Organisatorische, rechtliche und strategische Umsetzung von IT- und Informationssicherheit häufig mangelhaft

Security Bilanz Deutschland 2015

Die Untersuchung von technischen Lösungen und Maßnahmen, die Unternehmen einsetzen, hatte Mitte des Jahres gezeigt, dass zwar das Bewusstsein um die Probleme bei den Unternehmen vorhanden ist, sich die Situation aber gegenüber 2014 nicht verbessert hat. Der nun veröffentlichte zweite Studienbericht der Security Bilanz Deutschland 2015 untersucht, wie mittelständische Unternehmen und öffentliche Verwaltungen in Bezug auf organisatorische, rechtliche und strategische Maßnahmen für IT- und Informationssicherheit aufgestellt sind. Das Fazit: Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt.

Mitarbeitersensibilisierung hat Nachholbedarf

Organisatorische Maßnahmen werden bei rund zwei Dritteln der Unternehmen und Verwaltungen nur unzureichend umgesetzt. Dazu gehören zum Beispiel die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien.

Neben den technischen Maßnahmen müssen auch alle beteiligten Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, stellen diese doch oftmals das schwächste Glied in der Sicherheitskette dar, deren Fehlverhalten weitreichende Konsequenzen für das Unternehmen nach sich ziehen kann. Mitarbeiterzentrierte Maßnahmen lassen dabei zu wünschen übrig, denn knapp zwei Drittel der Unternehmen weisen dort Umsetzungsprobleme auf. Als Maßnahmen, welche helfen können, die Mitarbeiter auf die Gefahren einer inadäquaten Nutzung der IT-Tools zu sensibilisieren, bieten sich zum Beispiel Übungen zur IT-Security oder Awareness-Kampagnen an, welche auch die Konsequenzen sicherheitsgefährdender Verhaltensweisen demonstrieren. Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen.

Vertragsrechtliche Absicherung

Rechtliche Maßnahmen zur Absicherung im Ernstfall, aber auch der Einsatz von Maßnahmen wie Geheimhaltungsvereinbarungen weisen bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite auf. Eine vertragsrechtliche Absicherung im Ernstfall ist für die Unternehmen essentiell, wenn beispielsweise der Abfluss unternehmensinterner Daten an unberechtigte Dritte eintritt. Durch sie lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, welche die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können. Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.

Langfristiger Erfolg der IT- und Informationssicherheit ist gefährdet

Strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, werden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. Die strategischen Maßnahmen stellen einen wichtigen Bestandteil für eine langfristig erfolgreiche Umsetzung der IT- und Informationssicherheit dar. Wenn die eigenen Sicherheitsanforderungen und -maßnahmen explizit und überprüfbar definiert sind, sind die Unternehmen in der Lage, den Einsatz von Maßnahmen und Lösungen zu planen und den Umsetzungserfolg besser zu beurteilen. Bei weniger als einem Drittel der Unternehmen sind beispielsweise Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch die Integration von IT-Security-Maßnahmen in die Unternehmensprozesse wird nur bei wenigen Unternehmen erfolgreich umgesetzt. Für strategische Maßnahmen besteht angesichts der hohen Defizite dringender Handlungsbedarf, will man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie sind der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.

Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungs-bedarf in Puncto IT- und Informationssicherheit aufweisen – zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat. Aus diesem Anlass hat das Marktforschungs- und Beratungshaus techconsult ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt.

Abbildung: Zwei Drittel der mittelständischen Unternehmen und öffentlichen Verwaltungen geben an, dass Awareness-Kampagnen für IT-Security nicht gut umgesetzt sind.

Die Studienberichte und das Strategiepapier stehen ab sofort auf der Webseite des Projekts unter https://www.security-bilanz.de für alle interessierten Unternehmen zur Verfügung. Dort findet sich auch weitere Informationen zur Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Net at Work, Bitdefender, DATEV eG, G+H Netzwerk-Design, Hewlett Packard Enterprise, msg systems ag und TeleTrust.

Über die techconsult GmbH

Die techconsult GmbH, gegründet 1992, zählt zu den etablierten Analystenhäusern in Zentraleuropa. Der Schwerpunkt der Strategieberatung liegt in der Informations- und Kommunikationsindustrie (ITK). Durch jahrelange Standard- und Individual-Untersuchungen verfügt techconsult über einen im deutschsprachigen Raum einzigartigen Informationsbestand, sowohl hinsichtlich der Kontinuität als auch der Informationstiefe, und ist somit ein wichtiger Beratungspartner der CXOs sowie der IT-Industrie, wenn es um Produktinnovation, Marketingstrategie und Absatzentwicklung geht. Die techconsult GmbH wird vom geschäftsführenden Gesellschafter und Gründer Peter Burghardt am Standort Kassel mit einer Niederlassung in München geleitet und ist Teil der Heise Medien Gruppe.

Henrik Groß
– Analyst –

Tel.: +49-561-8109-178
E-Mail: henrik.gross@techconsult.de