Unternehmen suchen nach Dir. LASS DICH JETZT FINDEN!
 

Was macht ein IT Risk Manager?

No Risk: Fun! Du erkennst Bedrohungen, bevor sie entstehen

Von Bylle Bauer

 

 

Armed with the right set of tools, procedures, knowledge and insight, light can be shed on variables that lead to risk, allowing us to manage them.

– Daniel Wagner, Risk Manager

Fast jedes Unternehmen baut heute auf einem mehr oder minder komplexen IT-System auf, das gilt über alle Branchen hinweg. Wenn dieses ausfällt oder angegriffen wird, kommen viele Prozesse zum Stillstand, was recht schnell zu einem echten Problem werden kann. Mit Information Security Risk Management (ISRM) lässt sich die IT-Infrastruktur vor solchen Risiken schützen. Im IT Risikomanagement hast Du die Strategie für den Ernstfall immer griffbereit. Du identifizierst potenzielle Gefahren für die IT und wendest Bedrohungen ab. Was genau Dich im Job des IT Risiko Managers erwartet, welche Aufgaben im IT Risikomanagement auf Dich zukommen und was Du verdienen kannst, erfährst Du hier!

Welche Risikoarten gibt es für Unternehmen?

Jedes Unternehmen ist verschiedenen Risikoarten ausgesetzt:

Externe Risiken sind ...

  • die wirtschaftliche Gesamtlage – wie wir derzeit am Beispiel Corona live miterleben –,

  • der (inter)nationale Gesetzesrahmen,

  • Veränderungen im Kaufverhalten der Kunden,

  • Konkurrenz aus Niedriglohnländern,

  • Energiekosten und dergleichen,

  • aber auch die Abhängigkeit von Lieferanten,

  • Materialengpässe und

  • Umsatzausfälle.

Interne Risiken sind ...

  • Rahmenbedingungen wie eine maue Unternehmenskultur,

  • schlechte Kommunikation,

  • mangelnde Entscheidungsbereitschaft,

  • ein erhöhter Liquiditätsbedarf,

  • ausstehende Forderungen,

  • aber auch schuldlos verursachte Unglücke wie ein Brand oder ein Wasserschaden.

Experten für IT-Sicherheit sind gefragt. Dementsprechend hast Du in so gut wie allen Branchen die Chance als IT-Sicherheitsberater Fuß zu fassen. Gerade Banken, Behörden oder Großunternehmen verwalten riesige Mengen hochsensibler Daten.Diese gilt es zu schützen. Während Du bei größeren Unternehmen und Institutionen die Chance hast, dich auf ein bestimmtes Gebiet der IT-Sicherheit zu spezialisieren, agierst Du in mittelständischen oder kleineren Unternehmen eher als Generalist.
Experten für IT-Sicherheit sind gefragt. Dementsprechend hast Du in so gut wie allen Branchen die Chance als IT-Sicherheitsberater Fuß zu fassen. Gerade Banken, Behörden oder Großunternehmen verwalten riesige Mengen hochsensibler Daten.Diese gilt es zu schützen. Während Du bei größeren Unternehmen und Institutionen die Chance hast, dich auf ein bestimmtes Gebiet der IT-Sicherheit zu spezialisieren, agierst Du in mittelständischen oder kleineren Unternehmen eher als Generalist.
Experten für IT-Sicherheit sind gefragt. Dementsprechend hast Du in so gut wie allen Branchen die Chance als IT-Sicherheitsberater Fuß zu fassen. Gerade Banken, Behörden oder Großunternehmen verwalten riesige Mengen hochsensibler Daten.Diese gilt es zu schützen. Während Du bei größeren Unternehmen und Institutionen die Chance hast, dich auf ein bestimmtes Gebiet der IT-Sicherheit zu spezialisieren, agierst Du in mittelständischen oder kleineren Unternehmen eher als Generalist.
Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Experten für IT-Sicherheit sind gefragt. Dementsprechend hast Du in so gut wie allen Branchen die Chance als IT-Sicherheitsberater Fuß zu fassen. Gerade Banken, Behörden oder Großunternehmen verwalten riesige Mengen hochsensibler Daten.Diese gilt es zu schützen. Während Du bei größeren Unternehmen und Institutionen die Chance hast, dich auf ein bestimmtes Gebiet der IT-Sicherheit zu spezialisieren, agierst Du in mittelständischen oder kleineren Unternehmen eher als Generalist.

