IT Risk Management Forum 2008

Vom 15.-16. April fand in Düsseldorf das 3. IT Risk Management Forum statt. Moderiert wurde die Veranstaltung von Herrn Dr. Wolfgang Böhmer und Herrn Hans-Peter Königs. Einige Thesen und Anregungen die Teilnehmer mitnehmen konnten finden Sie im Rückblick zu unserem 3. IT Risk Management Forum 2008.

Die Unterscheidung von IT-Sicherheit und Informationssicherheit wurde auf der diesjährigen Konferenz von allen Teilnehmern geteilt. Der Trend geht auch weg von einer isolierten Betrachtung der IT und deren Risiken, mehr hin zu einer Gesamtsichtweise des integralen Risikos und Risikomanagement. Es gibt unterschiedliche Schwerpunkte in den Disziplinen (Financial, Markt, OpRisk), jedoch müssen diese entsprechend ihren Eigenarten betrachtet werden.

Die Methoden zur Risikoabschätzung und der Einsatz von Normen richtet sich auf die ISO 27001:2005 aus. Der Standard ISO 27001 wird als unbestrittene Grundlage für ein Informations-Security-Management-System und als Anhaltspunkt für das Informations-Risiko-Management angesehen.

Teilweise werden auch die Verfahren vom ISF übernommen.

Compliance wird als Muss-Disziplin wahrgenommen, hingegen wird bei der IT-Risikobewältigung vermehrt auf den Aspekt geachtet: „Sicherheit ja, aber nicht um jeden Preis“. Die Kosten der Sicherheit müssen vermehrt gerechtfertigt werden. Das ROSI-Konzept (Return on Security Investments) wird aber allgemein nicht als praktikabel angesehen. Neue integrale Ansätze (z.B. VAL-IT) hinsichtlich Kosten und Nutzen sind wünschenswert.

Die Risikoanalyse wird vermehrt als Prämisse zum Aufbau einer Sicherheitsarchitektur (z.B. Netzzonenekonzept) und dem Ergreifen konkreter Maßnahmen eingesetzt, um „Risikoorientiert nicht Technologieorientiert zu agieren!“ Es zeichnet sich auch eine Tendenz ab, ähnlich wie in den anderen Risk-Disziplinen, dass massiv mathematische und stochastische Methoden und Modelle im Bereich OpRisk Eingang finden, wie ein Beitrag zum Thema Quo Vadis IT-Risikomanagement gezeigt hat.

Das Risikomanagement und darin das IT-Risikomanagement wird allgemein als gesamtunternehmerische Aufgabe angesehen, wobei „Business Impacts“ und „Risikoappetit“ der Unternehmensleitung vermehrt als Randbedingungen genannt werden. Für das Reporting der IT-Risiken im Rahmen der „Operationellen Risiken“ ist zurzeit noch offen, ob die Bewertung in Ratings oder in quantitativen Absolutwerten erfolgen soll. Insgesamt sind geeignete Analyse- und Bewertungs-Konzepte noch im Entstehen begriffen (z.B. CRISAM-Methode).

Die Erkenntnis, dass Tools zwar hilfreich sind, aber wesentliche Aspekte eines IT-Risikomanagement (z.B. Maßnahmen-Programme) nur begrenzt beinhalten, scheint sich durchzusetzen. Grosse Fortschritte sind bei der organisatorischen Aufstellung der IT Security und des IT Risk Managements in den Unternehmen zu verzeichnen. Dem Risiko-Faktor „Mensch“ und den Awareness-Maßnahmen wird vermehrte Beachtung geschenkt.

Die Themenzusammenstellung und -ausrichtung hat das Publikum sehr angesprochen und die Vorträge wurden lebhaft diskutiert. Die vielen praktischen Beispiele und Lösungen werden den Teilnehmern helfen, ihr IT Risk Management auch „sicher“ in der Zukunft zu steuern und die richtigen Entscheidungen für ihr Unternehmen zu treffen.