Formale Programme unausgereift

Risiko-Management ohne klare Linie

Christiane Pütter ist Journalistin aus München.
Die meisten Entscheider bekennen sich zu Risiko-Management. An der Umsetzung hapert es laut Ponemon jedoch. Sorge bereiten vor allem Mobile IT und Cloud.

Wer kann da schon "Nein" sagen: Ob Risiko-Management deutschen Unternehmen wichtig sei, wollte der US-Marktforscher Ponemon wissen. Selbstverständlich, antworteten 84 Prozent der Befragten. Dabei ließen es die Analysten der Studie "The state of risk-based security management: Germany" aber nicht auf sich beruhen. Sie haben bei den 566 Studienteilnehmern nachgehakt. Die Studie entstand im Auftrag des Security-Anbieters Tripwire.

Wie deutsche Unternehmen ihr Risiko-Management einstufen laut Ponemon.
Wie deutsche Unternehmen ihr Risiko-Management einstufen laut Ponemon.
Foto: Ponemon Institute

Die Befragten haben alle in irgendeiner Weise mit Risk Management zu tun. Im Schnitt bringen sie zehn Jahre Berufserfahrung mit. Eine Mehrheit von 58 Prozent berichtet an den CIO, weitere 15 Prozent an den Chief Information Security Officer (CISO). Zehn Prozent berichten an einen ComplianceCompliance Officer und sechs Prozent an einen Chief Risk Officer. Alles zu Compliance auf CIO.de

Die Widersprüche in den Antworten der Studienteilnehmer beginnen früh. Trotz der 84 Prozent, die Risiko-Management so hoch aufhängen, erklären nur 60 Prozent, dass es in ihrem Unternehmen eine formale Risk-Funktion, ein Programm oder formale Aktivitäten gibt.

Die Befragten wurden gebeten, den Reifegrad ihres Risiko-Management-Programms einzuschätzen. Lediglich 15 Prozent erklären, alle Punkte des Programms seien komplett implementiert. 20 Prozent geben an, die meisten Punkte seien eingeführt. Bei weiteren 21 Prozent sind die meisten Faktoren nur teilweise implementiert und bei fünf Prozent sind die meisten noch nicht installiert.

Zur Startseite