IT Risiken in der Übersicht

Die Betriebssicherheit der IT ist ebenfalls Teil des unternehmerischen Risikos. Bedrohungen für die IT-Infrastruktur betreffen immer die gesamte Organisation, da diese oftmals komplett oder teilweise von einem funktionierenden System abhängig ist. Bei IT-Risiken kann es sich zum Beispiel um

  • Ausfälle und Störungen,
  • Hackerangriffe und
  • Hardwaredefekte, aber auch um
  • Naturereignisse (wie Erdbeben, Überschwemmungen und andere Katastrophen),
  • die mangelnde Verfügbarkeit von Personal oder
  • menschliches Versagen handeln.

Was sind Deine Aufgaben im IT Risikomanagement?

All diese Eventualitäten einzukalkulieren ist Dein Job als IT Risk Manager. Dein Vorgehen besteht im Wesentlichen aus den folgenden Schritten:

  • Zunächst nimmst Du im Rahmen der Risikoidentifikation eine IST-Analyse vor. Sie gibt Dir einen Überblick über die IT-Assets des Unternehmens und deren Schwachstellen. Assets sind einerseits die IT-gestützten Geschäftsprozesse und Informationen, andererseits die Soft- und Hardware und ihre Komponenten und Applikationen. Auch die verantwortlichen Mitarbeiter:innen zählen zu den Assets, und – last, but not least – natürlich die Daten. Mithilfe von Risikomanagement Methoden wie Schwachstellen-Scans und Audits identifizierst Du Sicherheitslücken, die Du sammelst, kategorisierst und dokumentierst.
  • Nun nimmst Du ein IT Risk Assessment vor. Das ist eine systematische Risikoanalyse, bei der Du durch strukturierte und methodische Verfahren Bedrohungen erkennst und bewertest. Hier musst Du die Governance-Aspekte im Hinterkopf haben, also die Zieldefinition des Unternehmens, die Methoden zur Umsetzung und die dafür notwendige Ressourcenplanung kennen.
  • Für jedes identifizierte Risiko schätzt Du bei der Business Impact Analyse nun zum einen die Wahrscheinlichkeit ein, mit der es eintritt, zum anderen die Art und Höhe des Schadens, der dadurch verursacht würde. Dafür sind Risk Maps im Risikomanagement ein gängiges Instrument. Wie verwundbar sind die Assets in Bezug auf Vertraulichkeit, Datenintegrität, Verfügbarkeit usw.? Welche Auswirkungen werden durch den Schaden erwartet – Umsatzeinbrüche? Image- und Vertrauensverluste? Mitarbeiterfluktuation? Eine solche Risikobewertung hilft dem Management bei der Priorisierung der abzuschwächenden Risiken und der zu erledigenden Optimierungsmaßnahmen.
  • Und die stehen als nächstes auf Deiner Agenda. In Absprache mit der Unternehmensführung ergreifst Du diejenigen Mittel, die die Eintrittswahrscheinlichkeit der priorisierten Risiken runterschrauben. Das umfasst technische, infrastrukturelle, organisatorische und personelle Maßnahmen, die Du in Deiner ISRM-Strategie berücksichtigst.
  • Du erarbeitest und implementierst Sicherheitsstandards entlang der bestehenden Regularien, Gesetze und Richtlinien. Du definierst eine Policy, an die sich jeder Mitarbeiter im Unternehmen halten muss. Dabei orientierst Du Dich an gängigen Standards wie dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dem prozessorientierten Regelwerk ITIL (Information Technology Infrastructure Library) oder dem Prozess-Framework COBIT (Control Objectives for Information and Related Technology). Du implementierst Deine Vorgaben auf allen Unternehmensebenen und machst das Thema IT-Security damit zum festen Teil der Unternehmenskultur.
  • Doch damit nicht genug: Auch die Festlegung von Rollen und Verantwortlichkeiten sowie von Controlling-Maßnahmen fällt in Dein Metier. Du errichtest ein tightes Monitoring, um die Risiken und die Umsetzung der Sicherheitsmaßnahmen nicht aus den Augen zu verlieren. Du fährst jederzeit eine topaktuelle Risikostrategie. Denn Risk Management ist ein fortwährender Prozess, der nie abgeschlossen ist. Du arbeitest eng mit der IT-Security zusammen; in manchen Fällen übernimmst Du auch als IT-Security Analyst die Aufgaben eines Risk Managers.
Die vier Schritte im IT Risikomanagement.

