"Beim Management des IT-Risikos ist in vielen Fällen der goldene Mittelweg die perfekte Lösung", erklärt Ing. Peter Weissenberger, Leiter IT Consulting bei Kapsch BusinessCom. "Wenn die Kosten, die ein Systemausfall verursachen würde, geringer sind, als der Aufwand für die Absicherung, schießt die IT-Sicherheit über das Ziel hinaus. Um festzustellen welche Abteilungen auf welche Systeme wie stark angewiesen sind, analysieren wir im Zuge unserer Beratungsprozesse jeden Teilbereich des Unternehmens. Dabei kommt das standardisierte CRISAM Verfahren zum Einsatz. Mit dieser Methode ist es möglich, ein detailliertes Bild vom Status quo - und den Defiziten - der IT-Infrastruktur und der IT Prozesse zu gewinnen".

Eine unsichere IT verschlechtert die Bilanz
Hauptargument für eine richtig abgesicherte IT ist die dadurch mögliche Kostenreduktion. Ein gutes IT-Rating wirkt sich sowohl auf Versicherungen als auch auf Kreditzinsen positiv aus. Das CRISAM (Corporate Risk and IT-Security Application Method) Ratingverfahren, das bei Kapsch BusinessCom zum Einsatz kommt, orientiert sich am Ratingansatz von Standard & Poor’s (S&P). Anstatt das Risiko nach dem Bauchgefühl zu beurteilen, liefert dieses Verfahren einen differenzierten Bechmark der Informationstechnologie im Hinblick auf Verfügbarkeit, Vertraulichkeit, Datenintegrität und Rechtskonformität. Eine wesentliche Stärke des CRISAM Verfahrens ist, dass IT-Services wie ERP, Email, Office oder Internet getrennt nach Abteilungen bewertet werden. Nur diese detaillierte Betrachtungsweise erlaubt es, die mögliche Schadenssumme realistisch einzuschätzen. Denn während etwa ein eintägiger Ausfall des E-Mail Systems in manchen Abteilungen nur geringe Folgen hat, kann er in anderen zu massiven Kosten führen.

Die Bewertung erfolgt beim CRISAM Verfahren mit denselben Ratingcodes, die auch im Finanzbereich verwendet werden: AAA steht dabei für eine ausgezeichnete Absicherung mit den besten derzeit verfügbaren Technologien. Am anderen Ende der Skala bezeichnet CCC ein hohes Gesamtrisiko. Hauptmaßstab für die Bewertung ist der "Stand der Technik". Er beschreibt das Mindestsicherheitsniveau, über das das Unternehmen verfügen muss, um ein "Investment Grade" Rating (mindestens BBB) zu erhalten. Liegt die IT-Infrastruktur darunter, kommt nur ein "Speculative Grade" (BB, B, CCC) in Frage - und der wirkt sich negativ auf die Kosten aus.

Vorgehen nach dem CRISAM Verfahren
Das CRISAM Verfahren, das bei den Experten von Kapsch BusinessCom zum Einsatz kommt, beschreibt einen sechsstufigen Prozess, der eine detailliert Analyse der bestehenden IT-Infrastruktur ermöglicht. Zuerst wird dabei, basierend auf den strategischen Festlegungen des Unternehmens, eine bindende Sicherheitspolitik definiert. Im nächsten Schritt werden die, von dieser "Policy" erfassten, Geschäftsprozesse identifiziert und mit dem bestehenden IT-System in Bezug gesetzt. Darauf folgt zusammen mit Mitarbeitern des Unternehmens eine realistische Einschätzung des Sicherheitsrisikos. Das Ergebnis dieser Analysen fließt in einen detaillierten Risikobaum ein, aus dem sich schließlich das Gesamtrating des Unternehmens ergibt. Dieses System ermöglicht es auch Defizite getrennt nach IT-Systemen und Abteilungen auszuwerten. Stehen die Differenzen zwischen Soll- und Ist-Zustand fest, werden Maßnahmen definiert, die diese Lücke schließen. Im letzten Schritt des CRISAM Verfahrens werden diese Maßnahmen in konkrete Projekte gefasst, entsprechend der Wichtigkeit priorisiert und in die Umsetzung geführt - wenn es der Kunde wünscht mit Kapsch BusinessCom als erfahrenem Partner.

"IT-Risikomanagement ist primär eine Aufgabe der oberen Führungsebene", unterstreicht Peter Weissenberger. "Denn die Aufgaben, die IT heute in Unternehmen übernimmt, hat oft den Charakter von Produktionsanlagen - steht die IT, steht auch das Tagesgeschäft. Jeder Manager, der sein Unternehmen aus diesem Blickwinkel betrachtet, wird die wirtschaftliche Bedeutung von IT-Risikomanagement verstehen", sagt Weissenberger abschließend.