Dass es um die IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen nicht gut bestellt ist, haben zwei Jahre Security Bilanz Deutschland gezeigt. Die Studienergebnisse der techconsult legen nahe, dass dringender Handlungsbedarf besteht.
Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern.
Hälfte des Mittelstands mit akuten Sicherheitsproblemen
Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit aufweisen. Sie erreichen nur weniger als 50 von 100 Indexpunkten auf dem von der Studie ermittelten Sicherheitsindex. Die Indexwerte basieren auf der Selbsteinschätzung der Unternehmen, wie gut sie verschiedene Maßnahmen und Lösungen für IT- und Informationssicherheit in ihrem Unternehmen umgesetzt sehen. Somit bewerten viele der befragten Unternehmen Maßnahmen und Lösungen als unbefriedigend oder gar mangelhaft umgesetzt.
Erster Schritt: Standortbestimmung
Viele Unternehmen, insbesondere im Mittelstand, haben kein umfassendes Bild davon, wie es um ihre IT-Sicherheit bestellt ist. Um die IT- und Informationssicherheit zu verbessern, ist daher der erste Schritt, sich einen systematischen Überblick zu verschaffen, wie die Lage tatsächlich ist. Der nächste Schritt sollte dann sein, sich Informationen zu diesen Handlungsfeldern zu verschaffen und Partner zu suchen, die helfen können, diese in den Griff zu bekommen. Institutionen und Verbände bieten dazu Informationsmaterial und Umsetzungsempfehlungen. Berater und Anbieter können bei der tieferen Analyse von Problemen und der Umsetzung von Sicherheitsstrategien und Lösungen unterstützen.
Budgetplanung im Fokus
Ein zentraler Schritt für Unternehmen ist, ein separates Sicherheits-Budget zu planen. Zumeist ist das Budget für IT- und Informationssicherheit im Rahmen des IT-Budgets verortet. Dadurch entsteht das Problem, dass das Thema nicht den Stellenwert erhält, der notwendig wäre und Sicherheitsthemen in verschiedenen Ressorts und Budgets behandeln werden. Wenn das Budget separat geplant wird, kann sichergestellt werden, dass auch alle wichtigen Aspekte, wie Mitarbeiterschulungen oder Haftungsregelungen in Verträgen, nicht unter den Tisch fallen und im Zusammenhang betrachtet werden. IT-Sicherheit betrifft das gesamte Unternehmen und besteht nur zu einem Teil aus IT-Lösungen und Maßnahmen wie Firewall und Passwortauthentifizierung. Die Planung eines eigenen Sicherheitsbudgets sollte mit der Festlegung der Verantwortlichkeiten und der Definition von Zielen einhergehen, die alle Sicherheitsaspekte umfasst: auf technischer, organisatorischer, rechtlicher und strategischer Ebene.
Überprüfung der Umsetzung nicht vergessen
Mit diesen Schritten können Unternehmen in die Umsetzung ihrer geplanten Maßnahmen gehen und an ihren Handlungsfeldern arbeiten. Um die vorgestellten Schritte in einen langfristigen Prozess zu überführen und IT- und Informationssicherheit auch langfristig sicher zu stellen, bedarf es darüber hinaus noch einen zusätzlichen Schritt: Die Umsetzung muss überprüft werden, womit sich die Schritte zu einem Kreislauf schließen.
Henrik Groß, Analyst bei der techconsult GmbH/ hei
