IT risk Manager

Mit der zunehmenden Digitalisierung werden auch die IT-Systeme von Unternehmen und Konzernen immer komplexer. Werden digitale Prozesse durch technische Ausfälle oder Hackerangriffe lahmgelegt, drohen den Unternehmen heute hohe finanzielle Schäden.

Um dies zu verhindern, im Ernstfall schnell eingreifen zu können und Unternehmen vor solchen Risiken zu schützen, ist das Berufsbild des IT Risk Managers entstanden.

Mithilfe des sogenannten Information Security Risk Management (ISRM) können diese Fachexperten die komplexe informationstechnische Infrastruktur vor den oben genannten und vielen weiteren Gefahren bzw. Risiken schützen. Erfahren Sie, welche Aufgaben zu diesem Beruf gehören, welche Ausbildung Sie dafür benötigen und was Sie als gut ausgebildeter und erfahrener IT Risk Manager verdienen können.

Sie übernehmen in dieser Rolle nicht nur wichtige, sondern auch anspruchsvolle Tätigkeiten. Im Folgenden erhalten Sie einen Überblick über die wesentlichen Aufgabengebiete:

1. Business Impact Analyse: Bei jedem identifizierten Risiko schätzen Sie die Wahrscheinlichkeit seines Eintritts sowie die Art und den Umfang des dadurch verursachten Schadens ein. Dies beinhaltet eine Bewertung der Verwundbarkeit der Vermögenswerte eines Unternehmens in Bezug auf Vertraulichkeit, Datenintegrität, Verfügbarkeit und viele weitere Faktoren sowie den potenziellen Auswirkungen eines Schadens.
2. Definition der Rollen, Verantwortlichkeiten und Controlling-Maßnahmen: Sie stellen sicher, dass Rollen und Verantwortlichkeiten im Rahmen des IT-Risikomanagements klar festgelegt sind. Zudem setzen Sie ein robustes Monitoring-System ein. Damit behalten Sie Risiken und die Umsetzung der Sicherheitsmaßnahmen im Auge.
3. Implementierung von Sicherheitsstandards: Sie entwickeln und implementieren Standards für die (IT-)Sicherheit gemäß bestehender Vorschriften, Gesetze und Richtlinien. Sie definieren eine Richtlinie, an die sich alle Mitarbeitenden im Unternehmen halten müssen und setzen Ihre Vorgaben auf allen Unternehmensebenen um.
4. IT Risk Assessment: In diesem systematischen Prozess identifizieren und bewerten Sie mögliche Bedrohungen durch strukturierte und methodische Verfahren. Sie berücksichtigen dabei die Governance-Aspekte des Unternehmens – einschließlich Zieldefinition, Umsetzungsmethode und Ressourcenplanung.
5. Laufende Risikostrategie: Risikomanagement ist ein fortlaufender Prozess. Sie arbeiten eng mit der IT-Sicherheit zusammen und halten Ihre Risikostrategie stets auf dem neuesten Stand.
6. Optimierungsmaßnahmen und Risikominderung: In Abstimmung mit der Unternehmensleitung ergreifen Sie Maßnahmen, um die Eintrittswahrscheinlichkeit der identifizierten Risiken zu reduzieren. Dies können technische, infrastrukturelle, organisatorische oder personelle Maßnahmen sein, die in Ihre ISRM-Strategie einfließen.
7. Risikoindentifikation und IST-Analyse: Dieser Prozess umfasst die Identifikation und Bewertung aller vorhandenen IT-Assets eines Unternehmens. Dazu gehören IT-gestützte Geschäftsprozesse, Informationen, Soft- und Hardware sowie deren Komponenten und Anwendungen. Es werden Schwachstellenscans und Audits durchgeführt, um mögliche Sicherheitslücken zu identifizieren, zu kategorisieren und zu dokumentieren.

Wenn Sie einen genauen Blick auf das Risikomanagement und den dazugehörigen Prozess werfen, merken Sie, dass es vier Schritte gibt. Als IT Risk Manager durchlaufen Sie diese immer wieder.

Im ersten Schritt identifizieren Sie alle relevanten Risiken. Gegebenenfalls mithilfe externer Beratung, um einen objektiven Blick auf potenzielle Risikofaktoren zu erhalten.

Anschließend bewerten Sie im zweiten Schritt die ermittelten Risiken nach ihrer Eintrittswahrscheinlichkeit. Sie setzen diverse Risikobewertungsansätze ein, um die Risiken zu simulieren und ihre Auswirkungen auf das Unternehmen abzuwägen.

Im Fokus des dritten Schritts steht die umfassende Kommunikation der Risiken und ihrer potenziellen Auswirkungen auf das Unternehmen – einschließlich proaktiver und regelmäßiger Information des Vorstands.

Der vierte Schritt umfasst die Überwachung und Steuerung der Risiken unter Berücksichtigung externer Rahmenbedingungen und unternehmerischer Entscheidungen. Sie stehen in der Informationspflicht gegenüber dem Vorstand – vor allem bei erhöhtem Risiko oder Risikoeintritt.

Zusätzlich kümmern Sie sich um die Anpassung digitaler Strukturen durch die Fähigkeit, Prozesse selbstständig umzuprogrammieren. Ziel ist hier die schnelle Einleitung von Gegenmaßnahmen bei drohenden Risiken zur Schadensminimierung.

Als IT Risk Manager tragen Sie eine besondere Verantwortung für die Aufrechterhaltung der IT-Infrastruktur, da diese oftmals von der gesamten Organisation genutzt wird. Bedrohungen der IT-Infrastruktur können sowohl kurz- als auch langfristige Auswirkungen auf die Organisation haben.

Dies können Ausfälle und Störungen sein, die den Geschäftsbetrieb beeinträchtigen. Auch Hackerangriffe stellen eine ernsthafte Bedrohung dar, da sie nicht nur zu Datenverlusten führen, sondern auch dem Vertrauen von Kunden und Stakeholdern schaden können. Hardwaredefekte können die Produktivität und den Geschäftsbetrieb erheblich beeinflussen.

Unvorhersehbare Faktoren gilt es ebenfalls zu berücksichtigen. Naturereignisse wie Erdbeben, Überschwemmungen und andere Katastrophen können erhebliche Schäden an der IT-Infrastruktur verursachen und deren Behebung kann kostspielig, aber vor allem zeitaufwendig sein.

Personalausfälle oder menschliches Versagen führen auch zu erheblichen Störungen. Es ist daher unerlässlich, dass Sie diese Risiken ständig bewerten und geeignete Vorkehrungen treffen, um die Widerstandsfähigkeit sowie Leistungsfähigkeit Ihrer IT-Infrastruktur zu gewährleisten.

Der Einstieg in den Beruf des IT Risk Managers erfordert in der Regel fundierte Berufserfahrung in relevanten Unternehmensbereichen. Häufig erfolgt der Einsteig über einen Quereinstieg – beispielsweise aus den Bereichen Controlling, Qualitätsmanagement, Revision oder Finanzen.

Darüber hinaus setzen Unternehmen zunehmend auf spezialisierte Absolventen, die ein Studium im Risikomanagement oder in verwandten Fachrichtungen wie Betriebs- oder Volkswirtschaftslehre, Jura oder Wirtschaftsmathematik abgeschlossen haben. Es gibt demnach eine Vielzahl spezifischer Studiengänge mit dem Vertiefungsschwerpunkt Risikomanagement.

Neben einem entsprechenden Studium sind mehrere Jahre einschlägige Berufserfahrung für die Position des IT Risk Managers wichtig. IT-Kenntnisse inklusive Programmierkenntnisse sind unabdingbar. Um den komplexen und interdisziplinären Herausforderungen in diesem Bereich gerecht zu werden, sollten Sie sich fundierte Kenntnisse in den Bereichen Statistik, Finanzmathematik und Datenmodellierung aneignen.

Zu den zuvor genannten Anforderungen ist Wissen in aufsichtsrechtlichen Themen wie beispielsweise die Mindestanforderungen an das Risikomanagement (MaRisk) erforderlich. Da die Tätigkeit häufig international ausgerichtet ist, sind sehr gute Englischkenntnisse in Wort und Schrift erforderlich.

Für das Ausüben des Berufs als IT Risk Manager benötigen Sie ein hohes Maß an Fachwissen, Berufserfahrung und interdisziplinärer Kompetenz.

In dieser Rolle zeichnen Sie sich durch eine souveräne Persönlichkeit aus, die in der Lage ist, mit unterschiedlichen Hierarchieebenen zu kommunizieren. Sie behalten stets den Überblick und verfolgen relevante Entwicklungen in Wirtschaft, Politik und der Umwelt.

Neben der Bereitschaft, sich ständig fortzubilden, verfügen Sie über analytische Fähigkeiten, IT-Know-how sowie umfassende Programmierkenntnisse. All dieses Wissen benötigen Sie, um Daten, Statistiken und Modelle effektiv zu managen, aber auch um Prozesse und Systeme selbstständig zu implementieren oder bei Bedarf anzupassen.

