Wer kann da schon "Nein" sagen: Ob Risiko-Management deutschen Unternehmen wichtig sei, wollte der US-Marktforscher Ponemon wissen. Selbstverständlich, antworteten 84 Prozent der Befragten. Dabei ließen es die Analysten der Studie "The state of risk-based security management: Germany" aber nicht auf sich beruhen. Sie haben bei den 566 Studienteilnehmern nachgehakt. Die Studie entstand im Auftrag des Security-Anbieters Tripwire.
Die Befragten haben alle in irgendeiner Weise mit Risk Management zu tun. Im Schnitt bringen sie zehn Jahre Berufserfahrung mit. Eine Mehrheit von 58 Prozent berichtet an den CIO, weitere 15 Prozent an den Chief Information Security Officer (CISO). Zehn Prozent berichten an einen Compliance Officer und sechs Prozent an einen Chief Risk Officer.
Die Widersprüche in den Antworten der Studienteilnehmer beginnen früh. Trotz der 84 Prozent, die Risiko-Management so hoch aufhängen, erklären nur 60 Prozent, dass es in ihrem Unternehmen eine formale Risk-Funktion, ein Programm oder formale Aktivitäten gibt.
Die Befragten wurden gebeten, den Reifegrad ihres Risiko-Management-Programms einzuschätzen. Lediglich 15 Prozent erklären, alle Punkte des Programms seien komplett implementiert. 20 Prozent geben an, die meisten Punkte seien eingeführt. Bei weiteren 21 Prozent sind die meisten Faktoren nur teilweise implementiert und bei fünf Prozent sind die meisten noch nicht installiert.
Die Studienautoren wollten wissen, was Unternehmen in puncto Risiko-Management konkret tun. 73 Prozent geben an, Informationen zu kategorisieren. 72 Prozent identifizieren Schlüssel-Informationen. 68 Prozent identifizieren Bedrohungen und 62 Prozent bewerten Schwachstellen. Alle diese Punkte stuft Ponemon als "Erste Schritte" ein.
Bei den "zweiten Schritten" sieht es dünner aus. Das heißt: 60 Prozent der Studienteilnehmer bewerten Risiken. 56 Prozent haben Kontrollen implementiert und 52 Prozent ein ständiges Monitoring.
Wonach die Effizienz von RM beurteilt wird
Sechs von zehn Befragten geben an, die Effizienz ihres Risiko-Managements zu messen. Dabei legen sie folgende Metriken an: Kostensenkung beim Security-Management (46 Prozent), Rückgang ungeplanter System-Ausfälle (44 Prozent) und Rückgang der Zahl bekannter Schwachstellen (40 Prozent).
Weiter nennen sie die Verringerung bei Datensicherheitsvorfällen (39 Prozent), die Reduzierung der Policy-Verstöße (37 Prozent) sowie den Prozentsatz Malware-freier Endgeräte (36 Prozent) und die Anzahl der Endnutzer, die Sicherheits-Schulungen durchlaufen haben (34 Prozent).
Treiber für Risiko-Management ist vor allem Compliance: 43 Prozent der Befragten geben zunächst Gesetze und Regularien an. 41 Prozent nennen außerdem den Wunsch, rechtzeitig festzustellen, wo neue Kontroll-Mechanismen nötig sind. Gut jeder Vierte (26 Prozent) verspricht sich außerdem mehr Risiko- und Sicherheitsbewusstsein bei der Geschäftsleitung.
Die Studienteilnehmer sollten angeben, wo sie in der heutigen IT-Infrastruktur die größten Gefahren sehen. Hier gibt es eine klare Nummer Eins: 61 Prozent der Befragten nennen Cloud-Computing-Infrastrukur und -Provider. 49 Prozent führen außerdem mobile Endgeräte an.
Erst mit großem Abstand folgen tragbare Speichermedien wie USB-Sticks und virtualisierte Computerumgebungen. Beide Punkte kommen auf jeweils 20 Prozent der Nennungen.
Verantwortung bei CIO oder CISO
Ein weiteres Ergebnis der Studie: verantwortlich für den Bereich Security Risk-Management ist oft der CIO. Das erklären jedenfalls 35 Prozent der Befragten. 32 Prozent nennen den CISO oder den Chief Security Officer (CSO). In dreizehn Prozent der Unternehmen sind es Fachbereichsleiter. Sieben Prozent der Studienteilnehmer geben an, die Verantwortung liege nicht bei einer Einzelperson.