IT-Risikomanagement umfasst mehr als Sicherheit


Sicherheit, Verfügbarkeit, Compliance und Performance sind Bestandteile eines umfassenden IT-Risikomangements
63 Prozent der Befragten rechnen mindestens einmal im Jahr mit einem größeren IT-Ausfall, 25 Prozent mit Datenverlust


(06.02.08) - IT-Risikomanagement umfasst mehr Bereiche als lediglich die IT-Sicherheit, dessen sind sich die IT-Abteilungen bewusst. Das ist ein zentrales Ergebnis des zweiten "IT Risk Management Reports" von Symantec. Die Bereiche Sicherheit, Verfügbarkeit, Compliance und Performance werden in einem ausgewogenen Verhältnis als Bestandteile eines umfassenden IT-Risikomangements gesehen. Eine zu einseitige Betrachtung des Themas kann zu Systemfehlern führen, die Unterbrechungen im Geschäftsbetrieb nach sich ziehen können. Außerdem geht aus dem Report hervor, dass 53 Prozent der IT-Störungen prozessbedingt sind und dass die Häufigkeit von Datenverlusten oftmals unterschätzt wird.

Der umfangreiche Report, der auf der Befragung von 400 IT-Fachleuten weltweit basiert, zeigt zum einen aktuelle Kernthemen und Trends. Zum anderen analysiert und widerlegt er verbreitete, aber oft falsche Vorstellungen im Zusammenhang mit IT-Risiken. Insbesondere die Ansicht, IT-Risikomanagement beziehe sich ausschließlich auf die IT-Sicherheit, ist weit verbreitet, lässt sich aber in der Praxis widerlegen.

Mehr als Sicherheitsrisiken
Im Gegensatz zu der Auffassung, IT-Risiken seien in erster Linie Sicherheitsrisiken, deuten die Umfrageergebnisse der Symantec-Studie darauf hin, dass IT-Fachleute den Begriff deutlich weiter fassen. So schätzen 78 Prozent der Befragten Verfügbarkeits-Risiken als "kritisch" oder "gravierend" ein. 70, 68 beziehungsweise 63 Prozent der Teilnehmer stufen Risiken der Sicherheit, Leistungsfähigkeit und Compliance beinahe ebenso hoch ein. Die vier Risiko-Kategorien liegen in der Einschätzung der Experten somit nur 15 Prozent auseinander: Dieser Wert belegt, dass die Einstufung der verschiedenen IT-Risiko-Kategorien mittlerweile recht ausgewogen ist.

Sicherheits- und Compliance-Risiken erregen weiterhin viel Aufmerksamkeit. Die Gründe dafür sind deren hohe Sichtbarkeit und die erheblichen Auswirkungen, die bei einer Störung in einer dieser Kategorien befürchtet werden müssen. So geben 63 Prozent der Befragten an, dass Datenverluste ernste Folgen für ihr Unternehmen bedeuten. Trotzdem werden Verfügbarkeits-Risiken immer ernster genommen: Selbst kleinere Defizite in diesem Bereich können sich durch die Wertschöpfungskette fortsetzen und Millionenverluste verursachen.

"Die Ergebnisse des IT Risk Management Reports von Symantec sind ermutigend: Immer mehr Unternehmen erkennen, wie kritisch neben der Sicherheit auch andere Risiko-Kategorien wie Verfügbarkeit und Leistungsfähigkeit sind", so Olaf Lindner, Senior Director Symantec Consulting Services. "In der heutigen stark vernetzten Welt verstehen Firmen langsam, dass ein weites Spektrum an IT-Störungen Abläufe und Ergebnisse eines Unternehmens beeinträchtigen können."

