Was ist das Anwendungsrisikomanagement?

Was ist Risikomanagement für Anwendungen?

Immer mehr Unternehmen haben das Bedürfnis mehr Softwareanwendungen einzusetzen. Mit der zunehmenden Anzahl von Softwareanwendungen im Anwendungsbestand eines Unternehmens steigt auch das Risiko von Fehlfunktionen und Sicherheitsproblemen. Das Anwendungsrisikomanagement (Application Risk Management) ist der Rahmen um Anwendungen zu bewerten und potenzielle Bedrohungen zu erkennen, bevor sie überhaupt auftauchen. Auf diese Weise spart das Application Risk Management Zeit und Mühe und sorgt für einen kosteneffizienten und fehlerfreien Betrieb des Unternehmens, da es auf die Risiken für das Geschäft hinweist und so Zeit schafft, diese zu vermeiden.

Einige Beispiele für potenzielle Risiken sind menschliches Versagen, unrealistische Zeit- oder Budgetplanung, nicht erkannte Schwachstellen in Anwendungen und die unzureichende Erfüllung von Benutzer- oder Kundenanforderungen. Etwa 90% der Systemstörungen, Sicherheitsverletzungen und Unzulänglichkeiten in der IT-Infrastruktur sind das Ergebnis einer verteilten Anwendungsspeicherung, einer ineffizienten architektonischen Struktur und eines völlig fehlenden Anwendungsmanagements.

Mehrere Gründe erhöhen die Risiken für Anwendungen:

1. Komplexer werdende Geschäftssysteme: Unternehmen benötigen mehr Anwendungen, um mit dem Wachstum ihres Sektors Schritt zu halten. Die Geschäftsprozesse werden also immer komplexer und erfordern eine Reihe neuer Anwendungen, die dem Anwendungsbestand hinzugefügt werden müssen. Aus diesem Grund steigt das Risiko von Fehlfunktionen und Sicherheitsbedrohungen.
2. Multi-Sourcing: Multi-Sourcing ist dem Outsourcing sehr ähnlich, findet aber in der IT-Struktur statt. Beim Multi-Sourcing hat die IT-Abteilung eines Unternehmens Verträge mit mehreren Anbietern, die jeweils Softwareanwendungen, Hardware, Server oder alles, was mit der IT zu tun hat, bereitstellen. Dieser Prozess kann bei schlechtem Management ein Gesamtrisiko darstellen.
3. Schnelle Entwicklungspraktiken: Eine überstürzte Entwicklung von Anwendungen birgt die Gefahr, dass sie nicht richtig funktionieren oder gehackt werden. Die schnelle Entwicklung einer Anwendung ist eine gute Sache, aber nur, wenn sie die Gesamtfunktionen und die Sicherheit der Anwendung nicht beeinträchtigt.
4. Zu wenig Zeit für Tests und unzureichende Ressourcen: Ähnlich wie beim vierten Grund würde ein Überspringen von Tests oder eine übereilte Entwicklung ebenfalls eine drastische Verbesserung der Bedrohungen bedeuten. Methoden wie Agile oder Shift-Left kamen ins Spiel, um Test- und Entwicklungsprozesse im Allgemeinen weiter zu optimieren. Es wäre also ratsam, die Entwicklungs- und Testprozesse zu modernisieren, um die Risiken zu verringern, sobald die Anwendung auf den Markt gebracht wird.
5. Schatten-IT: Schatten-IT bezieht sich auf Käufe ohne die Zustimmung der IT-Abteilung. Diese unbemerkten Käufe können zu zusätzlichen Bedrohungen führen, da sie nicht von der IT-Abteilung und den erforderlichen Cybersicherheitsmaßnahmen kontrolliert werden.

Was sind die Schritte des Anwendungsrisikomanagements?

Die Schritte des Anwendungsrisikomanagements sind nicht genau definiert und sie können sich je nach Branche, Unternehmen oder sogar von Abteilung zu Abteilung unterscheiden. Die Rahmenbedingungen für die Bewertung und Vermeidung von Risiken sind jedoch recht ähnlich, wenn man sie ein wenig verallgemeinert.

Sie könnten im Wesentlichen wie folgt lauten:

1. Identifizierung des Risikos: Der erste Schritt des Risikomanagements besteht darin, festzustellen, dass es ein Risiko gibt. Die Identifizierung des Risikos würde die notwendigen Kanäle für die Risikobewältigung in Gang setzen. Ein Unternehmen sollte also eine IT-Landschaft aufbauen, die es ermöglicht, Risiken zu erkennen. Dies kann mit Hilfe einer Anwendungsportfolio-Management-Software realisiert werden. Die APM-Methodik befasst sich mit der Überwachung von Anwendungen und der Erkennung von bemerkenswerten Problemen wie geringer Effizienz oder chronischen Fehlfunktionen.
2. Risikobewertung: Nachdem die Risiken erkannt wurden, ist die zweite Stufe die Risikobewertung. Die Analyse des Ausmaßes eines Risikos ist wichtig, um zu entscheiden, wie viele Ressourcen zur Bewältigung des Problems bereitgestellt werden müssen. Diese Phase ist meist automatisiert.
3. Klassifizierung des Risikos: Die Bewertung der Risiken führt zu einer Priorisierung der Risiken. Auf diese Weise wird die Zuweisung von Abwehr- oder Reparaturmechanismen optimiert.
4. Behandlung oder Vermeidung des Risikos: Je nach Art des Risikos werden dann Cybersicherheits- oder Reparatursitzungen durchgeführt. Die Behebung des Problems hängt von der Qualität dieser Gruppen ab.
5. Nachkontrolle des Risikos: Nach der Behebung des Risikos wird durch rechtzeitige Kontrollen sichergestellt, dass sich das gleiche Problem nicht wiederholt.

Wie wird ein Anwendungsrisikomanagement durchgeführt?

Der grundlegende Umfang des Anwendungsrisikomanagements wurde bereits erläutert. Es besteht praktisch aus der Identifizierung, Bewertung und Bewältigung potenzieller Probleme. Um ein effizientes Anwendungsrisikomanagement zu betreiben, ist ein umfassender und systematischer Ansatz in Bezug auf Anwendungen von Vorteil. Dies führt zu ITAM (IT-Asset-Management) und APM (Anwendungsportfolio-Management), das ein Unterbereich von ITAM ist.

APM bietet eine umfassende Überwachung für alle von einem Unternehmen genutzten Anwendungen. Manche APM-Software arbeitet eher als Suite und verfügt über ein integriertes Tool für das Anwendungsrisikomanagement. In diesem Fall kann ein integriertes Management sowohl von Anwendungsbeständen als auch von Risiken realisiert werden. Eine systematische Abstimmung zwischen APM und Anwendungsrisikomanagement kann einige Funktionen mit hohem Geschäftswert bieten. Diese könnten wie folgt aussehen:

1. Erstellung eines Inventars der genutzten Anwendungen und ständige Überwachung dieser Anwendungen

2. Identifizierung der Risiken durch Bewertung der Funktionsweise dieser Anwendungen

3. Prüfung, ob eine Anwendung in der Vergangenheit ähnliche Fehlfunktionen aufgewiesen hat

4. Aufzeigen von Compliance-Problemen

Hier können Sie mehr darüber lesen, wie das IT-Asset-Management im Bankwesen funktioniert, wo Cybersicherheit und Compliance von zentraler Bedeutung sind.