DER ULTIMATIVE GUIDE

Technology Risk Management

Technologische Risiken bezeichnen jede Art eines technischen Ausfalls, der Ihrem Unternehmen schaden könnte. Dazu zählen beispielsweise Vorfälle in der Informationssicherheit oder Dienstausfälle.

Einleitung

Welche katastrophalen Auswirkungen ein unerwarteter IT-Risikovorfall haben kann, zeigt dieses drastische Beispiel: Bei der Fluggesellschaft Comair, einer Tochtergesellschaft von Delta Air Lines, versagte ausgerechnet im Dezember das Crew-Scheduling-System, da das System nur eine bestimmte Anzahl von Änderungen pro Monat bewältigen konnte. Das System setzte plötzlich aus und ca. 200.000 Passagiere saßen fest, über die USA hinweg verteilt – und das zur Vorweihnachtszeit! Die Einnahmeverluste durch diesen Vorfall werden auf rund 20 Millionen US-Dollar geschätzt.

Ein stets aktualisiertes EA-Inventar gibt Ihnen Informationen über alle Ihre Applikationen, einschließlich der ihnen zugrunde liegenden Technologien. So können Sie feststellen, welche verwendeten IT-Komponenten nicht mehr unterstützt werden und dadurch Applikationen ausfindig machen, die risikobehaftet sind. Zudem behalten Sie den Überblick über Ihre Technologiestandards. Vorfälle, die aufgrund von nicht unterstützten Technologiekomponenten auftreten, kosten Unternehmen im Durchschnitt etwa 600.000 Euro.

In diesem Guide möchten wir Ihnen zeigen, wie Sie solche Vorfälle vermeiden können.

 

Was Sie über Technology Risk Management wissen sollten

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als alte Technologien abzuschaffen. Die Kosten von überholten Technologien, die nicht mehr unterstützt werden, können allerdings sehr hoch sein. Die Kosten für IT-Ausfälle und Datenschutzverletzungen gehen in die Millionen. Wenn eine Technologie ihr Lebensende erreicht hat, muss sich das IT-Management mit Herausforderungen wie Integrationsproblemen, begrenzter Funktionalität, unterschiedlichen Service-Leveln, Mangel an verfügbaren Ressourcen und fehlender Unterstützung durch die Technologie-Provider auseinandersetzen.

Die 20 größten Technologie-Provider bieten allein über eine Million verschiedener Technologieprodukte an. Die zugehörigen Informationen, wie z.B. die Lebenszyklen, können sich jeden Tag ändern.

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als alte Technologien abzuschaffen. 67% der CIOs bezeichnen ihr Technology Risk Management als ineffektiv.

Wenn Sie bereits recherchiert haben, wie man ein Technology Risk Assessment durchführt, ist Ihnen die obige Aussage vermutlich geläufig. Wir haben zur Lösung dieses Problems den ultimativen Guide für Technology Risk Assessments erstellt.

Technologierisiken sind einem ständigen Wandel unterworfen, vor allem durch neu entstehende Technologien wie Blockchain oder neue Methoden wie Microservices. Wird auf diese Veränderungen nicht reagiert, erhöht sich das IT-Risiko und damit das Risiko für das gesamte Unternehmen.

Laut einem Survey von KPMG muss sich das Technology Risk Management weiterentwickeln, um auf diese neue, schnelllebige und von Veränderungen geprägte Welt vorbereitet zu sein. Viele Unternehmen, die im digitalen Zeitalter agieren, ignorieren die Bedeutung technologischer Risiken und verfolgen weiterhin traditionelle, auf Compliance ausgerichtete Ansätze. Diese Ansätze bieten jedoch nicht die beste Kontrolle über Technologieassets, Prozesse und Mitarbeiter – hinzu kommen statische qualitative Messungen, reaktive Risikoentscheidungen und mangelnde Innovation.

Wussten Sie, dass 72% der Unternehmen erst dann ein Technology Risk Team an Bord holen, wenn bereits ein Technologierisiko aufgetreten ist? Und dass 47%  der Unternehmen Technologien wie mobile Applikationen und Geräte einfach einsetzen, ohne sie überhaupt Teil des Risk Assessments werden zu lassen?

