C.ebra

Mangelnde IT-Sicherheit in Unternehmen?

Die meisten staatlichen Initiativen zur Verbesserung der IT-Sicherheit bei kleinen und mittleren Unternehmen adressieren vorrangig die Wahrnehmung des Themas bei den Unternehmensverantwortlichen. Dies stellt zwar eine elementare Voraussetzung für den Erfolg von Sicherheitsmaßnahmen dar, andererseits mangelt es vielfach an konkreten Hilfen, wie die Managementberatung Detecon International im Rahmen einer Studie herausfand.

Die Studie entstand im Auftrag des Bundesministeriums für Wirtschaft und Energie und wurde von Detecon zusammen mit dem Institut für Wirtschafts- und Politikforschung und der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e. V. durchgeführt. Nur ein kleiner Teil von 35 Prozent der untersuchten Initiativen ließen sich konkreten informationstechnologischen Zielen aus dem Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie etwa dem Schutz vor nicht autorisiertem Zugang zuordnen.

Im internationalen Vergleich startet Deutschland mit Abstand die meisten Initiativen für kleine und mittlere Unternehmen. „Leider wird die Beteiligung als Akteur an Initiativen zur Verbesserung der IT-Sicherheit von den betrachteten Unternehmen zweifellos vernachlässigt. Dies ist auch darauf zurückzuführen, dass mancherorts Lenker von kleinen und mittleren Unternehmen die Risiken mangelnder IT-Sicherheit unterschätzen, Detailwissen fehlt und nationale Initiativen nicht konkret und zielgruppengerecht unterstützen“, kommentiert Michael von Uechtritz und Steinkirch, Detecon-Partner und verantwortlicher Leiter der Studie. Die drei festgestellten Hauptgründe für mangelnde Informationssicherheit liegen laut der Studie auch im fehlenden Angebot geeigneter Lösungen, in der verzerrten Wahrnehmung und den fehlenden Ressourcen der Inhaber. „Es ist davon auszugehen, dass zukünftig nationale Initiativen stärker an den Bedarfen der KMU als Akteure solcher Initiativen ausgerichtet sind – also etwa unterschiedliche Wirtschafts-Regionen und Branchen adressieren – damit das mit mangelnder IT-Sicherheit einhergehende Risiko von wirtschaftlichen und Wissens-Verlusten für das einzelne Unternehmen, eine Wirtschaftsregion oder einen Wirtschaftssektor reduziert werden kann.“

Der Großteil der Initiativen leistet laut Studie in erster Linie Aufklärungsarbeit, sei es mit Hilfe von Informationsmaterialien, Kampagnen oder Schulungen. Individuelle Beratungen vor Ort werden entweder direkt durch Mitarbeiter der jeweiligen Initiative oder wie etwa beim britischen „Innovation Vouchers for Cyber Security“ mit Hilfe von staatlichen Zuschüssen durch IT-Dienstleister erbracht. Gutscheine für eine Beratung werden jedoch nur dann gewährt, wenn das Unternehmen zumindest die Idee und Umsetzung des Vorhabens erläutern kann.

Die Studie zeigt weiterhin, dass in den Initiativen konkrete technische Lösungen eher die Ausnahme darstellen. „Angesichts der erheblichen Defizite der kleinen und mittleren Unternehmen insbesondere bei der Verschlüsselung ihrer Kommunikation ist dieser Befund nicht unbedingt zu erwarten gewesen, zumal mit der „Initiative-S“ auch ein Beispiel für eine konkrete Unterstützung identifiziert werden konnte“, so von Uechtritz weiter.

Die aus der Perspektive der Mittelstandsförderung konzipierte „Initiative-S“ des Verbands der deutschen Internetwirtschaft (eco) prüft Websites und unterstützt diese bei der Bereinigung von Schadsoftware. Bis März 2014 hatten alle rund 17 000 registrierten Unternehmen ihre Websites kontinuierlich prüfen lassen, wobei das Projektteam täglich ein bis zwei Infektionen unschädlich machen konnte. Sehr konkrete Hilfe leistet auch das niederländische Programm „Hulpknop“ (deutsch: Notfallknopf), das Unternehmen, die Opfer eines Cyberangriffs geworden sind, im Web anhand von Kategorien schnell Informationen liefert, welche Gegenmaßnahmen jeweils zu ergreifen sind. 

Ein grundsätzliches Dilemma für die Verbesserung der IT-Sicherheit besteht darin, dass Initiativen, die aufgrund ihrer gezielten Konzeption einzelne Unternehmungen ansprechen, zwar eine bessere Resonanz haben, allerdings aufgrund der klar begrenzten Zielgruppe nur wenige Unternehmen erreichen. Einen Ausweg bietet die Einbindung von Multiplikatoren, etwa Verbänden, Rechtsanwälten, Institutionen, Wirtschaftsprüfern, Steuer- und Unternehmensberatern, die vorhandene Informationen ihren Klienten, Kunden oder Mitgliedern nahebringen.

Die Studie „Staatliche Initiativen zur Unterstützung der IT-Sicherheit in der mittelständischen Wirtschaft im internationalen Vergleich“ steht hier zum Download bereit.

www.detecon.com

 

 

Verwandte Themen
Die BSI Broschüre: "Sicher unterwegs mit Smartphone, Tablet & Co" – Bild: Bundesamt für Sicherheit in der Informationstechnik
Was man bei öffentlichen WLAN-Netzen beachten muss? weiter
Entwicklung der tödlichen Arbeitsunfälle. Mit 605 tödlichen Arbeitsunfällen in 2015 wurde hier ein Tiefpunkt der letzten 20 Jahre erreicht. Bild: BAuA "Arbeitswelt im Wandel - Zahlen - Daten - Fakten"; Ausgabe 2017
BAuA zeigt aktuelle Trends in Sachen Arbeitsschutz weiter
Top 5 Handlungsfelder für IT-Security Quelle: IDC, 2017
IDC Studie zeigt die Herausforderungen moderner IT-Security weiter
Umsatzentwicklung in 54 Branchen: Büromöbel legen um 5,9 Prozent zu
Büromöbel im Plus, PBS-Artikel im Minus weiter
Die C.ebra-Ausgabe Juni 2017 ist erschienen. Das E-Paper steht im Archiv auf www.cebra.biz kostenfrei zur Verfügung.
Die Juniausgabe der C.ebra ist da! weiter
The Navigator Company – hier der Messeauftritt auf der Paperworld 2017 – produziert in Portugal die Markenpapiere Navigator, Pioneer, Inacopia, Exlorer, Target, Discovery und Multioffice.
Navigator erhöht Preise um bis zu fünf Prozent weiter