IT-Risikomanagement ist ein Prozess, der nie abgeschlossen sein kann
Auch die Ansicht, dass IT-Risikomangement als einzelnes Projekt gehandhabt werden kann, oder sogar als Reihe zeitlich klar definierter Aktionen über mehrere Haushaltsperioden oder Jahre hinweg, kann laut den Ergebnissen der aktuellen Studie nicht aufrecht erhalten werden. Denn diese Perspektive lässt die Dynamik der internen und externen IT-Risiko-Umfelder außer acht. Tatsächlich sollte IT-Risikomanagement als laufender Prozess verstanden werden, der mit einer Umwelt Schritt halten muss, die sich ständig verändert.

Der Report zeigt, dass Organisationen und Firmen beunruhigend häufig von Störungen im Bereich der IT-Sicherheit, Compliance, Verfügbarkeit und Leistungsfähigkeit betroffen sind: 69 Prozent der Befragten rechnen jeden Monat mit einer kleineren IT-Störung, 63 Prozent jedes Jahr mit einem größeren IT-Ausfall, 26 Prozent mindestens einmal im Jahr mit einem Fall von Richtlinienverletzung und 25 Prozent zumindest einmal jährlich mit einem Datenverlust. Das ist vor allem bezüglich der Risiken am Endpunkt kritisch: Nur 34 Prozent der Befragten waren sicher, dass ihnen eine aktuelle Bestandsliste ihrer drahtlosen und mobilen Endgeräte zur Verfügung steht.

Technologie allein kann IT-Risiken nicht eindämmen
Auch wenn Technologie eine entscheidende Rolle bei der Abfederung von IT-Risiken spielt, steht und fällt das IT-Risikomanagement mit den Personen und Prozessen, die involviert sind. Nach den Ergebnissen des aktuellen Reports sind 53 Prozent der IT-Störungen auf Prozesse im Unternehmen zurückzuführen.

Gleichzeitig fallen in dem Zusammenhang wichtige Umfragewerte im Vergleich zum letzten Report vor einem Jahr sogar niedriger aus: Maßnahmen zur Prozesskontrolle wie Trainings und Bewusstseinsbildung bewerten beispielsweise nur noch 43 Prozent der Befragten als zu mehr als 75 Prozent effektiv; vor einem Jahr waren es noch fast 50 Prozent. Nur 43 Prozent der Teilnehmer schätzen das Data Lifecycle Management als "besser als zu 75 Prozent effektiv" ein - im Vergleich zum ersten Report eine Abnahme von 17 Prozent. Diese Ergebnisse legen nahe, dass in diesen Unternehmen nicht genügend differenziert wird, so dass manche Systeme, Prozesse und Objekte in Bezug auf IT-Risiken zu wenig und manche zu stark geschützt werden, was zu erhöhten Kosten und uneffizienter Leistung führt.

Bei der Entwicklung von Applikationen spielt die Sicherheit schon von frühen Stadien an eine immer wichtigere Rolle: Bei der Anzahl der Befragten, die die Entwicklung sicherer Anwendungen als "zu mehr als 75 Prozent effektiv" bewerten, zeigt der neue IT Risk Management Report eine Verbesserung von 10 Prozent auf. Auch das Problemmanagement scheint auf der Agenda der Unternehmen nach oben zu wandern.

Verschiedene Branchen, unterschiedliches Problembewusstsein
Der Report beleuchtet zudem den Status des IT-Risikomanagements in verschiedenen Branchen. Dabei zeigte sich, dass vor allem im Gesundheitswesen die Befragten mit den meisten IT-Störungen rechnen. Bei der enormen Komplexität, der außerordentlich persönlichen Ausrichtung und den strikten Compliance-Anforderungen des Healthcare-Umfelds erscheint dieses Ergebnis besonders bedenklich. Bei der Anwendung von IT Risk Management-Instrumenten ist nach den Umfrageergebnissen die Telekommunikations-Branche führend, dicht gefolgt vom Bank- und Finanzwesen. Es spricht viel dafür, dass dieses gute Ergebnis auf verstärkte Compliance-Kontrollen in diesen Branchen sowie auf die wachsende Sorge um den Datenschutz zurückgeht. (Symantec: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen