Symantec: IT-Risk-Management Report

Studie: IT-Risiko-Management geht über Sicherheit hinaus

01.02.2008
Unternehmen konzentrieren sich beim IT-Risiko-Management nicht mehr primär auf IT-Security, sondern ebenso auf die Bereiche Verfügbarkeit, Compliance und Leistungsfähigkeit. Das ist eines der Kernergebnisse einer Umfrage von Symantec unter 400 Organisationen weltweit.

IT-Risiken werden offenbar nicht mehr zwingend mit Sicherheitsrisiken gleichgesetzt. Dem aktuellen Symantec-Report zufolge betrachten Unternehmen die Bereiche Sicherheit, Verfügbarkeit, Compliance und Performance mittlerweile als gleichwertige Eckpfeiler eines umfassenden IT-Risiko-Managements. Stellte die Einführung von Sicherheitstechniken für die Teilnehmer der letztjährigen Symantec-Untersuchung noch das zentrale Element ihres Risiko-Management-Konzepts dar, stufen mittlerweile 78 Prozent der befragten Organisationen Verfügbarkeitsrisiken als "kritisch" oder "gravierend" ein. Die Risiken in den Bereichen Sicherheit, Leistungsfähigkeit und Compliance wurden von 70, 68 beziehungsweise 63 Prozent der Teilnehmer als nahezu ebenso schwerwiegend bewertet.

"Immer mehr Unternehmen erkennen, wie kritisch neben der Sicherheit andere Risikokategorien wie Verfügbarkeit und Leistungsfähigkeit sind", kommentiert Olaf Lindner, Senior Director bei Symantec Consulting Services, den jüngsten IT-Risk-Management-Report des Sicherheitsanbieters. Ihm zufolge haben die Firmen offenbar verstanden, dass in der heutigen vernetzten Welt ein weites Spektrum an IT-Störungen Abläufe und Ergebnisse einer Organisation beeinträchtigen können.

Dass sich IT-Risiko-Management nicht als Einzelprojekt abhandeln lässt, sondern als fortlaufender Prozess verstanden werden muss, bestätigen laut Report die auffallend häufig auftretenden Störungen in allen vier Risikobereichen: Während 69 Prozent der Befragten mit einem kleineren IT-Störfall pro Monat rechnen, erwarten 63 Prozent einmal jährlich einen mittleren IT-Ausfall. 26 Prozent glauben wiederum, dass es mindestens einmal in zwölf Monaten zu einem Richtlinienverstoß kommt, und ein Viertel der Interviewten rechnet mindestens einmal im Jahr mit einem Datenverlust. Als besonders kritisch bewertet die Studie dies im Hinblick auf die Risiken am Endpunkt: Nur 34 Prozent der Umfrageteilnehmer gaben an, über eine aktuelle Bestandsliste ihrer drahtlosen und mobilen Endgeräte zu verfügen.

Den Studienergebnissen zufolge sind über die Hälfte aller IT-Störungen auf Prozesse im Unternehmen zurückzuführen. Was Maßnahmen zur Prozesskontrolle betrifft, besteht in den Firmen offenbar noch Handlungsbedarf. So halten aktuell nur noch 43 Prozent der Befragten ihre Risiko-Awareness-Programme und Mitarbeiterschulungen für mehr als zu 75 Prozent effektiv – im vergangenen Jahr vertrauten noch nahezu die Hälfte der Unternehmen auf ihre dahingehenden Maßnahmen. (kf)