Was macht ein IT Risk Manager?
Armed with the right set of tools, procedures, knowledge and insight, light can be shed on variables that lead to risk, allowing us to manage them.
Daniel Wagner, Risk Manager
Fast jedes Unternehmen baut heute auf einem mehr oder minder komplexen IT-System auf, das gilt über alle Branchen hinweg. Wenn dieses ausfällt oder angegriffen wird, kommen viele Prozesse zum Stillstand, was recht schnell zu einem echten Problem werden kann. Mit Information Security Risk Management (ISRM) lässt sich die IT-Infrastruktur vor solchen Risiken schützen. Im IT-Risikomanagement hast Du die Strategie für den Ernstfall immer griffbereit. Du identifizierst potenzielle Gefahren für die IT und wendest Bedrohungen ab. Was genau Dich im Job als IT-Risiko-Manager:in erwartet, welche Aufgaben im IT Risikomanagement auf Dich zukommen und was Du verdienen kannst, erfährst Du hier!
Welche Risikoarten gibt es für Unternehmen?
Jedes Unternehmen ist verschiedenen Risikoarten ausgesetzt:
- die wirtschaftliche Gesamtlage,
- der (inter)nationale Gesetzesrahmen,
- Veränderungen im Kaufverhalten der Kund:innen,
- Konkurrenz aus Niedriglohnländern,
- Energiekosten und dergleichen,
- aber auch die Abhängigkeit von Lieferanten,
- Materialengpässe und
- Umsatzausfälle.
- Rahmenbedingungen wie eine maue Unternehmenskultur,
- schlechte Kommunikation,
- mangelnde Entscheidungsbereitschaft,
- ein erhöhter Liquiditätsbedarf,
- ausstehende Forderungen,
- aber auch schuldlos verursachte Unglücke wie ein Brand oder ein Wasserschaden.
IT Risiken in der Übersicht
Die Betriebssicherheit der IT ist ebenfalls Teil des unternehmerischen Risikos. Bedrohungen für die IT-Infrastruktur betreffen immer die gesamte Organisation, da diese oftmals komplett oder teilweise von einem funktionierenden System abhängig ist. Bei IT-Risiken kann es sich zum Beispiel um
- Ausfälle und Störungen,
- Hackerangriffe und
- Hardwaredefekte, aber auch um
- Naturereignisse (wie Erdbeben, Überschwemmungen und andere Katastrophen),
- die mangelnde Verfügbarkeit von Personal oder
- menschliches Versagen handeln.
Was sind Deine Aufgaben im IT-Risikomanagement?
All diese Eventualitäten einzukalkulieren ist Dein Job als IT Risk Manager:in. Dein Vorgehen besteht im Wesentlichen aus den folgenden Schritten:
- Zunächst nimmst Du im Rahmen der Risikoidentifikation eine IST-Analyse vor. Sie gibt Dir einen Überblick über die IT-Assets des Unternehmens und deren Schwachstellen. Assets sind einerseits die IT-gestützten Geschäftsprozesse und Informationen, andererseits die Soft- und Hardware und ihre Komponenten und Applikationen. Auch die verantwortlichen Mitarbeitenden zählen zu den Assets, und – last, but not least – natürlich die Daten. Mithilfe von Risikomanagement Methoden wie Schwachstellen-Scans und Audits identifizierst Du Sicherheitslücken, die Du sammelst, kategorisierst und dokumentierst.
- Nun nimmst Du ein IT Risk Assessment vor. Das ist eine systematische Risikoanalyse, bei der Du durch strukturierte und methodische Verfahren Bedrohungen erkennst und bewertest. Hier musst Du die Governance-Aspekte im Hinterkopf haben, also die Zieldefinition des Unternehmens, die Methoden zur Umsetzung und die dafür notwendige Ressourcenplanung kennen.
- Für jedes identifizierte Risiko schätzt Du bei der Business Impact Analyse nun zum einen die Wahrscheinlichkeit ein, mit der es eintritt, zum anderen die Art und Höhe des Schadens, der dadurch verursacht würde. Dafür sind Risk Maps im Risikomanagement ein gängiges Instrument. Wie verwundbar sind die Assets in Bezug auf Vertraulichkeit, Datenintegrität, Verfügbarkeit usw.? Welche Auswirkungen werden durch den Schaden erwartet – Umsatzeinbrüche? Image- und Vertrauensverluste? Fluktuation von Mitarbeitenden? Eine solche Risikobewertung hilft dem Management bei der Priorisierung der abzuschwächenden Risiken und der zu erledigenden Optimierungsmaßnahmen.
- Und die stehen als nächstes auf Deiner Agenda. In Absprache mit der Unternehmensführung ergreifst Du diejenigen Mittel, die die Eintrittswahrscheinlichkeit der priorisierten Risiken runterschrauben. Das umfasst technische, infrastrukturelle, organisatorische und personelle Maßnahmen, die Du in Deiner ISRM-Strategie berücksichtigst.
- Du erarbeitest und implementierst Sicherheitsstandards entlang der bestehenden Regularien, Gesetze und Richtlinien. Du definierst eine Policy, an die sich alle Angestellten im Unternehmen halten müssen. Dabei orientierst Du Dich an gängigen Standards wie dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dem prozessorientierten Regelwerk ITIL (Information Technology Infrastructure Library) oder dem Prozess-Framework COBIT (Control Objectives for Information and Related Technology). Du implementierst Deine Vorgaben auf allen Unternehmensebenen und machst das Thema IT-Security damit zum festen Teil der Unternehmenskultur.
- Doch damit nicht genug: Auch die Festlegung von Rollen und Verantwortlichkeiten sowie von Controlling-Maßnahmen fällt in Dein Metier. Du errichtest ein tightes Monitoring, um die Risiken und die Umsetzung der Sicherheitsmaßnahmen nicht aus den Augen zu verlieren. Du fährst jederzeit eine topaktuelle Risikostrategie. Denn Risk Management ist ein fortwährender Prozess, der nie abgeschlossen ist. Du arbeitest eng mit der IT-Security zusammen; in manchen Fällen übernimmst Du auch als IT-Security Analyst:in die Aufgaben eines Risk Managers.
Diese vier Steps sind im Risikomanagement immer dabei.
Wo kannst Du als IT-Risiko-Manager:in arbeiten?
Wie bereits erwähnt, sollte jedes digital agierende Business über eine IT-Risikostrategie verfügen. Aber nicht jedes Unternehmen kann es sich leisten, eigens eine Person als Risk Manager:in einzustellen, sondern hält sich oft an BSI- und andere Standards oder lässt Risikoanalysen durch externe Beratungs- oder Zertifizierungsinstitute erstellen.
Oft bist Du also eher in einem größeren Unternehmen unterwegs, das erhöhten Bedarf an einer aktuellen Risikostrategie hat, weil es auf permanente Verfügbarkeit angewiesen ist. Das kann eine Bank, eine Versicherung oder ein Energieversorgungsunternehmen sein. Auch in der Produktion oder der Softwareentwicklung kommst Du als IT Risk Manager:in zum Einsatz, ebenso wie im Handel, in Behörden und Krankenhäusern. Zudem sind alle reinen E-Commerce-Businesses mit einer Risikostrategie gut beraten.
Im Unternehmen selbst bist Du entweder dem IT-Security-Bereich oder der Qualitätsanalyse zugeordnet oder kommst abteilungs- und projektübergreifend zum Einsatz. Wenn Dir der Sinn nach mehr Abwechslung steht, kannst Du als IT Risk Consultant für ein spezialisiertes Beratungsunternehmen in den Ring steigen. Oder Du fängst bei einem Institut wie dem TÜV Rheinland an, der ISO/IEC 21007 – eine Anforderungsspezifikation für die Umsetzung und Optimierung eines Informationssicherheit-Managementsystems – oder ISO 27005 für Information Security Risk Management, sowie einige weitere Sicherheitsstandards bei Unternehmen implementiert.
Aktuelle IT-Jobs im Risk und Compliance Management
- CGI DeutschlandAuditor für Informationssicherheit / Information Security / Cyber Security (m/w/d)KölnRisk / Compliance Management +1
- Atruvia AGRisk Manager Third Party (m/w/d) | (FRPRAC)Münster +1Risk / Compliance Management
- Atruvia AG(Senior) Softwareentwickler für den Compliance Check (m/w/d) | PLSIAMMünster +3Anwendungsentwicklung +1
- PwC DeutschlandManager IT-Governance Risk & Compliance (w/m/d)DüsseldorfRisk / Compliance Management
- Atruvia AGCompliance Manager (m/w/d) | (FRPRAC)Münster +1Risk / Compliance Management
Worauf kannst Du Dich spezialisieren?
Auch wenn Du bei der Arbeit recht standardisiert vorgehst: Als Risk Manager:in passt Du Dich den individuellen Zielen, der Strategie und der Grundsituation des Unternehmens an, für das Du arbeitest. In diesem Sinne ist jede Deiner beruflichen Stationen schon eine Art Spezialisierung.
In die Rolle der Risk Manager:in kannst Du Dich am besten einarbeiten, wenn Du die IT-Security-Basics bereits drauf hast. Die Zusatzausbildung zum “IT Risk Manager gemäß ISO 31000, ISO 27005 und BSI Grundschutz” bei der Deutschen Gesellschaft für Informationssicherheit (DGI) etwa, die sich an angehende Risikomanager:innen wendet, dauert nur drei intensive Tage und kostet inkl. Zertifikat ca. 2.000 €. Apropos gefragte IT Zertifikate: Auch in ITIL, COBIT und weiteren Sicherheitsstandards kannst Du ein waschechter Profi werden.
Der Job, den Du machst, ist ein wichtiger Teil der IT-Sicherheitsstrategie des Unternehmens. So bleiben vielerorts Überschneidungen zu anderen interessanten Feldern wie der IT-Security Analyse, dem Governance Managment oder Compliance Managment oder dem Penetration Testing nicht aus und sind für viele IT-Sec-Spezialist:innen auch logische Stationen in ihrer Laufbahn.
Als höchste Stufe kannst Du Dich zum CISO (Chief Information Security Officer) weiterentwickeln und Regie über die IT-Security-Strategie des Unternehmens führen.
Bist Du eine IT-Risk-Manager:in?
Um eine IT-Infrastruktur zu schützen, ist eine Menge Know-how erforderlich, für das ein Informatik-Studium eine gute Basis darstellt. Zu Deiner Grundausstattung als IT Risk Manager:in sollten darüber hinaus auch solide mathematische und analytische Fähigkeiten zählen. Gut ist es, wenn Du eine gewisse Akribie bei der Arbeit nicht von der Hand weisen kannst. Ein kritischer Geist ist ebenfalls von Vorteil, da Du eigentlich alles hinterfragen musst, was als gesetzt gilt. Außerdem bist Du in der Lage, auch in schwierigen Situationen einen kühlen Kopf zu bewahren und auch dann fokussiert zu bleiben, wenn viel Verantwortung auf Dir lastet.
Die IT-Risiken stehen immer im Zusammenhang mit den gesamten Unternehmensprozessen und sollten auch so betrachtet werden. Das heißt, dass Du die Geschäftsbedingungen des Unternehmens, für das Du tätig bist, genau verstehst. Du berücksichtigst nicht nur das Risikoprofil, sondern weißt auch, welche Ziele das Management verfolgt, wie risikobereit es ist, aber auch, wie viel Budget und Personal zur Verfügung stehen oder wie komplex die einzelnen Geschäftsprozesse sind. Du bist in der Lage, mit allen Abteilungen auf Augenhöhe zu kommunizieren: dem Management, der IT, dem Data-Team und allen Mitarbeitenden, bei denen Du in vielen Fällen im Rahmen Deines Jobs auch eine Sensibilisierung für das Thema IT-Security vornimmst.
Natürlich kommt Vorerfahrung im Risk Management und Controlling gut an, die Du z.B. im Rahmen eines Praktikums erwerben kannst. Wenn Dir branchentypische Sicherheitsstandards und -normen wie ISO/IEC 27001, der BSI-Grundschutz, ISA+ und ISIS12 bereits geläufig sind, hast Du einen guten Start.
Was kannst Du als IT-Risk-Manager:in verdienen?
IT-Risk-Manager:in ist kein typischer Einstiegsjob, sondern eher eine Rolle, in die Du Dich hineinentwickeln kannst. Da Dein Knowhow an diesem Punkt schon verhältnismäßig umfangreich ist, startest Du mit einem Masterabschluss im Durchschnitt mit einem Einstiegsgehalt von ca. 54.300 € bis 62.200 € brutto im Jahr. Mit einem Bachelor-Abschluss liegst Du mit 49.300 € bis 56.500 € etwas darunter. Auf Deinem Weg zum Professional im IT-Risikomanagement kannst Du Dein Gehalt nochmal ordentlich steigern. Schließlich hast Du eine wichtige Schlüsselrolle für den Unternehmenserfolg inne. Für Seniors geht es daher wenig überraschend locker über die 90.000 € Jahresgehalt hinaus. Das sind jedoch Durchschnittswerte. Natürlich spielen bei Deinem tatsächlichen Gehalt weitere Faktoren wie das Bundesland, die Branche und die Unternehmensgröße mit hinein. Wenn Du Dich genauer über die Gehälter im Risk & Compliance Management informieren möchtest schau gerne in unserem Artikel dazu vorbei. Falls Dich das Gehalt andere IT-Berufe mehr interessiert dann klick Dich durch unsere Gehaltsrechner und erfahre was IT-Profis in Deiner Region verdienen.
- Als IT-Risk-Manager:in minimierst Du mithilfe von spezifischen Methoden, Standards und Strategien die Wahrscheinlichkeit, dass ein mit der IT-Infrastruktur zusammenhängendes Unternehmensrisiko eintritt.
- Unabhängig davon, wo Du beschäftigt bist, läuft Deine Arbeit immer nach demselben Muster ab: Du identifizierst, analysierst, bewertest, behandelst und reduzierst kritische Risks.
- IT-Risk-Management ist ein wichtiger Teil der gesamten IT-Sicherheitsstrategie eines Unternehmens und eng mit dem Geschäftserfolg verknüpft. Entsprechend gut sind die Gehaltsaussichten.