20060708t Risikoanalyse SecuRisk
|
|
|
»manage
it«
als
|
Hersteller- und produktneutrale Analyse der InformationstechnologieKernprozesse schützen
Die Identifizierung von wertschöpfenden, schützenswerten Kernprozessen und möglichen Engpässen eines jeden Unternehmens ist von zentraler Bedeutung und sollte Gegenstand einer umfassenden Analyse der Informationstechnologie sein. IT-Sicherheit wird zunehmend wichtiger, denn neben unmittelbaren Schäden ist ein Ausfall immer häufiger mit weiteren Kostentreibern wie verschärften Vorschriften der Versicherer und erhöhten Kreditkosten verbunden, von den haftungsrechtlichen Folgen für Unternehmensverantwortliche ganz abgesehen.
ie Identifizierung von wertschöpfenden, schützenswerten Kernprozessen und möglichen Engpässen eines jeden Unternehmens ist von zentraler Bedeutung und sollte Gegenstand einer umfassenden Analyse der Informationstechnologie sein. IT-Sicherheit wird zunehmend wichtiger, denn neben unmittelbaren Schäden ist ein Ausfall immer häufiger mit weiteren Kostentreibern wie verschärften Vorschriften der Versicherer und erhöhten Kreditkosten verbunden, von den haftungsrechtlichen Folgen für Unternehmensverantwortliche ganz abgesehen. Werden die Vorgaben von Basel II ab Januar 2007 Gesetz, sind Banken verpflichtet, vor jeder Kreditvergabe zu prüfen, wie es um die Zuverlässigkeit des kreditsuchenden Unternehmens steht. IT-Sicherheit wird dann als operationelles Risiko bei der Vergabe von Krediten noch stärker als bisher berücksichtigt. Um den Grad der Abhängigkeit beispielsweise von anderen Geschäftseinheiten, Produktionsstandorten und auch spezifischen Infrastruktureinrichtungen wie z.B. einzelnen Gebäuden, Anlagen, IT-Infrastrukturen, Versorgungseinrichtungen, aber auch Lieferanten und Kunden beurteilen zu können, ist eine genaue und ganzheitliche Analyse der verschiedenen Prozesse notwendig. Auf dem IT- Markt gibt es viele Dienstleister, die - losgelöst vom Ganzen - einzelne Infrastruktur- oder Prozesseinheiten in einem Unternehmen unter die Lupe nehmen. Ein leistungsfähiges und gleichermaßen wirtschaftliches IT-Sicherheitsmanagement beruht aber auf der ganzheitlichen Betrachtung aller Risikoaspekte der Informationstechnologie. Dies weiß auch Wolfgang Mühlböck, Geschäftsführer der SecuRisk GmbH aus Karlsruhe. Er hat sich in den vergangenen Jahren intensiv mit dem Thema Analyse und Versicherbarkeit von IT-Risiken befasst und war an der Entwicklung entsprechender Spezialdeckungskonzepte beteiligt: »Bis jetzt war es nicht möglich, das komplexe Wissen um die einzelnen Risiko-Bereiche in der Informationstechnologie auf einen Nenner zu bringen. Versicherungsexperten betrachten den Bereich der Versicherung, Fachanwälte widmen sich u.a. den Haftungsrisiken. Experten, die sich mit der physikalischen Infrastruktur in einem Unternehmen beschäftigen, separieren ebenso wie Berater, die sich auf Betriebsabläufe oder technischen IT-Infrastrukturen spezialisiert haben. Um den Unternehmen eine realistische Übersicht zu geben, darf nicht jeder sein eigenes Süppchen kochen. Vielmehr muss komplexes Wissen aus den unterschiedlichen Fachbereichen zu einem schlüssigen Gesamtkonzept gebündelt werden.« Das war für die SecuRisk der Auslöser, ein Produkt zu schaffen, was die logische Verschmelzung unterschiedlichen Fachwissens zu einem umfassenden hochwertigen Leistungsbündel darstellt. SecuRespond analysiert das gesamte Risiko-Spektrum der Informationstechnologie. Anhand der Ergebnisse erhalten Unternehmens- und IT-Verantwortliche eine zuverlässige Entscheidungsgrundlage für wirkungsvolle und wirtschaftlich ausgewogene Maßnahmen im Bereich Unternehmens- und IT-Sicherheit. Fünf Experten aus den IT-Bereichen Recht, Versicherung, Technik, Betrieb und Physik entwickelten und programmierten die SecuRespond-Analyse. Ziel war es, nicht nur Antwort auf die aktuellen Sicherheitsfragen der Informationstechnologie