IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
In der Indexstudie Security Bilanz Deutschland attestieren die Anylsten von techconsult dem deutschen Mittelstand ein eher durchschnittliches Sicherheitsniveau, das nicht ausreicht, um mit komplexeren und neuen Geährdungen fertig zu werden.
Das Kasseler Analystenhaus techconsult nimmt mit der Indexstudie „Security Bilanz Deutschland“ die IT- und Informationssicherheit im Mittelstand in den Blick. Fazit des nun auf dem Studienportal https://www.security-bilanz.de veröffentlichten Berichts: Das im Durchschnitt erzielte Sicherheitsniveau von 57 Indexpunkten ist zum einen nicht als gut zu bewerten, zum anderen wähnt sich der Mittelstand – gemessen an der Einschätzung der Gefährdung – in trügerischer Sicherheit.
Die subjektiv empfundene Sicherheit durch technische, rechtliche, organisatorische und strategische Maßnahmen wurde insgesamt mit 57 von 100 Punkten beim Sicherheitsindex bewertet, die Gefährdung hingegen mit 46 Punkten im entsprechenden Gefährdungsindex. Dies erweckt zunächst einmal den Eindruck, dass alles in Ordnung ist: Auch wenn durchschnittlich 57 von 100 Punkten im Sicherheitsindex alles andere als vorbildlich sind, so reichen sie scheinbar dennoch aus, um die relativ geringe Gefährdungslage abzudecken. Doch diese Selbsteinschätzung der über 500 befragten Unternehmen ist trügerisch. Neben vorsätzlichen Angriffen sowie Fehlverhalten und Unachtsamkeit der eigenen Mitarbeiter bedrohen auch bisher unbekannte Schwachstellen die IT- und Informationssicherheit im Mittelstand. So zeigt beispielsweise der jüngst entdeckte Heartbleed-Bug, dass ein Programmierfehler ungeahnte Auswirkungen auf eine bisher als sicher erachtete SSL-Verschlüsselung haben kann. Das derzeitig kleine Sicherheitspolster von 11 Punkten – also das Delta zwischen erzieltem Sicherheitsniveau und der Selbsteinschätzung der eigenen Gefährung – reicht somit unter Umständen nicht aus, um bisher unbekannte Risiken aufzufangen. Weiterhin zeigt sich, dass die Herausforderungen für den Mittelstand gerade in den fortschrittlicheren, oftmals auch als sicherer angesehenen Lösungen und Konzepten liegen. Einfache und etablierte Verfahren für die IT-Sicherheit sind bereits mehr oder weniger gut umgesetzt. Bei komplexeren Verfahren, wie der Authentifizierung mittels Smart-Cards usw., erreichen die befragten Unternehmen hingegen deutlich geringere Punktzahlen. Hier sind Optimierungspotenziale vorhanden, die relativ einfach deutliche Sicherheitsgewinne versprechen. Ein Problem scheint möglicherweise fehlendes Know-how zu sein: Gerade beim Handel zeigt der Index eine Schwäche bei den organisatorischen Maßnahmen, zu denen auch gehört, Wissen rund um IT- und Informationssicherheit bei den eigenen Mitarbeiter aufzubauen.
Security-Check zur Studie
Zusätzlich zur Studie bietet der individuelle Security-Check heise Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der heise Security Consulter steht ebenfalls auf dem Studienportal https://www.security-bilanz.de zur Verfügung.
