Risikoanalysen Leitplanken für die IT

Oktober 2018 | Wirtschaftswoche | Risikomanagement

Risikoanalysen Leitplanken für die IT

Risikoanalysen sind wichtig und notwendig, ersetzen jedoch nicht die Entscheidungskompetenzen eines Geschäftsführers oder Vorstands.

Michael Wörster; Senior Consultant; Data Center Group
DATA CENTER GROUP / Unternehmensbeitrag

Herr Wörster, Ihre Erfahrung aus der Praxis: Kennen Unternehmen ihre Risiken?
Die meisten Unternehmen kennen ihre Risiken, können sie jedoch nicht bewerten. Wir erleben immer wieder, dass wir mit den IT-Verantwortlichen sprechen und auf die Frage, wie hoch denn der Verfügbarkeitsanspruch sei, ein ‚sehr hoch’ als Antwort bekommen. Wenn man dann jedoch weiter nachhakt und fragt, woran sie das denn festmachen würden, kommt in der Regel nur ein ‚das denken wir zumindest’. Die IT braucht Leitplanken, in deren Rahmen sie sich bewegen und entwickeln kann. Und die fehlen in den Unternehmen sehr häufig.

 

Welche Vorarbeit muss für die von Ihnen angesprochenen IT-Leitplanken geleistet werden?
Es gibt grundsätzlich unterschiedliche Möglichkeiten der Risikobetrachtung. Wir empfehlen zunächst immer einen ganzheitlichen Blick, wofür eine Geschäftsrisikoanalyse, auch Business Impact Analyse, im Fokus stehen sollte. Die zeigt grundlegend auf, welche wirtschaftlichen und Reputationsschäden entstehen können, wenn ein Geschäftsprozess nicht mehr funktioniert – auch wenn das nur vorübergehend der Fall ist. Anschließend folgt eine Ereignisrisikoanalyse, die beispielsweise den Standort, bauliche Konstruktionen oder auch brandschutzrelevante Themen berücksichtigt, und auf deren Basis dann entsprechende Maßnahmen erarbeitet werden können.

 

Wie geht man mit den Ergebnissen einer solchen Analyse um?
Sie müssen Ihre Risiken und deren mögliche Auswirkungen kennen, um sie bewerten und geeignete Maßnahmen initiieren zu können. Denken Sie beispielsweise an einen Online-Händler, dessen Shop zwei Tage nicht erreichbar ist. Der wirtschaftliche Schaden wäre vielleicht zu verkraften. Der Reputationsschaden bei den Kunden geht allerdings möglicherweise in die Millionen. Entsprechend wird die Erreichbarkeit des Online-Shops als kritischer Geschäftsprozess eingestuft. Sie dürfen nicht vergessen, die IT ist lediglich ein Hilfsmittel für Prozesse. Wenn ein Unternehmen 100 dieser Prozesse hat und weiß, dass davon 40 als kritisch eingestuft sind, lässt sich ein entsprechendes IT-Konzept aufbauen.
 

Aber will ich das Risiko nicht insgesamt möglichst gering halten, weshalb alle Geschäftsprozesse als kritisch zu bewerten sind?
Hier muss man ganz klar und ehrlich Prioritäten setzen, was ist wichtig, was ist wichtiger. Deshalb ist auch die Bewertung der Geschäftsprozesse mit ihren wirtschaftlichen Folgen und den Auswirkungen auf die Reputation so wichtig: Sie entscheidet darüber, welche Risiken bewusst eingegangen werden können und wo verstärkt in Sicherheit investiert werden muss.
 

Was eine unternehmerische Entscheidung ist und damit beim Geschäftsführer oder Vorstand liegt.
Absolut und das betonen wir immer wieder. Die Analysen – ob die des Geschäftsrisikos oder der Ereignisrisiken – zeichnen immer nur ein Bild, beschneiden die unternehmerische Entscheidungsfreiheit jedoch nicht. Allerdings können solche Entscheidungen eben auch nur auf einer soliden Wissensbasis getroffen werden, weshalb Business Impact Analysen wichtig und notwendig sind.


Know-how auf fünf Säulen


IT-Strategieberatung und Planung, fachgerechte bauliche Umsetzung, umfangreicher Support und Service sowie ein professioneller Betrieb des Rechenzentrums: Die fünf Unternehmenssäulen der DATA CENTER GROUP proRZ, RZproducts, SECUrisk, RZservices und RZingcon, arbeiten eng verzahnt und abgestimmt miteinander und sind für Unternehmen und Organisationen in vielen Branchen und öffentlichen Einrichtungen tätig. Über 2.000 Projekte wurden bereits geplant und realisiert. Egal ob internationaler Konzern oder Mittelstand – die DATA CENTER GROUP bietet professionellen und individuellen Service für jeden Bedarf.


www.datacenter-group.com