In den vergangenen Jahrzehnten wurden für viele Unternehmen eine optimale Informationsverteilung sowie die Integration der Unternehmensprozesse und der Informations- und Kommunikationstechnologie (IuK) zunehmend zum strategischen Erfolgsfaktor. Die technische Abhängigkeit der Kernprozesse von der IT in der Wertschöpfungskette hat rapide zugenommen – und damit auch die IT bezogenen Risiken. Die IT Prozesse in einem Unternehmen unterstützen auf der einen Seite die Kernprozesse eines Unternehmens und reduzieren dadurch auch die Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch wiederum ein neues Risikopotenzial.
So hängt die Funktionsfähigkeit einer Just-In-Time-Produktion und -Lieferung sowohl organisatorisch als auch logistisch essentiell von einer reibungslos funktionierenden Informations- und Kommunikationstechnologie ab. So analysieren beispielsweise die Automobilhersteller im Rahmen eines Audits die Qualität der Produkte, aber auch die Zuverlässigkeit des Zulieferers in puncto Lieferpünktlichkeit und Kontinuität.
Die potenziellen Ursachen für Gefahren im Bereich der Informations- und Kommunikationstechnologie sind in den vergangenen Jahren massiv gestiegen und sehr vielfältig: Höhere Gewalt (beispielsweise in Form von Blitzschlag, Feuer oder Überschwemmung), Fehlbedienung durch Personal oder zugangsberechtigte Personen, Computerviren, Trojaner und Würmer (die zusammengefasst als Malware bezeichnet werden), Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird, Denial of Service-Angriff, Man-in-the-middle-Angriffe beziehungsweise Snarfing oder Social Engineering. Vor diesem Hintergrund ist die Bedeutung eines proaktiven IT-Risikomanagements als Bestandteil eines integrierten und unternehmensweiten Risikomanagements deutlich gewachsen.
95 Prozent der Unternehmen nutzen das Internet
Nach Angaben des Statistischen Bundesamtes – für das Jahr 2008 – nutzen 97 Prozent aller Unternehmen mit mehr als zehn Mitarbeitern einen Computer. Rund 77 Prozent dieser Unternehmen hatten 2008 ein eigenes Angebot im Internet. 95 Prozent aller Unternehmen in Deutschland nutzten das Internet. Diese prinzipiell positive Entwicklung führt zu einer zunehmenden Abhängigkeit der Organisationen von der Verfügbarkeit der IT, der Integrität (Unversehrtheit) von Daten und Systemen sowie dem Schutz vor unberechtigtem Zugriff auf Daten. Da eine 100 prozentige Sicherheit nicht erreichbar ist, gilt es, die mit dem Einsatz von IT verbundenen Risiken auf ein Niveau zu bringen, das aus unternehmerischer Sicht vertretbar ist und dauerhaft gehalten werden kann. Um dieses Ziel zu erreichen, ist die Einführung eines IT-Risikomanagements für praktisch jedes Unternehmen notwendig. Standards spielen im Rahmen des IT-Risikomanagements eine wichtige Rolle. Der Einsatz von IT-Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen macht die sicherheitsrelevanten IT-Prozesse des Unternehmens transparent und damit beherrschbar und reduziert somit das Gesamtrisiko.
Kompass für IT-Risikomanagement
Bereits in der vierten Auflage hat nun der BITKOM-Arbeitskreis Sicherheitsmanagement seinen überarbeiteten "Kompass der IT-Sicherheitsstandard" vorgelegt. Die Publikation wurde auch in der neuen Version in enger Zusammenarbeit mit dem Normenausschuss NI-A 27 des Deutschen Institut für Normung (DIN) erstellt. Oftmals sind gerade kleinere und mittlere Unternehmen mit der Vielzahl an möglicherweise für sie relevanter Standards überfordert. Der Leitfaden dient zur ersten Orientierung, um die für das eigene Unternehmen und die jeweilige Branche wichtigen Standards zu identifizieren.
Das Herzstück des Leitfadens, der Kompass der IT-Sicherheitsstandards, klassifiziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und gegebenenfalls als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften und Gesetze aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese sind klassifiziert und können so auf ihre Relevanz überprüft werden. Im Anhang sind die Bezüge der behandelten Standards untereinander aufgeführt, dort befinden sich auch Links zu weiteren Informationen.
Download "Kompass der IT-Sicherheitsstandard":
Zur Vertiefiefung: Praxisgerechtes Werk mit wissenschaftlicher Fundierung!
Erfolgsfaktor Risiko-Management 2.0: Praxishandbuch für Industrie und Handel
Von: Romeike, F./Hager, P., Gabler Verlag, 2. Auflage, 528 Seiten, Wiesbaden 2009.
Prof. Dr. Arnd Wiedemann, Inhaber des Lehrstuhls für Finanz- und Bankmanagement, Universität Siegen.
Die Beiträge sind theoretisch fundiert, haben aber die unternehmerische Praxis immer im Blick. Das Buch dürfte Studenten und Wissenschaftler an Hochschulen ebenso ansprechen wie auch das Management in der Praxis. Es ist ein von Anfang an durchdachtes Werk gelungen, das in würdiger Weise dem Ruf der ersten Auflage als Standardwerk des Risikomanagement gerecht wird.
Fachbuch-Vergleichstest bei Buecher.de:
Ein hervorragend konzipiertes und von Sachkompetenz nur so strotzendes Buch. Auch die - oft schwierige - Synthese von Wissenschaft und Praxis ist ausgezeichnet gelungen. Die Beiträge sind theoretisch fundiert, haben aber die unternehmerische Praxis immer im Blick. Die Empfehlung für Entscheider! Gesamtnote 1,6
Rezension von Prof. Dr. Thomas A. Lange:
Das Bemerkenswerte ist, dass das Buch, das sich primär an Industrie und Handel richtet, gerade für Risikoanalysten in Banken von besonderem Wert ist, weil es zahlreiche Aspekte beinhaltet, die es auch im Rahmen einer Kreditentscheidung zu berücksichtigen gilt. Insofern enthält das Buch für die in der Regel durch Unternehmensanalysten zu erstellende Besuchsvorbereitung einerseits, aber auch für die Gesprächsführung durch die Relationship Manager andererseits wertvolle Hinweise. Dazu tragen vor allem die zielführenden Beispiele sowie die nutzbringenden Checklisten bei. [...] All dies sind gerade im gegenwärtigen Umfeld sehr gute Gründe, dieses Buch zu lesen.
Rezension bei "brainguide.com", Juni 2003, Prof. Dr. Rudolf Fiedler
[…] Besonders der von Romeike beschriebene Prozess der Risikofindung, -bewertung, -steuerung und -kontrolle bietet viele Informationen zur praktischen Umsetzung eines Risikomanagementsystems. Hier wird die große Sachkenntnis des Herausgebers und Autors deutlich. [...] Den Autoren ist es gelungen, ein umfassendes Werk zum Thema Risikomanagement vorzulegen, das zugleich wissenschaftliche Tiefe und praxisorientierte Fundierung bietet.
Weitere Informationen finden Sie hier
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag