Aktuelle Informationen hatten im Privat- wie auch im Geschäftsleben schon immer einen hohen Stellenwert. Der Zugang zu Informationen ist bis heute eine wichtige strategische Zielsetzung in Politik und Wirtschaft. Durch die heutigen elektronischen Systeme ist die „Lagerung“ und „Bewirtschaftung“ derselben sowie die damit verbundenen „Zugriffsmöglichkeiten“ weltweit beinahe zur Selbstverständlichkeit geworden. Für eine Unternehmung bedeutet die optimale Verfügbarkeit dieser Informationen, ihr Geschäftsmodell möglichst vollständig „elektronisch“ abbilden zu können. Dadurch können die Geschäftsmöglichkeiten erweitert und somit die Rentabilität gesteigert werden.
Für Ihre Unternehmung sind Sie als IT-Verantwortlicher – sowohl für die optimale Verfügbarkeit als auch für den Schutz der unternehmensrelevanten Informationen gegen unerlaubte Zugriffe – gleichermaßen gegenüber Ihrer Geschäftsleitung und Ihren Kunden verantwortlich. Die Komplexität der technischen Infrastruktur wie auch der organisatorischen Maßnahmen zur Gewährleistung dieser Informationsverfügbarkeit sowie der Ausfall einer oder mehrerer Komponenten dieses „Regelwerks“ bereiten nicht nur Ihnen zunehmend Kopfzerbrechen.
Risiken der Informationsverfügbarkeit
Da ein längerer Ausfall der Informationsverfügbarkeit bei fehlender Notfall-Vorsorge zur nicht mehr beherrschbaren Situation führt, tritt an die Stelle von geordneten Abläufen Improvisation, nicht koordinierte Einzelaktionen und Ineffizienz im Krisenmanagement. Verbunden mit den hohen Kosten der heute nötigen IT-Infrastruktur sowie der möglicherweise noch höheren Kosten bei Ausfall dieser unternehmenskritischen Informationen und Prozesse gehören die Organisation, die Dokumentation und – als Hilfsmittel – die Technologien zur Absicherung oder zumindest die Minimierung der Ausfallzeit zur IT-Strategie.
Durch diese risikoträchtigen Betriebsabläufe gewinnt die IT-Strategie dieselbe Bedeutung wie die Unternehmensstrategie. Ebenfalls lohnen sich Überlegungen in Bezug auf Haftungsfragen:
– Die Geschäftsleitung hat die interne Organisation so auszugestalten, dass ihnen Fehlentwicklungen nicht verborgen bleiben. Risikoträchtige Betriebsabläufe bedürfen einer besonders sorgfältigen Überwachung. Überhaupt sind Risiken nach Möglichkeit zu minimieren oder dürfen nicht eingegangen werden, wenn sie unangemessen sind.
– Bei einer Delegation von Aufgaben (z. B. Buchführung, IT-Betreuung etc.) müssen diese sorgfältig ausgesucht, eingewiesen und überwacht werden.
– Art. 55 Schweizer Bundesgesetz betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches, Obligationenrecht, Haftung der Geschäftsherren:
Der Geschäftsherr haftet für den Schaden, den sein Arbeitnehmer oder andere Hilfspersonen in Ausübung ihrer dienstlichen oder geschäftlichen Verrichtung verursacht haben, wenn er nicht nachweist, dass er alle nach den Umständen gebotene Sorgfalt angewendet hat, um einen Schaden dieser Art zu verhüten, oder dass der Schaden auch bei Anwendung dieser Sorgfalt eingetreten wäre.
Da es eine der Aufgaben der Geschäftsleitung ist, die Existenz eines Unternehmens zu sichern, ergibt sich zwangsläufig, dass Überlegungen betreffend der Fortführung der Geschäftstätigkeit im Notfall und deren Wiederherstellung nach einem Unterbruch zu diesen Aufgaben gehören.
Damit ist klar, dass die Verantwortung der IT- respektive der Informations-Verfügbarkeit nicht alleine beim IT-Management, sondern vielmehr auf der Stufe Geschäftsleitung und Verwaltungsrat liegt. Für die Planung, Umsetzung und die Gewährleistung mittels entsprechender Tests dieser Maßnahmen ist das IT-Management der Geschäftsleitung gegenüber verantwortlich.
