrscheinlichkeit und die qualitativen sowie quantitativen Auswirkungen der Risiken, d.h. die Höhe des potenziellen Schadens. „Die Risiken und Auswirkungen werdenaggregiert, so lässt sich das Gesamtrisiko für die Geschäftstätigkeit des Unternehmens im Zusammenhang mit der betrachteten Anwendung feststellen.“ Maßnahmen sollen entweder die Eintrittswahrscheinlichkeit oder die Schadenshöhe vermindern.

Dies betrifft technische, organisatorische, administrative und bauliche Prozesse. Es kommen auch Delegation und Transfer über Verträge und Versicherungen in Frage. Unerlässlich für den optimalen Schutz ist natürlich die Kosten- / Nutzenbetrachtung. Daher wird der Maßnahmenkatalog nicht alle möglichen Schritte enthalten. Trotzdem gewinnen Unternehmen so einen Status, in dem sie wissen, was sie tun und was sie bewusst unterlassen.

Für die Fortführung der Geschäftstätigkeit ist ein vorausschauendes Risikomanagement unerlässlich. „Der strukturierte Umgang mit dem Thema Risiko schafft Klarheit und Transparenz – das Verfahren ist anpassbar auf Unternehmensgröße und Brache.“ Auch wenn ein Restrisiko bleibt, die Abhängigkeit kann so in Kauf genommen werden. (vgl. http://www.ap-verlag.de)

(oben)