Mangelnde IT-Sicherheit in Unternehmen?
- 15.01.2015
- Markt
Die Studie entstand im Auftrag des Bundesministeriums für Wirtschaft und Energie und wurde von Detecon zusammen mit dem Institut für Wirtschafts- und Politikforschung und der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e. V. durchgeführt. Nur ein kleiner Teil von 35 Prozent der untersuchten Initiativen ließen sich konkreten informationstechnologischen Zielen aus dem Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie etwa dem Schutz vor nicht autorisiertem Zugang zuordnen.
Im internationalen Vergleich startet Deutschland mit Abstand die meisten Initiativen für kleine und mittlere Unternehmen. „Leider wird die Beteiligung als Akteur an Initiativen zur Verbesserung der IT-Sicherheit von den betrachteten Unternehmen zweifellos vernachlässigt. Dies ist auch darauf zurückzuführen, dass mancherorts Lenker von kleinen und mittleren Unternehmen die Risiken mangelnder IT-Sicherheit unterschätzen, Detailwissen fehlt und nationale Initiativen nicht konkret und zielgruppengerecht unterstützen“, kommentiert Michael von Uechtritz und Steinkirch, Detecon-Partner und verantwortlicher Leiter der Studie. Die drei festgestellten Hauptgründe für mangelnde Informationssicherheit liegen laut der Studie auch im fehlenden Angebot geeigneter Lösungen, in der verzerrten Wahrnehmung und den fehlenden Ressourcen der Inhaber. „Es ist davon auszugehen, dass zukünftig nationale Initiativen stärker an den Bedarfen der KMU als Akteure solcher Initiativen ausgerichtet sind – also etwa unterschiedliche Wirtschafts-Regionen und Branchen adressieren – damit das mit mangelnder IT-Sicherheit einhergehende Risiko von wirtschaftlichen und Wissens-Verlusten für das einzelne Unternehmen, eine Wirtschaftsregion oder einen Wirtschaftssektor reduziert werden kann.“
Der Großteil der Initiativen leistet laut Studie in erster Linie Aufklärungsarbeit, sei es mit Hilfe von Informationsmaterialien, Kampagnen oder Schulungen. Individuelle Beratungen vor Ort werden entweder direkt durch Mitarbeiter der jeweiligen Initiative oder wie etwa beim britischen „Innovation Vouchers for Cyber Security“ mit Hilfe von staatlichen Zuschüssen durch IT-Dienstleister erbracht. Gutscheine für eine Beratung werden jedoch nur dann gewährt, wenn das Unternehmen zumindest die Idee und Umsetzung des Vorhabens erläutern kann.
Die Studie zeigt weiterhin, dass in den Initiativen konkrete technische Lösungen eher die Ausnahme darstellen. „Angesichts der erheblichen Defizite der kleinen und mittleren Unternehmen insbesondere bei der Verschlüsselung ihrer Kommunikation ist dieser Befund nicht unbedingt zu erwarten gewesen, zumal mit der „Initiative-S“ auch ein Beispiel für eine konkrete Unterstützung identifiziert werden konnte“, so von Uechtritz weiter.
Die aus der Perspektive der Mittelstandsförderung konzipierte „Initiative-S“ des Verbands der deutschen Internetwirtschaft (eco) prüft Websites und unterstützt diese bei der Bereinigung von Schadsoftware. Bis März 2014 hatten alle rund 17 000 registrierten Unternehmen ihre Websites kontinuierlich prüfen lassen, wobei das Projektteam täglich ein bis zwei Infektionen unschädlich machen konnte. Sehr konkrete Hilfe leistet auch das niederländische Programm „Hulpknop“ (deutsch: Notfallknopf), das Unternehmen, die Opfer eines Cyberangriffs geworden sind, im Web anhand von Kategorien schnell Informationen liefert, welche Gegenmaßnahmen jeweils zu ergreifen sind.
Ein grundsätzliches Dilemma für die Verbesserung der IT-Sicherheit besteht darin, dass Initiativen, die aufgrund ihrer gezielten Konzeption einzelne Unternehmungen ansprechen, zwar eine bessere Resonanz haben, allerdings aufgrund der klar begrenzten Zielgruppe nur wenige Unternehmen erreichen. Einen Ausweg bietet die Einbindung von Multiplikatoren, etwa Verbänden, Rechtsanwälten, Institutionen, Wirtschaftsprüfern, Steuer- und Unternehmensberatern, die vorhandene Informationen ihren Klienten, Kunden oder Mitgliedern nahebringen.
Die Studie „Staatliche Initiativen zur Unterstützung der IT-Sicherheit in der mittelständischen Wirtschaft im internationalen Vergleich“ steht hier zum Download bereit.