DETECON Consulting

Mangelnde IT-Sicherheit bei kleinen und mittleren Unternehmen? Viele staatliche Initiativen klären auf – wenige helfen konkret

  • Internationale Studie vergleicht 56 Initiativen zur Verbesserung der IT-Sicherheit für kleine und mittlere Unternehmen in sieben Ländern
  • Kleine und mittlere Unternehmen treten kaum als Akteure bei Initiativen für IT-Sicherheit in Erscheinung
  • Gutscheine für Unternehmen erfolgreiches Instrument im Vereinigten Königreich zur Verbesserung der IT-Sicherheit
  • Niederländische Initiative bietet virtuellen Notfall-Knopf

Die meisten staatlichen Initiativen zur Verbesserung der IT-Sicherheit bei kleinen und mittleren Unternehmen adressieren vorrangig die Wahrnehmung des Themas bei den Unternehmensverantwortlichen. Wohl stellt dies eine elementare Voraussetzung für den Erfolg von Sicherheitsmaßnahmen dar, andererseits mangelt es vielfach an konkreten Hilfen. Denn nur ein kleiner Teil – 35 Prozent – der im Rahmen einer internationalen Studie untersuchten Initiativen ließen sich konkreten informationstechnologischen Zielen aus dem Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie etwa dem Schutz vor nicht autorisiertem Zugang zuordnen. Dies ergab eine Studie, die die Managementberatung Detecon International im Auftrag des Bundesministeriums für Wirtschaft und Energie zusammen mit dem Institut für Wirtschafts- und Politikforschung und der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e. V. durchgeführt hat.

Im internationalen Vergleich startet Deutschland mit Abstand die meisten Initiativen für kleine und mittlere Unternehmen. „Leider wird die Beteiligung als Akteur an Initiativen zur Verbesserung der IT-Sicherheit von den betrachteten Unternehmen zweifellos vernachlässigt. Dies ist auch darauf zurückzuführen, dass mancherorts Lenker von kleinen und mittleren Unternehmen die Risiken mangelnder IT-Sicherheit unterschätzen, Detailwissen fehlt und nationale Initiativen nicht konkret und zielgruppengerecht unterstützen“, kommentiert Michael von Uechtritz und Steinkirch, Detecon-Partner und verantwortlicher Leiter der Studie. Die drei festgestellten Hauptgründe für mangelnde Informationssicherheit liegen auch im fehlenden Angebot geeigneter Lösungen, in der verzerrten Wahrnehmung und den fehlenden Ressourcen der Inhaber. „Es ist davon auszugehen, dass zukünftig nationale Initiativen stärker an den Bedarfen der KMU als Akteure solcher Initiativen ausgerichtet sind – also etwa unterschiedliche Wirtschafts-Regionen und Branchen adressieren – damit das mit mangelnder IT-Sicherheit einhergehende Risiko von wirtschaftlichen und Wissens-Verlusten für das einzelne Unternehmen, eine Wirtschaftsregion oder einen Wirtschaftssektor reduziert werden kann.“

Gutscheine als einfache und effektive Initiative:

Der Großteil der Initiativen leistet laut Studie in erster Linie Aufklärungsarbeit, sei es mit Hilfe von Informationsmaterialien, Kampagnen oder Schulungen. Individuelle Beratungen vor Ort werden entweder direkt durch Mitarbeiter der jeweiligen Initiative oder wie etwa beim britischen „Innovation Vouchers for Cyber Security“ mit Hilfe von staatlichen Zuschüssen durch IT-Dienstleister erbracht. Gutscheine für eine Beratung werden jedoch nur dann gewährt, wenn das Unternehmen zumindest die Idee und Umsetzung des Vorhabens erläutern kann. „Dieser Ansatz, die begrenzten Mittel im Hinblick auf ihre Wirkung im Unternehmen möglichst optimal einzusetzen, ist für eine mögliche Adaption besonders interessant“, erklärt Michael von Uechtritz. „Vor einer Umsetzung wäre unter anderem zu prüfen, ob weitere Anforderungen an die Dienstleistung, z.B. in Form eines Pflichtenheftes oder einer Zertifizierung, formuliert werden oder bestehende deutsche Plattformen genutzt werden können.“

Die Studie zeigt weiterhin, dass in den Initiativen konkrete technische Lösungen eher die Ausnahme darstellen. „Angesichts der erheblichen Defizite der kleinen und mittleren Unternehmen insbesondere bei der Verschlüsselung ihrer Kommunikation ist dieser Befund nicht unbedingt zu erwarten gewesen, zumal mit der „Initiative-S“ auch ein Beispiel für eine konkrete Unterstützung identifiziert werden konnte“, so von Uechtritz weiter.

Die aus der Perspektive der Mittelstandsförderung konzipierte „Initiative-S“ des Verbands der deutschen Internetwirtschaft (eco) prüft Websites und unterstützt diese bei der Bereinigung von Schadsoftware. Bis März 2014 hatten alle rund 17.000 registrierten Unternehmen ihre Websites kontinuierlich prüfen lassen, wobei das Projektteam täglich ein bis zwei Infektionen unschädlich machen konnte. Sehr konkrete Hilfe leistet auch das niederländische Programm ‚‚Hulpknop‘‘ (deutsch: Notfallknopf), das Unternehmen, die Opfer eines Cyberangriffs geworden sind, im Web anhand von Kategorien schnell Informationen liefert, welche Gegenmaßnahmen jeweils zu ergreifen sind.

Ein grundsätzliches Dilemma für die Verbesserung der IT-Sicherheit besteht darin, dass Initiativen, die aufgrund ihrer gezielten Konzeption einzelne Unternehmungen ansprechen, zwar eine bessere Resonanz haben, allerdings aufgrund der klar begrenzten Zielgruppe nur wenige Unternehmen erreichen. Einen Ausweg bietet die Einbindung von Multiplikatoren, etwa Verbänden, Rechtsanwälten, Institutionen, Wirtschaftsprüfern, Steuer- und Unternehmensberatern, die vorhandene Informationen ihren Klienten, Kunden oder Mitgliedern nahebringen. „Die Kammern als deutsches Beispiel geben ihr Bestes, um hier zu unterstützen“, so Michael von Uechtritz, so wurden etwa im Rahmen der Initiative „Freie Berufe als Brückenbauer“ schon weit über 3.000 Teilnehmer geschult.

Die Studie „Staatliche Initiativen zur Unterstützung der IT-Sicherheit in der mittelständischen Wirtschaft im internationalen Vergleich“ steht zum Download unter www.detecon.com/kmu bereit.