C.ebra

Mangelnde IT-Sicherheit in Unternehmen?

Die meisten staatlichen Initiativen zur Verbesserung der IT-Sicherheit bei kleinen und mittleren Unternehmen adressieren vorrangig die Wahrnehmung des Themas bei den Unternehmensverantwortlichen. Dies stellt zwar eine elementare Voraussetzung für den Erfolg von Sicherheitsmaßnahmen dar, andererseits mangelt es vielfach an konkreten Hilfen, wie die Managementberatung Detecon International im Rahmen einer Studie herausfand.

Die Studie entstand im Auftrag des Bundesministeriums für Wirtschaft und Energie und wurde von Detecon zusammen mit dem Institut für Wirtschafts- und Politikforschung und der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e. V. durchgeführt. Nur ein kleiner Teil von 35 Prozent der untersuchten Initiativen ließen sich konkreten informationstechnologischen Zielen aus dem Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie etwa dem Schutz vor nicht autorisiertem Zugang zuordnen.

Im internationalen Vergleich startet Deutschland mit Abstand die meisten Initiativen für kleine und mittlere Unternehmen. „Leider wird die Beteiligung als Akteur an Initiativen zur Verbesserung der IT-Sicherheit von den betrachteten Unternehmen zweifellos vernachlässigt. Dies ist auch darauf zurückzuführen, dass mancherorts Lenker von kleinen und mittleren Unternehmen die Risiken mangelnder IT-Sicherheit unterschätzen, Detailwissen fehlt und nationale Initiativen nicht konkret und zielgruppengerecht unterstützen“, kommentiert Michael von Uechtritz und Steinkirch, Detecon-Partner und verantwortlicher Leiter der Studie. Die drei festgestellten Hauptgründe für mangelnde Informationssicherheit liegen laut der Studie auch im fehlenden Angebot geeigneter Lösungen, in der verzerrten Wahrnehmung und den fehlenden Ressourcen der Inhaber. „Es ist davon auszugehen, dass zukünftig nationale Initiativen stärker an den Bedarfen der KMU als Akteure solcher Initiativen ausgerichtet sind – also etwa unterschiedliche Wirtschafts-Regionen und Branchen adressieren – damit das mit mangelnder IT-Sicherheit einhergehende Risiko von wirtschaftlichen und Wissens-Verlusten für das einzelne Unternehmen, eine Wirtschaftsregion oder einen Wirtschaftssektor reduziert werden kann.“

Der Großteil der Initiativen leistet laut Studie in erster Linie Aufklärungsarbeit, sei es mit Hilfe von Informationsmaterialien, Kampagnen oder Schulungen. Individuelle Beratungen vor Ort werden entweder direkt durch Mitarbeiter der jeweiligen Initiative oder wie etwa beim britischen „Innovation Vouchers for Cyber Security“ mit Hilfe von staatlichen Zuschüssen durch IT-Dienstleister erbracht. Gutscheine für eine Beratung werden jedoch nur dann gewährt, wenn das Unternehmen zumindest die Idee und Umsetzung des Vorhabens erläutern kann.

Die Studie zeigt weiterhin, dass in den Initiativen konkrete technische Lösungen eher die Ausnahme darstellen. „Angesichts der erheblichen Defizite der kleinen und mittleren Unternehmen insbesondere bei der Verschlüsselung ihrer Kommunikation ist dieser Befund nicht unbedingt zu erwarten gewesen, zumal mit der „Initiative-S“ auch ein Beispiel für eine konkrete Unterstützung identifiziert werden konnte“, so von Uechtritz weiter.

Die aus der Perspektive der Mittelstandsförderung konzipierte „Initiative-S“ des Verbands der deutschen Internetwirtschaft (eco) prüft Websites und unterstützt diese bei der Bereinigung von Schadsoftware. Bis März 2014 hatten alle rund 17 000 registrierten Unternehmen ihre Websites kontinuierlich prüfen lassen, wobei das Projektteam täglich ein bis zwei Infektionen unschädlich machen konnte. Sehr konkrete Hilfe leistet auch das niederländische Programm „Hulpknop“ (deutsch: Notfallknopf), das Unternehmen, die Opfer eines Cyberangriffs geworden sind, im Web anhand von Kategorien schnell Informationen liefert, welche Gegenmaßnahmen jeweils zu ergreifen sind. 

Ein grundsätzliches Dilemma für die Verbesserung der IT-Sicherheit besteht darin, dass Initiativen, die aufgrund ihrer gezielten Konzeption einzelne Unternehmungen ansprechen, zwar eine bessere Resonanz haben, allerdings aufgrund der klar begrenzten Zielgruppe nur wenige Unternehmen erreichen. Einen Ausweg bietet die Einbindung von Multiplikatoren, etwa Verbänden, Rechtsanwälten, Institutionen, Wirtschaftsprüfern, Steuer- und Unternehmensberatern, die vorhandene Informationen ihren Klienten, Kunden oder Mitgliedern nahebringen.

Die Studie „Staatliche Initiativen zur Unterstützung der IT-Sicherheit in der mittelständischen Wirtschaft im internationalen Vergleich“ steht hier zum Download bereit.

www.detecon.com

 

 

Verwandte Themen
Laut einer Befragung des Digitalverbands Bitkom will eine Hälfte Routinearbeiten an die KI abgeben, die andere Hälfte lehnt das ab. (Bild: Shutthiphong Chandaeng/iStock/Getty Images)
Beschäftigte sind geteilter Meinung beim Einsatz von KI weiter
Der Bericht der Circular Electronics Initiative bietet eine Analyse der Entwicklungen, die den Bereich der zirkulären Elektronik bis 2035 voraussichtlich prägen werden. Zudem werden dort acht Trends identifiziert, die man im Auge behalten sollte. (Bild: S
Die Zukunft der Kreislaufwirtschaft im Bereich der Elektronik bis 2035 weiter
„Daten und Fakten 2023“: BeschA verzeichnet historisch höchstes Auftragsvolumen. (Grafik: Screenshot aus Broschüre „Daten und Fakten“.)
Auftragsvolumen des Beschaffungsamtes des BMI hat sich 2023 verdoppelt weiter
WEAVE European AV Experts hat einen Rahmenvertrag mit dem Europäische Parlament geschlossen. (Bild: WEAVE European)
WEAVE European gewinnt Ausschreibung weiter
Der neue Report Generator ermöglicht Unternehmen, kritische IT-Nachhaltigkeitsprobleme zu verfolgen und gezielt anzugehen. (Bild: TCO Certified)
TCO Report Generator für individuelle Nachhaltigkeitsberichte weiter
"Das große Bild" – alle 100 Preisträger des DNP Unternehmen, #DNP16 (Bild: Chrisitan Köster)
Deutscher Nachhaltigkeitspreis geht in die 17. Runde weiter
Erweiterte Suche