Studie: So steht es um die IT-Sicherheit in deutschen KMU

99 % der deutschen Unternehmen sind Mittelstandsunternehmen. Ihre hohe Leistungsfähigkeit trägt so entscheidend zum Erfolg der deutschen Wirtschaft bei. Damit KMU auch in Zukunft erfolgreich arbeiten können, ist eine sichere und stabile IT-Infrastruktur unerlässlich. Denn vor allem die kleinen und mittelständischen Unternehmen bilden mit ihren Ideen und Innovationen eine beliebte Angriffsfläche für Online-Kriminelle, die sich durch das einzigartige Know-how der Unternehmen bereichern wollen. Datenverluste, Sicherheitslücken in der Technik, Ausfälle oder gar Wirtschaftsspionage können KMU deshalb extrem schädigen, wenn nicht sogar vernichten.

Wie steht es aber tatsächlich um die IT-Sicherheit in deutschen Klein- und Mittelstandsunternehmen? Dies hat nun erstmals das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Studie herausgefunden. Die Untersuchung fand in 30 kleinen und mittleren Unternehmen aus den Branchen produzierendes Gewerbe, Handel und Dienstleistung statt. Sie sollte den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie die Sicherheit kritischer IT-Infrastrukturen aufzeigen. IT-Sicherheitsexperten führten zunächst Interviews mit der IT-Leitung und mit der Geschäftsleitung der einzelnen Unternehmen durch. Nach der Auswertung der Ergebnisse wurden diese in einer zweiten Befragung mit den Unternehmen diskutiert, verifiziert und vertieft. So gelang es, nicht nur einen Statusbericht vorzulegen, sondern auch deutliche Verbesserungspotenziale und Handlungsempfehlungen zu entwickeln.

Die Ergebnisse zeigen: Bei den Verantwortlichen in deutschen KMU ist das Bewusstsein für die IT-Sicherheit durchaus vorhanden und auch in technischer Hinsicht bereits umgesetzt. Besonders viele Sicherheitsmaßnahmen werden in der Datensicherung, der Risikobewertung der Geschäftsprozesse und der Aktualität der Informationen zur Bedrohungslage, zu Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke durchgeführt.

Erheblichen Nachholbedarf gibt es allerdings im Bereich der geschäftskritischen IT-Sicherheitsprozesse, wie etwa dem Umgang mit Sicherheitsvorfällen, dem Notfallmanagement und der Bewertung der Gefahrenbereiche. Die Organisation der IT-Sicherheit besteht meist aus nicht aufeinander abgestimmten Einzelaktionen, notwendige Strategien und Präventivmaßnahmen für ein geregeltes und standardisiertes IT-Sicherheitsmanagement gibt es nur selten. Prozessanpassungen basieren auf Versuch und Irrtum und nicht auf einem vorher festgelegten Konzept. Grund dafür ist wohl ein verbreiteter „funktionaler Optimismus“, wodurch die eigenen Handlungsmöglichkeiten bei Sicherheitsvorfällen oft überschätzt werden.
Zudem sind die personellen Maßnahmen in vielen Unternehmen noch ausbaufähig. In nur jedem zweiten Unternehmen gibt es zum Beispiel einen IT-Sicherheitsverantwortlichen.
Des Weiteren besteht in vielen KMU ein erhöhter Abstimmungsbedarf zwischen Geschäftsführung und IT-Verantwortlichen. So wurden etwa die IT-Sicherheitsmanagementprozesse und Ergebnisse von den IT-Verantwortlichen tendenziell schlechter bewertet als von der Geschäftsführung.

Gebranntes Kind scheut das Feuer – häufig muss es erst zu einem Unglück kommen, bevor das Thema IT-Sicherheit ernst genommen wird. Die Interviews während der Studie haben jedoch gezeigt, dass damit bereits eine erste Sensibilisierung erreicht werden konnte. Die Unternehmen gaben an, dass ein einführendes und kostenfreies Audit dazu beitragen könnte, ein Grundverständnis für IT-Sicherheit zu erhalten. Zusätzlich könnten bei solchen Sensibilisierungsmaßnahmen Problemstellungen von IT-Sicherheitsexperten besprochen und Lösungsansätze entwickelt werden. Für die meisten Unternehmen wäre für den Start zudem eine externe Moderation nahezu unverzichtbar.

Um den Unternehmen den Einstieg in das wichtige Thema Sicherheit zu erleichtern, hat das BSI zudem IT-Grundschutz-Profile mit Anwendungsbeispielen für unterschiedliche Zielgruppen veröffentlicht. Die Unternehmen können damit ihre eigene IT-Sicherheit analysieren. Die Anwendungsbeispiele wurden bereits für das produzierende Gewerbe, kleine Institutionen, den Mittelstand und große Institutionen veröffentlicht.

Sie möchten sofort etwas für Ihre IT-Sicherheit tun? Dann holen Sie sich jetzt Microsoft Security Essentials. Die Anti-Viren-Lösung für bis zu 10 Unternehmens-PCs schützt Sie in Echtzeit vor Viren, Spyware und anderer Art von Schadsoftware.
Wenn Sie mit mehr als 10 PCs arbeiten, ist Windows Intune das Richtige. Sie verwalten damit die PCs aller Benutzer über die Cloud – egal, ob diese vor Ort, zu Hause, in einem Remotebüro oder unterwegs sind. Sie führen Sicherheits- und Verwaltungsaufgaben ganz einfach über eine webbasierte Konsole aus, schützen die PCs mit Endpoint Protection vor Schadsoftware und Bedrohungen durch Viren und stellen nahezu alle Updates und Branchenanwendungen über die Cloud bereit.

Den gesamten Inhalt der Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen können Sie hier nachlesen.

Gehen Sie auf Nummer sicher!
Beste Grüße
Ihre Rebecca Schickel