Ausser in der öffentlichen Verwaltung gibt die IT-Sicherheit in allen Branchen den Schweizer IT-Verantwortlichen am häufigsten Anlass zur Sorge. Dies mag auf den ersten Blick keine neue Erkenntnis sein. Auf den zweiten Blick erstaunt es aber umso mehr, als der Reifegrad der sicherheitsrelevanten Vorkehrungen in den Unternehmen inzwischen entwickelt sein sollte und eine dementsprechende «Risiko Awareness» vorherrschen müsste. An die zweite Stelle der Risikorangliste setzen die Schweizer CIOs das Projektmanagement.
Diese Zahlen entstammen der Studie «IT Management 2005», für die KPMG die CIOs und IT-Leiter von 135 Unternehmen unterschiedlicher Grösse aus den verschiedensten Branchen befragt hat.
Mit dem grössten Risikopotential bezüglich IT-Sicherheit sieht sich demnach die Handelsbranche konfrontiert, die, getrieben durch für sie meist neuartigen Geschäftsmodelle wie E-Commerce, in einem gewissen Spannungsfeld steht. Die an der Studie beteiligten Handelsunternehmen gaben in 55 Prozent aller Antworten an, die IT-Sicherheit
stelle für sie das grösste Risikopotential dar. Auf der anderen Seite sehen nur gerade 9 Prozent dieser Teilnehmergruppe neu initiierte IT-Projekte als grösste Gefahr an.
Kritisch hervorzuheben ist, dass die Einhaltung der Kosten- und Nutzenfaktoren eine im Vergleich untergeordnete Rolle bei der Risikoanalyse und -bewertung darstellen. Nur durchschnittlich jedes zehnte Unternehmen sieht den Kostenaufwand beziehungsweise die Erreichung des erwarteten Nutzenertrags als potentiell grössten Risikofaktor an. Dies mag erstaunen, da die Budgetoptimierungen und das Sparpotential meist ausgereizt wurden und in der IT weiterhin ein hoher Kostendruck herrscht.
Die Zufriedenheit über den Stand der eigenen Informationssicherheit blieb im Vergleich zur letzten Erhebung im Jahre 2003 über weite Strecken unverändert. Als grösstes Sorgenkind wird nach wie vor das mangelhafte Sicherheitsbewusstsein der Endbenutzer betrachtet. Auffällig, aber keineswegs überraschend: Nur knappe 20 Prozent aller Befragten attestieren ihren Mitarbeitenden eine gute Sensibilisierung in Sicherheitsfragen.
Auch um das IT-Risiko-Management ist es nicht zum Besten bestellt. Nur gerade 38 Prozent sind der Meinung, adäquate Prozesse im Unternehmen implementiert zu haben, 45 Prozent erachten diese immerhin noch als genügend. Ähnliche Noten geben sich die Firmen ihrem Business Continuity Management und der Sicherheitspolitik.
Zuversichtlich sind die Unternehmen hingegen hinsichtlich der Angemessenheit des Virenschutzes. Hier wirken sich die Investitionen der letzten Jahre positiv aus. Speziell Vertreter aus der Finanzbranche geben an, Herr der Lage zu sein. Dies jedoch mit nicht ganz ungefährlicher Begleiterscheinung: Sich in falscher Sicherheit zu wiegen, kann fatale Folgen haben. Diese Gefahr kann jedoch mit der beruhigenden Tatsache widerlegt werden, dass 85 Prozent aller Unternehmen ihre Sicherheitsprozesse mit mindestens der Note «gut» bewerten.
Die aktuelle IT-Management- Studie zeigt, dass die Prioritäten bezüglich der künftigen Aktivitäten zwar stetig erhöht werden, eine entsprechende Zuteilung personeller und finanzieller Ressourcen für eine konsequente Umsetzung der Vorhaben jedoch kaum stattfindet. Dabei bleibt meist ausser acht, dass Investitionen in die Informationssicherheit einen positiven Leverage-Effekt provozieren.
Projektrisiken stehen an zweitoberster Stelle der Gefahrenskala.
