Allianz Kontakte
Suchen
Allianz Kontakte

"Wie lange überlebt ein Konzern ohne ein funktionierendes IT-System?"

Allianz SE | Munich | 28.09.2011

IT-Sicherheit für Unternehmen ist heute ein wichtigeres Thema denn je. Dazu veranstaltet Allianz Global Corporate & Specialty (AGCS), der Industrieversicherer der Allianz Gruppe, im Oktober in München eine Tagung "Digital Environments". Jose Fidalgo, Risikoingenieur für Haftpflichtrisiken bei AGCS und einer der Sprecher bei der Veranstaltung, gibt vorab ein Interview über Haftung, Cloud Computing und sein "House of IT Quality".

Warum ist das Thema IT-Sicherheit für Firmen zur Zeit in aller Munde?

Jose Fidalgo: Digitale Risiken stehen bei Unternehmen seit Jahren auf der Agenda. Das Thema gewinnt aber immer mehr an Dringlichkeit, weil natürlich immer mehr auf dem digitalen Weg stattfindet – von schlichter Kommunikation über Datenverwaltung bis hin zu Zahlungssystemen. Das heißt, dass die "opportunities for intrusion" ansteigen – und damit auch die Exponierung gegenüber externen Angriffe wie Viren oder Spionage wächst.

Oder überlegen Sie: Wenn heute eine neue Software wie zum Beispiel ein Betriebssystem auf den Markt kommt, wurde es von 2000 Testern auf Robustheit geprüft. Schön. Sobald es aber öffentlich ist, gibt es draußen potenzielle 20 Millionen Tester, die destruktive Tests ausführen. Und das ist nur die "Security"-Seite. Dazu kommen menschliches Versagen, Feuer und andere uralte, herkömmliche Gefahren, die diese immer wichtigere IT-Infrastruktur zu Fall bringen können.

Welchen typischen IT-Risiken ist ein Unternehmen heute ausgesetzt?

Fidalgo: Betriebsunterbrechung ist sicher das naheliegende Risiko. Es ist allerdings oft schwierig zu definieren, welchen Schaden ein Konzern hat, wenn Kunden ihre gewohnte Dienstleistung nicht bekommen. Wenn zum Beispiel das Handynetz eines Mobilfunkanbieters für sechs Stunden ausfällt und Kunden nicht telefonieren können, heißt es nicht, dass die sechs Stunden Umsatz für das Unternehmen einfach weg sind. Viele Kunden telefonieren einfach später, wenn das Netz wieder funktioniert.

Datenverlust ist ein weiteres, wachsendes Risiko. Daten stellen einen substanziellen Wert für ein Unternehmen dar, und es ist haftbar, wenn es die Daten Dritter verliert. Als Versicherer messen wir die Daten unserer Industriekunden durch "Enterprise IT Process Value Engineering". Das bedeutet, dass wir die Rolle dieser Daten in der Wertschöpfungskette der Firma untersuchen, also eine IT-spezifische Wertanalyse durchführen.

Wie soll man die Diskussion um Cloud Computing in diesem Zusammenhang betrachten?

Fidalgo: Der Begriff ist etwas inflationär, aber das Phänomen ist durchaus relevant. Es ist wie bei den vielen anderen Varianten des Outsourcing: Wenn Sie als Firma Geld sparen oder ihre Anlagen besser auslasten können, indem ein anderer Ihre Daten bei sich auf dem Server aufbewahrt, ist das sicher eine Überlegung Wert. 

Wenn sie allerdings ihre Daten aus der Hand geben, liegen sie physisch anderswo. Im Schadenfall stellt sich damit die Frage, wer die faktische Kontrolle über die Daten hat? Nicht Sie. Aber wer haftet dann für Ihre Kundendaten? Sie oder Ihr Cloud-Lieferant? Diese Antwort fällt von Fall zu Fall anders aus – und darüber sind sich viele nicht im Klaren.

Was besprechen Sie mit Risikomanagern von Konzernen?

Fidalgo: Es geht vor allem um deren Wertschöpfungskette. Wie lange überlebt ein Konzern ohne ein funktionierendes IT-System? Wie wichtig ist es für Cash Flow? Aber dann ist es genauso wichtig festzustellen, welche Daten und welches Wissen generell verloren gehen könnten und was das für das Unternehmen bedeuten würde.

Außerdem sprechen wir auch über das Reputationsrisiko, also welchen Rufschaden man bei Lieferanten und Kunden erleidet, wenn es zu einem IT-Schaden kommt. Und schließlich geht es um die Schutzvorrichtungen, angefangen vom Virenschutz bis hin zum Feuerschutz. Es mag sein, dass ein Unternehmen binnen Sekunden einen Malware-Angriff aufspüren und stoppen kann, aber ist die Anlage auch wirklich einbruchsicher?

Jose Fidalgo arbeitet seit 6 Jahren bei der Allianz als Risikoingenieur und war davor 20 Jahre in der Elektronikindustrie tätig.

Was steckt hinter Ihrem Konzept des "House of IT Quality"?

Fidalgo: Das ist unser Ansatz, den Risikodialog mit Unternehmenskunden zu strukturieren. Damit ordnen wir IT-spezifische Tätigkeiten bestimmten Risiken zu. Das Fundament bildet die eigentliche IT-Infrastruktur, darauf bauen Geschäftsprozesse auf und im Dach sind Industriestandards verortet, um Qualität und Sicherheit zu gewährleisten.

Wir schauen uns an, wie diese Elemente in der Praxis gelebt werden und zusammenhängen, um die IT-Haftungsrisiken des Unternehmens gesamthaft abzubilden. Das muss für alle Beteiligten verständlich sein, denn das Unternehmen, aber auch der Versicherungsfachmann, begeben sich in die Hände eines Risikoingenieurs – und keiner will die Katze im Sack kaufen.

The House of IT Quality: IT Infrastucture, processes and quality assurance viewed as a whole.

Diese Aussagen stehen, wie immer, unter unserem Vorbehalt bei Zukunftsaussagen, der Ihnen hier zur Verfügung gestellt wird.
Link zum Disclaimer

Mehr Informationen zum Thema

Evelyn Rieger: "Kleine Fehler führen zum Dominoeffekt"
Thomas Tschersich: "IT-Sicherheit ist essentiell für das Vertrauen unserer Kunden"
AGCS Expertentage: "Digital Environments"