Im Mittelpunkt des IT-Managements: Risiken und Services

Während der Service-Gedanke dabei, in unterschiedlichen Ausprägungen, schon seit langer Zeit eine Rolle in der IT spielt, ist der Blick auf Risiken bisher meist eher schwach ausgeprägt. Gerade Risiken sind aber ein wichtiges Instrument, um in der IT bessere Entscheidungen zu treffen und gezielter zu handeln.

Risiken sind dabei allgegenwärtig. Sicherheitsrisiken, Erfüllungsrisiken in Projekten – und damit beim Change Management – oder Kostenrisiken in eben diesen Projekten sind nur einige Beispiele. Das Konzept des Risk Managements ist in manchen Branchen bereits mit Blick auf strategische und operationale Risiken gut verankert. Genauso lässt sich das Konzept aber in der IT nutzen, wo es auch an zunehmend mehr Stellen auftaucht, beispielsweise in Werkzeugen, die Zugriffsrisiken explizit bewerten oder – zwischen Business und IT – in Risk Management-Ansätzen für ERP-Lösungen. Während letztere auf Business-Controls ausgerichtet sind, richtet sich der Blick bei den erstgenannten Werkzeugen auf IT-Controls, wie sie beispielsweise in COBIT beschrieben sind.

Die Orientierung an Risiken ist aus mehreren Gründen sinnvoll. Ein Bewusstsein über Risiken ermöglicht es erst, sich gezielt um die Reduktion von Risiken oder Maßnahmen für das Eintreten des Problemfalls zu kümmern. Risiken sind aber auch für das Project Portfolio Management von zentraler Bedeutung. Das wird besonders gut am Beispiel der IT-Sicherheit deutlich: Die größten Risiken müssen zuerst adressiert werden – soweit das in Anbetracht der Kosten für die „Risk Mitigation“ sinnvoll ist. Risikoorientierte Ansätze sind in diesem Bereich aber auch sinnvoll, um Authentifizierungsstrategien zu entwickeln. Die Frage danach, wie viel Sicherheit es braucht, lässt sich so besser beantworten – es hängt von den Risiken ab.