Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

2015Die Untersuchung von technischen Lösungen und Maßnahmen, die Unternehmen einsetzen, hatte Mitte des Jahres gezeigt, dass zwar das Bewusstsein um die Probleme bei den Unternehmen vorhanden ist, sich die Situation aber gegenüber 2014 nicht verbessert hat.

Der nun veröffentlichte zweite Studienbericht der Security Bilanz Deutschland 2015 untersucht, wie mittelständische Unternehmen und öffentliche Verwaltungen in Bezug auf organisatorische, rechtliche und strategische Maßnahmen für IT- und Informationssicherheit aufgestellt sind. Das Fazit: Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt.

Mitarbeitersensibilisierung hat Nachholbedarf

Organisatorische Maßnahmen werden bei rund zwei Dritteln der Unternehmen und Verwaltungen nur unzureichend umgesetzt. Dazu gehören zum Beispiel die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien.

Neben den technischen Maßnahmen müssen auch alle beteiligten Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, stellen diese doch oftmals das schwächste Glied in der Sicherheitskette dar, deren Fehlverhalten weitreichende Konsequenzen für das Unternehmen nach sich ziehen kann. Mitarbeiterzentrierte Maßnahmen lassen dabei zu wünschen übrig, denn knapp zwei Drittel der Unternehmen weisen dort Umsetzungsprobleme auf. Als Maßnahmen, welche helfen können, die Mitarbeiter auf die Gefahren einer inadäquaten Nutzung der IT-Tools zu sensibilisieren, bieten sich zum Beispiel Übungen zur IT-Security oder Awareness-Kampagnen an, welche auch die Konsequenzen sicherheitsgefährdender Verhaltensweisen demonstrieren. Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen.

Vertragsrechtliche Absicherung

Rechtliche Maßnahmen zur Absicherung im Ernstfall, aber auch der Einsatz von Maßnahmen wie Geheimhaltungsvereinbarungen weisen bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite auf. Eine vertragsrechtliche Absicherung im Ernstfall ist für die Unternehmen essentiell, wenn beispielsweise der Abfluss unternehmensinterner Daten an unberechtigte Dritte eintritt. Durch sie lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, welche die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können. Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.

Langfristiger Erfolg der IT- und Informationssicherheit ist gefährdet

Strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, werden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. Die strategischen Maßnahmen stellen einen wichtigen Bestandteil für eine langfristig erfolgreiche Umsetzung der IT- und Informationssicherheit dar. Wenn die eigenen Sicherheitsanforderungen und -maßnahmen explizit und überprüfbar definiert sind, sind die Unternehmen in der Lage, den Einsatz von Maßnahmen und Lösungen zu planen und den Umsetzungserfolg besser zu beurteilen. Bei weniger als einem Drittel der Unternehmen sind beispielsweise Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch die Integration von IT-Security-Maßnahmen in die Unternehmensprozesse wird nur bei wenigen Unternehmen erfolgreich umgesetzt. Für strategische Maßnahmen besteht angesichts der hohen Defizite dringender Handlungsbedarf, will man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie sind der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.

Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit aufweisen – zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat. Aus diesem Anlass hat das Marktforschungs- und Beratungshaus techconsult ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt.

Umsetzungsprobleme

Bild: Zwei Drittel der mittelständischen Unternehmen und öffentlichen Verwaltungen geben an, dass Awareness-Kampagnen für IT-Security nicht gut umgesetzt sind.

Die Studienberichte und das Strategiepapier stehen ab sofort auf der Webseite des Projekts unter www.security-bilanz.de für alle interessierten Unternehmen zur Verfügung. Dort findet sich auch weitere Informationen zur Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Net at Work, Bitdefender, DATEV eG, G+H Netzwerk-Design, Hewlett Packard Enterprise, msg systems ag und TeleTrust.

www.techconsult.de

GRID LIST
Lupe

Kaspersky Lab entdeckt täglich 360.000 neue schädliche Dateien

Im Jahr 2017 wurden täglich weltweit durchschnittlich 360.000 schädliche Dateien von den…
Frustriert

IT-Security verhindert Innovationen und frustriert Nutzer

Herkömmliche IT-Sicherheitslösungen beeinträchtigen die Produktivität, verhindern…
Tb W190 H80 Crop Int Cf667a315eb3f838ca50d8e0bf37697e

Mobile Programmatic Advertising: Ad Fraud ist das größte Bedenken

Die unabhängige, transparente Media Buying Plattform iotec hebt mit den Erhebungen aus…
Tb W190 H80 Crop Int 8123c9c22eba00f10b2f22b9ae52352d

Cloud-Sicherheitsvorfälle kosten bis zu 1.2 Millionen US-Dollar

Obwohl 75 Prozent der Unternehmen künftig weitere Anwendungen in die Cloud verschieben…
mobile Security

Jeder dritte Smartphone-Nutzer hatte Sicherheitsprobleme

E-Mails, Kontaktdaten, die Online-Banking-App oder Fotos: Auf dem Smartphone befinden…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

Zögerliche Umsetzung industrieller Cyber Security Maßnahmen

Honeywell veröffentlichte eine neue Studie, nach der industrielle Unternehmen nur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security