Compliance vom deutschen Mittelstand unterschätzt

Zwei Drittel der mittelständischen deutschen Unternehmen verfügen nicht über ein durchgängiges Sicherheits- und Compliance-Konzept.

Das geht aus einer Online-Untersuchung hervor, die der Sicherheitsanbieter Sophos zusammen mit dem Verein Deutschland sicher im Netz (DsiN) sowie den Unternehmen DATEV und SAP durchgeführt hat. Rund 600 Unternehmen haben bislang an dem Test teilgenommen.

Von den knapp 600 kleinen und mittelständischen Unternehmen, die bereits bei der anonymen Onlineumfrage mitgemacht haben, besitzen nur 33,2 Prozent eine Compliance-Strategie, in der das Unternehmen Verhaltensmaßregeln und die Berücksichtigung von Gesetzen und Richtlinien im IT-Bereich definiert.

Obwohl vielen Unternehmen noch eine eigene Strategie fehlt, haben bereits 69,6 Prozent mit einzelnen Compliance-Maßnahmen begonnen. Jedoch leiten lediglich 21,5 Prozent der Unternehmen die Sicherheitsziele für ihre IT-Infrastruktur von der Analyse ihres eigenen Schutzbedarfs ab.

Wie Sophos mitteilt, wird vor allem der Aspekt des Mitarbeiters in vielen Compliance-Fragen vernachlässigt: Auch wenn praktisch alle Mitarbeiter in ihrer täglichen Arbeit mit Compliance in Berührung kommen, bieten nur 26,7 Prozent der Unternehmen regelmäßig Informationen und Schulungen zu diesen Fragen an.

Besonderer Bedeutung kommt dabei auch der Umgang mit personenbezogenen Daten zu. Unternehmen drohen bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln hohe Geldstrafen.

Auch deutsche Großunternehmen seien in der Vergangenheit schon zu Strafen in Millionenhöhe verurteilt worden. Unter anderem deshalb, weil sensible Mitarbeiterdaten missbraucht wurden. “Trotz solcher Skandale wird die Bedeutung von Compliance aber oft noch nicht ausreichend erkannt”, sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos.

Der Sicherheitscheck kann unter www.sicher-im-netz.de/unternehmen/DsiN-Sicherheitscheck.aspx gestartet werden.

DsiN gibt im Rahmen des Handlungsversprechens “Starthilfe Sicherheit” Unternehmen konkrete Hilfsmittel zum Thema IT-Sicherheit im Mittelstand an die Hand, die diese sofort im Unternehmen umsetzen können. Für den täglichen Gebrauch hat DsiN eine umfangreiche Sammlung an Sicherheitsrichtlinien, Verfahrensanweisungen, Checklisten und Notfallplänen zusammengestellt und bedarfsgerecht aufbereitet.

Die Initiative entstand 2005 durch den Zusammenschluss von Unternehmen, Vereinen und Branchenverbänden, um auf diese Weise einen praktischen und vor allem produktneutralen und herstellerübergreifenden Beitrag für mehr IT-Sicherheit zu leisten.