Aachen: Mobil, mobiler, Risiko

Aachen: Mobil, mobiler, Risiko

Die Consumerization der Unternehmens-IT bringt ungeahnte Gefahren mit sich. Warum eine Risikoanalyse nie früh und gründlich genug erfolgen kann.

„Investieren Sie in das Gold der Zukunft: Informationen.” Zu lesen war dieser Werbeslogan jüngst in einer bekannten Wirtschaftszeitung. Symbolisch waren unter dem Spruch verschiedene Medienformen abgebildet - von der Tageszeitung über den Laptop und Tablet-PC bis zum Smartphone. Das Signal: Mobile Endgeräte sind auf dem Vormarsch. Mit ihnen sind Informationen und Daten permanent abrufbar, zu jeder Zeit, an jedem Ort. Dieser Zeitgeist setzt sich im privaten und geschäftlichen Umfeld durch. Mehr noch ist Mobile Computing Teil der modernen Wissensgesellschaft. Soweit die Sonnenseite der neuen Informationswelt.

Und die Risiken? Mobile Hacking, Datendiebstähle sowie verlorene oder vergessene Endgeräte mit sensiblen Informationen halten Unternehmen und deren Sicherheitsabteilungen in Atem. Zunehmende Vorfälle und Pannen im Mobile-Device-Management machen deutlich, dass der Einsatz portabler Technologien im Organisationsbereich eine Gesamtstrategie erfordert. Wie dringlich es ist, belegen die jüngsten Zahlen der Symantec-Studie „State of Mobile IT”. Den Ergebnissen zufolge entsteht deutschen Unternehmen durch den Einsatz mobiler Endgeräte ein jährlicher Schaden von durchschnittlich rund 80.000 Euro. Und auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) sieht mobile Endgeräte vielfältigen Bedrohungen ausgesetzt.

Im Klartext: Es ist Zeit zu handeln. Risiken müssen bedacht und das Bewusstsein zum Schutz unternehmenskritischer Informationen geschärft werden. Das gilt besonders im mobilen Umfeld mit seinen vernetzten Kommunikationswegen und dem Verschmelzen unterschiedlicher Technologien zu einer portablen Plattform. Nicht ausreichend sensibilisierte Anwender sind ein großes Sicherheitsrisiko, wenn sie mobile Weggefährten im Unternehmensumfeld einsetzen. Zu diesem Ergebnis kommt eine Befragung des unabhängigen Risikomanagement-Portals RiskNet. 46 Prozent der Befragten sehen in der mangelnden Sensibilisierung der eigenen Mitarbeiter das Hauptrisiko im Umgang mit Mobile-Computing-Lösungen.

Kommen mobile Lösungen unternehmensweit zum Einsatz, müssen Entscheider auf strengere Richtlinien im Umgang mit Smartphone, Laptop & Co. in allen Organisationsbereichen achten und diese durchsetzen. Mehr noch sind Vorstände und Geschäftsführer wie ein Dirigent für die Leitung des „Gesamtorchesters” Unternehmen inklusive durchgängiger Überwachungspflichten und Reputation zuständig. Es reicht beispielweise nicht aus, dass Sicherheitsstrukturen im Auftrag des Top-Managements im Unternehmen platziert werden. Vielmehr müssen Unternehmenslenker ihre Security-Konzepte und deren Wirkung regelmäßig überwachen, auch weil Gesetze es von ihnen verlangen. Der Kontrolle von Prozessen und der Wirksamkeit der jeweiligen Strukturen kommt also eine grundsätzliche Bedeutung im Umfeld des Risikomanagements zu.

Organisationen und deren Verantwortliche müssen sich aktiv um wirksame Abwehrmechanismen im Risikomanagement bemühen, diese hinterfragen und gegebenenfalls neu justieren. Ein großes Augenmerk ist auf jeden Mitarbeiter zu legen, der Teil der Unternehmenskultur ist. Verbunden mit einem Sanktions- und Belohnungssystem entsteht unter den Angestellten eine durchgängige Unternehmenskultur - mit transparenten Verhaltensregeln im Umgang mit mobilen Lösungen.

Risiken im Allgemeinen und im Umgang mit Mobile Computing im Speziellen lassen sich nicht komplett verhindern. Dies ist nicht die Aufgabe eines Risikomanagements. Vielmehr geht es darum, bestehende Risiken mithilfe organisatorischer und technischer Möglichkeiten zu vermeiden oder zu verringern. Dies setzt Standards und eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung voraus.

