Kommentar: Compliance-Budget
Warum versagt das Risikomanagement in der IT?
Fortsetzung des Artikels von Teil 1
Risikomanagement: weitere Probleme
Es ist unmöglich, den IT-Assets bestimmte Wert zuzuweisen
Das Konzept hinter Risikomanagement ist, dass es einen Wert für jeden Vermögenswert zuordnet. Hierfür stehen eine Vielzahl Berechnungsformeln zur Verfügung. Meist werden hier die Werte nur grob geschätzt, denn es ist unmöglich, einen bestimmten Geldwert jedem IT-Asset zuzuweisen. Legt man die Beschaffungskosten für ein IT-System zugrunde, dann liegt man sicherlich falsch. Ein E-Mail-Server kostet unter Umständen nur wenige Tausend Euro, während sich der Verlust dieser IT-Ressource und somit der potenzielle Schaden (durch einen fehlenden Zugriff auf E-Mails über einen längeren Zeitraum) viele Hunderttausend Euro an verlorener Produktivität beziffert.
Was ist mit dem Wert der einzelnen E-Mails? Wie viel ist eine E-Mail wert? Zehn Cent, einen Euro oder Nichts? Welchen Wert hat eine interne E-Mail zwischen dem CFO und dem CEO einer AG in der diese die negativen Geschäftszahlen des vergangenen Geschäftsjahrs diskutieren? Der materielle Wert einer solchen E-Mail ist Null, aber das Risiko, dass dieser E-Mail in falsche Hände kommt, bedeutet unter Umständen einen hohen Verlust an Marktkapitalisierung.
Die meisten Unternehmen scheitern bereits bei der Beurteilung der Vermögenswerte beziehungsweise Risiken im Bereich der IT. Meist versucht ein Team von IT-Asset-Managern die vorhandenen IT-Ressourcen zu klassifizieren. Man versucht sich vorzustellen, welche Server welchen Wert für das Unternehmen haben. Da inzwischen keine unwichtigen IT-Ressourcen mehr in den Unternehmen vorhanden sind, kommt man zu dem Schluss: Alle IT-Ressourcen sind von höchster Wichtigkeit. Warum soll man sich der Mühe der Klassifikation unterziehen, wenn es nur noch lebenswichtige Systeme gibt?
Risikomanagementmethoden können nicht immer die tatsächlichen Katastrophen vorherzusagen
Vor 15 Jahren versuchte die Automobilindustrie standardisierte Risikomanagement-Techniken für das Produktdesign festzulegen. Die damalige Methode der Wahl bestand aus einer großen Tabellenvorlage, welche Design-Failure-Mode-Effects-Analysis (DFMEA) hieß. Die Produktingenieure saßen mehrere Tage in einem Zimmer und analysierten jede Komponente, jeden Verschluss, jede Prägung, jedes Stück Stoff in einem Autositz, und legten fest, auf welche Weise jede Komponente in den vorgeschriebenen Tests scheitern könnte. Die Produktingenieure erzeugten eine riesige Liste von möglichen Problembereichen: fehlende Bolzen, Ermüdungsbrüche, abgenutzte Verbinder. Die abschließende Liste verschwand in den Schubladen des Qualitätsmanagements und ward nie mehr gesehen. Der Grund hierfür war einfach: Die Produktingenieure versäumten es, die Fehler, die tatsächlich in der Produktion auftraten, vorherzusagen.
Ein großer Finanzdienstleister betrieb ein Rechenzentrum an der Küste von Florida und nutzte Techniken des Risikomanagements zur Beurteilung der möglichen Risiken. Neben den üblichen Risiken - Stromausfälle, Störungen des Internets, Brände – musste auch die Möglichkeit eines Hurrikans mit einer Sturmflut von mehr als 7 Metern (der Höhe des Rechenzentrums über dem Meeresspiegel) beurteilt werden. Da ein solches Unwetter in den vergangenen 100 Jahren nicht aufgetreten war, wurde dieses Risiko als extrem gering beurteilt. Obwohl im darauf folgenden Jahr vier extreme Sturmfluten an der Golfküste auftraten, wurde das Risikoprofil des Rechenzentrums nie an die sich geänderten Bedingungen angepasst.
Die sich ständig verändernden Risiken haben heute direkte Auswirkungen auf die Risikobewertung. Vor 15 Jahren waren die meisten IT-Assets der Unternehmen, für einen pubertierenden Hacker aus Kanada nicht von großem Interesse, aber inzwischen nutzen die Wettbewerber weltweit das Internet für ihre Spionagezwecke. Daher ist es unmöglich, im Voraus zu wissen, welche IT-Assets für die Konkurrenten zukünftig von Interesse für Spionage-Zile sind.
Das Risikomanagement geht davon aus, dass man alle Unternehmenswerte schützen muss
Damit ein Risikomanagement funktioniert, muss es umfassend ausgelegt sein. Daher muss ein umfassender Schutz realisiert werden. Firewalls, IPS-Systeme und Anti-Virus-Mechanismen müssen neben einem Schwachstellen-Management in allen Teilen des Unternehmens lückenlos eingesetzt werden, um jedes einzelnen Gerät im Netzwerk zu überprüfen. Das Schwachstellen-Management muss kontinuierlich durchgeführt werden. Der Hintergrund: Neue Sicherheitslücken für fast jede Anwendung, Betriebssystem oder Gerät werden permanent bekannt. Mit Hilfe eines Patch-Management-System soll sichergestellt werden, dass jede Anwendung schnellstmöglich auf den aktuellen Stand ist. Die gängigen Risikomanagement-Methoden streben den einen Moment an, zu dem überall im Unternehmen keine Sicherheitslücken mehr existieren. Kann dieser Idealzustand nicht erreicht werden, dann wird das Risikomanagement von dem Gedanken getragen, dass neue Schwachstellen reduziert werden können. Ein Unternehmen kann in diese Sisyphusarbeit viel Zeit und Geld investieren und wird trotzdem nicht zum Ziel kommen. Gezielte Attacken und bisher unbekannte Schwachstellen machen diese Aufgabe unmöglich.
- Warum versagt das Risikomanagement in der IT?
- Risikomanagement: weitere Probleme
- Threat-Management versus Risikomanagement
Lesen Sie mehr zum Thema