Der Enterprise Architect von morgen [White Paper]: So entwickeln Sie die fünf  wichtigsten Eigenschaften agiler EAs der nächsten Generation. »

Die Vorteile von Technology Risk Assessments

Technology Risk Assessments bieten viele Vorteile. Dazu gehören:

Kostensenkung

Bewerten Sie die fachliche Eignung und Geschäftskritikalität jeder IT-Komponente, um herauszufinden, welches die besten Technologien sind. So können Sie sich für einen regionen- oder standortübergreifenden Standard entscheiden und redundante Applikationen und Technologien reduzieren. Warum sollten Sie zum Beispiel Oracle und MySQL verwenden?

Sie bezahlen für beide, auch wenn eine Software für das gesamte Unternehmen ausreichen würde. 

Risikominimierung

Was passiert, wenn eine Software noch nicht auf die aktuellste Version upgedated ist? Oder noch schlimmer – warum werden fünf verschiedene Versionen derselben Software benutzt? Ein Grund dafür wäre, dass die Software mit unterschiedlichen Technologien verknüpft ist. Applikationen, die von dieser Software abhängig sind, könnten schließlich einen Schneeballeffekt von Fehlern im gesamten Unternehmen auslösen. Deswegen ist es wichtig, die genutzten Technologien, ihre Lebenszyklen und jegliche Software-Abhängigkeiten zu ermitteln und zu verstehen.

techrisk-apps-at-risk-8-Col-XL@3x

Abbildung 1: IT-Komponenten-Matrix, die den Lebenszyklus von IT-Komponenten in Bezug auf ihre Provider und Tech Stacks zeigt.

Erhöhte Agilität

Ein Thema, womit die meisten Unternehmen zu kämpfen haben, ist die Standardisierung. Werden keine klaren Standards definiert, kann es sehr schnell chaotisch werden. Sind Standards definiert, müssen wir sicherstellen, dass diese auch eingehalten werden. Idealerweise sollten Sie nicht viel Zeit aufwenden müssen, um beurteilen zu können, wie gut alle Stakeholder die IT-Sicherheitsstandards einhalten. Um solche Informationen schnell und akkurat einzuholen, empfehlen wir Ihnen die LeanIX-Surveys. Mit diesem nützlichen Feature können Sie alle Antworten, die Stakeholder im Survey abgegeben haben, automatisch in LeanIX importieren und Ihre Fact Sheets aktualisieren.

create-survey-8-Col-XL

Abbildung 2: LeanIX Survey zeigt, wie eine IT-Sicherheitsbewertung effizient durchgeführt werden kann.

Kosten senken mit professionellen EA-Tools [White Paper in Englisch]: Erfahren  Sie, welche Vorteile ein Enterprise Architecture Management Tool gegenüber  Excel, PowerPoint und Visio hat. »

Wie Sie Technology Risk Assessments durchführen

Da Sie nun um die vielfältigen Vorteile von Technology Risk Assessments wissen, möchten Sie jetzt sicherlich erfahren, mit welchen Schritten man ein ausführliches Technology Risk Assessment durchführt.

Wir empfehlen folgenden Ablauf:

Erstellen Sie eine vollständige Liste Ihrer verwendeten Applikationen

Hoffentlich haben Sie alle Applikationen, die im Unternehmen genutzt werden, über die letzten Jahre hinweg dokumentiert. Falls nicht, lesen Sie unseren Guide "9 Rules and Guidelines for Application Rationalization". Ohne eine Übersicht über den Status quo Ihrer Applikationslandschaft macht es keinen Sinn, ein Technology Assessment durchzuführen.

Ermitteln Sie die Applikationsversionen

Im nächsten Schritt müssen Sie alle Applikationsversionen auflisten, die aktuell genutzt werden. Zur Gruppierung Ihrer Applikationen empfehlen wir die Verwendung von Tech Stacks. Sie können Ihre Applikationen auch mit Tags versehen (manuell oder durch Verwendung der bereits vorgegebenen LeanIX-Tags), um die Applikationen in Zukunft schneller kategorisieren zu können. 