Mangelhafte Risikoanalyse und zu unpräzise Planung sind dabei häufige Ursachen eines Projektmisserfolgs. Tatsache ist, dass CIOs auch heutzutage vor allem an den Projekterfolgen gemessen werden. Das Gelingen eines Projektvorhabens kann weder erzwungen noch garantiert werden. Angebrachte Massnahmen und Rahmenwerke können jedoch zur Absicherung des Projekterfolgs beitragen.
Durchschnittlich erachten 28 Prozent aller Unternehmen eine umfassende Analyse und Planung als Grundstein zum Projekterfolg,
was den meisten Nennungen der Studienteilnehmenden entspricht. Ein fundierter «Business Case» mit einem ausgewiesenen Nutzen und klar dargelegten Risikoszenarien ist Grundlage für jedes nachhaltig erfolgreiche Projekt.
Aufhorchen lässt hier die ICT-Branche: Nur gerade 21 Prozent der Befragten ICT-Unternehmen legen am meisten Wert auf die Analyse- und Planungsphase. Vertreter dieser Branche setzen vielmehr auf reibungslose und enge Kommunikationsnetze. Grund dafür kann sein, dass im schnellebigen Technologie-Umfeld weniger auf eine saubere Planung als auf projektorganisatorische Rahmenbedingungen Wert gelegt wird. Ausgereifte Projektmanagement-Prozesse bleiben von den Vertretern der ICT-Branche komplett unerwähnt. Eine nähere Betrachtung der Projektportfolios lässt aber auch erkennen, dass in dieser Branche lediglich 58 Prozent der im letzten Jahr beendeten Projekte als erfolgreich ausgewiesen wurden. Daraus lässt sich die These ableiten, dass ein strukturiertes und standardisiertes Vorgehen auch für technologienahe Projekte unerlässlich ist.
Der wesentliche Schritt von der Projektplanung in die Umsetzung muss reichlich überlegt sein. Die Unternehmen sind diesbezüglich vorsichtiger geworden. Während im Jahr 2004 noch 19 Prozent der im Portfolio geführten Projekte den Status «in Planung» aufwiesen, sind es im Jahr 2005 bereits 27 Prozent. Da einem Projekt immer gewisse Risiken anhaften, sind die Risiko- und Nutzwertanalyse bewährte Werkzeuge bei der Entscheidungsfindung.
Hat ein Projekt erst mal die Kick-off-Phase durchlaufen, so ist ein effektives Projektcontrolling unerlässlich. Jedes vierte Unternehmen ist der Meinung, dass die Existenz angepasster Controlling-Instrumente am deutlichsten über Projekterfolg oder Scheitern bestimmt. Verschiedene Ausprägungen des Projektcontrollings wie die Lenkung von operativen Tätigkeiten oder die Betrachtung von einer projektneutralen Warte aus entscheiden häufig über den erzielten Nutzen.
Unternehmen aller Branchen tun also gut daran, genügend Investitionen in die Projektplanung zu tätigen. Meist haben Richtungsänderungen während der Umsetzungsphase schmerzliche Ressourcenverluste zur Folge. Die Kunst des erfolgreichen Projektabschlusses besteht hauptsächlich aus den vier Elementen Qualität, Funktionalität, Termine und Kosten. Anhand von Meilensteinanalysen können sich Projektleiter über den aktuellen Projektstand informieren und gegebenenfalls Verbesserungen vornehmen. Gerade bezüglich Terminen und Kosten werden die CIOs und Projektleiter heute zu Recht an einer kürzeren Leine gehalten. Auf der anderen Seite steigen der Erwartungsdruck und die Komplexität. Umso mehr ist das aktive Management des Projektportfolios ein wesentlicher Erfolgsfaktor und sollte deshalb Bestandteil der Wachstumsstrategie jedes Unternehmens sein.
Daniel Fuchs ist Wirtschaftsinformatiker FH, Information Risk Management, KPMG Zürich.
Die Studie «IT-Management 2005» kann unter www.kpmg.ch/irm bestellt werden.
