Risiko-Management

IT-Sicherheit zu oft manuell gesteuert

19. April 2010
Von Nicolas Zeitler
Automatisierung ist beim Risiko-Management die Ausnahme. Die meisten Prozesse steuern Firmen immer noch manuell. Laut einer Aberdeen-Studie sollten sie zudem Risiken priorisieren, Zuständigkeiten klären und mehr kommunizieren.

Um IT-Sicherheit zu gewährleisten hat jedes dritte Unternehmen ein firmenweites Rahmenwerk fürs Risiko-Management. Doch nur wer daraus konkrete Maßnahmen ableitet und auch umsetzt, schützt seine Systeme ausreichend. Und darin gibt es große Unterschiede zwischen Unternehmen, wie die Umfrage "IT-Security - Balancing Enterprise Risk and Reward" der Aberdeen Group zeigt.

Der Anteil der Firmen, die ein umfassendes Rahmenwerk zum Risiko-Management haben, ist in Spitzengruppe und beim Rest der Firmen gleich groß. Unterschiede zeigen sich allerdings bei der praktischen Umsetzung.
Der Anteil der Firmen, die ein umfassendes Rahmenwerk zum Risiko-Management haben, ist in Spitzengruppe und beim Rest der Firmen gleich groß. Unterschiede zeigen sich allerdings bei der praktischen Umsetzung.
Foto: Aberdeen

Befragt haben die Marktforscher 130 Firmen unterschiedlicher Größen aus verschiedenen Branchen weltweit. Daraus hat Aberdeen eine Spitzengruppe von 20 Prozent identifiziert, denen das Risiko-Management besonders gut gelingt - Aberdeen nennt sie seiner eigenen Terminologie folgend "Klassenbeste". Sowohl aus deren Reihen als auch von den Hinterbänklern haben jeweils 32 Prozent nach eigenen Angaben ein Rahmenwerk fürs Risiko-Management.

Von den Einser-Kandidaten verbinden alle das Thema Risiko-Management mit der Steuerung anderer Leistungsgrößen im Unternehmen. Von den übrigen Firmen tun dies fünf Prozent nicht. Noch deutlicher ist der Unterschied bei der Automatisierung von Prozessen fürs Risiko-Management. Bei 29 Prozent der Klassenbesten ist sie etabliert - und damit bei einem doppelt so hohen Prozentsatz wie bei den anderen untersuchten Unternehmen.

Gleichwohl ist Risiko-Management bei beiden Gruppen eine größtenteils manuell gesteuerte Angelegenheit - wenn auch in unterschiedlichem Ausmaß. 58 Prozent der als Spitzengruppe Bezeichneten stoßen die Prozesse in diesem Bereich vornehmlich von Hand an. Von den übrigen Firmen sind es 90 Prozent. Von ihnen hat nur jeder Zehnte zentralisierte, automatisierte Systeme für Governance, Risiko-Management und Compliance.