Schwachstellenanalyse als ­Risikomanagement

Gesetzliche Auflagen wie die EU-Richtlinie zum ­Datenschutz, die Eigenkapital-Richtline Basel II oder das amerikanische Sarbanes-Oxley-Gesetz (SOX) bringen Führungskräfte aus Technik und Wirtschaft in Zugzwang. Besonders stark betroffen sind die Banken. Basel II ist für alle bindend, ­während sich Versicherungsunternehmen voraussichtlich ab 2008 den EU-Vorgaben Solvency II stellen müssen. Noch haben nicht alle Unternehmen erkannt, dass ihnen eine übergreifende IT-Strategie, die eine strategische Planung sowohl auf technischer als auch auf prozessualer Ebene für die kommenden fünf bis zehn Jahre vorgibt, die Erfüllung der verschiedensten Anforderungen erleichtert. Denn das Gros der komplexen Bestimmungen weist durchaus Gemeinsamkeiten auf, die sich nutzen lassen, um den Aufwand für die Erfüllung der verschiedenen Vorgaben zu verringern. Lassen sich doch die einzelnen Vorschriften auf bestimmte Basisanforderungen reduzieren. Vier IT-Bereiche sind laut John Hagerty, Vice President bei AMR Research, Bestandteil aller IT-relevanten Gesetze. Sie stellen also sozusagen den größten gemeinsamen Nenner dar:
• Sicherheit,
• Prozess-Management, sprich: Reglementierung des Informationsflusses,
• Berichtswesen (Reporting) beziehungsweise Risiko-Management,
• Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten (siehe Grafik auf S. 29).
»Wer seine Denkweise bereits dahingehend ausgerichtet hat, tut sich mit der Erfüllung der Vorschriften weitaus leichter«, resümiert Hagerty. Einer, der es aus der Praxis wissen muss, ist Lutz Bleyer, Leiter der zentralen Sicherheit bei Fiducia IT: »Risikomanagement ist die Voraussetzung, um Problempunkte zu erkennen und den Ist-Zustand mit den Zielvorgaben abgleichen zu können.« Schwachstellenerkennung trägt laut Bleyer dazu bei, einen Teil der Risikomanagement-Gleichung zu definieren. »So kann man sein aktuelles Risikoniveau präziser bestimmen und dann auf das Niveau hinarbeiten, das man erreichen möchte.«