Zum Thema
IT-Risikomanagement auf Basis von "COBIT 5 for Risk" bei der Deutschen Telekom AG
Horst Moll
Abstract
Das Risikomanagement hat die Aufgabe, die "Werte" eines Unternehmens zu schützen. Dazu beschreibt es im ersten Schritt Methoden und Verfahren zur Analyse von möglichen Szenarien, die bei Eintreten eine negative Auswirkung auf das Unternehmen haben können. Für Unternehmen, die abhängig von einem funktionierenden IT-Betrieb sind, stellt sich demnach die Herausforderung, zu ermitteln, welche Szenarien aus einem operativen IT-Betrieb möglicherweise eine negative Auswirkung auf das Unternehmen haben.
Im zweiten Schritt hat das Risikomanagement die Aufgabe, Maßnahmen zu empfehlen, die eine mitigierende Wirkung auf ein potenzielles Risiko haben. Und an diesem Punkt stellt sich die Frage, welche Maßnahmen ausreichend bzw. angemessen sind, denn Ressourcen für die Umsetzung von Maßnahmen sind endlich und einen 100%igen Schutz gibt es nicht.
In diesem Artikel wird ein Ansatz beschrieben, wie die Risiken und die "Angemessenheit" von Maßnahmen aus dem operativen IT-Betrieb in Beziehung zu den Unternehmenszielen gesetzt werden können. Dadurch ergibt sich die Möglichkeit, eine Aussage darüber zu treffen, welche Unternehmensziele in welchem Umfang durch Risiken aus dem operativen IT-Betrieb "at risk" sind.
