Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen einer Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) festegestellt hat, ist das Bewusstsein für IT-Sicherheitsthemen hoch, die Umsetzung konkreter Maßnahmen aber immernoch verbesserungswürdig.
Auch in technischer Hinsicht sind viele Unternehmen gbereits gegen Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen aber auch einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen. Auch wird die Durchgängigkeit der und Wirkung der eingeführten Prozesse und Vorgaben bemägelt.
Die Studie macht deutlich, dass die kleinen und mittleren Unternehmen im Bereich der IT-Sicherheit grundsätzlich geeignet aufgestellt sind. Im Durchschnitt werden rund zwei Drittel der in Anlehnung an den IT-Grundschutz abgefragten IT-Sicherheitsmaßnahmen in den Unternehmen umgesetzt. Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung und Absicherung der Netzwerke umgesetzt. In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Insbesondere bei den geschäftskritischen IT-Sicherheitsprozessen wie etwa dem Umgang mit Sicherheitsvorfällen oder dem Notfallmanagement zeigen sich deutliche Schwächen. Hier vertrauen die Unternehmen zumeist auf die eigene Fähigkeit, im Fall des Falles geeignet reagieren zu können – ein offensichtlicher Trugschluss der IT-Sicherheit.
Nur jedes zweite Unternehmen hat einen IT-Sicherheitsbeauftragten ernannt
Auch im Bereich der personellen Maßnahmen gibt es in vielen Unternehmen noch Nachholbedarf. Nur jedes zweite Unternehmen benennt beispielsweise einen IT-Sicherheitsverantwortlichen.
In den Firmen gibt es zmeist hohen Abstimmungsbedarf zwischen der Geschäftsführung und ihrer IT-Abteilung. Die Bereitschaft, die jeweils eigenen Interessen im Hinblick auf den Erfolg des Unternehmens zusammen zu führen ist grundsätzlich vorhanden, an der Koordination fehlt hier aber oft, da kein Sicherheitsbeuftragter mit dieser Aufgabe betraut wurde. Die Studie zeigt auch, dass eine neutrale Moderation der hierzu erforderlichen Gespräche der erfolgreichste Weg ist.
Ziel der Studie war es, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer IT-Infrastrukturen im Bereich der KMU zu ermitteln. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen Maschinenbau, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews sowohl mit der IT-Leitung als auch der Geschäftsleitung, die ebenso wie die anschließende Auswertung von IT-Sicherheitsexperten durchgeführt wurden. Die Ergebnisse wurden in einer zweiten Befragung mit den Unternehmen diskutiert, verifiziert und vertieft. Durch dieses Erhebungsverfahren konnte das BSI jedem Untersuchungsgebiet der Studie konkrete, praxisnahe Handlungsempfehlungen hinzufügen, die den Mittelstand anschaulich bei der Optimierung der IT-Sicherheit unterstützen.
Wir beraten Sie gerne zur Einführung eines Informations-Sicherheits-Management-Systems nach ISO 27001 und zur Umsetzung der des IT-Grundschutz nach den Vorgaben des BSI.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Informationen zur ISO 27001
http://www.tec4net.com/web/0000009c6d0162a2c/f360249505024ef0c/index.html
Studie des BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf?__blob=publicationFile
tec4net Ihr Starker IT-Partner