Mehr als die Hälfte (52 %) der Cybersicherheitsfachleute verzeichnen einen Anstieg der Cyberangriffe im Vergleich zum Vorjahr, so eine neue Untersuchung von ISACA. Trotz des Anstiegs der Angriffe bewerten Unternehmen die Cyberrisiken nicht regelmäßig. Weniger als eine von zehn (8 %) Organisationen führt monatlich Cyberrisikobewertungen durch und nur zwei von fünf (40 %) tun dies jährlich.

Da Unternehmen vor immer komplexeren Herausforderungen stehen, darunter sich entwickelnde Vorschriften, eine hybride Belegschaft und technologische Fortschritte, müssen sie nicht nur die sich ändernde Risikolandschaft verstehen, sondern auch solide Risikomanagementprogramme haben, um ihre Organisationen vor Cyberangriffen zu schützen.

Um zu helfen, haben wir eine Liste von Statistiken zusammengestellt, die die Bedeutung des Risikomanagements unterstreichen. Sie erfahren mehr darüber, welche die Hauptbedrohungen laut Führungskräften sind, die steigenden Kosten interner Risiken, die zunehmende Exposition gegenüber Drittanbieterrisiken und mehr.

Statistiken zum Risikomanagement

Die folgenden Statistiken liefern weitere Informationen zum Risikoumfeld sowie zu verschiedenen Arten des Risikomanagements, einschließlich Drittanbieterrisiken und internen Risiken.

Statistiken zur Risikolandschaft

Die Risikolandschaft ist ständig im Wandel. Sehen Sie sich an, welche Risiken die Führungskräfte von Unternehmen beschäftigen und wie sich deren Risikobewertung im Laufe der Zeit geändert hat.

1. 41 % der Organisationen berichteten, dass sie in den letzten 12 Monaten drei oder mehr kritische Risikovorfälle erlebt haben. (Forrester)

2. Im Jahr 2022 gaben 41 % der Organisationen, die im letzten Jahr angegriffen wurden, an, dass ihre Risikobewertung zugenommen hat. (Hiscox)

3. 65 % der leitenden Finanzmanager stimmen zu, dass sich das Volumen und die Komplexität der Unternehmensrisiken in den letzten fünf Jahren "überwiegend" oder "umfangreich" verändert haben. (AICPA und North Carolina State University)

4. 35 % der Risikomanager sagten, dass Compliance- und regulatorische Risiken neben anderen operativen Risiken die größte Bedrohung für die Fähigkeit ihres Unternehmens darstellen, Wachstum voranzutreiben. Weitere 35 % gaben an, dass Cyber- oder Informationsrisiken dies tun. (PwC)

5. 61 % der Risikomanager sagten, dass Datenschutz- und Privatsphäre-Vorschriften die größten Prioritäten für ihr Unternehmen im Jahr 2022 waren. (PwC)

6. Cyberkriminalität wurde von der Mehrheit der Risikomanager (58 % und steigend) konstant als eines der fünf größten Risiken jetzt und in den nächsten drei Jahren bewertet. (McKinsey)

7. Die drei größten Risiken, die CROs in einer kürzlich von McKinsey durchgeführten Umfrage am meisten beunruhigten, waren der direkte finanzielle Einfluss, der Schaden für Kunden und der Reputationsschaden. Jedes dieser Risiken wurde von etwa 30 Prozent der befragten CROs an erster Stelle genannt. (McKinsey)

8. Schlechte Datenqualität wurde von 58% der Risikomanager als das Datenrisiko mit den größten Bedenken angegeben. (McKinsey)

Risikomanagement-Programmstatistiken

Viele Organisationen haben ein Risikomanagementprogramm implementiert. Schauen Sie sich die untenstehenden Statistiken an, um zu verstehen, welche Herausforderungen Risikomanager konfrontieren und auf welche Ergebnisse sie sich konzentrieren.

