Governance, Risikomanagement, Compliance
Wie eine neue Risikokultur für mehr IT-Sicherheit sorgen kann
Die letzten zwei Jahre haben verdeutlicht, wie wichtig es ist, Prozesse im Unternehmen auf den Krisenfall vorzubereiten, um Auswirkungen so klein wie möglich zu halten. Dabei geht es nicht nur um die Frage, was in Gefahr ist. Sondern auch, welche gesetzlichen Anforderungen beachtet werden sollten.
- Was sind die Auswirkungen der Corona-Pandemie, speziell auf die Unternehmens-IT?
- Wie kann eine klare Risikokultur proaktiv Auswirkungen durch Krisen verringern oder gar entgegenwirken?
- Wie greifen Governance, Risikomanagement und Compliance ineinander?
- Wie funktioniert ein Information Security Management (ISMS)?
- Was müssen Unternehmen für eine Zertifizierung nach ISO/IEC 27001 tun?
- Wie können sich Unternehmen auf den Sicherheitsvorfall (Security Incident) vorbereiten?
Aktuell dürften viele, wenn nicht die meisten Unternehmen ihr Risiko- und Chancen-Profil deutlich anders beschreiben als noch Anfang 2020. Krisen mit globalen Auswirkungen wie die Corona-Pandemie oder der Ukraine-Krieg haben die Märkte wohl überall auf dem Globus deutlich verändert: Steigende Preise, stockende Lieferketten, neue Embargo-Gesetze, aber auch der Aufbruch Richtung erneuerbarer Energien, nachhaltiger Produktions- und Lebensmodelle sowie die Eröffnung neuer Märkte sind nur einige Aspekte, die neue unternehmerische Risiken, aber auch Chancen eröffnen. Die IT spielt in diesen volatilen Zeiten fast überall eine unternehmenskritische Rolle: zum einen, weil sie vielfach direkt das Business-Modell ermöglicht oder die zugrundeliegenden Geschäftsprozesse unterstützt, zum anderen, weil sie selbst angesichts der aktuell erhöhten Bedrohungslage vermehrt selbst zum Ziel von Cyberangriffen werden könnte. Eine gute Zeit, das Risikomanagement umfassend und systematisch anzugehen und die unterstützende IT rechtzeitig einzurichten.
Mit klarer Risikokultur Raum für Innovation und Wachstum schaffen
In einer so veränderlichen Welt wie heute wird die Resilienz, die robuste Widerstandsfähigkeit in schwierigen Verhältnissen, neben Effizienz und Profitabilität als Ziel der Unternehmensorganisation immer wichtiger. Es gilt, Risiken und Chancen systematisch und kontinuierlich einzuschätzen, um auch in wandelbaren Märkten flexibel und erfolgreich zu agieren. Unternehmen, denen es gelingt, eine gute Balance von Risikobewusstsein für mögliche Gefahren und Risikofreude für bestehende Chancen zu etablieren, haben hier die besten Erfolgsaussichten. Für die Umsetzung braucht es einen klaren gemeinsamen Rahmen für Entscheidungen und Prozesse, der durch Ziele, Unternehmensstrategien und Compliance-Regeln geschaffen wird und der sowohl den Führungspersonen als auch den Mitarbeitenden als Leitlinie dient. Mit einer klaren Risikokultur kann sich so auch Raum für Innovation und Wachstum geschaffen werden. Im Dreiklang von Governance, Risikomanagement & Compliance (GRC) lässt sich das abteilungsübergreifend und systematisch organisieren.
GRC: Dreiklang von Governance, Risikomanagement & Compliance
Systematisches GRC sorgt dafür, dass Aktivitäten mithilfe von Governance, Risikomanagement und Compliance abteilungsübergreifend synchronisiert werden:
- Governance entscheidet, wie ein Unternehmen strukturell und administrativ aufgestellt wird, mit welchen Prozessen die gesetzten Ziele erreicht werden sollen.
- Risikomanagement ist die Vorhersage und das Management von Risiken, die das Unternehmen daran hindern könnten, seine Ziele zuverlässig zu erreichen oder es sogar gefährden.
- Compliance bezieht sich auf die Einhaltung der vorgeschriebenen Grenzen – dazu gehören Gesetze und Vorschriften wie beispielsweise DSGVO für IT-Compliance – und der freiwilligen Grenzen einer Organisation wie interne Richtlinien und Verhaltensregeln.
Durch die GRC-Umsetzung in allen Unternehmensbereichen wird effizientes Arbeiten, das Erreichen von Zielen und das Erkennen von Chancen unter akzeptablen Risikobedingungen (Risikobewusstsein und Risikobereitschaft) ermöglicht. Gerade in größeren Organisationen und besonders bei Betreibern kritischer Infrastrukturen (KRITIS) ist ein solcher interdisziplinärer Austausch unerlässlich, um die GRC-Aufgaben koordiniert und sicher zu erledigen. Für erfolgreiches GRC braucht es ein verbindendes Rahmenwerk, das Einzellösungen im Unternehmen verhindert. Nur ein zentrales Management gewähreistet die übergreifende Umsetzung: Fehlende Schnittstellen zwischen den Geschäftsbereichen und das „Überbrücken“ mit E-Mails, Word-Dokumenten oder Excel Sheets erschweren ein koordiniertes und effizientes Arbeiten zur frühzeitigen und systematischen Erkennung von Risiken und Chancen. Es gilt die relevanten Geschäftsprozesse mit ihren Zuständigkeiten, benötigten Ressourcen und Arbeitsabläufen durchgängig zu gestalten und zu automatisieren. Wenn risikorelevante Informationen zentral bearbeitet und gemanagt werden, erzeugt das Transparenz und Verantwortliche können ihre Entscheidungen auf Basis aktueller Daten treffen.
IT-Risiken systematisch managen
IT-Risiken haben eine direkte Auswirkung auf das Geschäftsrisiko. Nicht selten bedeutetet ein Ausfall der IT-Infrastruktur auch einen Komplettausfall oder zumindest eine eingeschränkte Geschäftstätigkeit mit Umsatzverlusten. Eine Nichtbeachtung von Datenschutzrichtlinien kann eine empfindliche Strafzahlung und schlimmer noch, die Beschädigung der Unternehmensreputation zur Folge haben. Das zeigt deutlich, wie wichtig Governance, Risikomanagement und Compliance in der IT heute sind. Die Etablierung entsprechender Lösungen ist ein absolutes Muss. In der IT Security wird deshalb unter anderem der Datenschutz, die Datenaufbewahrung und die Informationssicherheit durch Vorschriften definiert und ihre Gewährleistung sichergestellt. Ein Information Security Management System (ISMS) unterstützt Verantwortliche dabei, Risiken aufgrund von aktuellen Daten zu erkennen und einzuschätzen, Entscheidungen zu treffen und Informationen bei Bedarf zur Verfügung stellen zu können.
IT-Risiken entstehen in Unternehmen nicht nur dort, wo explizite Security-Systeme wie Antivirensoftware oder Firewalls durchbrochen werden, sondern auch dort, wo Abläufe gar nicht abgesichert sind oder Sicherheitsprozesse nicht gut umgesetzt werden. Dies gilt zum Beispiel, wenn geheime Informationen einfach an Unbefugte weitergeleitet werden können oder wenn auf einen Hackerangriff von außen ungenügend oder zu spät reagiert wird. Hier braucht es systematisches Risikomanagement, um Angriffsflächen zu erkennen, sowie Prozessdefinition und -automatisierung, um Informationssicherheit und Compliance erfolgreich umzusetzen.
Zertifizierbares ISMS
Die internationale Norm ISO/IEC 27001 legt die Anforderungen fest, die Unternehmen für ein dokumentiertes und zertifizierbares Information Security Management System erfüllen müssen: Sie erfordert die Verwaltung von 114 so genannter Controls, die den Rahmen zur Ausgestaltung der unternehmensspezifischen Informationssicherheit mit allen relevanten Aspekten absteckt: von gesetzlichen Anforderungen und Lieferantenmanagement bis hin zur Betriebs- und Umweltsicherheit. Für eine Zertifizierung nach ISO/IEC 27001 müssen Unternehmen jedes Control behandeln und seinen Status überwachen. ISMS-Lösungen unterstützen Verantwortliche dabei – manche sogar ohne großen Aufwand. Hinterlegte Controls lassen sich dem jeweiligen Team dann einfach zur Bearbeitung zuweisen, Aktionen zur Erfüllung der Controls werden nachverfolgt und verwaltet, Informationen ausgetauscht und Anhänge direkt protokolliert. So entsteht ein umfassend dokumentierter ISMS-Betrieb.
Incident Management: Bei Cyberangriffen handlungsfähig bleiben
Unternehmen, die IT-Risiken minimieren wollen, sollten ganz besonders ihr Vorgehen bei einem Sicherheitsvorfall, dem Security Incident, vorbereiten und durch entsprechende Systeme unterstützen. Denn bei Cyberangriffen gilt es, schnell zu handeln, damit im Krisenfall zusätzliches Chaos vermieden und der entstehende Schaden so gering wie möglich gehalten wird. Systematisches Security Incident Management bereitet Unternehmen und ihre Mitarbeitenden bestmöglich auf den Umgang mit Sicherheitsvorfällen vor. In einem Incident Response Plan lassen sich alle nötigen Aktionen definieren und die Verantwortlichkeiten klar festlegen. Leistungsfähige Systeme unterstützen auch hier dabei, die Abläufe bei Sicherheitsvorfällen zu automatisieren, um optimal reagieren und Risiken minimieren zu können.
Wer Sicherheitslücken in IT-Systemen und Prozessen schließen will, muss auf die Details achten und dabei gleichzeitig das große Ganze im Blick haben. Systematisches Risikomanagement im GRC-Dreiklang und leistungsfähiges ISMS schaffen einen sicheren Rahmen dafür, dass Unternehmen eine gute Balance von Risikobewusstsein und Risikofreude finden, um Raum für Innovation zu nutzen und Wachstum zu gestalten.
Von Jens Bothe, Vice President Information Security bei OTRS
Das könnte Sie auch interessieren
Trend-Micro-Befragung
Eingeschränkte Visibilität als Bedrohung
„Pacman“ hebelt PAC-Schutz aus
Sicherheitslücke gefährdet Apples M1 und andere…
funkschau Kommentar
Risiken im virtuellen Raum
Hybrides Arbeiten im öffentlichen Sektor
Schatten-IT: Unterschätztes Risiko im Homeoffice
Verwandte Artikel
connect professional
KI-Regulierung und Security
Der Geist ist aus der Flasche
Cognizant präsentiert Neuro AI
Generative KI im Unternehmen einführen
