Risiko IT

 

Die Geschäftsprozesse sind von der IT abhängig

Die Geschäftsprozesse in einem Unternehmen sind in zunehmendem Maß von dem ordnungsgemäßen Funktionieren der IT-Systeme abhängig: große Teile der Kommunikation laufen über Email und das Internet, Kunden- und Lieferantendaten werden elektronisch verwaltet, die Buchhaltung sowieso und in vielen Fällen ist sogar die Produktion von IT-Systemen abhängig.

Anderseits wird die  IT immer komplexer, es gibt vielfältige Verzahnungen und Abhängigkeiten untereinander. Wenn jetzt irgendwo ein Problem auftritt, kommt es schnell zu einer Geschäftsunterbrechung. Und wenn es ganz schlecht läuft, dauert es Tage oder sogar Wochen, bis alles wieder normal läuft – auch das Geschäft.

Und die Bedrohungen sind vielfältig: Es muss ja nicht immer gleich ein Feuer im Büro oder ein Wasserschaden sein, schon der Defekt eines Netzteils im PC, für den es keinen Ersatz gibt, führt möglicherweise zum Produktionsstillstand. Neben den großen Katastrophen gibt es also vielfältige technische Störungen, vielleicht hat aber auch ein Anwender aus Versehen wichtige Daten gelöscht oder die Daten sind durch Schadsoftware unbrauchbar geworden – wie z. B. beim Angriff eines Verschlüsselungstrojaners.

Um beurteilen zu können, welche IT-Risiken ein Unternehmen bedrohen, muss man sich also zunächst die gesamte IT-Umgebung anschauen – gut, wenn es eine aktuelle Übersicht über die IT-Systeme gibt (vgl. Dokumentation).

Und dann wirken sich natürlich nicht alle Bedrohungen in jedem Unternehmen gleich aus: in manchen Unternehmen sind einige Bedrohungen möglicherweise überhaupt nicht relevant, dafür gibt es vielleicht sehr spezielle andere Gefahren für den Betrieb.

Für die Bewertung ist entscheidend, die Abhängigkeit der Geschäftsprozesse von IT-Systemen transparent zu machen. Erst so lassen sich die Auswirkungen eines Schadensszenarios bewerten.

Um einschätzen zu können, ob die IT in einem Unternehmen ausreichend sicher ist, ist es neben der Bestandsaufnahme der IT-Systeme erforderlich, diese in Bezug zu den Geschäftsprozessen zu setzen. So lassen sich aus den Anforderungen eines Prozesses die Anforderungen an die IT-Systeme ableiten.

Die Geschäftsprozesse geben vor, welche Verfügbarkeit die beteiligten IT-Systeme bieten müssen: die Bandbreite ist hier sehr groß und immer unternehmensabhängig – manchmal reicht die Wiederherstellung der Funktionsfähigkeit innerhalb einer Woche, in anderen Fällen ist dafür schon ein Tag zu lang – z. B. wenn die gesamte Produktion wegen der Störung stillsteht.

Ähnlich sieht es mit dem Schutzbedarf der verarbeiten Informationen und Daten aus: Personenbezogene Daten oder vertrauliches Firmen-KnowHow müssen davor geschützt werden, in falsche Hände zu gelangen, bei anderen Daten wie z. B. solchen für die Auftrags- und Produktionssteuerung ist es wichtig, dass sie nicht manipuliert werden oder dass unerwünschte Veränderungen rechtzeitig auffallen.

Aus der Sensibilität der Daten lassen sich die Anforderungen an die IT-Systeme ableiten

Letztendlich muss die Festlegung zu den Anforderungen immer vom Unternehmen selbst kommen

Sie wollen mehr erfahren über die Gefahren, die ihre Ursache in der Unternehmens-IT haben und die Ihr Unternehmen bedrohen? Ich untersuche Ihre IT-Landschaft auf Schwachstellen und damit verbundene Risiken und mache Vorschläge, um dem entgegen zu wirken. Sprechen Sie mich an – wir stimmen den Rahmen ab und ich mache Ihnen ein Angebot.

telefon 02104 177 888 0
christian.seidel [at] cs-its.de


Anrufen

E-Mail