Diese vier Steps sind im Risikomanagement immer dabei.

Wo kannst Du als IT Risiko Manager arbeiten?

Wie bereits erwähnt, sollte jedes digital agierende Business über eine IT-Risikostrategie verfügen. Aber nicht jedes Unternehmen kann es sich leisten, eigens einen Risk Manager einzustellen, sondern hält sich oft an BSI- und andere Standards oder lässt Risikoanalysen durch externe Berater oder Zertifizierungsinstitute erstellen.

Oft bist Du also eher in einem größeren Unternehmen unterwegs, das erhöhten Bedarf an einer aktuellen Risikostrategie hat, weil es auf permanente Verfügbarkeit angewiesen ist. Das kann eine Bank, eine Versicherung oder ein Energieversorger sein. Auch in der Produktion oder der Softwareentwicklung kommst Du als IT Risk Manager zum Einsatz, ebenso wie im Handel, in Behörden und Krankenhäusern. Zudem sind alle reinen E-Commerce-Businesses mit einer Risikostrategie gut beraten.

Im Unternehmen selbst bist Du entweder dem IT-Security-Bereich oder der Qualitätsanalyse zugeordnet oder kommst abteilungs- und projektübergreifend zum Einsatz. Wenn Dir der Sinn nach mehr Abwechslung steht, kannst Du als IT Risk Consultant für ein spezialisiertes Beratungsunternehmen in den Ring steigen. Oder Du fängst bei einem Institut wie dem TÜV Rheinland an, der ISO/IEC 21007 – eine Anforderungsspezifikation für die Umsetzung und Optimierung eines Informationssicherheit-Managementsystems – oder ISO 27005 für Information Security Risk Management, sowie einige weitere Sicherheitsstandards bei Unternehmen implementiert.

Aktuelle IT-Jobs im Risk und Compliance Management

Worauf kannst Du Dich spezialisieren?

Auch wenn Du bei der Arbeit recht standardisiert vorgehst: Als Risk Manager passt Du Dich den individuellen Zielen, der Strategie und der Grundsituation deines Arbeitgebers. In diesem Sinne ist jede Deiner beruflichen Stationen schon eine Art Spezialisierung.

In die Rolle des Risk Managers kannst Du Dich am besten einarbeiten, wenn Du die IT-Security-Basics bereits drauf hast. Die Zusatzausbildung zum “IT Risk Manager gemäß ISO 31000, ISO 27005 und BSI Grundschutz” bei der Deutschen Gesellschaft für Informationssicherheit (DGI) etwa, die sich an angehende Risikomanager wendet, dauert nur drei intensive Tage und kostet inkl. Zertifikat ca. 2.000 €. Apropos gefragte IT Zertifikate: Auch in ITIL, COBIT und weiteren Sicherheitsstandards kannst Du ein waschechter Experte werden.

Der Job, den Du machst, ist ein wichtiger Teil der IT-Sicherheitsstrategie des Unternehmens. So bleiben vielerorts Überschneidungen zu anderen interessanten Feldern wie dem IT-Security Analysten, dem Governance Manager oder Compliance Manager oder dem Penetration Tester nicht aus und sind für viele IT-Sec-Spezialisten auch logische Stationen in ihrer Laufbahn.

Als höchste Stufe kannst Du Dich zum CISO (Chief Information Security Officer) weiterentwickeln und Regie über die IT-Security-Strategie des Unternehmens führen.

Bist Du ein IT Risk Manager?

