In-Memory-Datenbanken helfen
Für eine sinnvolle Messung der Risiken sollte zudem die Qualität der Daten sichergestellt sein. Häufig fehlen Daten oder sind nicht korrekt und können dadurch die Ergebnisse der Quantifizierungsmethoden stark verfälschen. Hier muss die IT mit Datenqualitäts-Verfahren Abhilfe schaffen. Zudem sollte sie die Diskussion um die Data Governance vorantreiben. Zur Analyse der Risiken ist es häufig erforderlich, wieder von aggregierten Zahlen auf granulare Daten herunterzugehen. Das war bei traditionellen Datenbanken nur über Data-Marts möglich.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Modernere Technologien, die auf In-Memory-Verarbeitung und Kompressionsverfahren basieren, bieten heute große Vorteile. So werden Produkte wie SAP HANA oder SAS High Performance es ermöglichen, Risiken in sehr hoher Geschwindigkeit bis auf die Ebene einzelner Datensätze zu analysieren, ohne eindeutig definierte und persistente Marts umsetzen zu müssen. Durch eine spalten- statt einer zeilenorientierten Arbeitsweise kann deutlich schneller auf Daten zugegriffen werden.
Paraderolle für die Org-Abteilung
Ein "internes Kontrollsystem" setzt nicht erst bei den IT-Risiken an. Vielmehr sollte es fachbereichsübergreifend Kontrollen dokumentieren und dabei helfen, die Effektivität dieser Kontrollenregelmäßig zu überprüfen (Kontrolle der Kontrolle). Im Idealfall basiert es auf einem fachlichen Prozessmodell.
Das ist die Paraderolle für eine Organisationsabteilung. Sie verwaltet und steuert ja die fachlichen Prozessmodelle. Auch definiert sie Standards und Vorgaben, beispielsweise darüber, wie die Kontrollen zu implementieren sind.
Eine dedizierte Organisationsabteilung ist allerdings nur in wenigen Unternehmen vorhanden; in vielen Fällen ist sie auch nur ein Teil der IT. Häufig versteht sie ihre Aufgabe zu eng: Sie konzentriert sich beispielsweise darauf, ein internes Organisationsportal zu schaffen, das quasi Templates für Prozesse anbietet. Aber sie fühlt sich nicht für das interne Kontrollsystem verantwortlich und ist insofern nicht wirklich "wertschöpfend". Das heißt, die Qualität der Prozesse oder die Effektivität des Kontrollsystems wird durch solche Maßnahmen nicht verbessert.
Kontrolle der Kontrolle
Wie lässt sich die Effektivität der Kontrollmechanismen überprüfen? Es kann ja nicht allein aufgrund der Definition einer Kontrolle angenommen werden, dass diese auch tatsächlich ausgeführt wird. Letztendlich muss die Effektivität und Funktionsfähigkeit des Kontrollsystems regelmäßig auf den Prüfstand gestellt werden.
Dazu wird in der Regel zunächst ein Satz von Kontrollen definiert, die aus Sicht der Unternehmensleitung unverzichtbar sind. Auf dieser Basis führt das Unternehmen dann in regelmäßigen Abständen ein Kontroll-Review aus.
Das geht so: Die Kernkontrollen werden an die Fachbereiche verschickt, die dann nachweisen müssen, dass diese Kontrollen nicht nur vorhanden sind, sondern auch funktionieren. Für diesen Nachweis sind beispielsweise detaillierte Kontrollberichte vorzulegen, die von den verantwortlichen Mitarbeitern bearbeitet und abgezeichnet wurden.
Die Ergebnisse des Kontroll-Reviews werden abschließend in einem Bericht an die Unternehmensleitung zusammengefasst. Stellt sich dabei heraus, dass Kontrollen fehlen oder nicht effektiv sind, werden Maßnahmen zur Abhilfe definiert.
Fazit
Das Risiko-Management ist im Wandel. Sich stetig verändernde Anforderungen, aufsichtsrechtlicher Druck, aber auch neue Werkzeuge in der Datenverarbeitung stellen die Unternehmen vor große Herausforderungen. Die Rolle der IT in diesem Prozess hat eine hohe Bedeutung. Sie muss zum einen systematisch die eigenen Risiken steuern, aber zum anderen auch den Fachbereichen die erforderlichen Werkzeuge dafür bereitstellen. (qua/sh)