9. Weniger als zwei Drittel (63%) der Führungskräfte glauben, dass die Risikomanagementprozesse ihrer Organisation „keinen“ oder „minimalen“ Wettbewerbsvorteil bieten. (AICPA und North Carolina State University)

10. Als sie gebeten wurden, die bedeutendsten Ergebnisse zu nennen, die ihr Unternehmen bereits durch den Einsatz von Technologieanwendungen erzielt hat, gaben 57% der Risikomanager an, dass sie deutliche „Qualitäts“-Ergebnisse sehen, einschließlich besserer Entscheidungen, die auf Risikoinformationen basieren. (PwC)

11. Weniger Risikomanager sagen, dass sie signifikante „Effizienz“-Ergebnisse sehen, wie z. B. geringere Compliance-Kosten (30%) und Personalkosten (25%) infolge technologischer Anwendungen. (PwC)

12. 54% der Risikomanager wollen stärkere Beziehungen zu den Führungskräften, um mehr Einfluss zu haben. (PwC)

13. Risikomanager nannten weitere Schlüsselbereiche zur Verbesserung der Relevanz und Einflussnahme auf strategische Entscheidungen, einschließlich der Verbesserung der Fähigkeiten der Arbeitskräfte in aufkommenden Technologien (47%), Unterstützung durch die Führung für die Zusammenarbeit über die drei Linien hinweg, d. h. den CEO, den Vorstand und die führenden Führungskräfte (45%), verbesserte Dateninfrastruktur und Governance (38%) und ein größeres Budget (37%). (PwC)

Risikoreaktionsstatistiken

Ein wesentlicher Bestandteil des Risikomanagements ist die Reaktion auf Risiken. Erfahren Sie mehr darüber, welche Prozesse und Pläne Organisationen implementiert haben.

14. Fast drei Viertel der Organisationen gaben an, einen Incident-Response-Plan (IR-Plan) zu haben, während 63% dieser Organisationen sagten, sie testen den Plan regelmäßig. (IBM)

15. Organisationen mit einem IR-Team, die einen IR-Plan getestet haben, sparten durchschnittlich 2,66 Millionen Dollar an Verstoßkosten im Vergleich zu Organisationen ohne IR-Team und IR-Plan-Tests, eine Ersparnis von 58% bei den Kosten. (IBM)

16. Fast drei Viertel (75%) der Führungskräfte glauben, dass es signifikante Änderungen im Ansatz ihrer Organisation für die Planung der Geschäftskontinuität und des Krisenmanagements geben wird. (AICPA und North Carolina State University)

Statistiken zum Drittparteien-Risikomanagement

Fast alle Unternehmen arbeiten mit – oder nutzen die Produkte von – einem Dritten, der eine Datenverletzung erlitten hat. Erfahren Sie mehr über die Bedeutung des Lieferantrisikomanagements.

17. 31% der Risikomanager gaben an, dass das Risiko von Dritten, neben anderen operationellen Risiken, die größte Bedrohung für die Fähigkeit ihres Unternehmens darstellt, Wachstum zu fördern. (PwC)

18. 64 % der Organisationen gaben an, dass das Management von Risiken Dritter von ihren Vorständen und Leitungsteams als organisatorische strategische Priorität betrachtet wurde. (ProcessUnity und CyberGRX)

19. Über 81 % der Personen gaben an, dass sie den Wert ihres Programms zum Management von Risiken Dritter quantifizieren und den Unternehmensleitungen und Interessengruppen kommunizieren konnten. (ProcessUnity und CyberGRX)

20. 98 % der Organisationen haben Beziehungen zu mindestens einem Drittanbieter, der in den letzten zwei Jahren einen Verstoß erlebt hat. (Cyentia Institute und SecurityScorecard)

21. Die IT-Branche hat Beziehungen zu mehr Drittanbietern, durchschnittlich 25, während der Finanzsektor die geringste Anzahl mit 6,5 hatte. (Cyentia Institute und SecurityScorecard)

22. Die Erstparteien haben doppelt so häufig die höchste Sicherheitsbewertung erreicht, während Drittanbieter

fünfmal häufiger schlechte Sicherheitsbewertungen aufweisen. (Cyentia Institute und SecurityScorecard)

Statistiken zum internen Risikomanagement

Da die Kosten für interne Risiken steigen, investieren immer mehr Organisationen in das Management interner Risiken. Erfahren Sie, wie Organisationen mit internen Risiken umgehen.

