IT- und Informationssicherheit im Mittelstand

DSGVO rückt Thema Informationssicherheit in den Fokus

Die Zeit drängt: Am 25. Mai 2018 endet die zweijährige Übergangsfrist zur Umsetzung der Europäischen Datenschutz Grundverordnung (DSGVO). Ab diesem Stichtag ersetzt diese das Bundesdatenschutzgesetz und verschärft die bereits strengen Regelungen nochmals. Der Mittelstand droht die Umsetzung zu verschlafen – es ist höchste Zeit, sich damit auseinanderzusetzen. Mit Inkrafttreten der DSGVO steht nämlich eine deutliche Fokusverschiebung hin zum Thema Informationssicherheit bevor, die die Betrachtung von IT-Sicherheit in Unternehmen nachhaltig verändern dürfte.

Seit 2014 untersucht die Studie Security Bilanz Deutschland die Situation der IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen. Jahr für Jahr zeigte die Studie auf, dass es um die IT-Sicherheit nicht gut bestellt ist und sich die Unternehmen zunehmend einer größeren Gefährdung ausgesetzt sehen.

Neben dem erwarteten Anstieg von Cyberbedrohungen, entsteht für die Unternehmen ein weiteres dringendes Handlungsfeld: Die Umsetzung der DSGVO. Diese wird im Fokus der Unternehmen stehen und auch die Anforderungen an die IT-Sicherheit im Unternehmen nachhaltig verändern. War bislang beim Thema IT-Sicherheit eher die reine technische Absicherung gegen Angriffe gefragt, sorgt die DSGVO für eine Verschiebung der Betrachtung hin zum bisher eher stiefmütterlich behandeltem, ganzheitlichen Thema Informationssicherheit.

Der Mittelstand hinkt hinterher

„Wer ist verantwortlich? Wo, wie und wann wird dokumentiert? Was passiert, wenn …?“ Die Klärung solcher grundsätzlichen Fragen stellt eine große Herausforderung für den Mittelstand dar. Die Studie Security Bilanz Deutschland hat im letzten Jahr ermittelt, dass in mehr als der Hälfte der Unternehmen noch nicht einmal definiert ist, wer zu informieren ist, wenn es zu einem Datenverlust kommt. Und nur 13 Prozent der mittelständischen Unternehmen hat bereits konkrete Maßnahmen zur Umsetzung der DSGVO ergriffen. Das ist insofern beängstigend, da im Bundesdatenschutzgesetz (BDSG) bereits gewisse Pflichten wie die Erstellung von Verzeichnissen von Datenverarbeitungstätigkeiten oder auch die Meldepflicht definiert sind. An dieser Stelle scheint der Mittelstand bereits in der Vergangenheit einiges versäumt zu haben. Doch wer bereits die strengen Regeln des BDSG befolgt hat, wird mit der DSGVO wenig Probleme haben. Doch nur rund ein Drittel der in der Security Bilanz befragten Mittelständler und öffentlichen Verwaltungen hat nach eigenen Angaben Maßnahmen nach BDSG gut umgesetzt.

Erst die Prozesse, dann die Lösungen

Technische Maßnahmen und Lösungen wie Transportverschlüsselungen bei der Datenübertragung, verschlüsselte Datenspeicherung oder Zugriffsprotokollierung können erst nach einer genauen Analyse und Definition der Prozesse angegangen werden. Eine genaue Analyse der Prozesse im Unternehmen und der Abgleich mit den Anforderungen der DSGVO vereinfacht das Auffinden potenzieller Lücken und der zur Beseitigung nötigen technischen Lösungen. Doch auch die Sensibilisierung der Mitarbeiter außerhalb der IT-Abteilung darf nicht vernachlässigt werden. Denn der Mensch bleibt das schwächste Glied in der Sicherheitskette und kann mit Unachtsamkeit die Türen für Angreifer ganz weit öffnen.

Reine IT-Sicherheit war gestern

Die strengen Regeln der DSGVO verändern auch die IT-Sicherheit in Unternehmen nachhaltig. Sie formuliert Grundsätze für die Datenverarbeitung, wie sie auch im Konzept der Informationssicherheit als Schutzziele definiert sind, zum Beispiel Integrität und Vertraulichkeit. Mit den steigenden Anforderungen der DSGVO in Bezug auf die Dokumentation der Grundlage der Datenverarbeitung (Rechtmäßigkeit, Einwilligung des Betroffenen) werden auch weitere Konzepte der Informationssicherheit wie die Verbindlichkeit und Zurechenbarkeit eingeführt. Die Grundsätze „Privacy by Design“ und „Privacy by Default“ sind analog dem Anonymitätsgebot des Informationssicherheitskonzeptes zu sehen.

Bedrohungen nehmen weiter zu

Zusätzlich zur neuen „Baustelle“ DSGVO müssen Unternehmen sich 2018 auch weiterhin mit der Abwehr von Bedrohungen durch Schadsoftware & Co. befassen. Daten sind ein wertvolles Gut und Cyberkriminelle finden immer wieder neue Wege um an diese zu gelangen. „Die Gefährdungen, denen sich Unternehmen ausgesetzt sehen, werden nicht weniger werden. Eher ist davon auszugehen, dass Unternehmen eine weiterhin steigende Anzahl von Angriffen fürchten müssen, beispielsweise von IoT-Bot-Netzen oder neuen Arten von Ransomware“ gibt Henrik Groß, Senior Analyst bei techconsult, zu bedenken. „Trotzdem wird die DSGVO in diesem Jahr ein beherrschendes Thema bleiben, spätestens dann, wenn die ersten Sanktionen verhängt werden oder auch Wettbewerbsabmahnungen auftreten. Unternehmen sollten daher ihre bisherigen Aktivitäten in Sachen Cybersicherheit nicht aus den Augen verlieren. Insgesamt heißt das, dass auch Ressourcen und Budgets für IT- und Informationssicherheit überprüft und gegebenenfalls aufgestockt werden müssen.“

Der Bericht zur Studie Security Bilanz Deutschland steht auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit. Zusätzlich finden interessierte Unternehmen dort den Security Consulter, ein kostenloses Tool, mit dem Sie sich an den Studienergebnissen messen können und dadurch eine Einschätzung ihrer IT-Sicherheit im Vergleich zum Wettbewerb erhalten:

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

Über die Studie

Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.

Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von DATEV eG, Deutsche Telekom, SecuRisk, Bitdefender, Net at Work, TeleTrust und AXA sowie weiteren Partnern aus Wirtschaft und Verbänden.

Raphael Napieralski
– Analyst –

Tel.: +49-561-8109-181
E-Mail: raphael.napieralski@techconsult.de