IT-Sicherheit im Mittelstand – ein emotionales Erlebnis

Die Welt aus dem Blickwinkel eines mittelständischen, nicht IT-nahen Unternehmers.

Was hat sich im Hinblick auf IT-Sicherheit im Mittelstand im Jahr 2005 getan? Und was ist für 2006 zu erwarten? Die Welt betrachtet aus dem Blickwinkel eines erfolgreichen, mittelständischen, männlichen, nicht IT-nahen Unternehmers aus der Produktionsbranche, Ende 40, noch ohne Porsche.

Deutschland verzeichnet Wachstum

Stellen Sie meinem Unternehmer die Frage, ob er Zuwächse positiv bewertet. Er wird spontan mit “Ja” antworten. Nun analysieren wir: Objektiv gesehen ist in 2005 das Gefahrenpotential weiter angestiegen, (vergleiche silicon.de Studie IT-Sicherheit 2005).  Nach den Ergebnissen der Studie hat zum Beispiel Spam weiter zugelegt. Rund 90 Prozent der Befragten haben bestätigt, dass sie mit dem Problem in diesem Jahr konfrontiert wurden, 10 Prozent mehr als im Vorjahr (2004). Und Spam wirkt. Denn auch hier gilt die Weisheit der Dakota-Indianer: Wenn du merkst, dass Du ein totes Pferd reitest, steige ab! Hier wird aber nicht abgestiegen, hier wird aufgesessen. Blaue Pillen und Uhren-Replikate haben also doch ihre Abnehmer.

Spam ist dabei somit zugleich lukrativ und teuer; lukrativ für den Spammer und teuer für den Unternehmer, in dem der Adressat beschäftigt ist. Die logische technische Konsequenz könnte sein, den Spam im Unternehmen zu filtern. Rechtlich ist dies aber gar nicht ohne weiteres zulässig, wie uns die Entscheidung des OLG Karlsruhe (Beschluss vom 10. Januar 2005, Aktenzeichen: 1 Ws 152/04) aufgezeigt hat. Zur Erinnerung: Es ging um die Verletzung des Post- und Fernmeldegeheimnis (§ 206 StGB) im Zusammenhang mit gefilterten E-Mails. In der Entscheidung heißt es sinngemäß, der Tatbestand ist nicht erfüllt, wenn die Filterung aufgrund eines Einverständnisses von allen an dem konkreten Fernmeldeverkehr Beteiligten erfolgt. Der Spammer sollte nicht leichtfertig zustimmen. Erfolg beruht auf Planung und Durchhaltevermögen.

Bei den Viren und Trojanern gab es leichte Veränderungen. Insgesamt aber, ist auch hier die Tendenz steigend. Zwar ging die Penetrationsrate durch Viren von 94 auf 84 Prozent zurück, dafür stieg die Verbreitung von Trojanern von 42 auf 55 Prozent im Vergleich zum Vorjahr. Und wieder sehen wir ein Lächeln in den Augenwinkeln unseres Unternehmers, der Zuwächse ja grundsätzlich positiv bewertet.

Deutschland setzt auf die Zukunft

Die Zukunft ist rosig, denn die durch Angriffe oder Viren entstandenen Schäden sind deutlich zurückgegangen. Im Vergleich zum Vorjahr mussten nur halb so viele Schäden gemeldet werden, wie Datenverlust/Datenkorruption (von 29 auf 14 Prozent), Verlust der Systemintegrität (von 10 auf 4 Prozent), oder Manipulation von Systemprogrammen und Anwendungen (von 5 bzw. 4 auf 2 Prozent). Was besonders gut zu funktionieren scheint, ist inzwischen die Abschottung der Infrastruktur gegen Eindringlinge: Nur noch 2 Prozent der Befragten wurden durch einen unberechtigten Zugang in ihr Firmennetz behelligt, im letzten Jahr waren es noch 9 Prozent. Mein Unternehmer zeigt sich zufrieden, denn das Schadenspotential von Außen habe sich reduziert. Das sei ein Erfolg.

Nun fragen wir meinen Unternehmer, was er von der Jugend und vom ‘selbständig machen’ hält. Hier, sagt er, müsse mehr Initiative gezeigt werden. Dies korrespondiert ausgezeichnet mit den Ergebnissen der silicon.de Studie IT-Sicherheit 2005. Zwar werden darin USB-Komponenten wie Memory-Sticks, MP3-Player, PDA und externe Festplatten als Gefahren benannt. Diese Geräte werden aber vor allem in der Hand des eigenen Personals zu neuen Chancen. Niemals zuvor war der zur Selbständigkeit wünschenswerte Wissenstransfer einfacher. Die Initiativen steigen, und das ist gut so.

Deutschland setzt auf den Mittelstand

Mein Unternehmer erklärt, Deutschland, das bedeutet Mittelstand. Der Mittelstand sei traditionell opferbereit und dort würden die Arbeitsplätze geschaffen. Und wieder hat er den Nagel auf den Kopf getroffen. Denn die Studie belegt, dass Sicherheit das IT-Budget des Mittelstands über die Maßen belastet. Verglichen mit Großunternehmen und mit Kleinbetrieben ist der Anteil an Mittelständlern, bei welchen das Security-Budget 10 bis 15 Prozent oder gar 15 bis 20 Prozent des gesamten IT-Budgets einnimmt, überproportional hoch.

Zum Thema neue Arbeitsplätze meint mein Unternehmer, dass er natürlich auch erkannt habe, dass das Thema IT-Sicherheit an Relevanz zugenommen habe. Er verkenne nicht, dass sich die tägliche Arbeit des IT-Personals in Zusammenhang mit Sicherheit in den letzten fünf Jahren vervielfacht habe. Der Aufwand, auf Servern und Clients Patches aufzuspielen, sei immens geworden. Dies werde auch bei ihm auf Dauer zu einem Ressourcenengpass führen. Er plane, dem aber mit Neueinstellungen zu begegnen. Das ist schön zu hören. So wird aus einem Unternehmen der Produktionsbranche bald ein IT-Dienstleistungsunternehmen, das sich mit sich selbst beschäftigt. Irgendwie clever.

Auch deutsche Männer haben Emotionen

Nun wollen wir an das Herz des Unternehmers, wir möchten seine Emotionen spüren. Deshalb fragen wir ihn, ob er einen Porsche 911 für ein emotionales Produkt hält. Ein wohlig geseufztes “Ja” ist die Antwort. Und nun die Frage, ob der Kauf von Antispam- und Antiviren-Software von ihm genau so emotional bewertet wird? Die Antwort ist nein! Dem Manne kann geholfen werden. Ihm muss nur erklärt werden, dass für seinen Betrieb der Kauf der genannten Software genau so teuer ist wie der Porsche, dass die Software die Performance seiner IT-Anlagen reduzieren wird und dass er im Grunde diese Investition tätigen muss, weil andere Unsinn machen. Spätestens hier ist eine sehr emotionale Reaktion zu erwarten.

IT ist etwas schönes. Sie hat für jeden etwas.

Frohes Fest.