Ein durchgängiges Risikomanagement braucht von Beginn an einen hohen Reifegrad der Prozesse und eine dementsprechend verlässliche Prozessqualität. Im Umgang mit Mobile Computing als „Risikoquelle” ergeben sich bestimmte Minimalansätze und Rahmenbedingungen zur Risikominimierung. Hierzu zählt auf der Prozessebene unter anderem eine interdisziplinäre Arbeitsweise, ein eindeutig identifizierbarer "Process/Risk Owner" in der Organisation oder eine lückenlose, saubere und schnelle Darstellung der Gesamtprozesse und Risikofaktoren im Unternehmen. Hinzu kommen technische Aspekte wie Überlegungen zu standardisierten Mobillösungen sowie kürzere Produktzyklen mit permanent neuen Geräten und den dazugehörigen Sicherungssystemen. Als Ultima Ratio steht ein generelles Verbot privater Mobilgeräte im unternehmensweiten Arbeitsumfeld.

Wichtig sind bei sämtlichen Überlegungen Programme für eine bessere Prozessqualität in der Gesamtorganisation, um alle Mitarbeiter früh in den Findungs- und Etablierungsweg einzubinden. Eine Schlüsselrolle nimmt dabei die Gruppe des mittleren Managements ein. Sie ist auf der einen Seite nicht in der Position, strategische Ziele des Unternehmens zu gestalten. Auf der anderen Seite ist diese Managementgruppe für den Erfolg des Projektes mitverantwortlich, da sie maßgeblich die Prozessqualität beeinflusst.

Bei aller Theorie bleiben Best-Practice-Ansätze und der regelmäßige Test vorhandener Instrumente zur Risikofrüherkennung ein wesentlicher Kern zukunftsweisender Risk-Strukturen und -Prozesse. Als wirksames Mittel im Kampf für ein besseres Risikomanagement erweisen sich Szenarioanalysen und Stresstests. Anhand dieser lassen sich potenzielle Entwicklungen erarbeiten und transparent darstellen.

In einer Art Simulation können Risikoszenarien durch den Einsatz von Mobile Computing durchgespielt werden, um sie auf die Gesamtorganisation und das mögliche Gefährdungspotenzial zu übertragen. Die Frage „Was wäre wenn?”, die im Rahmen dieser Analysen gestellt wird, gibt gleichzeitig wichtige Aufschlüsse zu existierenden Defiziten und dem dringendsten Handlungsbedarf. Mögliche Szenarien reichen von einfachen und im Vergleich harmlosen Vorkommnissen und Kettenreaktionen. Ein einfaches Beispiel sind Mobiltelefone, die durch einen Virenbefall unbrauchbar werden und Mitarbeiter, die deshalb nicht mehr auf Firmendaten zugreifen können. Es gibt aber auch bedrohliche Situationen, in denen die Existenz des Unternehmens auf dem Spiel steht. Dies könnte unter anderem der Fall sein, wenn ein Laptop mit wichtigen Firmendaten gestohlen wird. Existieren für diesen Fall Meldepflichten und -fristen für den Mitarbeiter und werden diese eingehalten? Erfüllen die verwendeten Verschlüsselungsmechanismen ihren Zweck? Funktioniert die Fernlöschung von Daten auf dem Gerät?

Wenn Unternehmen ihre Mobile-Device-Strategien auf ein starkes Fundament stellen wollen, müssen Standards, Prozesse und Methoden eng mit einem durchgängigen Risikomanagement verzahnt sein. Dies bedeutet darüber hinaus, dass Risiken und deren Bewertungen in die Unternehmensplanung und das Controlling integriert werden müssen. Damit werden organisationsübergreifende Insellösungen vermieden und ein Gesamtkonzept zur Risikosteuerung aufgebaut. Diese Vorgehensweise erscheint im Bereich Mobile Computing umso wichtiger, als die technologischen Herausforderungen mit vernetzten Strukturen und neuen Risikofaktoren gleichfalls neue Wege im Organisationsdenken erfordern. Im Kern muss ein professionelles Risikomanagement zentraler Bestandteil eines fundierten Unternehmenssteuerungskonzepts sein und stärker in bestehende Managementsysteme integriert werden. Dementsprechend sollten Unternehmen ihre Risikobewertung zukunftsgerichtet vorantreiben und auf interne Kontrollsysteme achten, um im Kampf gegen die mobilen Gefahren zu bestehen. Oder anders ausgedrückt: Investitionen in das Gold der Zukunft sind von Erfolg gekrönt, wenn unternehmensentscheidende Informationen im eigenen Haus bleiben. (sh)

Die Eckpunkte zur Risikominimierung noch einmal kurz zusammengefasst:

© IDG / In Zusammenarbeit mit computerwoche.de

Mehr von Aachener Zeitung