Email: Kontaktieren Sie uns 

Mit der heutigen Abhängigkeit von der IT muss diese einen bedeutenden Stellenwert erhalten im unternehmerischen Risikomanagement. Ein Internes Kontrollsystem (IKS) darf sich nicht mehr auf finanzielle Aspekte beschränken!

Es ist Aufgabe der Firmenleitung, die Strategie und den Auftrag der IT zu definieren und Vorgaben zu machen bezüglich Verfügbarkeit, Ausfalltoleranz, Zugriffsrechte, sowie Sicherung und Schutz der Daten. Es müssen auf das Unternehmen abgestimmte Risikoszenarien formuliert werden. Das Spektrum der möglichen Risiken ist breit:

  • Elementarereignisse wie Feuer, Wasser, Erdbeben etc. sind die klassischen Risiken, welche nicht nur für den IT-Bereich gelten.
  • Die Gefahr von Einbrüchen und Vandalismus ist leider auch in unserem Land nie ganz auszuschliessen.
  • Das Risiko von Unterbrüchen der Basisversorgung, wie beispielsweise der Elektrizität könnte in Zukunft vermehrt an Bedeutung gewinnen. Ebenfalls bekannt sind Fälle, wo im Zuge von Bauarbeiten in der Nachbarschaft Kabelschächte beschädigt und damit die Anschlüsse für Telefon und Internet unterbrochen wurden.
  • Technische Pannen, sowohl hardware- wie softwareseitig sind bei der enormen Komplexität und der hohen Innovationskadenz nie auszuschliessen. Leider lässt zudem die Produktequalität vieler auch namhafter IT-Hersteller nach wie vor zu wünschen übrig.
  • Ein seit langem bekanntes Problem ist Schadsoftware (engl. Malware) wie Trojaner, Viren, Würmer etc. mit unterschiedlichen „Zwecken“ und Auswirkungen.
  • Cyber-Attacken können ebenfalls ganz verschiedene Zielsetzungen verfolgen. Besonders unangenehm sind Denial-of-Service Attacken, welche zum Ziel haben, IT-Systeme lahmzulegen.
  • Datenmissbrauch oder -diebstahl über vernetzte IT-Systeme findet laufend und in zunehmendem Ausmass statt. Die Motive sind vielseitig. Bekannt sind die von gewissen Staaten tolerierten (oder evtl. sogar angestifteten?) Fälle von gestohlenen Bankdaten. Weit verbreitet ist die Wirtschaftsspionage, von welcher durchaus auch mittelgrosse und sogar kleinere Unternehmungen betroffen sind.
  • Finanzielle Bereicherung mittels Cyber-Kriminalität kann auf der technischen Ebene erfolgen durch illegales Zugreifen auf fremde Konten. Häufig nutzen Täter auch die Gutgläubigkeit der Leute aus, um sich Zugang zu deren Bankkonten (nicht nur private!) zu beschaffen oder zu erpressen.  
  • Nicht zu unterschätzen sind die internen Risiken. Unter den Fällen von Cyber-Kriminalität ist der Anteil von involvierten eigenen oder ehemaligen Mitarbeitern auffallend hoch.

 

Für jedes Szenario müssen Schadenspotenzial und die Wahrscheinlichkeit des Eintretens bestimmt werden. Es muss beurteilt werden, ob sie tragbar sind. Falls nicht, ist es Aufgabe der IT-Verantwortlichen, Lösungen aufzuzeigen, wie diese Risiken vermieden, verringert oder kontrolliert werden können. Anschliessend sind die geeigneten Lösungskonzepte zu implementieren und die notwendigen technischen Vorkehrungen zu treffen.

So wie Firmenleitung der IT den Auftrag vorgibt, ist sie auch verantwortlich, diese regelmässig zu kontrollieren. So wie die Ausgestaltung des Rechnungswesens, muss es ebenfalls ihre Aufgabe sein, für ein wirksames IT-Controlling zu sorgen.