Welche Unternehmensrisiken gibt es?

Jedes Unternehmen ist permanent unterschiedlichen Risiken ausgesetzt, die den Betriebsablauf stören können. Vermögens- oder Personenschäden können die Folge sein. Daher sollten geeignete Vorkehrungen getroffen werden, um die Wahrscheinlichkeit zu senken, dass ein Schadensereignis eintritt, und um die Auswirkungen eines Schadensereignisses zu reduzieren.

Das "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) verpflichtet u. a. den Vorstand größerer Unternehmen, ein internes Risikokontrollsystem einzurichten. Dies soll insbesondere dazu dienen, existenzbedrohende Unternehmensrisiken frühzeitig zu erkennen und ihre Abwehr zu vereinfachen. Risikomanagement ist eine Aufgabe für Unternehmen aller Größen und Branchen, denn grundsätzlich können Gefahren jedes Unternehmen treffen.

Risiken können alle Unternehmensbereiche berühren. Risiken können von außerhalb des Unternehmens oder intern entstehen. Das Risikomanagement unterscheidet zwischen strategischen und operativen Risiken. Strategische Risiken sind solche, die sich z.B. aus fehlerhaften Unternehmensentscheidungen und falschen Vorgehensweisen ergeben. Operative Risiken betreffen eine falsche oder fehlerhafte Umsetzung.

Xamit konzentriert sich bei Audits auf die IT-Risiken eines Unternehmens auf der Grundlage der IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese teilen mögliche Gefahren in verschiedene Klassen ein, die hier beispielhaft genannt werden:

1. Höhere Gewalt

• Personalausfall
• Blitz, Feuer, Wasser, unzulässige Temperatur und Luftfeuchtigkeit
• Defekt von Geräten
• Ausfall von WLAN, Telefon- oder Mobilfunknetz, sowie Outsourcing
• Ausfall der Stromversorgung

2. Organisatorische Mängel

• fehlende, ungeeignete oder inkompatible Betriebsmittel
• unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
• unentdeckte IT-Sicherheitsvorfälle
• erhöhte Reaktionszeiten bei einem IT-Systemausfall
• unzulängliche vertragliche Regelungen mit einem externen Dienstleister
• fehlerhafte Buchführung
• Verstoß gegen gesetzliche Regelungen oder vertragliche Vereinbarungen
• unwirtschaftlicher Umgang mit Ressourcen
• Verstöße gegen Datenschutzgesetze

3. Menschliche Fehlhandlungen

• Vertraulichkeits-, Verfügbarkeits-, Integritätsverlust schutzbedürftiger Daten
• fahrlässige Zerstörung von Geräten oder Daten
• Nichtbeachtung von IT-Sicherheitsmaßnahmen
• Gefährdung durch Reinigungs- oder Fremdpersonal
• unproduktive Suchzeiten
• Konfigurations- und Bedienungsfehler

4. Vorsätzliche Handlungen

• Diebstahl von Geräten, Programmen
• Abhören, Kopieren, Ausspähen von Daten
• unberechtigte IT-Nutzung
• Einschleusen, Ausführen von Schadprogrammen
• Sabotage

Im Allgemeinen können Gefahren nicht ganz ausgeschlossen werden. Deshalb bewertet Xamit jede Gefahr entlang der Dimensionen "Eintrittswahrscheinlichkeit" und "Schadenpotenzial". So wird etwaiger Handlungsbedarf schnell erkannt, und Risiken werden minimiert.