Was kostet ein Systemausfall?
Werden Überlegungen über die Ausfallkosten angestellt, sind die Einkommensverluste durch nicht verarbeitete Kundenaufträge die Augenscheinlichsten. Dies ist aber nur ein geringer Teil der gesamten Ausfallkosten, wenn man Produktivitätsverluste und eventuell zu bezahlende Strafgebühren durch nicht termingerechte Auslieferungen etc. sowie die Wiederherstellungskosten mit in Betracht zieht. Ebenfalls ist der Imageverlust, die Unzufriedenheit der Kunden und der Mitarbeiter sowie andere Auswirkungen – wie sinkende Aktienkurse etc. – nicht zu unterschätzen. In der Presse finden sich immer wieder Berichte über Unternehmen, die von einem Ausfall ihrer Informationsverfügbarkeit betroffen wurden.
Sicherheits- und Risikomanagement
Die Informationssicherheit wird mittels des Sicherheitsmanagements planmäßig hergestellt, überwacht und erhalten. Die Aufgabe des Sicherheitsmanagements besteht in der Verhinderung von realen Schäden und den daraus resultierenden wirtschaftlichen Schäden im Unternehmen. Diese Aufgaben bestehen im Wesentlichen im Erarbeiten von Sicherheitsstrategien, die mit den Unternehmenszielen in Einklang zu bringen sind; in der Unterstützung, die durch das Top-Management zu gewährleisten ist; darin, die Verantwortlichkeiten festzulegen, die Maßnahmen umzusetzen, den Notfall zu planen und zu schulen, auf Ereignisse zu reagieren sowie die Sicherheitsstrategien laufend auf die Bedürfnisse des Unternehmens anzupassen.
Zur Erarbeitung eines vollständigen und unternehmensweiten IT-Sicherheitskonzepts ist ein methodisches Risikomanagement unerlässlich. Um Risiken zu beherrschen, müssen Sie diese kennen und bewerten. Zu diesem Zweck dient die Risikoanalyse, um das Gesamtrisiko zu ermitteln. Dieses Risiko soll so weit reduziert werden, dass ein verbleibendes Restrisiko quantifizierbar und akzeptierbar wird.
Das akzeptable Restrisiko sowie die Strategie zur Risikoanalyse sollen in einer Sicherheitspolitik festgelegt werden.
Drei mögliche Ansätze kurz aufgezeigt:
Ein grundsätzlicher Schutz für alle IT Systeme wird festgelegt und eingeführt. Dies wird relativ schnell zu einer Erhöhung der Sicherheit führen. Allerdings besteht die Möglichkeit, dass die getroffenen Maßnahmen nicht genügen.
Eine detaillierte Risikoanalyse erlaubt die Auswahl von effektiven und angemessenen Maßnahmen, ist aber zeitintensiv und verursacht daher relativ hohe Kosten. Außerdem besteht die Gefahr, dass die Maßnahmen für kritische Systeme zu spät eingeführt werden.
Eine Klassifizierung aller IT-Systeme in „nicht“- bis „hoch“-ausfallkritisch: Anhand dieser Klassifizierung werden für weniger kritische Systeme nur ein grundsätzlicher Schutz festgelegt und für sehr kritische eine Risikoanalyse durchgeführt, aufgrund dessen geeignete Maßnahmen beschlossen werden.
Selbst wenn alle ausgewählten Sicherheitsmaßnahmen eingeführt werden, wird ein Restrisiko bleiben, da eine Absicherung wirtschaftlich nicht mehr vertretbar ist. Diese akzeptablen Risiken sollen so exakt wie möglich quantifizierbar sein.
Ein IT-Sicherheitsmanagement ist ein kontinuierlicher Prozess, der die Zuverlässigkeit und die Verfügbarkeit der IT-Systeme innerhalb des Unternehmens gewährleisten muss. Dies ist immer eine Management-Aufgabe. Nur wenn die Führung eines Unternehmens voll hinter den Zielen und den damit verbundenen Maßnahmen steht, kann diese Aufgabe wahrgenommen werden.
Autor: Jacques Weber, Mitglied der Geschäftsleitung der IPH & Partner AG
IPH & Partner AG
CH–8902 Urdorf
Telefon: (+41) 01/736 405-0
www.iphpa.ch
