Szenarioanalysen und Stresstests bei Mobile Computing

Das mobile Risiko


Szenarioanalysen und Stresstests bei Mobile Computing News

Mobile Endgeräte sind auf dem Vormarsch. Sie durchdringen ebenso den privaten Bereich wie die Geschäftswelt. Mit den mobilen Alleskönnern sind Informationen und Daten permanent abrufbar, zu jeder Zeit, an jedem Ort. Oder anders ausgedrückt: Mobile Computing ist Teil der modernen Wissensgesellschaft. Wer die Technologien nutzt, kann flexibel arbeiten. Ist auf dem neuesten Stand. Gewinnt das Rennen um Kunden und Profite. Dieses bunte Bild vermitteln die Hersteller der mobilen Apparaturen und Softwarelösungen. Klar, sie wollen verkaufen. Ein anderes, weil eher graues Bild liefern Meldungen zu Mobile Hacking, Datendiebstählen sowie verlorenen oder vergessenen Endgeräten.

Der Preis der Mobilität

Zunehmende Vorfälle und Pannen im Mobile-Device-Management machen deutlich, dass der Einsatz portabler Technologien in Organisationen eine Gesamtsicht auf mögliche Risiken erfordert. Wie dringlich belegen die jüngsten Zahlen der Symantec-Studie: "State of Mobile IT". Den Ergebnissen zufolge entsteht deutschen Unternehmen durch den Einsatz mobiler Endgeräte ein jährlicher Schaden von durchschnittlich rund 80.000 Euro. Und das Bundesamt für Sicherheit in der Informationstechnologie sieht mobile Endgeräte vielfältigen Bedrohungen ausgesetzt. Im Klartext heißt das: Es ist Zeit zum Handeln. Risiken müssen bedacht und das Bewusstsein zum Schutz wichtiger Unternehmensdaten geschärft werden. Unerlässlich im mobilen Umfeld mit neuen sowie vernetzten Kommunikationswegen und dem Verschmelzen unterschiedlicher Technologien zu einer portablen Plattform. Vor allem unzureichend sensibilisierte Anwender sind ein Sicherheitsrisiko, wenn sie mobile Weggefährten im Unternehmensumfeld einsetzen. Zu diesem Ergebnis kommt eine Befragung des Kompetenzportals RiskNET (siehe Abbildung). Demnach sehen 46 Prozent das Hauptrisiko in der mangelnden Sensibilisierung der eigenen Mitarbeiter im Umgang mit Mobile-Computing-Lösungen. Gefolgt von mangelnden Sicherheitsstandards mit 17 Prozent.

Abbildung: Mobile Computing [Quelle: RiskNET GmbH, n = 159]
Abbildung: Mobile Computing [Quelle: RiskNET GmbH, n = 159]

Einen Dirigenten für das Risikomanagement

Der unternehmensweite Einsatz mobiler Lösungen fordert die Chefetagen. Sie müssen auf strengere Richtlinien im Umgang mit Smartphone, Laptop & Co. in allen Organisationsbereichen achten. Mehr noch sind Vorstände und Geschäftsführer wie ein Dirigent für die Leitung des "Gesamtorchesters" Unternehmen inklusive durchgängiger Überwachungspflichten und Reputation zuständig. Es reicht beispielweise nicht aus, dass Sicherheitsstrukturen im Auftrag des Top-Managements im Unternehmen platziert werden. Vielmehr müssen Unternehmenslenker Sicherheitsstrukturen und deren Wirkung regelmäßig überwachen. Hierzu verpflichtet sie der zunehmende Handlungsdruck aufgrund von Gesetzen, wie beispielsweise im Bilanzrechtsmodernisierungsgesetz (BilMoG) festgelegt.

Somit kommt der Kontrolle von Prozessen und der Wirksamkeit der jeweiligen Strukturen eine grundsätzliche Bedeutung im Risikomanagementumfeld zu.

Das heißt: Organisationen und deren Verantwortliche müssen sich aktiv um wirksame Abwehrmechanismen im Risikomanagement bemühen, diese hinterfragen und gegebenenfalls neu justieren. In diesem Kontext sollte ein großes Augenmerk auf jeden Mitarbeiter gelegt werden, der Teil der Unternehmenskultur ist. Und diesen Wert müssen Vorgesetzte ihren Mitarbeitern vermitteln. Grundlegend ist vor allem eine starke Unternehmenskultur bei allen Mitarbeitern. Und die muss in einer Organisation wachsen und von sämtlichen Unternehmensbereichen verinnerlicht werden. Dies wird umso wichtiger, weil mobile Geräte einem steigenden Angriffsrisiko durch Datendiebe unterliegen. Gepaart mit dem Zeitgeist permanenter State-of-the-Art-Technologien im mobilen Umfeld und der Philosophie eines "Bring your own device" zum Arbeitsplatz, müssen Mitarbeiter stärker in die Pflicht genommen werden. Das heißt in letzter Konsequenz, dass jeder Mitarbeiter für den Schutz der IT-Infrastruktur im eigenen Unternehmen mitverantwortlich ist.

Von der Geschäftsführung bis hin zu jedem einzelnen Mitarbeiter. Jeder ist Teil des Ganzen. Als dringliche Aufgabe versteht sich der Aufbau von Awareness im Umgang mit mobilen Endgeräten und den damit zusammenhängenden Firmeninformationsträgern. Verbunden mit einem Sanktions- und Belohnungssystem entsteht für jeden Mitarbeiter eine wirkungsvolle sowie durchgängige Unternehmenskultur – mit transparenten Verhaltensregeln im Umgang mit mobilen Lösungen.

