IT-Security im Mittelstand: Jedes Dritte Unternehmen weder gegen Systemausfälle noch gegen Datenverlust versichert

studie techconsult security bilanz kosten pro stunde

Wenn deutsche Mittelständler an Datensicherheit denken, dann häufig zuerst an technische Maßnahmen um bekannte Gefahren abzuwehren. Unbestreitbar besteht bei vielen Unternehmen die Notwendigkeit technisch aufzurüsten [1]. Zu diesem Ergebnis kommt der aktuelle Studienbericht zur Security Bilanz, der unter www.security-bilanz.de als Download verfügbar ist. Die Abwehr von Bedrohungen ist selbstverständlich ein zentrales Element jeder guten IT-Security-Strategie, doch auch abseits technischer und organisatorischer Maßnahmen besteht dringender Handlungsbedarf: Eine große Gefahr liegt auch darin, dass viele Unternehmen sich nicht gegen IT-bezogene Risiken versichern.

Vielfältige Ursachen für IT-Ausfälle

Es müssen nicht immer gezielte Angriffe sein, die massive (finanzielle) Folgen nach sich ziehen. Systemausfälle etwa können eine Vielzahl von Ursachen haben, die Bandbreite reicht von technischen Attacken über das Fehlverhalten der eigenen Mitarbeiter bis hin zu Infrastrukturproblemen (z.B. längeren Stromausfällen). Ungeachtet der Ursache wirken sich Systemausfälle und Datenverlust aber direkt auf die Produktivität im Unternehmen aus.

Umfassende Security Konzepte berücksichtigen den Ernstfall

Im Rahmen eines umfassenden Security Konzepts sollten Unternehmen nicht nur Vorkehrungen treffen, um Gefahren abzuwehren, es gehört ebenso dazu, sich für den Ernstfall abzusichern. Häufig sind Probleme in der IT-Sicherheit bekannt, sie werden jedoch aus unterschiedlichen Gründen in Kauf genommen, z.B. weil die notwendigen Investitionen zu hoch erscheinen. Man lebt mit einem Risiko, weil der potenziell entstehende Schaden vermeintlich überschaubar ist und den Aufwand, der zur Absicherung betrieben werden müsste, nicht rechtfertigt. Umso erstaunlicher ist es, dass in jedem zweiten Unternehmen die Kosten von Systemausfällen nicht bekannt sind. Doch wie soll eine Absicherung des Risikos erfolgen, wenn die finanziellen Folgen nicht bekannt sind?

Darüber hinaus sollten potenzielle Schäden durch Systemausfall oder Datenverlust gegen die Kosten für eine Versicherung abgewogen werden, die zumindest einen Teil der entstehenden Schäden abfangen kann. Versicherungen gegen Systemausfall und/oder Datenverlust sind bei einem Drittel der Unternehmen gar nicht vorhanden. Im Ernstfall müssen sie somit allein entstehende Schäden tragen, was sich – wenn die Höhe potenzieller Schäden gar nicht bekannt ist – als existenzbedrohend darstellen kann. Rund 21% sind nur im Rahmen der Haftpflicht versichert, rund 17% für direkte Schäden, aber immerhin auch 30% darüber hinaus für entstehende Folgeschäden wie entgangenem Gewinn und fortlaufenden Kosten.

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

___________________________________

[1] techconsult nimmt mit dem Studienprojekt Security Bilanz Deutschland die IT- und Informationssicherheit im Mittelstand in den Blick. Dazu wurden über 500 Unternehmen mit 20 bis 1.999 Mitarbeitern nach ihrer Einschätzung der wahrgenommenen Bedrohung sowie der aktuellen Umsetzung von Sicherheitsmaßnahmen befragt.

Die Studie Security Bilanz Deutschland und der heise Security Consulter werden unterstützt von Fortinet, baramundi, IBM, Microsoft Deutschland, Sophos, Telekom Deutschland, Networkbox, TeleTrust und Symantec.

www.security-bilanz.de

 

studie techconsult security bilanz spanne der ergebnisse

Abbildung 2 zeigt, dass die besten 25 Prozent der Unternehmen Durchschnittswerte jenseits der 78-Punkte-Marke erreichen. Unternehmen, die gut bis sehr gut hinsichtlich IT- und Informationssicherheit aufgestellt sind, erreichen also mehr als 20 Punkte höhere Indexwerte als der Durchschnitt. Die 25 Prozent der schlechtesten Unternehmen liegen dagegen bei 38 Punkten und weniger.

 

studie techconsult security bilanz detailergebnisse