zu erhalten, sondern auch potentielle quantifizierbare und qualifizierbare Optimierungspotentiale aufzuzeigen. Neben Wolfgang Mühlböck brachte der Karlsruher Rechtsanwalt Prof. Dr. Michael Bartsch, Autor zahlreicher technikrechtlicher Veröffentlichungen und Beiratsmitglied der Deutschen Gesellschaft für Recht und Informatik sein Wissen ein. Als besonders prekär betrachtet Wolfgang Mühlböck auch die Wahrnehmung der Rechtspflichten eines Unternehmens: »Vielen Unternehmensverantwortlichen ist gar nicht bewusst, dass sie sich nach wie vor auf dünnem Eis bewegen. Vertragliche Vereinbarungen sowie die Pflicht zur Risikofrüherkennung nach dem KonTraG müssen ernst genommen werden.« Fakt ist, dass bisher klar definierbare Organisationsgrenzen immer mehr verschwimmen. Unternehmen verschiedener Branchen optimieren ihre Prozesse und suchen den Schulterschluss mit Partnern und Zulieferern. Diese organisatorischen und technologischen Veränderungen verlangen nach einer wirtschaftlichen und zukunftsorientierten Absicherung der Unternehmens-IT. SR ist die ganzheitliche Antwort, um die individuellen IT-Risiken von Unternehmen erkennen, bewerten und steuern zu können. Dabei werden auch die Effizienz und Risikoadäquanz des Vers.-Managements aktiv einbezogen. »Diese Art von Risikoanalyse- und Steuerung kombiniert mit den richtigen Vers.-Lösungen ist ein hochwirksames Selbstverteidigungssystem für Unternehmen und deren Verantwortliche«, erläutert Wolfgang Mühlböck. Die Analyse erfasst mit über 600 Fragen das gesamte Risikospektrum der Informationstechnologie:
- Sicherheitspolitik - Organisation der Sicherheit - Versicherungsmanagement - Einstufung und Kontrolle der Werte - Personelle Sicherheit - Physische und umgebungsbezogene Sicherheit - Sicherheit im IT- Betrieb - Infrastruktursicherheit - Zugangskontrolle - Anwendungssicherheit - Systementwicklung und -wartung - Management des kontinuierlichen Geschäftsbetriebs - Einhaltung der Verpflichtungen
SecuRespond in der Praxis In einem Eingangsgespräch mit der Unternehmensleitung wird die Vorgehensweise abgestimmt und die Verantwortlichen für die verschiedenen Analyse- beziehungsweise Unternehmensbereiche festgelegt. Je nach Unternehmensgröße werden damit IT-Leitung, Produktionsleitung, RZ-Leitung, Qualitäts-Management, Facility Management, Werkschutz, Controlling, Versicherung, Revision und anderen Fragen zum jeweiligen Zuständigkeitsbereich verschlüsselt zur Verfügung gestellt. Bei der Beantwortung spielt die Selbsteinschätzung der Ist-Situation versus Fremdeinschätzung eine wichtige Rolle. Neben so genannten »harten« Fragen, die mit Ja oder Nein beantwortet werden, gibt es auch »weiche« Fragen, die nach dem Schulnotenprinzip aufgelöst werden. Nach umfassender Auswertung der vorliegenden Antworten wird ein detaillierter Ergebnisbericht erstellt, der alle relevanten Bereiche berücksichtigt. SecuRisk präsentiert in einem Workshop die Ergebnisse und zeigt das Verbesserungspotenzial sowie die nötigen / möglichen Maßnahmen auf. Der Bericht dient nicht nur als Basis für das Schließen evtl. bestehender Sicherheitslücken; er dient auch als Beleg für Versicherungen und Finanzinstituten, dass sich das Unternehmen um eine adäquate IT-Sicherheitsstrategie sowie um eine ganzheitliche Betrachtung der unterschiedlichen Bereiche bemüht.
Fakten zu SecuRespond:
Initiatoren und Partner sind die Unternehmen SecuRisk GmbH, Karlsruhe Kanzlei Bartsch & Partner, Karlsruhe Viccon GmbH, Karlsruhe Webquake GmbH, Leoben, Österreich proRZ Rechenzentrumsbau GmbH, Kirchen/Sieg
Umfang der Analyse: ca. 600 Fragen Kosten der Analyse: ab 10.000 EUR Ziel: Umfassende Reflexion der Ist-Situation unter Berücksichtigung aller relevanten Komponenten + Herstellerneutrale Empfehlung für ein zukunftsorientiertes Risk-Management unter wirtschaftlichen Gesichtspunkten.
SecuRespond ist ein Produkt der SecuRisk GmbH in Karlsruhe
|
|
