Neue BSI-Studie zur IT-Sicherheit in KMU

Lutz Pössneck,

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. Demnach ist das Bewusstsein für IT-Sicherheitsthemen hoch, die Umsetzung konkreter Maßnahmen dagegen verbesserungswürdig.

Das Bewusstsein für Themen der IT-Sicherheit ist laut BSI bei den Verantwortlichen in deutschen KMU vorhanden. Auch in technischer Hinsicht sind viele Unternehmen gegen die Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen jedoch einen Nachholbedarf – insbesondere im Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen.

Die Studie macht deutlich, dass die KMU im Bereich der IT-Sicherheit grundsätzlich geeignet aufgestellt sind. Im Durchschnitt werden rund zwei Drittel der in Anlehnung an den IT-Grundschutz abgefragten IT-Sicherheitsmaßnahmen in den Unternehmen umgesetzt. Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung und Absicherung der Netzwerke umgesetzt.

Reifegrad der Sicherheitsprozesse, Grafik: BSI
Reifegrad der Sicherheitsprozesse, Grafik: BSI

In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Insbesondere bei den geschäftskritischen IT-Sicherheitsprozessen wie etwa dem Umgang mit Sicherheitsvorfällen oder dem Notfallmanagement zeigen sich Schwächen. Hier vertrauen die Unternehmen zumeist auf die eigene Fähigkeit, im Fall des Falles geeignet reagieren zu können – ein offensichtlicher Trugschluss der IT-Sicherheit.

Die Selbsteinschätzung der KMU lässt erkennen, dass es ein hohes Bewusstsein für die Bedeutung der IT-Sicherheit gibt. Dem trägt der Umsetzungsgrad der technischen Maßnahmen im Wesentlichen Rechnung. Es sind jedoch die notwendigen Prozesse eines IT-Sicherheitsmanagements weder durchgehend vorhanden noch standardisiert. Auch im Bereich der personellen Maßnahmen gibt es in vielen Unternehmen noch Nachholbedarf. Nur jedes zweite Unternehmen benennt beispielsweise einen IT-Sicherheitsverantwortlichen.

In vielen Unternehmen gibt es zudem einen hohen Abstimmungsbedarf zwischen Geschäftsführung und IT-Verantwortlichen. Die Bereitschaft, die jeweils eigenen Interessen im Hinblick auf den Erfolg des Unternehmens zusammen zu führen, ist jedoch vorhanden. Die Studie zeigt, dass eine neutrale Moderation der erforderlichen Gespräche erfolgversprechend sein kann.

Ziel der Studie war es, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer IT-Infrastrukturen im Bereich der KMU zu ermitteln. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen produzierendes Gewerbe, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews sowohl mit der IT-Leitung als auch der Geschäftsleitung, die ebenso wie die anschließende Auswertung von IT-Sicherheitsexperten durchgeführt wurden. Die Ergebnisse wurden in einer zweiten Befragung mit den Unternehmen diskutiert, verifiziert und vertieft. Durch dieses Verfahren konnte das BSI jedem Untersuchungsgebiet Handlungsempfehlungen hinzufügen.