Von Standards, Prozessen und Methoden

Bestehende Risiken mithilfe organisatorischer sowie technischer Möglichkeiten zu vermeiden oder zu verringern ist die Aufgabe eines professionellen Risikomanagements – auch im Mobile-Computing-Umfeld. Dies setzt Standards und eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung voraus. Beispielweise braucht ein durchgängiges Risikomanagement von Beginn an einen hohen Reifegrad der Prozesse und eine verlässliche Prozessqualität. Im Umgang mit Mobile Computing als "Risikoquelle" ergeben sich bestimmte Minimalansätze und Rahmenbedingungen zur Risikominimierung. Hierzu zählt auf der Prozessebene unter anderem eine interdisziplinäre Arbeitsweise,  ein eindeutig identifizierbarer "Process/Risk Owner" in der Organisation oder eine lückenlose, saubere und schnelle Darstellung der Gesamtprozesse und Risikofaktoren im Unternehmen. Hinzu kommen technische Aspekte, wie Überlegungen zu standardisierten Mobillösungen sowie kürzere Produktzyklen mit permanent neuen Geräten und den dazugehörigen Sicherungssystemen. Als Ultima Ratio steht ein generelles Verbot privater Mobilgeräte im unternehmensweiten Arbeitsumfeld.

Wichtig sind bei sämtlichen Überlegungen Programme für eine bessere Prozessqualität in der Gesamtorganisation, um alle Mitarbeiter früh in den Findungs- und Etablierungsweg einzubinden.

Bei aller Theorie bleiben Best-Practice-Ansätze und der regelmäßige Test vorhandener Instrumente zur Risikofrüherkennung ein wesentlicher Kern zukunftsweisender Risk-Strukturen und -Prozesse. Als wirksames Mittel im Kampf für ein besseres Risikomanagement erweisen sich Szenarioanalysen und Stresstests. Anhand dieser lassen sich potenzielle Entwicklungen erarbeiten und transparent darstellen.

In einer Art Simulation können Risikoszenarien durch den Einsatz von Mobile Computing durchgespielt werden, um sie auf die Gesamtorganisation und das mögliche Gefährdungspotenzial zu übertragen. Die Frage "Was wäre wenn?", die im Rahmen dieser Analysen gestellt wird, gibt gleichzeitig wichtige Aufschlüsse zu existierenden Defiziten und dem dringendsten Handlungsbedarf. Mögliche Szenarien reichen von einfachen und im Vergleich harmlosen Vorkommnissen und Kettenreaktionen. Mobiltelefone sind durch einen Virenbefall unbrauchbar. Aus diesem Grund können Mitarbeiter nicht mehr auf Firmendaten zugreifen. Bis hin zu bedrohlichen Situationen, in denen die Existenz des Unternehmens auf dem Spiel steht. Dies könnte unter anderem der Fall sein, wenn ein Laptop mit wichtigen Firmendaten gestohlen wird. Existieren für diesen Fall Meldepflichten und -fristen für den Mitarbeiter und werden diese eingehalten? Erfüllen die verwendeten Verschlüsselungsmechanismen ihren Zweck? Funktioniert die Fernlöschung von Daten auf dem Gerät?

Im Mittelpunkt: das Gesamtkonzept

Unternehmen sind bei der Betrachtung ihrer Mobile-Device-Strategien auf eine enge Verzahnung von Standards, Prozesse und Methoden mit einem durchgängigen Risikomanagement angewiesen. Das heißt, Risiken und deren Bewertungen in die Unternehmensplanung und das Controlling zu integrieren. Der Vorteil: Organisationsübergreifend werden Insellösungen vermieden und ein Gesamtkonzept zur Risikosteuerung aufgebaut. Diese Vorgehensweise erscheint im Bereich Mobile Computing umso wichtiger, als die technologischen Herausforderungen mit vernetzten Strukturen und neuen Risikofaktoren gleichfalls neue Wege im Organisationsdenken erfordern. Im Kern muss ein professionelles Risikomanagement muss zentraler Bestandteil eines fundierten Unternehmenssteuerungskonzepts sein und stärker in bestehende Managementsysteme integriert werden. Dementsprechend sollten Unternehmen eine zukunftsorientierte Risikobewertung vorantreiben und auf interne Kontrollsysteme achten, um im Kampf gegen die mobilen Gefahren zu bestehen.

Im Überblick: Mobile Computing und die Eckpunkte zur Risikominimierung

  • Interdisziplinäre Arbeitsweise etablieren
  • Process/Risk Owner benennen
  • Klare Gesamtprozesse und Risikofaktoren aufzeigen
  • Standardisierte Mobillösungen einführen
  • Sicherungssysteme permanent prüfen
  • Verbot privater Mobilgeräte im Arbeitsumfeld durchsetzen (Ultima Ratio)
  • Risikomanagement als Unternehmenssteuerungskonzept aufbauen

 

Roland Franz ErbenAutor:

Dr. Roland Franz Erben ist Vorsitzender des Vorstands der Risk Management Association e. V. (RMA), der unabhängigen Interessenvertretung für das Thema Risikomanagement im deutschsprachigen Raum.

 

 

 

 

 

 

 

 

 

Mögliche Risikomanagementwege in Theorie und Praxis zeigt die Risk Management Association anlässlich ihrer Jahreskonferenz am 22. und 23. Oktober 2012 in Würzburg. Inhaltlich geht die Fachkonferenz auf unterschiedliche Ansätze, Wege und Gesamtsichtweisen im Umgang mit Risiken ein. Und hierbei spielen mobile Risikoaspekte eine zunehmende Rolle.

 

[Bildquelle: iStockPhoto]

 

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.