Unternehmerisches Denken, konzeptionelle Fähigkeiten, eine strukturierte Arbeitsweise zeichnen Sie ebenfalls aus. Eigeninitiative, Innovationsbereitschaft und soziale Kompetenz sind ebenso wichtig wie sowohl selbstständig als auch im Team zu arbeiten sowie komplexe Sachverhalte klar und verständlich zu kommunizieren zu können.

Sie richten Ihre Arbeit immer an den individuellen Zielen, der Strategie und den Gegebenheiten des Unternehmens aus, für das Sie arbeiten. Daher stellt jede Ihrer beruflichen Positionen eine gewisse Form der Spezialisierung dar.

Ein solide Basis in IT-Sicherheit ist für IT Risk Manager unabdingbar und kann durch Zusatzausbildungen, wie zum Beispiel mit der “Ausbildung zum IT Risk Manager” bei der Deutschen Gesellschaft für Informationssicherheit (DGI) erworben werden. Hierbei erwerben Sie die spezifischen Kenntnisse eines IT Risk Managers für die Planung und Etablierung eines IT-Risikomanagementsystems. Dabei werden die Richtlinien ISO 31000, ISO 27005 und der BSI IT-Grundschutz berücksichtigt.

Bilden Sie sich auch in IT-Sicherheitsstandards weiter. Dazu zählen Information Technology Infrastructure Library (ITIL) und Control Objectives for Information and Related Technology (COBIT).

Mit Ihrer Tätigkeit sind Sie wesentlicher Bestandteil der IT-Sicherheitsstrategie eines Unternehmens. In dieser Position gibt es Überschneidungen mit anderen Bereichen wie der IT-Sicherheitsanalyse, dem Governance- oder Compliance-Management und dem Penetration Testing. Diese Bereiche bieten zusätzliche Spezialisierungsmöglichkeiten – eine sinnvolle Weiterentwicklung Ihrer Karriere.

Sie haben viele Möglichkeiten und können für viele verschiedene Branchen tätig werden:

• Energieversorgungsunternehmen: In dieser Branche, in der ständige Verfügbarkeit von entscheidender Bedeutung ist, spielen IT Risk Manager eine wichtige Rolle.
• Finanzinstitute: Banken und Versicherungen sind auf ständige Verfügbarkeit ihrer IT-Systeme angewiesen. Demnach benötigen sie erfahrene IT-Manager, die sich mit Riskomanagement auskennen.
• Handel: Sowohl im E-Commerce als auch im traditionellen Handel können Sie die Sicherheit der IT-Systeme gewährleisten und Risiken minimieren.
• Öffentliche Verwaltung und Gesundheitswesen: Behörden und Krankenhäuser profitieren von einem effektiven IT-Risikomanagement, um Datenintegrität und Datenschutz zu gewährleisten.
• Produzierende Industrie und Softwareentwicklung: Hier tragen Sie zur Verbesserung und Optimierung des vorhandenen Risikomanagements in der IT bei.

Innerhalb dieser Branchen können Sie in verschiedenen Bereichen tätig sein. In der IT-Sicherheit beteiligen Sie sich direkt an der Entwicklung und Umsetzung von Sicherheitsmaßnahmen und -strategien. Als Teil der Qualitätsanalyse tragen Sie zur Qualitätssicherung und Risikominderung bei. Natürlich haben Sie auch die Möglichkeit, abteilungs- und projektübergreifend zu arbeiten.

Wenn Sie die zuvor genannten Anforderungen erfüllen, können Sie mit einem überdurchschnittlichen Gehalt rechnen.

Laut Glassdoor liegt das Bruttodurchschnittsgehalt für IT Risk Manager in Deutschland bei etwa 89.000 Euro im Jahr.

Ihre Karriereaussichten sind vielversprechend und zukunftssicher. Mit der entsprechenden Berufserfahrung können Sie sich zum Teamleiter, Leiter Risikomanagement oder zum Chief Risk Officer entwickeln.

Da Unternehmen in zunehmend unsicheren Zeiten verstärkt auf qualifizierte IT Risk Manager angewiesen sind, bietet das Berufsfeld ein hohes Maß an Arbeitsplatzsicherheit. 

Aufgrund Ihres Spezialwissens eröffnen sich Ihnen viele Entwicklungsmöglichkeiten in anderen Unternehmensbereichen wie beispielsweise dem Controlling.