23. Die durchschnittlichen jährlichen Kosten eines internen Risikos sind auf 16,2 Millionen Dollar gestiegen: eine Steigerung von 40 % in vier Jahren. (DTEX Systems)

24. Die durchschnittliche Anzahl der Tage zur Eindämmung eines internen Vorfalls ist 2023 auf 86 Tage gestiegen. (DTEX Systems)

25. Fast die Hälfte (46 %) der Organisationen plant, ihre Investitionen in Programme zur internen Risikomanagement 2024 zu erhöhen. (DTEX Systems)

26. 77 % der Organisationen haben ein Programm zum internen Risikomanagement gestartet oder planen dies. (DTEX Systems)

27. 88 % der Organisationen gaben weniger als 10 % ihres gesamten IT-Sicherheitsbudgets für das Management interner Risiken aus. (DTEX Systems)

28. Die Organisationen hatten ein IT-Sicherheitsbudget von 2.437 Dollar pro Mitarbeiter, aber nur 8,2 % wurden speziell für Programme und Richtlinien zum Management interner Risiken zugewiesen. Das entspricht 200 Dollar pro Mitarbeiter. (DTEX Systems)

29. 91,8 % des IT-Sicherheitsbudgets wurden für externe Bedrohungen ausgegeben, obwohl mehr als die Hälfte der Organisationen soziale Ingenieure als eine der Hauptursachen für alle externen Angriffe nannten. (DTEX Systems)

30. 58 % halten die aktuellen Ausgaben für Programme zum internen Risikomanagement für unzureichend, und 46 % erwarten, dass die Finanzierung im nächsten Jahr steigt. (DTEX Systems)

31. Nur 10 % des Budgets für das Management interner Risiken (durchschnittlich 63.383 Dollar pro Vorfall) wurden für Aktivitäten vor dem Vorfall ausgegeben, einschließlich Überwachung, Überwachung und nachträgliche Analyse. Die verbleibenden 90 % (durchschnittlich 565.363 Dollar pro Vorfall) wurden für Aktivitäten nach dem Vorfall ausgegeben, wobei der größte Teil der Ausgaben für Eindämmung (179.209 Dollar pro Vorfall) und Behebung (125.221 Dollar pro Vorfall) verwendet wurde. (DTEX Systems)

Wie man einen Risikomanagementplan erstellt

Ein Risikomanagementplan kann Ihnen helfen, Risiken zu identifizieren, zu bewerten und zu mindern. Hier ist eine Schritt-für-Schritt-Anleitung zur Erstellung eines solchen Plans.

1. Zweck definieren.

Geben Sie den Zweck Ihres Risikomanagementplans klar an. Dieser Zweck sollte die Definition enthalten, wie Sie die mit Ihrem Geschäft oder einem bestimmten Projekt verbundenen Risiken identifizieren, analysieren und managen werden, und wie diese Aktivitäten durchgeführt, dokumentiert und überwacht werden sollen.

2. Rollen und Verantwortlichkeiten zuweisen.

Weisen Sie dann den wichtigen Stakeholdern Rollen und Verantwortlichkeiten zu. Beispielsweise können Sie einem oder mehreren Risikoeigentümern die Verantwortung für die Bestimmung derjenigen Risiken übertragen, die eine Minderung und Notfallpläne erfordern, und für die Erstellung und Durchführung einer Kosten-Nutzen-Analyse für jede vorgeschlagene Strategie. Sie können auch für die Überwachung und Aktualisierung des Risikostatus während des gesamten Lebenszyklus des Risikomanagements verantwortlich sein.