Identifizieren Sie verwendete Server und Rechenzentren

Der nächste Schritt ist dem vorangegangenen ähnlich. Wir empfehlen auch hier die Verwendung von Tech Stacks zur Gruppierung von Servern und Rechenzentren. In diesem Schritt sollte auch die Überprüfung der Daten stattfinden. Sie können zum Beispiel über einen Standort-Report für IT-Komponenten feststellen, wo genau sich Ihre Server befinden.

ia-countrymap-8-Col-XL

Abbildung 3: Report über den geografischen Standort von Applikationen.

Verknüpfen Sie Software, Server und Applikationen

Nachdem Sie alle Daten aus den vorangegangenen Schritten gesammelt haben, ist es nun an der Zeit, Software, Server und Applikationen zu verknüpfen. Dadurch können Sie später die Abhängigkeiten zwischen diesen Objekten nachvollziehen und Transparenz über Ihre Applikationslandschaft herstellen.

Finden Sie heraus, wie Technologie Ihr Unternehmen beeinflusst

Sie haben es fast geschafft! Im letzten Schritt bewerten Sie, welche Auswirkungen Technologierisiken tatsächlich auf Ihr Unternehmen nehmen. Es ist Zeit, die Puzzleteile zusammenzusetzen – so können Sie zum Beispiel herausfinden, wo genau Applikationen mit einer bestimmten Software-Version gehostet werden.

Microservices — Was Sie als Enterprise Architect wissen müssen

Deep Dive: End-of-Life Management

Einer der wichtigsten Faktoren beim Technology Risk Management ist das End-of-Life Management.

Aber was bedeutet das? Unternehmen, die nicht darauf achten, ob die verwendeten Technologien veraltet sind, sehen sich mit einer höheren Anzahl von Sicherheitsrisiken und Schwachstellen konfrontiert als Unternehmen, die den Lebenszyklus der Komponenten in ihrer IT-Landschaft genau beobachten. Zudem führt die Verwendung nicht unterstützter Hard- oder Software dazu, dass Cyberkriminelle einfacher in Ihr System eindringen und auf Ihre Daten zugreifen können.

Das End-of-Life Management wird häufig vernachlässigt – auch von Regierungsbehörden. Wirtschaftsprüfer der US-Regierung haben die US-Bundessteuerbehörde (IRS) 2015 wegen versäumter Aktualisierungsfristen von Windows XP-Computern und Rechenzentrumsservern mit Windows Server 2003 – die beide nicht mehr von Microsoft unterstützt werden – lahmgelegt. Neun Monate, nachdem Microsoft den Support für Windows XP eingestellt hatte, konnte die Behörde immer noch nicht mit Gewissheit sagen, wie viele der 1.300 Computer auf das neue Betriebssystem gebracht worden sind (etwa 1% der gesamten Anzahl an Computern). Die IRS musste zudem Microsoft für zusätzliche Supportverträge bezahlen, um auch weiterhin mit Sicherheitsupdates versorgt zu werden.

Screen%20Shot%202017-09-06%20at%2015.16.51

Abbildung 5: Auswirkungen alter Technologien auf Unternehmen.

Deep Dive: Compliance

Unternehmen müssen viele Vorschriften einhalten. Compliance kostet zwar Geld und erfordert einen genauen Überblick über die genutzten Applikationen und Technologien, dennoch sind die Kosten für die Nichteinhaltung von Compliance-Richtlinien sind in der Regel höher. Als Faustregel sagen Experten, dass Unternehmen mangelnde Compliance 2,5 Mal höher teurer zu stehen kommt als die Ausgaben, die Sie für die Einhaltung von Compliance-Richtlinien tätigen.

Ein stets aktuelles EA-Inventar liefert Ihnen nicht nur zuverlässige Daten, mit denen Sie die Compliance überprüfen können. Das LeanIX Survey Add-On unterstützt Sie zudem bei der Erstellung von regelmäßigen oder auch einmaligen Surveys, damit Sie von den Benutzern genaue Informationen zu IT-Assets erhalten– z.B. über die Nutzung sensibler Daten durch Applikationen. 

