Die Security Bilanz Deutschland 2015 stellt die Umsetzung von IT-Sicherheitsmaßnahmen in den Untersuchungsfokus und liefert im Ergebnis ein realitätsgetreues Bild vom Stand der IT- und Informationssicherheit in den Unternehmen des deutschen Mittelstands [1].
Die Untersuchung von technischen Lösungen und Maßnahmen, die Unternehmen einsetzen, hatte Mitte des Jahres 2015 gezeigt, dass zwar das Bewusstsein um die Probleme bei den Unternehmen vorhanden ist, sich die Situation aber gegenüber 2014 nicht verbessert hat. Der nun veröffentlichte zweite Studienbericht der Security Bilanz Deutschland 2015 untersucht, wie mittelständische Unternehmen und öffentliche Verwaltungen in Bezug auf organisatorische, rechtliche und strategische Maßnahmen für IT- und Informationssicherheit aufgestellt sind. Das Fazit: Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt.
Mitarbeitersensibilisierung hat Nachholbedarf
Organisatorische Maßnahmen werden bei rund zwei Dritteln der Unternehmen und Verwaltungen nur unzureichend umgesetzt. Dazu gehören zum Beispiel die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien.
Neben den technischen Maßnahmen müssen auch alle beteiligten Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, stellen diese doch oftmals das schwächste Glied in der Sicherheitskette dar, deren Fehlverhalten weitreichende Konsequenzen für das Unternehmen nach sich ziehen kann. Mitarbeiterzentrierte Maßnahmen lassen dabei zu wünschen übrig, denn knapp zwei Drittel der Unternehmen weisen dort Umsetzungsprobleme auf. Als Maßnahmen, welche helfen können, die Mitarbeiter auf die Gefahren einer inadäquaten Nutzung der IT-Tools zu sensibilisieren, bieten sich zum Beispiel Übungen zur IT-Security oder Awareness-Kampagnen an, welche auch die Konsequenzen sicherheitsgefährdender Verhaltensweisen demonstrieren. Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen.
Vertragsrechtliche Absicherung
Rechtliche Maßnahmen zur Absicherung im Ernstfall, aber auch der Einsatz von Maßnahmen wie Geheimhaltungsvereinbarungen weisen bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite auf. Eine vertragsrechtliche Absicherung im Ernstfall ist für die Unternehmen essentiell, wenn beispielsweise der Abfluss unternehmensinterner Daten an unberechtigte Dritte eintritt. Durch sie lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, welche die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können. Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.
Langfristiger Erfolg der IT- und Informationssicherheit ist gefährdet
Strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, werden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. Die strategischen Maßnahmen stellen einen wichtigen Bestandteil für eine langfristig erfolgreiche Umsetzung der IT- und Informationssicherheit dar. Wenn die eigenen Sicherheitsanforderungen und -maßnahmen explizit und überprüfbar definiert sind, sind die Unternehmen in der Lage, den Einsatz von Maßnahmen und Lösungen zu planen und den Umsetzungserfolg besser zu beurteilen. Bei weniger als einem Drittel der Unternehmen sind beispielsweise Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch die Integration von IT-Security-Maßnahmen in die Unternehmensprozesse wird nur bei wenigen Unternehmen erfolgreich umgesetzt. Für strategische Maßnahmen besteht angesichts der hohen Defizite dringender Handlungsbedarf, will man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie sind der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.
Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in puncto IT- und Informationssicherheit aufweisen – zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat. Aus diesem Anlass hat das Marktforschungs- und Beratungshaus techconsult ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt.
Abbildung 1: Zwei Drittel der mittelständischen Unternehmen und öffentlichen Verwaltungen geben an, dass Awareness-Kampagnen für IT-Security nicht gut umgesetzt sind.