3. Prozess zur Risikoidentifikation definieren.

Definieren Sie nun den Risikomanagementprozess, beginnend mit der Frage, wie Sie die Risiken identifizieren. Listen Sie die zu berücksichtigenden Faktoren auf, wie z. B. Umweltfaktoren und die Organisationskultur, sowie alle Methoden, die Sie verwenden werden, wie eine SWOT-Analyse (Stärken, Schwächen, Chancen und Bedrohungen).

4. Prozess zur Risikobewertung und -analyse definieren.

Erklären Sie, wie Sie die Wahrscheinlichkeit und die Auswirkungen jedes identifizierten Risikos bewerten werden und verwenden Sie eine Risikomatrix oder eine Bewertungsmethodik, um diesen Faktoren quantitative oder qualitative Werte zuzuweisen. Dies wird helfen, die Risiken nach ihrer Bedeutung zu priorisieren. Risiko = Wahrscheinlichkeit x Auswirkung.

5. Prozess zur Risikobewältigungsplanung definieren.

Beschreiben Sie die Strategien, die Sie bei der Entscheidung, wie auf jedes identifizierte Risiko reagiert werden soll, auswählen werden. Die Hauptoptionen sind akzeptieren, vermeiden, mindern, übertragen und beheben. Außerdem ist es wichtig, die nächsten Schritte festzulegen, sobald eine Risikobewältigungsstrategie ausgewählt wurde. Wenn Sie sich beispielsweise entscheiden, ein höheres Risiko zu akzeptieren, sollten Sie einen Handlungsplan festlegen, um dessen Auswirkungen im Falle einer Materialisierung zu minimieren.

6. Prozess zur Risikoüberwachung und -berichterstattung definieren.

Richten Sie schließlich ein System zur kontinuierlichen Überwachung von Risiken ein. Dies sollte detailliert beschreiben, wer für die Verfolgung bestehender und neuer Risiken verantwortlich ist, etwaige Änderungen in der Wahrscheinlichkeit oder den Auswirkungen bewerten, die Effektivität der Risikobewältigungsstrategie bewerten und diese bei Bedarf anpassen.

Sie sollten auch eine Berichtsstruktur entwickeln, um das Management über wesentliche Änderungen im Risikosstatus oder andere Veränderungen im Risikoprofil der Organisation auf dem Laufenden zu halten.

7. Plan und Risikotracker regelmäßig überprüfen und aktualisieren.

Es werden neue Risiken aufkommen und bestehende Risiken werden sich im Laufe der Zeit entwickeln, daher ist es unerlässlich, dass Sie Ihren Risikomanagementplan und die Begleitdokumente regelmäßig überprüfen und aktualisieren, um Veränderungen in Ihrem Geschäftsumfeld und Ihrer Branche zu berücksichtigen.

Wie Secureframe helfen kann

Secureframe erleichtert die Erstellung und Aufrechterhaltung robuster Risikomanagementprozesse. Mit unserer umfassenden GRC-Lösung kannst du:

• Risiken 24/7 überwachen: Erhalte vollständige Sichtbarkeit der kritischen Sicherheits- und Datenschutzprobleme mit kontinuierlicher Überwachung über deinen gesamten Technologie-Stack.
• Risiken auf einer einzigen Plattform verfolgen: Führe einfach ein vollständiges und aktuelles Risiko-Register, während du neue Produkte und Dienstleistungen einführst, sich deine technologische Umgebung ändert oder Ergebnisse interner oder externer Audits einfließen.
• Risikoeigentümer zuweisen: Weise Risikoeigentümer zu und richte Benachrichtigungserinnerungen zur regelmäßigen Überprüfung und Aktualisierung von Risiken ein, um die Verantwortlichkeit zu gewährleisten.

Erfahre mehr über die Risikomanagementfunktionen von Secureframe und wie wir dir heute helfen können, ein starkes Risikomanagementprogramm aufzubauen, indem du eine Demonstration vereinbarst.