Von der Fehleinschätzung zum mangelhaften Schutz.
Das Fazit vorab: Ein Großteil der deutschen Mittelständler ist gegen gängige Bedrohungen ihrer Unternehmens-IT nicht ausreichend geschützt. Dieses unzureichende Schutzniveau geht in der Regel einher mit einer niedrigen Einschätzung des Gefährdungspotentials, das von den einzelnen Bedrohungsszenarien ausgeht.
Die Mehrheit der befragten Mittelständler schreibt den einzelnen Bedrohungsszenarien maximal „eher geringes“ Gefährdungspotential zu, so bewerten über 60 Prozent der Unternehmen Schadsoftware wie Viren oder Würmer als mäßig relevante Bedrohung für die unternehmenseigene IT. Gleichzeitig gibt über die Hälfte der Unternehmen an, dass die eigenen Schutzmaßnahmen gegen Schadsoftware aktuell unzureichend sind.
Subjektive Gefährdungseinschätzung
Dass die Einschätzung der Bedrohungslage und die Umsetzung entsprechender Schutzmaßnahmen einen signifikanten Zusammenhang aufweisen, ist keine Überraschung, dass aber fast ausschließlich die Unternehmen eine gute Umsetzung von Schutzmaßnahmen berichten, die dem jeweiligen Bedrohungsszenario auch ein hohes Gefährdungspotential zuschreiben, zeigt deutlich, wie sehr die subjektive Gefährdungseinschätzung das reale Schutzniveau eines Unternehmens bestimmt.
Festzuhalten bleibt, dass aktuell mehr als die Hälfte der Mittelständler nur unzureichend gegen gängige Bedrohungsszenarien geschützt sind. Zwar sind den Unternehmen die einzelnen Bedrohungen bekannt, doch stellt sich häufig die Frage, was konkret unternommen werden muss, um die IT- und Informationssicherheit im eigenen Unternehmen zu verbessern. Um eine passgenaue IT-Security-Strategie zu entwickeln, gilt es den eigenen Bedarf zu analysieren und ihm den Status Quo der Schutzmaßnahmen gegenüber zu stellen. Nichts anderes geschieht im Rahmen eines IT-Security-Audits, doch ist dies auch mit hohem Aufwand verbunden, zeitlich, finanziell, wie auch personell.