Um IT-Sicherheit zu gewährleisten hat jedes dritte Unternehmen ein firmenweites Rahmenwerk fürs Risiko-Management. Doch nur wer daraus konkrete Maßnahmen ableitet und auch umsetzt, schützt seine Systeme ausreichend. Und darin gibt es große Unterschiede zwischen Unternehmen, wie die Umfrage "IT-Security - Balancing Enterprise Risk and Reward" der Aberdeen Group zeigt.
Foto: Aberdeen
Befragt haben die Marktforscher 130 Firmen unterschiedlicher Größen aus verschiedenen Branchen weltweit. Daraus hat Aberdeen eine Spitzengruppe von 20 Prozent identifiziert, denen das Risiko-Management besonders gut gelingt - Aberdeen nennt sie seiner eigenen Terminologie folgend "Klassenbeste". Sowohl aus deren Reihen als auch von den Hinterbänklern haben jeweils 32 Prozent nach eigenen Angaben ein Rahmenwerk fürs Risiko-Management.
Von den Einser-Kandidaten verbinden alle das Thema Risiko-Management mit der Steuerung anderer Leistungsgrößen im Unternehmen. Von den übrigen Firmen tun dies fünf Prozent nicht. Noch deutlicher ist der Unterschied bei der Automatisierung von Prozessen fürs Risiko-Management. Bei 29 Prozent der Klassenbesten ist sie etabliert - und damit bei einem doppelt so hohen Prozentsatz wie bei den anderen untersuchten Unternehmen.
Gleichwohl ist Risiko-Management bei beiden Gruppen eine größtenteils manuell gesteuerte Angelegenheit - wenn auch in unterschiedlichem Ausmaß. 58 Prozent der als Spitzengruppe Bezeichneten stoßen die Prozesse in diesem Bereich vornehmlich von Hand an. Von den übrigen Firmen sind es 90 Prozent. Von ihnen hat nur jeder Zehnte zentralisierte, automatisierte Systeme für Governance, Risiko-Management und Compliance.
Rangliste der größten Risiken aufstellen
Ein Prozess, an dem sich die Unterschiede zwischen den von Aberdeen untersuchten Firmen recht deutlich zeigen, ist die Analyse und Priorisierung von Risiken bezogen auf die Geschäftsziele eines Unternehmens. Diesen Prozess haben 48 Prozent der Klassenbesten etabliert, 35 Prozent der Firmen mit durchschnittlichem Risiko-Management und nur 18 Prozent der Unternehmen, die laut Aberdeen noch Nachhilfe benötigen.
Ein weiterer Erfolgsfaktor für Risiko-Management ist es offenbar, die Verantwortung dafür klar zu regeln. Das haben in der Spitzengruppe zwei von drei Unternehmen getan, von den weniger und am wenigsten erfolgreichen Firmen dagegen 41 beziehungsweise 30 Prozent.
Foto: Aberdeen
Auch Kommunikation entscheidet über das Gelingen der Gefahrenabwehr. Häufiger als beim Rest findet bei den Klassenbesten eingespielte Kommunikation über Risiko-Parameter statt. Außerdem verständigen sich die Fachbereiche dieser Firmen häufiger untereinander über Best Practices.
KPI überwachen, Risiko-Datenbank pflegen
Weit mehr als doppelt so oft wie der Durchschnitt überwachen Aberdeens Musterschüler zudem regelmäßig Key Performance Indicators (KPI), die mit Risiko-Management zusammenhängen. Bei 42 Prozent von ihnen fanden die Marktforscher zudem eine Datenbank mit risikobezogenen Informationen - weit häufiger als bei anderen Firmen.
Die Vorzeige-Risiko-Manager heben sich von der Masse außerdem dadurch ab, dass sie strenger überprüfen und stärker steuern, wie ihre Systeme mit Bedrohungen umgehen. 55 Prozent bewerten regelmäßig die Daten, die ihnen ihre Systeme liefern. Bei 48 Prozent messen die Geschäftsbereiche ihre Fortschritte im Risiko-Management selbst an zuvor gesetzten Zielmarken. 45 Prozent stellen außerdem eine Rangliste der größten Risiken auf. Das soll sicherstellen, dass die größte Gefahr am engmaschigsten überwacht wird.
Management muss klare Zuständigkeiten festlegen
Wer sich anhand des Maßstabs der Aberdeen Group selbst am ehesten in der Nachhilfe-Gruppe sieht, der sollte nach Ansicht der Marktforscher zunächst sicherstellen, dass sich eine Stelle im Unternehmen klar für Risiko-Management zuständig sieht. Hier sei die Führungsebene gefragt, so die Autoren der Studie. Es sei grundlegend, dass die Chefetage firmenweites Risiko-Management als Bestandteil des Geschäfts sehe.
Wer meint, diesen Grundstein gelegt zu haben, kann möglicherweise die Kommunikation über das Thema verbessern. Ziel müsse eine "nachhaltige Kultur des Risiko-Managements" sein, so Aberdeen. Wichtig sei zudem ein in sich schlüssiges Rahmenwerk, mit dem sich Risiken nach festgelegten Standards begegnen lasse.
Selbst den Klassenbesten geben die Marktforscher Hausaufgaben: Sie sollen ihre Werkzeuge fürs Risiko-Management stärker automatisieren und zentralisieren. Ein Werkzeug dafür seien Dashboards, die Führungskräfte regelmäßig über die Gefahrenlage informieren.