Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei rund zwei Dritteln der mittelständischer Unternehmen und in der öffentlichen Verwaltung nur unzureichend umgesetzt. Dazu gehören die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien. Das sind Ergebnisse der Studie „Security Bilanz Deutschland“ von techconsult.
Mitarbeitersensibilisierung hat Nachholbedarf
Neben den technischen Maßnahmen müssen laut techconsult auch alle beteiligten Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, stellen diese doch oftmals das schwächste Glied in der Sicherheitskette dar, deren Fehlverhalten weitreichende Konsequenzen für das Unternehmen nach sich ziehen kann.
Mitarbeiterzentrierte Maßnahmen lassen dabei zu wünschen übrig, denn knapp zwei Drittel der Unternehmen weisen dort Umsetzungsprobleme auf. Als Maßnahmen, die helfen können, die Mitarbeiter auf die Gefahren einer inadäquaten Nutzung der IT-Tools zu sensibilisieren, bieten sich zum Beispiel Übungen zur IT-Security oder Awareness-Kampagnen an, welche auch die Konsequenzen sicherheitsgefährdender Verhaltensweisen demonstrieren. Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen.
Vertragsrechtliche Absicherung
Rechtliche Maßnahmen zur Absicherung im Ernstfall, aber auch der Einsatz von Maßnahmen wie Geheimhaltungsvereinbarungen weisen bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite auf. Eine vertragsrechtliche Absicherung im Ernstfall sei für die Unternehmen essentiell, wenn beispielsweise der Abfluss unternehmensinterner Daten an unberechtigte Dritte eintrete. Durch sie lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, welche die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können.
Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.
Langfristiger Erfolg der IT- und Informationssicherheit ist gefährdet
Strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, werden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. Die strategischen Maßnahmen stellen einen wichtigen Bestandteil für eine langfristig erfolgreiche Umsetzung der IT- und Informationssicherheit dar. Wenn die eigenen Sicherheitsanforderungen und -maßnahmen explizit und überprüfbar definiert sind, sind die Unternehmen in der Lage, den Einsatz von Maßnahmen und Lösungen zu planen und den Umsetzungserfolg besser zu beurteilen.
Bei weniger als einem Drittel der Unternehmen sind beispielsweise Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch Integration von IT-Security-Maßnahmen in die Unternehmensprozesse würden nur bei wenigen Unternehmen erfolgreich umgesetzt. Für strategische Maßnahmen bestehe angesichts der hohen Defizite dringender Handlungsbedarf, wolle man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie seien der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.
Strategiepapier bietet Hilfestellung
techconsult hat ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt.
Die Studienberichte und das Strategiepapier stehen ab sofort auf der Webseite des Projekts unter https://www.security-bilanz.de für alle interessierten Unternehmen zur Verfügung. Dort finden sich auch weitere Informationen zur Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.
Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.
Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Net at Work, Bitdefender, DATEV eG, G+H Netzwerk-Design, Hewlett Packard Enterprise, msg systems ag und TeleTrust.