Das Risikomanagement ist ein integraler Bestandteil der Unternehmensführung. Es bildet außerdem den Kern von Managementsystemen, die auf Qualitätsmanagement-Prinzipien basieren wie zum Beispiel für Informationssicherheit (ISO 27001), Qualitätsmanagement (ISO 9001) oder Datenschutz (ISO 27701). Viele Unternehmen setzen dabei noch immer auf manuelles Arbeiten, obwohl längst ein digitales, effizientes und Compliance-konformes Risikomanagement möglich ist – mithilfe von Low-Code-Digitalisierungsplattformen.
Unternehmenslenker haben längst die Bedeutung einer strategischen und koordinierten Herangehensweise an die Digitalisierung erkannt. Laut einer Bitkom-Studie aus dem Jahr 2022 besitzen 83 Prozent und damit mehr als vier Fünftel der deutschen Firmen eine Digitalisierungsstrategie [1]. Doch die Sorge vor Cyberbedrohungen bleibt groß: Über die Hälfte (65 Prozent) befürchtet einen unberechtigten Zugriff auf sensible Unternehmensdaten. Den richtigen Schutz bietet ein fortlaufendes und vor allem digitales Risikomanagement. Denn nur eine regelmäßige Prüfung und Überwachung identifizierter Risiken ermöglicht es Unternehmen, Risikobehandlungsmaßnahmen zu ergreifen und Cyberangriffen sowie Datenklau vorzubeugen.
Manuelle Prozesse fördern Silodenken und Fehler. Für viele Unternehmen sind Excel-Listen nach wie vor das Risikoanalyse-Tool ihrer Wahl. Mit ihnen dokumentieren Mitarbeiter die Unternehmenswerte, sogenannte Assets, hinsichtlich ihres Risikopotenzials, bewerten und behandeln diese. Das Ergebnis sind unübersichtliche und fehleranfällige Verzeichnisse; schließlich ist die Anzahl der Assets groß – pro Fachabteilung sind es mindestens 30 Stück. Die manuelle Arbeitsweise begünstigt zudem die Silobildung. Der Informationstransfer zwischen den Abteilungen fehlt. Das bedeutet: Assets wie zum Beispiel Dokumente oder Geschäftsprozesse können doppelt erfasst werden und dadurch zu einem verfälschten Ergebnis führen. Vonnöten ist also eine abteilungsübergreifende und transparente Zusammenarbeit, die die richtige Plattform ermöglicht.
Mit Low-Code zur Risikomanagement-Plattform. Um das Risikomanagement in seinen einzelnen Schritten möglichst individuell zu betrachten und zu organisieren, eignet sich Low-Code-Technologie. Mit dieser sehr agilen Form der Softwareentwicklung und Prozessautomatisierung können Anwender Workflows grafisch abbilden und automatisieren – mit keinen oder nur geringen Programmierkenntnissen. Es lassen sich GRC-Plattformen aufbauen – wie zum Beispiel das JobRouter® GRC Portal –, mit denen Unternehmen bedeutsame Risiken gemäß den Grundsätzen der Governance, Risk and Compliance (GRC) erkennen, bewerten und dokumentieren können.
In der Praxis: Risiken digital und zeitsparend managen. In drei Schritten erreichen Unternehmen ein digitales Risikomanagement:
- Assetbewertung
Bei einer Risikoanalyse werden zunächst die Unternehmenswerte gesammelt wie zum Beispiel Geschäftsprozesse, Personen, Dokumente oder die IT-Infrastruktur. Die Verantwortlichen im Unternehmen identifizieren und dokumentieren Bedrohungen und führen eine Schutzbedarfsanalyse durch. Diese lässt sich anhand folgender Kriterien ermitteln:- Vertraulichkeit: Wie hoch muss der Schutz vor unbefugter Preisgabe des Assets sein?
- Integrität: Welches Maß an Sicherheit ist erforderlich, um die Unverfälschtheit des Assets und seiner Übermittlung zu gewährleisten?
- Verfügbarkeit: Inwieweit muss das Asset für jeden Berechtigten und in dem von ihm benötigten Umfang nutzbar sein?
- Risikobeurteilung und -behandlung
In der Risikobeurteilung bewertet der Asset Owner seine identifizierten Risiken, ohne dass er bereits vorhandene Maßnahmen einbezieht. Er ermittelt die Schwachstellen zu den einzelnen Risiken, die Schadenshöhe und hinterlegt die jeweilige Eintrittswahrscheinlichkeit. Danach folgt die Risikobehandlung, bei der der Asset Owner Maßnahmen zur Risikoreduzierung hinterlegt. Anschließend ermittelt das Tool anhand der hinterlegten Maßnahmen und einer möglichen Schadensübertragung, zum Beispiel durch eine Versicherung, automatisiert das Restrisiko.
- Prüfung der Risikoanalyse
Im letzten Schritt prüft üblicherweise der (Chief) Information Security Officer, ob die Risikobeurteilung und behandlung vollständig und inhaltlich korrekt ist.
Auf diese Weise verkürzt sich die Risikoanalyse von mehreren Monaten auf wenige Stunden pro Fachabteilung. Eine automatisierte Protokollierung und ein Export der Risiken sowie hinterlegter Maßnahmen beschleunigen zudem Auditprozesse.
Schutz vor Regelverstößen und Imageschäden. Durch eine optimale digitale Risikomanagement-Lösung haben Verantwortliche alle aktuellen Bedrohungen samt der erforderlichen Informationssicherheitsmaßnahmen auf einen Blick parat: So sehen sie beispielsweise direkt, dass das Asset »Personalakte« durch einen Verstoß gegen Gesetze und Datenschutzbestimmungen bedroht wird und sich durch die sogenannten Controls (Maßnahmen im Kontext der ISO 27001) »A.18.1.1 Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen« oder »A.18.1.4 Privatsphäre und Schutz von personenbezogener Information« schützen lässt.
Unternehmen können durch eine digitale Risikoanalyse die Einhaltung von Richtlinien und Gesetzen überwachen sowie Compliance-Verstöße frühzeitig identifizieren und Maßnahmen zur Risikobehandlung ergreifen. Mögliche finanzielle oder rufschädigende Auswirkungen werden dadurch minimiert. Zudem lassen sich die Use Cases einer Low-Code-Plattform beliebig erweitern und neben dem Risikomanagement weitere Bereiche der Governance, Risk and Compliance abdecken. Dazu gehören das Lieferanten- und Vertragsmanagement, die Dokumentation wichtiger Listen und Informationen sowie die Archivierung von relevanten Dokumenten rund um Audits.
Jennifer Schmalbach,
Informationssicherheitsbeauftragte JobRouter AG und Product Owner
für das JobRouter® GRC Portal
[1] https://www.bitkom.org/sites/main/files/2022-05/Studienbericht_Digital_Office_Index_2022.pdf