+49 541 9493 0
Kontaktformular
Newsletter

Blog

Vorbereitung ist alles! – IT-Risikomanagement

Autor:in Stefan Ohlmeyer IT Architekt

Eine zentrale Frage, die jede IT-Leitung beschäftigt, lautet: Sind die uns betreffenden IT-Risiken bekannt und werden sie rigoros gemanagt?

Diese Frage hat in der Regel auch erhöhte Aufmerksamkeit im Top-Management und dient nicht selten zur Bewertung der Aufgabenerfüllung der gesamten IT-Abteilung. Gerade dann, wenn eine Gefährdung tatsächlich eingetreten ist und die Folgen spürbar waren. 

Aber wie können IT-Risiken nachhaltig identifiziert und behandelt werden?

Gerade in kleinen und mittelständischen Unternehmen stellt diese Aufgabe viele IT-Abteilungen vor große Herausforderungen. Natürlich werden auch schon heute IT-Risiken behandelt. Zumeist intuitiv und häufig auch auf einem guten Niveau. Die Risiken und Maßnahmen fußen dabei in der Regel auf den eigenen Erfahrungen der IT-Mitarbeiter oder aus deren allgemeinen Experten-Wissensschatz. Mit einem nachhaltigen Risikomanagement hat das jedoch nichts zu tun.  

Ziel, auch und gerade für KMU (kleine und mittlere Unternehmen) ist es, eine wiederholbare und nachhaltige Methodik zu verwenden, um Gefährdungen zu identifizieren, die dadurch entstehenden Risiken wiederkehrend zu bewerten und diese entsprechend zu behandeln. Solch eine Methodik würde das subjektive Bauchgefühl „Wir handeln hier nach bestem Wissen und Gewissen“, oder wie die Kölner sagen „et hätt noch immer jot jejange“ durch eine objektive Bewertung von Risiken ersetzen. Außerdem dient die begleitende Dokumentation der Risiken als Nachweis gegenüber Anforderungen von Wirtschaftsprüfern, dem Gesetzgeber oder weiteren Compliance-Anforderungen anderer Parteien.

"Angemessen" – das wichtige Wort für KMU

In kleinen und mittelständischen Organisationen ist unserer Erfahrung nach ein Adjektiv besonders wichtig: „angemessen“.

Genau wie die Maßnahmen, die zur Risiko-Minderung getroffen werden, muss bereits der Vorgang der Risikoanalyse und Behandlung „angemessen“ sein. Sprich, der Aufwand an Zeit und zu erlernender Methodenkompetenz muss sich in sehr engen Grenzen halten. Leider liegt genau hier „der Hund begraben“.   

Die gängigen Rahmenwerke, die ein Risikomanagement beschreiben, sind sehr detailliert und in der Anwendung augenscheinlich komplex. Das persönliche Fazit des Autors fällt so aus: Sehr gut, aber nicht „angemessen“ für den Mittelstand.

Der Workshop für Risikoanalysen

Aus diesem Grund haben wir in der SIEVERS-GROUP ein eigenes Vorgehensmodell für Risikoanalysen entwickelt, welches insbesondere den Anforderungen von mittelständischen Unternehmen gerecht wird. Wir haben das Rad nicht neu erfunden, sondern lediglich verschiedene Methodiken zusammenführt, rigoros auf das Wesentliche reduziert und unseren 30-jährigen Erfahrungsschatz als Dienstleister mittelständischer Unternehmen einfließen lassen. Das Ergebnis ist ein Workshop, der praktisch, ergebnisorientiert, umsetzbar und vor allem eins ist: angemessen!

Diese Artikel könnten Sie ebenfalls interessieren:

AllgemeinNews

Keine Macht den Hackern

Keine Macht den Hackern

Oberhaching/Osnabrück. Die IT-Partner IS4IT und SIEVERS-GROUP richten ihr Security-Portfolio in Zukunft gemeinsam aus, um bei der Abwehr von Cyberkriminalität wechselseitige Synergien nutzen zu können.
KarriereUnternehmen

Flexibel Arbeiten im Büro oder Homeoffice

Flexibel Arbeiten im Büro oder Homeoffice

Letztes Geschäftsjahr, gerade der Beginn, wurde stark von der Corona-Pandemie geprägt. Das hat sich auf viele Bereiche im Unternehmen ausgewirkt, u.a. auch auf den aktuellen Arbeitsort: Viele Mitarbeiter:innen haben über die Herbst- und Wintermonate vorzugsweise aus dem Flexi-Office gearbeitet.
Kontakt

Vereinbaren Sie ein
unverbindliches Erstgespräch

*“ zeigt erforderliche Felder an

Hidden
Newsletter
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Webcastaufzeichnung

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Whitepaper herunterladen

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.