Im Rahmen der Risikoidentifizierung ist das Thema IT ein wesentlicher Bestandteil. Dabei werden IT-Risiken nicht immer nur mit der IT-Abteilung besprochen. Auch Fachbereiche, deren Prozesse elektronisch unterstützt werden, sind von dieser Art von Risiken betroffen und sollten daher eine individuelle Beurteilung vornehmen.
Eine solide Basis und gute Hilfestellung für das Risikomanagement zur Vorbereitung auf die Risikoanalysegespräche mit den Fachbereichen und der IT-Abteilung bietet der IT-Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Der IT-Grundschutzkatalog enthält für verschiedene Themengebiete mögliche Gefährdungen und Beispiele von Maßnahmen, aus denen typische IT-Risiken abgeleitet werden können.
Die Themengebiete sind dabei sehr übersichtlich aufgeteilt. Zum Beispiel können aus dem Themengebiet „Übergreifende Aspekte“ eine Vielzahl von Risiken für das eigene Unternehmen identifiziert werden, die sich auf die IT-Organisation, Datenschutz oder Datensicherung beziehen. Risiken, die zum Beispiel mit dem E-Mail Verkehr verbunden sind, können dem Themengebiet „Anwendungen“ entnommen werden. Die aufgeführten Maßnahmen sind ebenfalls sehr hilfreich, um zumindest mal einen Anhaltspunkt zu erlangen, wie gewisse IT-Risiken gesteuert werden könnten. Besonders nützlich sind zudem die ausführlichen Informationen zum Thema Datenschutz, die nicht nur für das Risikomanagement interessant sein könnten, sondern auch zum Beispiel für eine Interne Revision. Diverse Hilfsmittel wie Checklisten und Beispiele von IT-Grundschutzprofilen für verschiedene Unternehmensgrößen ergänzen das Informationspaket des BSI.
Zusammenfassend kann festgehalten werden, dass der IT-Grundschutzkatalog auch für Nichtinformatiker eine große Unterstützung darstellt und er in vielen Fällen die Qualität des eigenen Erhebungsprozesses verbessern kann. Der IT-Grundschutzkatalog und weitere Informationen sind auf der Webseite des BSI hinterlegt. Gerne können Sie sich für weitere Fragen auch an den Autor dieses Artikels wenden (Ioannis.Karamitros@compliance-net.com).