Um eine IT-Infrastruktur zu schützen, ist eine Menge Knowhow erforderlich, für das ein Informatik-Studium eine gute Basis darstellt. Zu Deiner Grundausstattung als IT Risk Manager sollten darüber hinaus auch solide mathematische und analytische Fähigkeiten zählen. Gut ist es, wenn Du eine gewisse Akribie bei der Arbeit nicht von der Hand weisen kannst. Ein kritischer Geist ist ebenfalls von Vorteil, da Du eigentlich alles hinterfragen musst, was als gesetzt gilt. Außerdem bist Du in der Lage, auch in schwierigen Situationen einen kühlen Kopf zu bewahren und auch dann fokussiert zu bleiben, wenn viel Verantwortung auf Dir lastet.

Die IT-Risiken stehen immer im Zusammenhang mit den gesamten Unternehmensprozessen und sollten auch so betrachtet werden. Das heißt, dass Du die Geschäftsbedingungen des Unternehmens, für das Du tätig bist, genau verstehst. Du berücksichtigst nicht nur das Risikoprofil, sondern weißt auch, welche Ziele das Management verfolgt, wie risikobereit es ist, aber auch, wie viel Budget und Personal zur Verfügung stehen oder wie komplex die einzelnen Geschäftsprozesse sind. Du bist in der Lage, mit allen Abteilungen auf Augenhöhe zu kommunizieren: dem Management, der IT, dem Data-Team und allen Mitarbeiter:innen, bei denen Du in vielen Fällen im Rahmen Deines Jobs auch eine Sensibilisierung für das Thema IT-Security vornimmst.

Natürlich kommt Vorerfahrung im Risk Management und Controlling gut an, die Du z.B. im Rahmen eines Praktikums erwerben kannst. Wenn Dir branchentypische Sicherheitsstandards und -normen wie ISO/IEC 27001, der BSI-Grundschutz, ISA+ und ISIS12 bereits geläufig sind, hast Du einen guten Start.

Was kannst Du als IT Risk Manager verdienen?

IT Risk Manager ist kein typischer Einstiegsjob, sondern eher eine Rolle, in die Du Dich hineinentwickeln kannst. Da Dein Knowhow an diesem Punkt schon verhältnismäßig umfangreich ist, startest Du mit einem Masterabschluss im Durchschnitt mit einem Einstiegsgehalt von ca. 50.800 € bis 58.400 € brutto im Jahr. Bachelorabsolventen liegen mit 46.800 € bis 54.700 € etwas darunter. Auf Deinem Weg zum Professional im IT Risikomanagement kannst Du Dein Gehalt nochmal ordentlich auf 70.000 bis 75.000 € steigern. Schließlich hast Du eine wichtige Schlüsselrolle für den Unternehmenserfolg inne. Für Seniors geht es daher wenig überraschend locker über die 100.000 € Jahresgehalt hinaus. Das sind jedoch Durchschnittswerte. Natürlich spielen bei Deinem tatsächlichen Gehalt weitere Faktoren wie das Bundesland, die Branche und die Unternehmensgröße mit hinein. Weitere IT-Einstiegsgehälter verrät Dir gern unser Gehaltsrechner – passgenau auf Dich zugeschnitten.

tl;dr:
  • Als IT Risk Manager minimierst Du mithilfe von spezifischen Methoden, Standards und Strategien die Wahrscheinlichkeit, dass ein mit der IT-Infrastruktur zusammenhängendes Unternehmensrisiko eintritt.
  • Unabhängig davon, wo Du beschäftigt bist, läuft Deine Arbeit immer nach demselben Muster ab: Du identifizierst, analysierst, bewertest, behandelst und reduzierst kritische Risks.
  • IT Risk Management ist ein wichtiger Teil der gesamten IT-Sicherheitsstrategie eines Unternehmens und eng mit dem Geschäftserfolg verknüpft. Entsprechend gut sind die Gehaltsaussichten.
 

Arbeitgeber bewerben sich bei Dir!
Ganz einfach:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!

Arbeitgeber bewerben sich bei Dir!
So funktioniert's:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!
Es ist kostenlos
Kostenlos registrieren