Public Manager
02.04.2014 | Internet, Sicherheit, Software

techconsult stellt Studie zu IT- und Informationssicherheit im Mittelstand vor

Mittelständische Unternehmen sind in der Sicherheitsbetrachtung nicht weniger gefährdet als Großunternehmen. Grundsätzlich geht man davon aus, dass der Mittelstand einfach nicht in der Lage ist, die notwendigen Maßnahmen zu ergreifen, um den sich ständig ändernden und ganzheitlich zu betrachtenden Anforderungen an Datenschutz und Informationssicherheit gerecht werden zu können.

Ist dies wirklich so? Wie gut fühlen sich mittelständische Unternehmen in der technischen aber auch rechtlichen und organisatorischen Umsetzung der Security aufgestellt? Wo sind die "Sicherheitslücken" und wie stellt sich insgesamt das Sicherheitsniveau des Mittelstands dar?

Diese Fragestellungen hat techconsult gemeinsam mit BSI, teletrust, Sicherheits-Experten und heise Security erstmals in einer ganzheitlich aufgesetzten Studie erfasst. Befragt wurden ab Anfang 2014 über 500 kleine und mittelständische Unternehmen der Industrie, des Handels, Dienstleister, Banken und Versicherungen sowie Öffentliche Verwaltungen und Non-Profit-Unternehmen mit 20 bis 1.999 Mitarbeitern.

Das Ergebnis:
57 von maximal 100 Punkten zeigt der Sicherheitsindex dieser ersten Befragungswelle an. Dieser Wert spiegelt das aktuelle Sicherheitsempfinden des Mittelstands wider, der sich aus dem Einsatz von technischen, organisatorischen und rechtlichen Maßnahmen ergibt. Damit zeigt sich der Mittelstand - inkl. der öffentlichen Verwaltungen und Non-Profit Organisationen - erst einmal von der unsicheren Seite. Zur maximal möglichen Ausschöpfung ist es noch ein weiter Weg.
Verstärkt wird dies durch das wahrgenommene Gefährdungspotential, das sich zurzeit mit dem Gefährdungsindex von 46 Punkten im Mittelstand erfassen lässt. Das Sicherheitspolster von 11 Punkten des gemessenen Sicherheitsempfindens (57 Punkte) gegenüber dem Gefährdungsempfinden (46 Punkte) stellt praktisch keinen Vorsprung dar. Wäre die Gefährdungswahrnehmung genauso hoch wie das Sicherheitsempfinden, so würde dies bereits eine sehr kritische Sicherheitslage darstellen, da keinerlei Spielräume für unkalkulierbare/nicht bekannte Risiken bestünden. Vor diesem Hintergrund sollte der wahrgenommene Gefährdungsindex maximal halb so hoch sein, wie der Wert des wahrgenommenen Sicherheitsempfindens.

Aktuell haben mittelständische Unternehmen und Organisationen also nicht nur deutlichen Nachholbedarf in Richtung einer bestmöglichen Aufstellung in Sachen Datenschutz und Informationssicherheit, sondern sind zudem auch nur bedingt geeignet dem selbst wahrgenommenen Gefährdungspotential standzuhalten.
Wirft man nun noch einen Blick zu den wertmäßig letzten 25% der Befragungsgruppe, dann zeigt sich, dass hier mit einem Sicherheitsindex von 38 Punkten diese Gruppe als extrem gefährdet angesehen werden kann.
Zum Vergleich:
Als Security-Performer können sich aktuell die Unternehmen bezeichnen, die 78 und mehr Indexpunkte erzielen. Dieser Wert ergibt sich aus der "Top 25%"-Gruppe der aktuellen Analyse.

Der Ergebnisbericht zur Studie wird in Kürze auf dem Studienportal  verfügbar sein und detaillierte Analysen liefern, wo der Mittelstand Herausforderungen sieht und welche Gefahren als besonders bedrohlich wahrgenommen werden. Die Analysen werden dabei Unterschiede sowohl zwischen Branchen als auch Unternehmensgrößen in den Blick nehmen. Des Weiteren befinden sich bereits themenzentrierte Untersuchungen und Spezialanalysen, z.B. nach Subsegmente im Dienstleistungssektor, in Planung. Darüber hinaus ist die Studie als Langzeitprojekt konzipiert, sodass der diesjährig erhobene Status im nächsten einer Überprüfung unterzogen werden soll.

Security-Check zur Studie: Der heise Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check heise Security Consulter jedem mittel-ständischen Unternehmen die Möglichkeit, die eigenen Problembereiche im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der heise Security Consulter steht ebenfalls auf dem Studienportal zur Verfügung.

Die Studie Security Bilanz Deutschland und der heise Security Consulter werden unterstützt von baramundi, mesh, Microsoft Deutschland, NCP, Sophos, Deutsche Telekom, brainloop, Trend Micro, Symantec und PSW Group.