Obwohl regulatorische Anforderungen wachsen und immer komplexer werden, verpassen viele Unternehmen die Chance, sich durch ein professionelles Risikomanagement und Compliance-Prozesse Wettbewerbsvorteile zu sichern. (Bild: Nicoelnino - Fotolia)
"Unvollständiges Reporting, isolierte Prozesse und ein reiner Compliance-Fokus ohne Berücksichtigung der tatsächlichen Risiken – geringer Reifegrad in puncto Informationssicherheit und IT-Risikomanagement.“ Feststellungen eines Wirtschaftsprüfers wie diese aus einem mittelständischen Unternehmen sind keine Frage der Unternehmensgröße oder Branche. Obwohl regulatorische Anforderungen wachsen und immer komplexer werden, verpassen viele Unternehmen die Chance, sich durch ein professionelles Risikomanagement und Compliance-Prozesse Wettbewerbsvorteile zu sichern. Mitunter werden IT-Risiken nicht definiert, und wenn doch, dann werden sie per Lose-Blatt-Sammlung oder per Excel „verwaltet“.
Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten stammen aus unterschiedlichsten Quellen. Einen zentral Verantwortlichen, der diese Daten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für den Bereich Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher nur selten. Und wenn doch, dann erfolgt die Analyse weder mit integrierten Softwarelösungen, noch findet eine vernetzte Analyse oder ein zentrales Reporting statt.
Verwundbar gegen Cyber-Angriffe
Unternehmen werden dadurch leichtes Opfer für Cyber-Angriffe. Sicherheitsvorfälle werden ad hoc bearbeitet, wenn sie auffallen. Lösungen, die Cyber-Angriffe erkennen, sind nicht implementiert oder liefern nur unzureichende Informationen, wie bedrohlich der Vorfall für das Unternehmen ist. Dieses punktuelle Management von unzureichend integrierten GRC-Prozessen (GRC, kurz für Governance, Risk & Compliance) bedeutet einen erheblichen Mehraufwand durch redundante Tätigkeiten und sich widersprechenden Aussagen im Management Reporting. Die fehlende Übersicht und der oftmals fehlende Bezug zum Nutzen für das Unternehmen machen es für das Management unmöglich, angemessene Entscheidungen abzuleiten und die richtigen Prioritäten zur Steuerung von Unternehmensrisiken zu setzen.
Als Konsequenz drohen nicht nur empfindliche Strafen wegen Verstößen gegen regulatorische Auflagen. Nicht erkannte oder falsch eingeschätzte Risiken aus Cyber-Angriffen sowie das Nichteinhalten von Service Level Agreements (SLA) durch beauftragte Lieferanten können schwerwiegende Folgen wie Betriebsausfall mit unkalkulierbaren Auswirkungen nach sich ziehen – bis hin zur Gefährdung der kompletten Existenz des Unternehmens.
Unternehmen müssen sich seit jeher mit verantwortungsvoller Unternehmensführung und dem Management von Risiken auseinandersetzen. Das GRC wird immer komplexer, etwa durch die EU-Datenschutzgrundverordnung, die ab Mitte 2018 greifen soll.
Neue industriespezifische Standards
Diese neuen Richtlinien und Novellen werden einen erheblichen Einfluss auf die Cyber-Sicherheit haben. Hinzu kommen weitere industrie- und branchenspezifische Standards, Regularien und Vorschriften. Ein professionelles GRC-Management ermöglicht eine integrierte Herangehensweise, um diese Komplexität zu beherrschen: Es erlaubt eine ganzheitliche Sicht auf das Unternehmen, die alle Managementsysteme und Maßnahmen im Fokus hat.
Das Ergebnis sind eine verbesserte Steuerung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um die unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings effizient nachkommen zu können.
Was ein GRC-Management ausmacht
Ein professionelles GRC-Management basiert auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf strategischer, taktischer und operativer Ebene, die Prozesslandschaft ist belastbar und stimmig. Eine Unterstützung durch eine darauf spezialisierte Management-Softwarelösung ist nicht zwingend, aber ab einer gewissen Größenordnung oder Geschäftsmodell des Unternehmens nahezu unverzichtbar.
Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird, etwa weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch die Ausweitung der Geschäftsaktivitäten in die USA hinein, wo etwaige Compliance-Verstöße teils drastisch geahndet werden, kann ein wichtiger Grund sein, sich weiter zu professionalisieren.
