Im Rahmen der Studie "IT-Security-Trends 2024" von CIO, CSO und Computerwoche, die in Zusammenarbeit mit Fortinet und SPIRIT/21 entstanden ist und die Anfang Juli 2024 erscheinen wird, gaben dies insgesamt 88 Prozent der befragten Unternehmen an. 21 Prozent von ihnen gehen sogar von einer "deutlichen Zunahme" der Gefahr für ihr Unternehmen durch staatlich organisierte Cyberkriminalität aus. Beim Blick auf die befragten Funktionsträgerinnen und -träger fällt auf, dass vor allem das C-Level - als Ebene mit der bereichsübergreifenden Gesamtverantwortung - Befürchtungen vor einer deutlichen Zunahme der Gefahr hat (32 Prozent).

Risk Maturity Model als Security-Grundlage

Im Rahmen der Befragung wurden die Unternehmen auch um eine Einschätzung des eigenen Risikomanagement-Reifegrads nach dem fünfstufigen "Risk Maturity Model" gebeten.

• Unternehmen auf Level 1 - "initial" - erfassen lediglich Großrisiken, betreiben eine sogenannte "Risikobuchhaltung".

• Auf Level 2 - "defined" - werden Risiken, aber auch Chancen vollständig erfasst und regelmäßig an das Management berichtet.

• Level 3 - "managed" - bedeutet, dass der Risikomanagement-Prozess einer nachvollziehbar dokumentierten Methode folgt, die Risiken qualifiziert und aggregiert und die Maßnahmen in ihrer Gesamtheit bewertet werden.

• In Level 4 - "controlled" - werden Chancen und Risiken als Korridor der Unternehmensplanung bewertet und aggregiert, unter Berücksichtigung der Abhängigkeiten zwischen einzelnen Risiken. Alle Maßnahmen in diesem Bereich werden sowohl mit ihrem Nutzen als auch ihren Kosten miteinbezogen.

• Auf Level 5 - "optimizing" - schließlich ist der risikoorientierte Planungsprozess integraler Bestandteil der strategischen Unternehmensführung. Das Risikomanagement-System ist direkt an die Steuerungssysteme des Unternehmens eingebunden und eine Risikokultur fest verankert.

Die Unternehmen, die auf den unteren drei Stufen "1 - initial" (14 Prozent der Befragten), "2 - defined" (17 Prozent) und "3 - managed" (23 Prozent) stehen, schätzen die Gefahr durch staatlich organisierte Cyberkriminalität in Zukunft für sich deutlich höher ein als die auf den oberen zwei Stufen "4 - controlled" (27 Prozent) und "5 - optimizing" (18 Prozent). So gehen 30 Prozent der Befragten aus den Stufen 1 bis 3 davon aus, dass die Gefahr für sie deutlich zunimmt, aber nur 13 Prozent der Befragten aus den Stufen 4 und 5. Heißt: Ein formalisierteres beziehungsweise "reiferes" Risikomanagement trägt maßgeblich dazu bei, die Angst vor Cyberangriffen zu reduzieren.

Mehr zu diesen sowie vielen weiteren Studienergebnissen rund um IT-Security-Trends - unter anderem Zero Trust, KI-basierte Sicherheit, SASE oder auch Security Automation - lesen Sie ab Anfang Juli in der neuen Studie "IT-Security-Trends 2024" und in der begleitenden Berichterstattung von CIO, CSO und Computerwoche.