1-2-2008 Gedruckt am 23-10-2014 aus www.monitor.co.at/index.cfm/storyid/9522

Symantec-Studie

IT-Risikomanagement umfasst mehr als Sicherheit

63% der Befragten rechnen mindestens einmal im Jahr mit einem größeren IT-Ausfall, 25% mit Datenverlust

IT-Risikomanagement bezieht sich nicht nur auf IT-Sicherheit (Bild. Symantec)

IT-Abteilungen sehen die Bereiche Sicherheit, Verfügbarkeit, Compliance und Performance in einem ausgewogenen Verhältnis als Bestandteil eines umfassenden IT-Risikomangements gesehen. Zu diesem Ergebnis kommt der zweite IT Risk Management Report von Symantec.

Eine zu einseitige Betrachtung des Themas kann zu Systemfehlern führen, die Unterbrechungen im Geschäftsbetrieb nach sich ziehen können. Außerdem geht aus dem Report hervor, dass 53% der IT-Störungen prozessbedingt sind und dass die Häufigkeit von Datenverlusten oftmals unterschätzt wird.

Der umfangreiche Report, der auf der Befragung von 400 IT-Fachleuten weltweit basiert, zeigt zum einen aktuelle Kernthemen und Trends. Zum anderen analysiert und widerlegt er verbreitete, aber oft falsche Vorstellungen im Zusammenhang mit IT-Risiken. Insbesondere die Ansicht, IT-Risikomanagement beziehe sich ausschließlich auf die IT-Sicherheit, ist weit verbreitet, lässt sich aber in der Praxis widerlegen.

Mehr als Sicherheitsrisiken

Wertigkeit von IT-Risiken (Bild: Symantec)

Im Gegensatz zu der Auffassung, IT-Risiken seien in erster Linie Sicherheitsrisiken, deuten die Umfrageergebnisse der Symantec-Studie darauf hin, dass IT-Fachleute den Begriff deutlich weiter fassen. So schätzen 78% der Befragten Verfügbarkeits-Risiken als "kritisch" oder "gravierend" ein. 70, 68 beziehungsweise 63% der Teilnehmer stufen Risiken der Sicherheit, Leistungsfähigkeit und Compliance beinahe ebenso hoch ein.

Die vier Risiko-Kategorien liegen in der Einschätzung der Experten somit nur 15% auseinander: Dieser Wert belegt, dass die Einstufung der verschiedenen IT-Risiko-Kategorien mittlerweile recht ausgewogen ist. Sicherheits- und Compliance-Risiken erregen weiterhin viel Aufmerksamkeit. Die Gründe dafür sind deren hohe Sichtbarkeit und die erheblichen Auswirkungen, die bei einer Störung in einer dieser Kategorien befürchtet werden müssen. So geben 63% der Befragten an, dass Datenverluste ernste Folgen für ihr Unternehmen bedeuten. Trotzdem werden Verfügbarkeits-Risiken immer ernster genommen: Selbst kleinere Defizite in diesem Bereich können sich durch die Wertschöpfungskette fortsetzen und Millionenverluste verursachen.

IT-Risikomanagement ist ein Prozess, der nie abgeschlossen sein kann

Auch die Ansicht, dass IT-Risikomangement als einzelnes Projekt gehandhabt werden kann, oder sogar als Reihe zeitlich klar definierter Aktionen über mehrere Haushaltsperioden oder Jahre hinweg, kann laut den Ergebnissen der aktuellen Studie nicht aufrecht erhalten werden. Denn diese Perspektive lässt die Dynamik der internen und externen IT-Risiko-Umfelder außer acht. Tatsächlich sollte IT-Risikomanagement als laufender Prozess verstanden werden, der mit einer Umwelt Schritt halten muss, die sich ständig verändert.

Der Report zeigt, dass Organisationen und Firmen beunruhigend häufig von Störungen im Bereich der IT-Sicherheit, Compliance, Verfügbarkeit und Leistungsfähigkeit betroffen sind: 69% der Befragten rechnen jeden Monat mit einer kleineren IT-Störung, 63% jedes Jahr mit einem größeren IT-Ausfall, 26% mindestens einmal im Jahr mit einem Fall von Richtlinienverletzung und 25% zumindest einmal jährlich mit einem Datenverlust. Das ist vor allem bezüglich der Risiken am Endpunkt kritisch: Nur 34% der Befragten waren sicher, dass ihnen eine aktuelle Bestandsliste ihrer drahtlosen und mobilen Endgeräte zur Verfügung steht.

Technologie allein kann IT-Risiken nicht eindämmen

Auch wenn Technologie eine entscheidende Rolle bei der Abfederung von IT-Risiken spielt, steht und fällt das IT-Risikomanagement mit den Personen und Prozessen, die involviert sind. Nach den Ergebnissen des aktuellen Reports sind 53% der IT-Störungen auf Prozesse im Unternehmen zurückzuführen. Gleichzeitig fallen in dem Zusammenhang wichtige Umfragewerte im Vergleich zum letzten Report vor einem Jahr sogar niedriger aus: Maßnahmen zur Prozesskontrolle wie Trainings und Bewusstseinsbildung bewerten beispielsweise nur noch 43% der Befragten als zu mehr als 75% effektiv; vor einem Jahr waren es noch fast 50%. Nur 43% der Teilnehmer schätzen das Data Lifecycle Management als "besser als zu 75% effektiv" ein - im Vergleich zum ersten Report eine Abnahme von 17%. Diese Ergebnisse legen nahe, dass in diesen Unternehmen nicht genügend differenziert wird, so dass manche Systeme, Prozesse und Objekte in Bezug auf IT-Risiken zu wenig und manche zu stark geschützt werden, was zu erhöhten Kosten und uneffizienter Leistung führt.

Bei der Entwicklung von Applikationen spielt die Sicherheit schon von frühen Stadien an eine immer wichtigere Rolle: Bei der Anzahl der Befragten, die die Entwicklung sicherer Anwendungen als "zu mehr als 75% effektiv" bewerten, zeigt der neue IT Risk Management Report eine Verbesserung von 10% auf. Auch das Problemmanagement scheint auf der Agenda der Unternehmen nach oben zu wandern.

Verschiedene Branchen, unterschiedliches Problembewusstsein

Der Report beleuchtet zudem den Status des IT-Risikomanagements in verschiedenen Branchen. Dabei zeigte sich, dass vor allem im Gesundheitswesen die Befragten mit den meisten IT-Störungen rechnen. Bei der enormen Komplexität, der außerordentlich persönlichen Ausrichtung und den strikten Compliance-Anforderungen des Healthcare-Umfelds erscheint dieses Ergebnis besonders bedenklich. Bei der Anwendung von IT Risk Management-Instrumenten ist nach den Umfrageergebnissen die Telekommunikations-Branche führend, dicht gefolgt vom Bank- und Finanzwesen. Es spricht viel dafür, dass dieses gute Ergebnis auf verstärkte Compliance-Kontrollen in diesen Branchen sowie auf die wachsende Sorge um den Datenschutz zurückgeht.

Der Symantec IT Risk Management Report, Volume II, ist auf der Symantec Website unter folgendem Link erhältlich: www.symantec.com/de/de/about/theme.jsp?themeid=itrmr
 

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus