Studie: Drei von vier Unternehmen sind erhöhten IT-Risiken ausgesetzt.

Rund die Hälfte der untersuchten Organisationen beschrieben die eigene "Incident-Response" als "ad-hoc" oder sogar "nicht existent" - darunter auch viele Betreiber kritischer Infrastrukturen. Weitere Schlüsselresultate des Reports: IT-Organisationen, die gezielt in Technologien zur Erkennung und Begrenzung von Angriffen investieren, erreichen damit oft mehr Schutzwirkung als andere, die ihr Geld überwiegend für Präventions-Technologien ausgeben (also etwa für Firewalls). Und: Viele Unternehmen investieren erst dann vermehrt in IT-Sicherheit, nachdem sie Opfer eines geschäftsschädigenden Angriffs geworden sind. Allerdings scheitern viele schon deshalb beim Verbessern der eigenen Schutzprogramme, weil sie nicht genau verstehen, wie IT-Risiken auf ihr Geschäft wirken.

Der Anteil der sehr gut geschützten IT-Umgebungen an der Gesamtstichprobe betrug 7,4 Prozent (in der Vorjahres-Ausgabe des Berichts waren es noch 4,9 Prozent gewesen). Die Zahl der Befragten, die den eigenen Betrieb als von IT-Risiken betroffen betrachtet, bleibt dagegen weiterhin hoch: rund 75 Prozent der Umfrageteilnehmer gaben eine entsprechende Einschätzung ab.

Fähigkeit zum Priorisieren fehlt

Das könnte mit dem Umstand zusammenhängen, dass vielen Unternehmen das Einleiten vorausschauender Sicherheitsmaßnahmen schwer fällt: 45 Prozent der Befragten gaben an, ihre Organisationen seien überhaupt nicht oder nur fallbezogen in der Lage, IT-Risiken zu katalogisieren, zu bewerten oder zu reduzieren; nur 24 Prozent der Umfrageteilnehmer schätzten die entsprechenden Fähigkeiten ihrer IT als fortschrittlich ein.

Vor allem die Unfähigkeit, genaue Toleranzwerte und -schwellen für bestimmte Risiken vorzugeben, erschwert den Verantwortlichen das Priorisieren von Investitionen oder Gegenmaßnahmen - dabei ist das eine der wichtigsten Voraussetzungen für das Steigern der IT-Sicherheit im Unternehmen.