Wirksames Risikomanagement
Umsetzung wichtiger als Analyse?
Artikel erschienen in Swiss IT Magazine 2022/09
Artikel erschienen in Swiss IT Magazine 2022/09
In vielen Unternehmen ist es auch heute noch üblich, dass sich Führungsverantwortliche aus dem oberen Management, der Geschäftsleitung und allenfalls auch aus dem Verwaltungsrat einmal jährlich zusammensetzen, um die aktuelle Risikolage zu erheben und zu bewerten sowie dann entsprechende risikomindernde Massnahmen festzulegen - um dann diese Aufgabe für die kommenden 12 Monate als erledigt abzuhaken.
Mit Freude habe ich daher im Artikel von Matt Liang und Zultan Bucsko gelesen, dass solche Risikobewertungen (von Technologie- und anderen Risiken) teilweise monatlich oder sogar noch häufiger durchgeführt werden (sollten). Und kaum habe ich diesen Gedanken zu Ende gedacht, prasselte eine Serie von kleineren und grösseren «Aber» auf mich ein. Monatliche und häufigere Risikobewertungen können ja z.B. im Bereich des operativen Virenschutzes oder der Cybersicherheit schon Sinn machen - bei den allermeisten Risiken, die uns als Unternehmen innerhalb und ausserhalb der IT beschäftigen, ist wohl drei bis vielleicht vier Mal jährlich wesentlich zielführender!
Mit Freude habe ich daher im Artikel von Matt Liang und Zultan Bucsko gelesen, dass solche Risikobewertungen (von Technologie- und anderen Risiken) teilweise monatlich oder sogar noch häufiger durchgeführt werden (sollten). Und kaum habe ich diesen Gedanken zu Ende gedacht, prasselte eine Serie von kleineren und grösseren «Aber» auf mich ein. Monatliche und häufigere Risikobewertungen können ja z.B. im Bereich des operativen Virenschutzes oder der Cybersicherheit schon Sinn machen - bei den allermeisten Risiken, die uns als Unternehmen innerhalb und ausserhalb der IT beschäftigen, ist wohl drei bis vielleicht vier Mal jährlich wesentlich zielführender!
Dafür gibt es zahlreiche Gründe, auf die ich nachfolgend nur beispielhaft eingehen kann:
- Wenn ich mich auf einem Segelschiff auf hoher See befinde und noch 5000 Meilen bis zum nächsten Hafen fahren muss, macht es wenig Sinn, den eigenen Standort in kurzen Intervallen zu überprüfen: Ich weiss ja, in welche Richtung ich mich bewegen muss - ich schaue also regelmässig, ob das Segel gut im Wind steht, ob der Bug in die korrekte Richtung zeigt usw. Auf das Risikomanagement übertragen heisst das, dass es viel mehr Sinn macht, sich um eine zeitnahe und inhaltlich korrekte Umsetzung der geplanten Sicherheitsmassnahmen und -projekte zu kümmern, als durch (zu) häufige Bewertungen zu erkennen, dass man noch keine grossen Verbesserungen der Risikolage erreicht hat.
- Damit man geplante Verbesserungen der Risikolage wirklich erreichen kann, benötigt man offensichtlich ausreichend viele ausreichend qualifizierte Ressourcen. Hierin liegt wohl das grösste Problem im Zusammenhang mit Risikomanagement: «Ausreichend viel» heisst, dass interne oder externe Mitarbeitende angestellt werden müssen - das kostet (viel) Geld, welches generell und im Moment erst recht nicht gerne zur Verfügung gestellt wird. «Ausreichend qualifiziert» ist aber schon seit Jahren das viel grössere Problem: Auch wenn z.B. nur schon an der Hochschule Luzern, wo ich als Dozent auch im Einsatz stehe, viele sehr gute CAS/DAS/MAS im Bereich IT-Sicherheit durchgeführt werden, reicht die Zahl der jeweils erfolgreichem Absolventen an allen Fachhochschulen der Schweiz überhaupt nicht aus, um den Bedarf zu decken. Auf unsere Risikolage bezogen heisst das, dass wir in den allermeisten Fällen gar nicht genug an der Verminderung der erkannten Risiken arbeiten können. Dann macht es definitiv keinen Sinn, im Zweiwochenrhythmus eine neue Beurteilung vorzunehmen.
- Zu häufige Neubewertungen führen übrigens in den allermeisten Fällen zu Bewertungsschwankungen (lies fiktiven Verbesserungen), ohne dass sich an den Risiken etwas geändert hat: Das hat viel mit der Verhaltenspsychologie zu tun: Man hat in den letzten Monaten so viel in neue Sicherheitsmassnahmen investiert - da muss das Risiko doch endlich abnehmen, oder nicht? Ich habe diese Wahrnehmungsverschiebung in zahlreichen Kundenmandaten beobachten können.
- Wenn ich mich auf einem Segelschiff auf hoher See befinde und noch 5000 Meilen bis zum nächsten Hafen fahren muss, macht es wenig Sinn, den eigenen Standort in kurzen Intervallen zu überprüfen: Ich weiss ja, in welche Richtung ich mich bewegen muss - ich schaue also regelmässig, ob das Segel gut im Wind steht, ob der Bug in die korrekte Richtung zeigt usw. Auf das Risikomanagement übertragen heisst das, dass es viel mehr Sinn macht, sich um eine zeitnahe und inhaltlich korrekte Umsetzung der geplanten Sicherheitsmassnahmen und -projekte zu kümmern, als durch (zu) häufige Bewertungen zu erkennen, dass man noch keine grossen Verbesserungen der Risikolage erreicht hat.
- Damit man geplante Verbesserungen der Risikolage wirklich erreichen kann, benötigt man offensichtlich ausreichend viele ausreichend qualifizierte Ressourcen. Hierin liegt wohl das grösste Problem im Zusammenhang mit Risikomanagement: «Ausreichend viel» heisst, dass interne oder externe Mitarbeitende angestellt werden müssen - das kostet (viel) Geld, welches generell und im Moment erst recht nicht gerne zur Verfügung gestellt wird. «Ausreichend qualifiziert» ist aber schon seit Jahren das viel grössere Problem: Auch wenn z.B. nur schon an der Hochschule Luzern, wo ich als Dozent auch im Einsatz stehe, viele sehr gute CAS/DAS/MAS im Bereich IT-Sicherheit durchgeführt werden, reicht die Zahl der jeweils erfolgreichem Absolventen an allen Fachhochschulen der Schweiz überhaupt nicht aus, um den Bedarf zu decken. Auf unsere Risikolage bezogen heisst das, dass wir in den allermeisten Fällen gar nicht genug an der Verminderung der erkannten Risiken arbeiten können. Dann macht es definitiv keinen Sinn, im Zweiwochenrhythmus eine neue Beurteilung vorzunehmen.
- Zu häufige Neubewertungen führen übrigens in den allermeisten Fällen zu Bewertungsschwankungen (lies fiktiven Verbesserungen), ohne dass sich an den Risiken etwas geändert hat: Das hat viel mit der Verhaltenspsychologie zu tun: Man hat in den letzten Monaten so viel in neue Sicherheitsmassnahmen investiert - da muss das Risiko doch endlich abnehmen, oder nicht? Ich habe diese Wahrnehmungsverschiebung in zahlreichen Kundenmandaten beobachten können.
Was tun?
Ein allgemeines Rezept für unsere «Problemlösung» gibt es wohl nicht. Aber eine Investition in die Weiterbildung der eigenen Mitarbeitenden sollte die Qualität und Geschwindigkeit der Implementierung möglicher risikomindernder Massnahmen spürbar verbessern. Sinnvoll sind aus meiner persönlichen Perspektive aber nicht (nur) technische Fähigkeiten und Fertigkeiten, sondern vor allem solide Grundlagen. Und neben den bereits erwähnten CAS usw. sehe ich in erster Linie die Ausbildungen zu den ISACA-Zertifizierungen als gute Investition: Entsprechend dem aktuellen Schwerpunktthema dieses Artikels sind das zuerst CRISC und dann primär CGEIT, CISM, CDPSE und CISA. Als ein Anbieter solcher Kurse bin ich definitiv nicht neutral - aber ich bin klar der Ansicht, dass die ausführlichen berufsbegleitenden Ausbildungen wesentlich mehr bringen als ein kurzes Prüfungsvorbereitungstraining. Diese ISACA-Ausbildungen beginnen wieder im nächsten Februar - wer bereits über eine gute Grundlage verfügt, kann auch direkt in die kompakten Prüfungsvorbereitungskurse der verschiedenen Anbieter einsteigen.Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE
(Quelle: ISACA)
Artikel kommentieren
