Suchen

Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte Risk Management: Was deutsche Unternehmen falsch machen

| Redakteur: Dr. Andreas Bergler

Unternehmen ergreifen für ihr Risk Management zu wenige und zum Teil die falschen Maßnahmen. Dies hat eine Studie von Tripwire und Ponemon ans Licht gebracht. Die Analysten geben Tipps, wie die Security-Maßnahmen besser greifen.

Im Risk-Management ergreifen viele Unternehmen die falschen Maßnahmen.
Im Risk-Management ergreifen viele Unternehmen die falschen Maßnahmen.
(Oleksiy Kyslenko - Fotolia)

566 Unternehmen in Deutschland hat das Ponemon Institute im Auftrag von Tripwire zu ihren Sicherheitsmaßnahmen und dem dahinter stehenden Risk Management befragt. Der Report solle einen Überblick geben, wie Organisationen ihre Security-Maßnahmen verstärken und durch einen risikobasierten Ansatz einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Bei vielen Unternehmen ist von vornherein der Wurm drin.

Denn viele Unternehmen messen laut Studie den Erfolg ihrer Programme für risikobasiertes Security Management (RBSM), indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Den Analysten zufolge kann dieses Konzept aber zu falschen Annahmen und damit zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Zur Messung der Qualität der Konfiguration oder der Effektivität der Security Controls seien andere Parameter relevant.

Außerdem mangele es am Bezug der Security-Ausgaben hinsichtlich der wahrgenommenen Risiken. Unternehmen sollten eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen, so die Analysten. Des Weiteren würden sich zu viele Unternehmen auf den Lorbeeren des bloßen Wollens ausruhen: Während sich 84 Prozent der Unternehmen „signifikant in Sachen RBSM engagieren“ wollen, haben nur 61 Prozent tatsächlich mit der Implementierung eines RBSM-Programms begonnen.

„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, fordert Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. Es sei erforderlich, den Kreislauf der „Security-Anschaffungen aus Gewohnheit“ zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen. Die vollständige Studie kann hier eingesehen werden.

(ID:34700800)