7 Informations-Sicherheit und Corporate Governance (S. 109-110)

Zum IT-Risiko-Management gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen. Im Teil B dieses Buches haben wir bereits die Anforderungen eines Unternehmens-Risiko-Managements aus der Sicht der Corporate- Covernance behandelt. Bevor wir uns nun den Inhalten, Methoden und Verfahren des IT-Risiko-Managements widmen, halten wir fest, wo das für ein Unternehmen immer wichtiger werdende IT-Risiko-Management im Verhältnis zur Disziplin „ITSicherheit" zu positionieren ist. Weiter werden die für ein IT-Risiko-Management wesentlichen Aspekte der IT-Governance und Informations-Sicherheits- Governance aufgezeigt. Management von IT-Risiken und Informations-Sicherheit Aus der Sicht „IT-Sicherheit" gilt es festzuhalten, dass hundertprozentige Sicherheit nicht möglich ist.

Um über die Höhe der Sicherheit überhaupt eine Aussage machen zu können, kommt das Risiko als ein Mass für die „Unsicherheit" zur Anwendung. Aussagen über das Mass der nicht erreichten Sicherheit machen zu können, wird umso wichtiger, wenn es darum geht, die Kosten von Massnahmen gegen ihren Nutzen, sprich Risiko- Verminderung, abzuwägen. Werden Budgets für Sicherheitsmassnahmen bei der Geschäftsleitung eines Unternehmens beantragt, dann sind die Massnahmenkosten vermehrt mit dem zu erzielenden Nutzen zu begründen. Bei der Nutzen-Argumentation genügt meist eine Erläuterung der vorhandenen Bedrohungen nicht, sondern es müssen anhand von Szenarien die eingeschätzten und nach unternehmesspezifischen Kriterien bewerteten Risiken aufgezeigt werden können.

Der Prozess der IT-Sicherheit im Unternehmen wird damit zum Risiko-Management-Prozess und beginnt bei der Identifikation und Einschätzung der für das Unternehmen relevanten Risiken. Auch der Umgang mit IT-Risiken, z.B. wie hohe Restrisiken toleriert und inwieweit und in welcher Art die Massnahmen ergriffen werden, fallen in die Prozess-Schritte „Risiko-Bewertung" und der Definition von „Bewältigungsstrategien" (s. Kapitel 3). In der Realität hat also die Disziplin „Informations-Sicherheit" nicht die Aufgabe „Sicherheit per se" zu erzeugen, sondern die zum Teil wechselnden Risikosituationen im Zusammenhang mit Informationen in einem ständigen Prozess festzustellen und den Umständen entsprechend angemessen zu bewältigen. Aus den strategischen Optionen „Risiken verhindern", „- reduzieren", „-transferieren" oder „- selbst tragen" wird klar, dass das ITRisiko- Management, wie auch jedes andere Risiko-Management, in einem Unternehmen nicht die alleinige Aufgabe einer Fachabteilung sein kann, sondern eine strategische Aufgabe des Unternehmens ist.

IT-Risiko-Management ist somit ein integraler Teil guter Corporate Governance und Management-Praxis und leitet sich von den Wertvorstellungen, der Politik, den Strategien und Zielen des Unternehmens ab. Dies schliesst nicht aus, dass IT-Risiko- Management unmittelbar an den einzelnen Objekten (z.B. an den Informationenbeständen, Systemen, Handlings, Prozessen, Projekten), durchgeführt werden muss und dort Teil der Disziplin „IT-Sicherheit" ist. Doch kann die Frage über das notwendige Mass an Sicherheit letztlich nur über das eingeschätzte und im Kontext bewertete Risiko beantwortet werden. Die Leistung der „IT-Sicherheit" äussert sich daher vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten ITRisiko- Management, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. IT-Governance und Informations-Sicherheit-Governance Das IT-Governance Institut, gegründet durch die „Information and Systems Audit and Control Association" (ISACA) widmet sich der IT-Governance, indem es Richtlinien, Frameworks und Berichte erstellt sowie Befragungen zum aktuellen Stand der ITGovernance durchführt.