IT Security Risk Management als wichtiger Bestandteil der Unternehmensstrategie - Handlungsempfehlungen und Rahmenbedingungen für eine erfolgreiche Einführung

IT Security Risiken sind auf dem Vormarsch und haben sich in den letzten Jahren zum Nr. 1 Risiko der Versicherungsunternehmen entwickelt. Die fortschreitende Digitalisierung, Vernet-zung und Globalisierung der Unternehmen beschleunigten diese Entwicklung weiter. Diese Ar-beit beschäftigt sich daher mit der Einführung eines IT Security Risk Managements, den nötigen Rahmenbedingungen, Voraussetzungen aber auch Herausforderungen im Betrieb. Um ein pra-xisnahes Bild zu erhalten wurden 7 Experteninterviews mit erfahrenen Security Verantwortlichen und ISO Auditoren durchgeführt. Nach der qualitativen Inhaltsanalyse der Interviews zeigte sich, dass es sehr pragmatische Ansätze gibt, ein Security Management zu betreiben, aber auch die ISO und normbasierte Ansätze, um hier den gesetzlichen Anforderungen gerecht zu werden. Als Voraussetzung war hier die Rolle der Geschäftsführung als Enabler sehr wichtig und dass es eine zentrale Organisation mit einen Verantwortlichen Risk Manager gibt, welcher Richtlinien erstellt, Prozesse definiert und eine Sicherheitsmanagement aufbaut. Als kritischer Punkt wurde auch der zunehmende Personalmangel beleuchtet, bei welchen Prozesse vereinfacht werden und man einen Best-of-Breed Ansatz verfolgt. Besonders empfohlen wurden Tools wie CRI-SAM, welche bei der Einführung aber auch dem Betrieb unterstützen. Die finanzielle und quanti-tative Bewertung von Risiken wurde als sehr kritisch betrachtet und ist in der Praxis oftmals sehr komplex. Helfen kann hier ein Enterprise Riskmanagement mit einheitlichen Vorgaben und viel Know-How.
Erik Struck
Masterarbeit Universität Klagenfurt, Universitätslehrgang Business Manager/in 2022