Prof. Dr. Robert Rieg, Prof. Dr. Ute Vanini
Aus einer technischen Sicht entstehen Risiken der Informations- und Kommunikationstechnologie z. B. durch Rechner- oder Netzausfälle, nicht funktionierende Software oder anderen Fehlfunktionen. Diese Risiken lassen sich durch weitere Prüfungen von Systemen, redundanten Komponenten oder Backup-Systeme reduzieren.
Jedes IT-System ist jedoch auch durch den Menschen technisch angreifbar, da zum einen menschliche Bedienung nötig ist und zum zweiten die Vernetzung von IT-Systemen Zugriffe von außerhalb von Organisationen ermöglichen.
Worauf sollte ein IT-bezogenes RC achten? Das sind zum einen die Daten und Informationen selbst, aus denen sich weitere Ziele ableiten lassen:
- Vertraulichkeit
- Verfügbarkeit
- Integrität
- Authentizität
- Verbindlichkeit
- Zurechenbarkeit
- Anonymität
Letztlich können Verletzungen dieser sogenannten Schutzziele zu wirtschaftlichen Risiken führen, namentlich zu Reputationsschäden, Umsatzausfällen, Schadenersatzforderungen oder negativen Ertragseffekten. Hinter diesen Risiken liegen verschiedene mögliche Ursachen oder Kategorien für Risiken wie sie in Tab. 3 dargestellt sind.
Risikokategorien im Bereich Informations- und Kommunikationstechnologie |
Mensch |
Technologie |
Prozesse |
Externe Einflüsse |
- Gesetzeswidrige Handlungen, Betrug (intern)
- Unautorisierte Handlungen
- Fehlerhafte Transaktionen
- Know-how-Verlust
- Humankapital
- Strategische Fehlentscheidungen
|
- Systemsicherheit
- Softwarefehler
- Hardwarefehler
- Infrastruktur (Gebäude, Anlagen)
|
- Management-, Kontroll- und Prozessschwächen
|
- Gesetzeswidrige Handlungen, Betrug (extern)
- Politische Risiken
- Externe Dienstleister
- Supply-Chain-Risiken
- Infrastruktur extern (Strom, Netzinfrastruktur etc.)
- Naturkatastrophen
- Sonstige Katastrophen
- Rechtliche Entwicklungen, Compliance
|
Tab. 3: Risikokategorien der IT
Der Prozess des RM für Informations- und Kommunikationstechnologien erfolgt analog dem allgemeinen RM und kann auf eine Reihe von Regelwerken aufbauen. Speziell auf die IT bezogene Maßnahmen zur Risikobewältigung sind dabei spezielle Krisen- und Notfallkonzepte, die z. B. Ausweichrechenzentren und die externe Datensicherung umfassen.
Die Nutzung digitaler Instrumente wie Robotic Process Automation (RPA) und Business Analytics erfordert ebenfalls besondere Risiko-Betrachtungen. So erfordert das bereits oben genannte Lieferkettensorgfaltspflichtengesetzes, dass die genutzten Systeme belastbar sind, vor Missbrauch geschützt sind und Notfallvorkehrungen getroffen werden sowie die zugrunde liegenden Algorithmen von den Anwendern dem Grunde nach verstanden werden. Auch die Nutzung von RPA führt ggf. zu neuen Risiken, die zu beachten sind. So können z. B. Compliance-Risiken entstehen. Unternehmen müssen sicherstellen, dass die RPA-Anwendung den gesetzlichen und regulatorischen Anforderungen entspricht. Je nach Branche und Standort können bestimmte Datenschutzbestimmungen, Finanzvorschriften oder andere Compliance-Anforderungen gelten. Es ist wichtig sicherzustellen, dass die RPA-Roboter die erforderlichen Kontrollen und Protokolle einhalten.