Die IT-Risikobewertung oder das IT-Risk Management ist mittlerweile – zumindest für bestimmte Unternehmensformen– eine unabdingbare Notwendigkeit: schreibt doch das Gesetz für Vorstände von Aktiengesellschaften und Geschäftsführern von Gesellschaften mit beschränkter Haftung vor, eine Risikobewertung ihrer IT durchzuführen und entsprechende IT-Risk Management-Systeme zur Überwachung vorzuhalten. Unterbleibt dieses, haften Vorstandsmitglieder und Geschäftsführer u. U. persönlich dafür und es kann sogar zu einer außerordentlichen Kündigung kommen. In den Blickwinkel der IT-Risikobewertung fallen verschiedene Aspekte, wobei diese in nach von innen und von aussen kommende Gefahren zu differenzieren sind.
|
So stellen äußere Gefährdungen Viren, Trojaner und Spam dar. Ebenfalls in die Kategorie extern fallen mögliche Hackerangriffe ).
Interne Gefahrenquellen, die das IT-Risikomanagement ebenfalls erfasst und die mitunter in ihrem Schädigungspotential sehr viel gravierender sind, sind die Mitarbeiter des Unternehmens. Hier werden oft Passwörter für jedermann offen auf dem Schreibtisch platziert, nicht komplex genug gewählt oder Dritten zugänglich gemacht. Ein weiterer Aspekt des IT-Risk Managements ist die Überwachung des Lizenz- und Vertragsmanagements bezüglich Software:
|
Sind in ausreichendem Maße Lizenzen vorhanden? Bis zu welchem Zeitpunkt sind Updates gültig? Ist für die Fortsetzung gesorgt?
Aber auch Mitarbeiter an sich können ein Risikopotential darstellen: hat der einzige Administrator eines größeren Unternehmens eine Monopolstellung auf sein Wissen und keinen äquivalenten Stellvertreter, kann die Lage misslich werden, sollte dieser krank werden oder aus anderen Gründen nicht mehr zur Verfügung stehen.
Alle genannten Risiko-Aspekte sowie weitere, hier nicht erwähnte fallen in ein sorgfältiges, weitsichtiges IT-Risikomanagement.
|