Zwei Jahre Security Bilanz Deutschland haben gezeigt, dass es um die IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen nicht gut bestellt ist.
Die Studienergebnisse legen nahe, dass dringender Handlungsbedarf besteht, zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat. Aus diesem Anlass hat das Marktforschungs- und Beratungshaus techconsult ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern.
Strategiepapier für Mittelstand und öffentliche Verwaltungen
Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.
50% des Mittelstands mit akuten Sicherheitsproblemen
Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit aufweisen. Sie erreichen nur weniger als 50 von 100 Indexpunkten auf dem von der Studie ermittelten Sicherheitsindex. Die Indexwerte basieren auf der Selbsteinschätzung der Unternehmen, wie gut sie verschiedene Maßnahmen und Lösungen für IT- und Informationssicherheit in ihrem Unternehmen umgesetzt sehen. Somit bewerten viele der befragten Unternehmen Maßnahmen und Lösungen als unbefriedigend oder gar mangelhaft umgesetzt.
Erster Schritt: Standortbestimmung
Viele Unternehmen, insbesondere im Mittelstand, haben kein umfassendes Bild davon, wie es um ihre IT-Sicherheit bestellt ist. Um die IT- und Informationssicherheit zu verbessern, ist daher der erste Schritt, sich einen systematischen Überblick zu verschaffen, wie die Lage tatsächlich ist.
„Eine Möglichkeit dazu bietet der Heise Security Consulter, den wir parallel zur Studie entwickelt haben und dessen Vergleichsdaten auf den Studienergebnissen basieren. Unternehmen und Verwaltungen bekommen auf Basis einer Selbsteinschätzung eine ganzheitliche Bewertung der eigenen Situation und einen Vergleich mit ähnlichen Unternehmen ihrer Branche beziehungsweise Größenklasse. Dadurch können sie erkennen, wo sie auf technischer, organisatorischer, rechtlicher und strategischer Ebene Handlungsfelder aufweisen, um die sie sich kümmern müssen“, erklärt Peter Burghardt (Foto), Geschäftsführer des Analystenhauses techconsult.
Der nächste Schritt sollte dann sein, sich Informationen zu diesen Handlungsfeldern zu verschaffen und Partner zu suchen, die helfen können, diese in den Griff zu bekommen. „Gerade der Mittelstand braucht Partner, um die teils komplexen Aufgaben bewältigen zu können, denn nicht jedes Unternehmen verfügt über das umfassende Know-how, das dafür notwendig ist“, so Burghardt weiter. Institutionen und Verbände bieten dazu Informationsmaterial und Umsetzungsempfehlungen. Berater und Anbieter können bei der tieferen Analyse von Problemen und der Umsetzung von Sicherheitsstrategien und Lösungen unterstützen.
Budgetplanung im Fokus
Ein zentraler Schritt für Unternehmen ist, ein separates Sicherheits-Budget zu planen. Zumeist ist das Budget für IT- und Informationssicherheit im Rahmen des IT-Budgets verortet. Dadurch entsteht das Problem, dass das Thema nicht den Stellenwert erhält, der notwendig wäre und Sicherheitsthemen in verschiedenen Ressorts und Budgets behandeln werden. „Wenn das Budget separat geplant wird, kann sichergestellt werden, dass auch alle wichtigen Aspekte, wie z.B. Mitarbeiterschulungen oder Haftungsregelungen in Verträgen, nicht unter den Tisch fallen und im Zusammenhang betrachtet werden. IT-Sicherheit betrifft das gesamte Unternehmen und besteht nur zu einem Teil aus IT-Lösungen und Maßnahmen wie Firewall und Passwortauthentifizierung.“ Die Planung eines eigenen Sicherheitsbudgets sollte mit der Festlegung der Verantwortlichkeiten und der Definition von Zielen einhergehen, die alle Sicherheitsaspekte umfasst: auf technischer, organisatorischer, rechtlicher und strategischer Ebene.
Überprüfung der Umsetzung nicht vergessen
Mit diesen Schritten können Unternehmen in die Umsetzung ihrer geplanten Maßnahmen gehen und an ihren Handlungsfeldern arbeiten. Um die vorgestellten Schritte in einen langfristigen Prozess zu überführen und IT- und Informationssicherheit auch langfristig sicher zu stellen, bedarf es darüber hinaus noch einen zusätzlichen Schritt: Die Umsetzung muss überprüft werden, womit sich die Schritte zu einem Kreislauf schließen.
Bild: Das Strategiepapier empfiehlt fünf Schritte, die Unternehmen gehen sollten, um ihre IT- und Informationssicherheit zu verbessern. (Quelle: techconsult)
Das Strategiepapier steht ab sofort auf der Webseite des Projekts unter https://www.security-bilanz.de/ für alle interessierten Unternehmen zur Verfügung. Dort findet sich auch weitere Informationen wie die Ergebnisse der Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.
Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal https://www.security-bilanz.de/ zur Verfügung.
Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Fortinet, baramundi, PROFI Engineering Systems AG, DATEV, G+H Netzwerk-Design, Kaspersky und TeleTrust.