Ein aktueller Fall wäre hier z.B. die DSGVO. Wir können unsere Daten bewerten, um festzustellen, inwieweit sie personenbezogene Daten enthalten, und sie als öffentlich/nicht klassifiziert, sensibel, eingeschränkt oder vertraulich einstufen. Wenn Sie ein professionelles Enterprise Architecture Management Tool wie LeanIX verwenden, können Sie Ihren Applikationen oder Datenobjekten mit Tags weitere Attribute (z.B. „DSGVO eingeschränkt“) hinzufügen. Dies wird in der Regel bereits Teil Ihrer internen Sicherheitsprozesse sein, bei denen Sie den Daten Attribute wie Vertraulichkeit, Integrität oder Verfügbarkeit zuweisen.

Kosteneinsparungen in der IT – ein Guide zur Rationalisierung von  Applikationen für moderne Unternehmen»

Hier können Sie mehr darüber erfahren.

Deep Dive: Komplexität

Komplexität ist der größte Feind der Sicherheit. CIOs müssen immer dafür sorgen, dass der IT-Betrieb reibungslos läuft. Häufig lautet die Maxime: „Was nicht kaputt ist, muss nicht repariert werden“. Dies trifft jedoch nicht auf die digitale Transformation zu. Es steckt natürlich auch etwas Wahrheit in diesem Grundsatz, denn ein Upgrade auf neuere Technologien ist normalerweise mit Unterbrechungen im IT- und Geschäftsbetrieb verbunden. Aber dennoch: Die Beibehaltung des Status quo geht auf Kosten einer erhöhten Komplexität.

landscape-techrisk-7-Col-XL

Abbildung 6: Das LeanIX-Dashboard veranschaulicht, welche Applikationen gefährdet sind, da die verknüpften IT-Komponenten nicht mehr unterstützt werden.

Veraltete Hardware, Hardware-Wartung und Sicherheit gehören zu den gravierendsten Problemen der Informationstechnologie, mit denen sich Unternehmen heute konfrontiert sehen. Fehlende Investitionen in die Zukunft von Technologien gehört bei Weitem zu den kostspieligsten Irrtümern, denen Unternehmen erliegen können.

Fazit

Die meisten Unternehmen sind besser darin, neue Technologien einzuführen, als veraltete Technologien abzuschaffen. Die Kosten von Technologien, die nicht mehr unterstützt werden, können sehr hoch sein. Die Kosten für IT-Ausfälle und Datenschutzverletzungen gehen in die Millionen. Technology Risk Management ist ein breites und komplexes Thema, das nicht durch manuelle Datenpflege gelöst werden kann – unabhängig von der Größe Ihres Teams. Mithilfe von LeanIX können Enterprise Architects aktuelle Technologieinformationen schnell einsehen. Diese Informationen sind unerlässlich für die Risikobewertung der Applikationslandschaft sowie für die intelligente Planung, Verwaltung und Abschaffung von Technologiekomponenten.

Gratis White Paper

Neun typische Anwendungsfälle für Enterprise Architecture

Vorschau der ersten Seiten

Seite: /

Vollständige Version herunterladen

FAQ: Technology Risk Management

Was bedeutet Technology Risk Management?

Technology Risk Management beschreibt Methoden, mithilfe derer IT-Risiken minimiert oder verwaltet werden. Technology Risk Management hat viele Überschneidungen mit dem Application Portfolio Management, legt jedoch ein besonderes Augenmerk auf Faktoren wie Geschäftskritikalität oder fachliche und technische Eignung.

Was sind die Vorteile von Technology Risk Assessments?

Durch Technology Risk Management können Unternehmen direkt Kosten senken, Risiken mindern und gleichzeitig agiler werden. Dies fördert die Wettbewerbsfähigkeit in unseren digitalen und schnelllebigen Märkten.

Welche Schritte beinhaltet ein ausführliches Technology Risk Assessment?

  1. Vollständige Liste alle Applikationen erstellen
  2. Applikationsversionen ermitteln
  3. Verwendete Server und Rechenzentren finden
  4. Software, Server und Applikationen verknüpfen
  5. Auswirkungen von Technologien auf das Unternehmen analysieren
DE-WP-Nine-Use-Cases-Resource_Page_Thumbnail

Gratis White Paper

Neun typische Anwendungsfälle für Enterprise Architecture

Download
Demo

Bringen Sie Ihre digitale Transformation ins Rollen!

Jetzt loslegen!