Risikomanagement

Risikomanagement ist ein Bestandteil der Unternehmensführung. Die Aufgabe des Risikomanagements besteht darin, Risiken zu erkennen und strategisch zu steuern. Ein Unternehmen, das seine Marktchancen nutzt, geht damit auch Risiken ein. In den Blickpunkt der Öffentlichkeit rückte das Risikomanagement verstärkt durch das zum 1.5.1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), aber auch im Rahmen der Zertifizierung nach BS7799.

Um das Risiko eines Unternehmens zu managen und Entscheidungen treffen zu können, muss im Rahmen einer Risiko- und Bedrohungsanalyse dieses für jedes Unternehmen herausgearbeitet werden. Bei solchen Untersuchungen wird gemeinsam mit dem Kunden festgelegt, welche kritischen Geschäftsprozesse in seinem Unternehmen vorhanden sind, wie die Anforderungen an die Verfügbarkeit sind bzw. wie sensibel die Abläufe im Hinblick auf die Vertraulichkeit sind. Nach dieser Analyse wird dann entscheiden, ob und wo Handlungsbedarf besteht bzw. wie die Situation einzuschätzen ist.

avus führt diese Untersuchungen nicht nur bei mittelständischen Unternehmen durch, sondern kann mit einer anerkannten amerikanischen Methode (OCTAVE) eine solche Evulation der IT-Sicherheit auch in großen Unternehmen leisten. Die Risiko- und Bedrohungsanalyse wird in vielen Fällen auch von einer Schwachstellenanalyse begleitet, bei der aktiv die Sicherheit von Prozessen und Technologien geprüft wird (Penetrationstests).

Security Policies

So einfach diese Erkenntnis ist, so wenig ist dies in vielen Unternehmen dokumentiert. Fehlt die Dokumentation fehlt dadurch die Transparenz und somit die Akzeptanz der Mitarbeiter, um in Hinblick auf IT Security mitzuhelfen und Ihr Unternehmen zu schützen. So lange Sie sich auf den "gesunden Menschenverstand" Ihrer Mitarbeiter verlassen, werden Sie überrascht sein, wie unterschiedlich dieser bei den einzelnen Personen ausgeprägt ist. Dies ist stark abhängig, wie vertraut Ihre Mitarbeiter mit IT-Technologie sind. Aus diesem Grund erarbeiten wir gemeinsam mit Ihnen verbindliche Regeln, die in der IT Security Policy festgelegt sind.

Die Security Policy teilt sich in drei Hierarchie-Ebenen.
Die oberste Ebene ist die Sicherheitsleitlinie, in der ein Unternehmen dokumentiert:

  • Was will das Unternehmen mit IT Security erreichen
  • Wie ist der Geltungsbereich
  • Wie sind die Verantwortlichkeiten geregelt
  • Wer muss sich an diese Regeln halten
  • Was passiert, wenn man sich nicht daran hält
  • Verweis auf gültige Gesetzesrichtlinien

Dieses Dokument wird von der Geschäftsleitung unterzeichnet und dient als Basis für die erfolgreiche Umsetzung der IT Security im Unternehmen.


Die nächste Ebene besteht aus mehreren Basisrichtlinien.
Die Basisrichtlinien kümmern sich um spezielle Angelegenheiten, wie z.B.

  • dienstlich / private Nutzung von Internet und E-Mail
  • Antivierenschutz
  • Passwortregelung

und sind alle in der gleichen Weise aufgebaut:

  • Warum gibt es diese Regel?
  • Geltungsbereich?
  • Wie lautet die Regel?
  • Was passiert, wenn man sich nicht daran hält

Die unterste Ebene beschreibt diese Regeln teilweise sehr technisch in Form von Benutzerhandbüchern.

avus bietet Ihnen die Sicherheitsleitlinie und die Basisrichtlinien plus weitere Richtlinien an, wobei die Dokumente rechtlich geprüft sind und dem aktuellen Stand der IT-Sicherheit entsprechen. Bei der Erstellung der Benutzerhand-bücher und technischen Anweisungen unterstützen wir Sie gerne; die Erstellung selbst wird aber sinnvollerweise von Ihnen durchgeführt.

Notfallkonzepte

Täglich führen Naturkatastrophen, terroristische Angriffe, menschliches oder technisches Versagen sowie Sabotage zum Ausfall von IT-Systemen. Industriespionage, Unterbrechungen von Lieferketten und Störungen bei Geschäftspartnern sind weitere Sicherheitsrisiken, die eine Fortführung der Unternehmensaktivitäten einschränken bzw. verhindern und damit die Existenz des Unternehmens gefährden können.

Jede einzelne dieser Bedrohungen kann Ihr Unternehmen für Tage, Wochen oder Monate lahm legen oder sogar zur Schließung führen. Warum passiert das immer wieder? Viele Unternehmen sehen Business Continuity nicht als wichtiges Anliegen und entwickeln auch keinen Notfallplan, bis es zu spät ist. Studien belegen, dass krisensicher aufgestellte Unternehmen auch in "Normalsituationen" wirtschaftlich erfolgreicher sind! Ein Grund mehr, das Thema umgehend aufzugreifen.

Um Ihren kontinuierlichen Geschäftsbetrieb zu sichern, arbeitet avus mit dem auf das Thema Business Continuity Management (BCM) spezialisierte Beratungs- und Softwareunternehmen controll-IT zusammen.

Wir erarbeiten, in enger Zusammenarbeit mit Ihrem Unternehmen, Strategien und Lösungen, die Ihre Organisation gegen Bedrohungen absichert. Außerdem klären wir ab, welche in- und externen Geschäftsprozesse, Daten etc. als kritisch einzustufen und als existenzrelevant anzusehen sind. Das Ergebnis ist ein Notfallvorsorgeplan, der exakt auf Ihr individuelles Anforderungsprofil abgestimmt ist.