Obwohl die IT in vielen Unternehmen eine zentrale Bedeutung hat, werden die Risiken in weiten Teilen von der Wirtschaft unterschätzt. Ein IT-Risikomanagement findet nicht einmal in einem Zehntel der Unternehmen statt – so dass Ergebnis einer Studie, die im vergangenen Jahr von der „Nationalen Initiative für Internet-Sicherheit“ (NIFIS) herausgegeben wurde. Der Autor weist in seinem Vorwort darauf hin, dass IT-Risikomanagement viele Facetten hat und in alle Themengebiete der Informationstechnologie eingreift: von der Entwicklung über die – aus technischer und fachlicher Sicht – Integration bis hin zum Infrastruktur- und Anwendungsbetrieb. Bei der Betrachtung von IT-Risikomanagement wird das Themengebiet häufig auf dedizierte Teilaspekte reduziert. Holger Seibold ist einen anderen Weg gegangen und beschreibt in seinem Buch einen integrierten Ansatz. Er weist auch darauf hin, dass das IT-Risikomanagement in das bestehende Risikomanagement eines Unternehmens, etwa ein existierendes Operational Risk Management, integriert werden kann. Der Autor ist IT-Risikomanager bei der Landesbank Baden-Württemberg (LBBW). Die vorgestellte Methodik lässt sich jedoch branchenübergreifend auch auf andere Branchen übertragen.
Das Buch gliedert sich in insgesamt vier Kapitel. Im einleitenden ersten Kapitel konzentriert sich der Autor auf grundlegende Definition von beispielsweise Risiko, Operationelle Risiken, IT-Risiko, Risikomanagement, Risikopotenzial, Gefahr etc. Im Anschluß skizziert der Autor einen Vorschlag zur Kategorisierung von Risiken, ohne sich in Details zu verlieren. Es erfolgt eine Abgrenzung des IT-Risikomanagements von anderen Themen und Aufgaben im Bereich der Informationstechnologie. Insbesondere die IT-Security zeigt große Überschneidungen mit dem IT-Risikomanagement. Dies trifft nach Ansicht des Autors insofern zu, als dass die Ziele der IT-Security vollständig im IT-Risikomanagement enthalten sind. Allerdings unterscheidet sich die IT-Security zum Risikomanagement insbesondere hinsichtlich Abstraktionslevel, Wirtschaftlichkeitsbetrachtung und Umfang des Untersuchungsbereichs. Der Einstieg in das Thema wird durch die exemplarische Darstellung einiger realer Schadensfälle (Danske Bank, Denver International Airport, Charter plc. Sumitomo Mitsui Bank) erleichtert.
Das zweite Kapitel beschäftigt sich mit IT-Risikotransparenz, denn nur die Risiken können bewusst gesteuert werden, die im Detail bekannt sind. Korrekterweise weist der Autor darauf hin, dass die dauerhafte Implementierung eines professionellen IT-Risikomanagement nur dann möglich ist, wenn ein offenes und wertungsneutrales Kommunizieren der risikorelevanten Themen im Unternehmen möglich ist. Dies ist insbesondere eine Frage der gelebten Organisationskultur. Im zweiten Kapitel werden insbesondere die unterschiedlichen Methoden zur Identifizierung und Bewertung von IT-Risiken vorgestellt. Hierbei konzentriert sich der Autor vor allem auf etablierte und für die Praxis relevante Methoden (Self-Assessment, Prozessanalysen, Einzelsystem-Restrisikoanalyse, Risikoindikatoren). Sophizierte Methoden aus dem Bereich des Operational Risk Management (wie etwa Extreme Value Theorie oder Bayesianische Netze) werden nicht erwähnt. Auf den nicht unwichtigen Prozessschritt der Risikoaggregation geht der Autor nicht ein. Zielsetzung der Risikoaggregation ist die Bestimmung des Gesamtrisikoumfangs des Unternehmens bzw. der einzelnen strategischen Geschäftseinheiten sowie der relativen Bedeutung der Einzelrisiken.
Das dritte Kapitel konzentriert sich vor allem auf die Steuerung und das Reporting von IT-Risiken. Es werden die etablierten Methoden der Risikosteuerungsmaßnahmen skizziert sowie Vorschläge für das adressengerechte Reporting von IT-Risiken vorgestellt.
Das vierte Kapitel schließlich skizziert die wesentlichen Grundlagen des IT-Krisenmanagements, d.h. das Management von Risiken mit großem Schadenpotenzial und zumeist rasantem Schadensverlauf.
Fazit: Das Buch liefert eine praxisorientierte und leicht verständliche Einführung in das IT-Risikomanagement. Es bietet insbesondere den IT-Verantwortlichen (und vor allem auch den IT-Security-Profis) einen prall gefüllten Werkzeugkasten mit Methoden aus der Welt des IT-Risikomanagements. Die fehlenden Werkzeuge (Risikoaggregation, sophistizierte Methoden im Bereich Risikoidentifikation und Risikobewertung) findet man im ausfürlichen Literaturverzeichnis.
Rezension von Frank Romeike