Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

Deutschland sicher im Netz e.V. setzt bei IT-Entscheidern verstärkt auf Motivation und Einsicht zum Handeln

[datensicherheit.de, 22.10.2016] Trotz zunehmender Nutzung des Internets im Alltag deutscher Unternehmen wird der Schutz vor Cyber-Angriffen vernachlässigt. Dies ist eine zentrale Erkenntnis der am 17. Oktober 2016 veröffentlichten Publikation „SicherheitsMonitor 2016“, welche das sechste Jahr in Folge vom Verein Deutschland sicher im Netz e.V. (DsiN) gemeinsam mit der DATEV eG vorgestellt wurde.

DsiN-SicherheitsMonitor Mittelstand seit 2011

Der „DsiN-SicherheitsMonitor Mittelstand“ beschreibt laut DsiN die IT-Sicherheitslage bei kleinen und mittleren Unternehmen (KMU).
Grundlage sei die Online-Befragung von Firmen im Rahmen des „DsiN-Sicherheitschecks“. Die Befragung werde seit 2011 mit Unterstützung der DATEV durchgeführt. Seit April 2011 hätten sich rund 8.600 mittelständische Unternehmen beteiligt.
Die Ergebnisse des aktuellen „DsiN-SicherheitsMonitors“ sollen auch auf dem „DsiN-Jahreskongress“ am 27. Oktober 2017 in Berlin diskutiert werden – der Bundesminister des Innern werde eine Grundsatzrede zum Jahresthema des Vereins halten: „Denn Sicherheit kommt von Verantwortung“.

Verbesserungen als langwieriger Prozess

Zwar hätten sich die Vorkehrungen hinsichtlich Cyber-Risiken in Einzelbereichen verbessert:

• So würden Sicherheitsrichtlinien heute von 32 Prozent der Unternehmen (2014: 28 Prozent) dokumentiert.
• Immerhin jedes vierte Unternehmen definiere unternehmenseigene Schutzziele für die IT (2014: 21 Prozent).

Bei der Sensibilisierung von Mitarbeitern hingegen sei weiterhin nur knapp jedes vierte Unternehmen aktiv (27 Prozent). Auch in anderen Kategorien verbesserten sich die Sicherheitsmaßnahmen nur langsam: So verfüge mit 31 Prozent – wie auch im Vorjahr – nur knapp jedes Dritte Unternehmen über einen Notfallplan, 2014 seien es allerdings erst 29 Prozent gewesen.

Überwiegend Einzellösungen statt Gesamtkonzepten

Übergreifende Konzepte zum sicheren Betrieb seien auch sechs Jahre nach dem Start der Studienerhebung 2011 nicht selbstverständlich.
So existierten nur in weniger als zwei Dritteln der KMU (58 Prozent) geregelte Verantwortlichkeiten für Datenschutz und Datensicherheit, und nur ein Drittel der KMU (32 Prozent) verfüge über ein von der Geschäftsleitung getragenes Sicherheitskonzept.
Solche grundlegenden Vorkehrungen seien aber eine Voraussetzung, um den Anforderungen eines IT-Grundschutzes zu erfüllen, den das Bundesamt für IT-Sicherheit auch kleineren Unternehmen empfiehlt.

Aufklärungsbewegung 2.0 angestrebt

Diese Ergebnisse überraschten sie nicht, sondern zeichneten einen langfristigen Trend zu einer langsamen, aber steten Verbesserung von Sicherheitsvorkehrungen, sagt Dr. Thomas Kremer, der DsiN-Vorstandsvorsitzende.
Dieser Trend müsse beschleunigt werden. „Deshalb setzen wir bei IT-Entscheidern verstärkt auf Motivation und Einsicht zum Handeln“, erläutert Kremer. Ein gutes Beispiel sei die bundesweite Workshop-Reihe „IT-Sicherheit@Mittelstand“ von DsiN mit der Deutschen Industrie- und Handelskammer (DIHK) und den örtlichen IHK‘. Hierbei stünden praktikable Anleitungen auch für kleinste Unternehmen im Vordergrund.
„Zum 10-jährigen Jubiläum von DsiN wollen wir in diesem Jahr auch neue Partner für Aufklärungsprojekte gewinnen, damit eine echte Aufklärungsbewegung 2.0 entsteht“, so Kremer.

Weiterbildung zahlt sich aus!

Mittelständische Unternehmen verkennen laut DsiN den Faktor „Mitarbeiter“ bei der IT-Sicherheit. Dr. Peter Krug, DsiN-Beiratsmitglied und Vorstandsmitglied der DATEV eG für Produktentwicklung, ruft Unternehmen daher dazu auf, in die Weiterbildung von Mitarbeitern zu investieren:
„Trotz erster positiver Entwicklungen bei den organisatorischen Maßnahmen werden die Mitarbeiter als Faktor für einen starken IT-Schutz von Unternehmen immer noch zu stark vernachlässigt.“
Unternehmen müssten in die Weiterbildung ihrer Angestellten investieren. Mitarbeiter gehörten bis heute zu den häufigsten Angriffszielen bei Cyber-Attacken. Insbesondere angesichts des aktuellen Anstiegs von Cyber-Angriffen zahle sich das am Ende doppelt aus, betont Krug.

Unzureichende Kenntnisse über rechtliche Anforderungen

Auffällig sei auch, dass Unsicherheiten im Umgang mit digitalen Angeboten auch auf unzureichende Kenntnisse über die rechtlichen Anforderungen zurückzuführen seien.
So gäben 71 Prozent der Unternehmen, die Cloud-Computing bereits einsetzen, an, entsprechende Sicherheitsanforderungen bzw. rechtliche Rahmenbedingungen (Compliance) nicht oder nur teilweise zu kennen.

Partnerschaft von ASW und DsiN beschlossen

Als Reaktion auf die zusätzlichen Aufklärungsanforderungen haben DsiN und der Bundesverband ASW (Allianz für Sicherheit in der Wirtschaft e.V.) eine Partnerschaft beschlossen, die den Erfahrungsaustausch über wirksame Maßnahmen bei der Sensibilisierung und Motivation für IT-Sicherheit im Mittelstand verstärken soll.
Um die Chancen der Digitalisierung zu nutzen und Sicherheitsrisiken zu minimieren, sei die Aufklärung eine grundlegende Voraussetzung. DsiN sei ein starker Partner, „um dieses Engagement künftig noch besser und zielgerichteter zu verstärken“ erklärt der Vorsitzende des ASW-Bundesverbandes Volker Wagner.

Weitere Informationen zum Thema:

Abbildung: Deutschland sicher im Netz e.V.

DsiN-Sicherheitsmonitor2016 / IT-Sicherheitslage in Deutschland

DsiN Deutschland sicher im Netz
10 JAHRE DSIN / JAHRESKONGRESS 2016

Allianz für Sicherheit in der Wirtschaft e.V. (ASW)
Bundesverband ASW