Um die IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen ist es nicht gut bestellt. Laut einer techconsult-Studie besteht dringender Handlungsbedarf, zumal sich die Situation seit der Ersterhebung der Analyse Anfang 2014 verschlechtert habe. Das Marktforschungs- und Beratungshaus hat nun ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern.
Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.
50% des Mittelstands mit akuten Sicherheitsproblemen
Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in puncto IT- und Informationssicherheit aufweisen. Sie erreichen nur weniger als 50 von 100 Indexpunkten auf dem von der Studie ermittelten Sicherheitsindex. Die Indexwerte basieren auf der Selbsteinschätzung der Unternehmen, wie gut sie verschiedene Maßnahmen und Lösungen für IT- und Informationssicherheit in ihrem Unternehmen umgesetzt sehen. Somit bewerten viele der befragten Unternehmen Maßnahmen und Lösungen als unbefriedigend oder gar mangelhaft umgesetzt.
1. Schritt: Standortbestimmung
Viele Unternehmen, insbesondere im Mittelstand, haben kein umfassendes Bild davon, wie es um ihre IT-Sicherheit bestellt ist. Um die IT- und Informationssicherheit zu verbessern, ist daher der erste Schritt, sich einen systematischen Überblick zu verschaffen, wie die Lage tatsächlich ist. Eine Möglichkeit dazu biete der Heise Security Consulter, der parallel zur Studie entwickelt wurde und dessen Vergleichsdaten auf den Studienergebnissen basieren. Unternehmen und Verwaltungen sollen auf Basis einer Selbsteinschätzung eine ganzheitliche Bewertung der eigenen Situation und einen Vergleich mit ähnlichen Unternehmen ihrer Branche beziehungsweise Größenklasse erhalten. Dadurch könnten sie erkennen, wo sie auf technischer, organisatorischer, rechtlicher und strategischer Ebene Handlungsfelder aufweisen, um die sie sich kümmern müssen,
2. Schritt: Machen Sie sich schlau
Der nächste Schritt sollte dann sein, sich Informationen zu diesen Handlungsfeldern zu verschaffen und Partner zu suchen, die helfen können, diese in den Griff zu bekommen. „Gerade der Mittelstand braucht Partner, um die teils komplexen Aufgaben bewältigen zu können, denn nicht jedes Unternehmen verfügt über das umfassende Know-how, das dafür notwendig ist“, so Peter Burghardt, Geschäftsführer von techconsult.
3. Schritt: Das Sicherheitsbudget muss separat geplant werden
Ein zentraler Schritt für Unternehmen sei, ein separates Sicherheits-Budget zu planen. Zumeist ist das Budget für IT- und Informationssicherheit im Rahmen des IT-Budgets verortet. Dadurch entsteht das Problem, dass das Thema nicht den Stellenwert erhält, der notwendig wäre und Sicherheitsthemen in verschiedenen Ressorts und Budgets behandeln werden. „Wenn das Budget separat geplant wird, kann sichergestellt werden, dass auch alle wichtigen Aspekte, wie z.B. Mitarbeiterschulungen oder Haftungsregelungen in Verträgen, nicht unter den Tisch fallen und im Zusammenhang betrachtet werden. IT-Sicherheit betrifft das gesamte Unternehmen und besteht nur zu einem Teil aus IT-Lösungen und Maßnahmen wie Firewall und Passwortauthentifizierung.“
4. Schritt: Die Ausgaben sollten mindestens 1 Prozent des Jahresumsatzes betragen
5. Schritt: Das Budget sollte die technische, organisatorische, rechtliche und strategische Ebene umfassen
Die Planung eines eigenen Sicherheitsbudgets sollte mit der Festlegung der Verantwortlichkeiten und der Definition von Zielen einhergehen, die alle Sicherheitsaspekte umfasst: auf technischer, organisatorischer, rechtlicher und strategischer Ebene.
Last but not least: Überprüfung der Umsetzung nicht vergessen
Mit diesen Schritten können Unternehmen in die Umsetzung ihrer geplanten Maßnahmen gehen und an ihren Handlungsfeldern arbeiten. Um die vorgestellten Schritte in einen langfristigen Prozess zu überführen und IT- und Informationssicherheit auch langfristig sicher zu stellen, sei darüber hinaus noch ein zusätzlicher Schritt nötig: Die Umsetzung müsse überprüft werden, womit sich die Schritte zu einem Kreislauf schließen.
Das Strategiepapier steht ab sofort auf der Webseite des Projekts unter www.security-bilanz.de für alle interessierten Unternehmen zur Verfügung. Dort findet sich auch weitere Informationen wie die Ergebnisse der Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.
Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bieteeder individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.