IT-Risk-Management

Dieser Bereich befasst sich mit der technischen IT-Infrastruktur in einem Geschäftsbetrieb und manifestiert sich in einem Sicherheitskonzept. Dieses Konzept wird in einem Sicherheitsprozess umgesetzt und aktiv fortgeführt. Grundsätzlich ist das Ziel jegliche Risiken auf ein Minimum einzuschränken. Z.B. bestehen Gefährdungen durch:
  • Höhere Gewalt (Feuer, Wasser, Blitz, Tod oder Krankheit...)
  • Menschliches Versagen (unsachgemässe Bedienung von Computern...)
  • Technisches Versagen (Festplattendefekt, Systemabsturz...)
  • Vorsatz (Viren und Co., Trojaner, Spyware...)
  • Hausgemachte/organisatorische Mängel
In kleinen und mittelständischen Betrieben wird das IT-Risk-Management leider oft sträflich vernachlässigt, was in der heutigen Zeit der steigenden Abhängigkeit von IT-Geschäftsprozessen zu immensen Ausfällen führen kann. Auch spielen die IT-Risiken bei der Vergabe von Geschäftskrediten, neben der Bonität und Sicherstellung, eine immer grössere Rolle bei den Kreditinstituten. Auch wächst mit der Zunahme der IT-Kriminaltität der Handlungsbedarf äquivalent. Um zu einem befriedigenden Ergebnis bei der Risikominimierung zu kommen, muss eine bestimmte Methodik greifen.

Unsere Vorgehensweise bei der Unterstützung Ihres Unternehmens wird nachstehend in kurzer Form umrissen, damit Sie eine grundlegende Vorstellung davon haben, was zu tun ist:

1. IT-Struktur-Analyse
Welche Systeme und Anwendungen sollen zum Einsatz kommen bzw. werden bereits verwendet ? Sind diese für die Zukunft ausreichend gerüstet bzw. erweiterbar oder besteht Handlungsbedarf bzgl. der IT-Geschäftsprozesse ? Auch muss der finanzielle Spielraum für mögliche Massnahmen geklärt werden.


2. Schutzbedarfsanalyse
Für Anwendungen inkl. der damit verbundenen Daten, die Systeme selbst, die anfallenden Kommunikationsverbindungen sowie die IT-Räumlichkeiten sind sog. Worst-Case-Szenarien durchzuspielen und die Ergebnisse zu dokumentieren (beispielsweise ist der Schutzbedarf für redundante Systemauslegungen geringer als für ein Solosystem u.s.w.). Hier ist also der gesamte IT-Verbund, bestehend aus infrastrukturellen, organisatorischen, personellen und technischen Komponenten, auf Herz und Nieren zu prüfen.


3. Erarbeitung des Sicherheitskonzepts
Über einen Soll-Ist-Vergleich sind folgende Bereiche zu bearbeiten: Infrastruktur: Gebäude, Verkabelung, Büros, Serverräumlichkeiten... IT-Systeme: TK-Anlage, Server, Personal-Computer... Netzwerk: Netzwerkmanagement, Firewall, Server, Router, Switch, Hub... Anwendungen: E-Mail, Webserver, Datenbanken, Archivierung, Datensicherung...


4. Konsolidierung der Massnahmen
Die bisher nicht realisierten Massnahmen sind nun für die Umsetzung vorzubereiten und es müssen Verantwortlichkeiten geklärt werden. Kurz gesagt, es erfolgt eine Zusammenführung aller Komponenten und Planung der zeitlichen Einführung.


5. Realisierung der Massnahmen
Das Sicherheitskonzept ist in die Tat umzusetzen. Dazu gehört auch die Mitarbeiter zu schulen und für die IT-Gefahren zu sensibilisieren, um die Akzeptanz für für die neuen Sicherheitsmassnahmen zu erhöhen.


6. Überprüfung
Es erfolgt eine erneute Prüfung aller Gesichtspunkte im praktischen (Penetration-)Test. Evtl. erforderliche Anpassungen sind zu dokumentieren und dürfen den aufgestellten Sicherheitsrichtlinien nicht widersprechen.


7. Aktive Fortführung des Sicherheitskonzepts
Hierzu gehört die Anpassungentsprechender Notfallprogramme an gegenwärtige Gegebenheiten sowie die Instandhaltung der Systeme (Hard- wie Software). Punkt 6. ist in regelmäßigen Abständen zu wiederholen. Auch die laufende Schulung der Mitarbeiter und Aufklärungsmassnahmen sind Bestandteil des aktiven IT-Risk-Managements. Des weiteren sind Vorfälle mit Früherkennungs- und entsprechenden Abwehrmassnahmen zu behandeln. Da die meisten IT-Unfälle auf menschliches Versagen zurückzuführen sind, gehört zu einer ordentlichen Führung eine schriftlich fixierte Sicherheitspolicy, die für alle Mitarbeiter bindend ist. Auch ist dem Outsourcing grosse Bedeutung zu schenken. Eine Auslagerungsmassnahme ist nur dann kein Risiko, wenn sichergestellt ist, daß der Dienstleister zuverlässig und vertrauenswürdig ist und über entsprechendes Know-How und technische Möglichkeiten verfügt, welche den Anforderungen an das eigene Sicherheitskonzept gerecht werden. Auf den ersten Blick handelt es sich oft um ein Blendwerk, bestehend aus finanziellen Anreizen, die den Sicherheitsaspekt in den Hintergrund drängen. Bei einem “Super-Gau” ist der finanzielle Vorteil dann erschreckend schnell aufgebraucht bzw. ins Gegenteil umgekehrt. Dann heißt es: “Hätte man doch.....”


Unser Angebot
Wir bieten Ihnen eine zuverlässige, beratende und ausführende Dienstleistung zu oben angeführten Punkten: Von der Konzeption, über die Umsetzung, bis zur detaillierten Administration in den einzelnen Bereichen (z.B. Sicherheit, Homepagegestaltung- und Pflege, Webhosting, WLAN, Netzwerkanbindung, Virtual Private Network Tunnelung, Datensicherung, Windows- oder Linux-Installation, Fernwartung, Firewallkonfiguration, Schutz vor Viren und Co., Schulungen u.s.w.). Sie erhalten eine komplette und ausführliche Dokumentation über den ganzen IT-Verbund. Diesen aussergewöhnlichen Service bieten Ihnen nur sehr wenige Firmen, um sich nicht in die Karten schauen zu lassen und um den Kunden - mangels Information - an sich zu binden. Bei “Bauser-Enterprises” sind Sie dagegen, durch Offenlegung aller Details und relevanten Daten, in eine freiheitliche Lage versetzt. Abhängig von der Grösse Ihres Unternehmens und den auszuführenden Arbeiten, unterbreiten wir Ihnen ein verbindliches, individuelles Angebot auf Anfrage. Ein vorheriges persönliches Gespräch - zur Feststellung der Gegebenheiten, Vorstellungen und Wünsche - ist dabei unerlässlich.