Risikomanagement neu denken – Change your Flight-Level

Wer kennt das nicht – es werden penibel kleine und kleinste Details aller IT-Systeme erfasst, alle Kollegen permanent mit immer denselben Fragen gequält und das Ergebnis in eine Datenbank gespeichert, während die Kollegen der IT bereits alles wieder verändert, upgedatet oder virtualisiert haben. In die Datenbank gelangen dabei jährlich oder bestenfalls halbjährlich auch nur Auditergebnisse von vorhandenen und nicht von erforderlichen Infrastrukturen und Prozessen! Daraus werden bunte Berichte generiert, die beschreiben, wie es einmal war, wie compliant man gewesen ist und welche Details nachzubessern gewesen wären. Nicht betrachtete, jedoch zwingend erforderliche Sicherheitskonzepte zeigen kein Security-Gap an und weisen falsche Ergebnisse aus.

Risikomanagement ist keine „Rückspiegeldisziplin“, sondern beschäftigt sich mit Gefährdungen, zukünftigen, möglichen Ereignissen und Auswirkungen, die auf das Unternehmen oder die Organisation wirken. Unter den größten #Gefährdungen, die Unternehmer unruhig schlafen lassen, sind aktuell #Verschlüsselungstrojaner, allgemeine #Cyberangriffe, oder auch IT-unabhängige, externe Ursachen aus Volatilitäten am Finanzmarkt, Beeinträchtigungen in der Logistik, der Versorgung mit Energie und Rohstoffen und weitere. Darüber hinaus gefährden systembezogene, IT-/OT-interne Ursachen, bei Dienstleistern oder aus der Cloud betriebene Dienste den Geschäftserfolg, die jedoch kaum den Weg bis zur Unternehmensspitze finden.

Es stellt sich daher die Frage: Wie kann der Wettlauf zwischen Bewertung und Betrieb von IT/OT-Infrastrukturen aus Risikosicht gewonnen werden? Eine Antwort könnte lauten: Change your Flight-Level and follow actual NOTAMs! Verwerfen Sie die penible kleinteilige Bewertung aller IT-Systeme und beurteilen Sie die Reife umgesetzter und erforderlicher #Sicherheitskonzepte aus normativen Empfehlungen der ISO 27000 Reihe, Vorgaben des BSI oder auch der NIS für kritische Infrastrukturen. Um potenzielle Gefährdungen zu beurteilen, gelten Sicherheitskonzepte als aussagekräftiger, mit längerer Gültigkeit der Bewertung versehen und mit wesentlich geringerem Aufwand als hunderte Fragen verbauter Assets zu beantworten.

NOTAMs (Notice to Airmen) sind aktuelle und für den sicheren Flugbetrieb zwingend einzuhaltende, erforderliche Vorgaben. Sie sind verbindlich vor Flugantritt zu lesen und in die Flugplanung einzubeziehen. Sollte der Risikomanager nicht auch Gefahrenmeldungen als „Notice to Riskmanager“ im Daily Business berücksichtigen, daraus „Was wäre, wenn Szenarien“ simulieren und dem verantwortlichen Management Entscheidungsalternativen zeitnah bereitstellen?

Vorstände und Geschäftsführer denken globaler. Die Flughöhe ihrer Risikowahrnehmung ist wesentlich höher angesiedelt als einzelne Bausteine verwendeter Infrastrukturen wahrzunehmen. Sie denken an unerwünschte Ereignisse, die ihr Unternehmen oder ihre Organisation gefährden könnten. Vielleicht sind es 10, 50 oder auch 100 Risiken, die das Unternehmen in den Grundmauern erschüttern könnten; jedoch sind es keine hunderte oder tausende. Diese sind in ihren Ursachen, Auftretenshäufigkeiten und Auswirkungen entsprechend einer Kosten-Nutzen Betrachtung zu managen. Eine #Kosten-Nutzen-Betrachtung erfordert daher eine verbindliche und nachvollziehbare #Risikoquantifizierung.

Für Vorstände und Geschäftsführer ist es kaum von Relevanz, ob ein möglicher Schaden aus einer systembezogenen oder auch externen Gefährdung resultiert, ob ein direkter oder indirekter IT-Bezug besteht oder markt-, pandemie- bzw. kriegsbedingte Ursachen ein Risiko verursachen. Risiken bedrohen das Unternehmensergebnis, können Unternehmen in eine Verlustzone bringen, in einem Worst Case vielleicht auch in eine Insolvenz treiben. Risiken dürfen daher nicht in getrennten „Risikosilos“ gemanagt werden, sondern sind integriert, konsolidiert und aggregiert gegen den geplanten Unternehmenserfolg zu bewerten.

Conclusio:

1. Bewerten Sie ihre IT/OT-Infrastrukturen nicht am aktuellen IST, sondern gegen das erforderliche SOLL.
2. Gewinnen Sie aus Risikosicht den Wettlauf zwischen der Bewertung und dem Betrieb von IT/OT-Infrastrukturen, indem Sie die Flughöhe erhöhen, Sicherheitskonzepte anstatt einzelner IT-Assets bewerten und den personellen Aufwand auf Ressourcen reduzieren, die für ein effektives Risikomanagement erforderlich sind. Bedenken Sie, dass auch für das Risikomanagement die Regel einer positiven Kosten-Nutzen-Bilanz gilt.
3. Integrieren Sie Ihren Risikomanagement-Prozess in Ihr Daily-Business, um agieren zu können und nicht reagieren zu müssen.
4. Denken Sie wie Vorstände und Geschäftsführer denken. Bewerten Sie Gefährdungen und keine kleinteiligen Ursachen von Ursachen für mögliche Schadensereignisse.
5. Wägen Sie Kosten und Nutzen im Sinne eines risikobasierten Ansatzes ab und setzen Sie lediglich Maßnahmen um, die eine positive Nutzenbilanz besitzen.
6. Eliminieren Sie „Risikosilos“ getrennter IRMs und ERMs und bewerten Sie alle relevanten Gefährdungen mit deren Auswirkungen konsolidiert und aggregiert gegen den geplanten Unternehmenserfolg.

Lieber Leser, es würde mich sehr freuen, wenn Sie mir auch Ihre Meinung zum „Flightlevel-Change“ im Risikomanagement und die Auflösung von „Risikosilos“ geben würden.