VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

2015Die Untersuchung von technischen Lösungen und Maßnahmen, die Unternehmen einsetzen, hatte Mitte des Jahres gezeigt, dass zwar das Bewusstsein um die Probleme bei den Unternehmen vorhanden ist, sich die Situation aber gegenüber 2014 nicht verbessert hat.

Der nun veröffentlichte zweite Studienbericht der Security Bilanz Deutschland 2015 untersucht, wie mittelständische Unternehmen und öffentliche Verwaltungen in Bezug auf organisatorische, rechtliche und strategische Maßnahmen für IT- und Informationssicherheit aufgestellt sind. Das Fazit: Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt.

Mitarbeitersensibilisierung hat Nachholbedarf

Organisatorische Maßnahmen werden bei rund zwei Dritteln der Unternehmen und Verwaltungen nur unzureichend umgesetzt. Dazu gehören zum Beispiel die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien.

Neben den technischen Maßnahmen müssen auch alle beteiligten Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, stellen diese doch oftmals das schwächste Glied in der Sicherheitskette dar, deren Fehlverhalten weitreichende Konsequenzen für das Unternehmen nach sich ziehen kann. Mitarbeiterzentrierte Maßnahmen lassen dabei zu wünschen übrig, denn knapp zwei Drittel der Unternehmen weisen dort Umsetzungsprobleme auf. Als Maßnahmen, welche helfen können, die Mitarbeiter auf die Gefahren einer inadäquaten Nutzung der IT-Tools zu sensibilisieren, bieten sich zum Beispiel Übungen zur IT-Security oder Awareness-Kampagnen an, welche auch die Konsequenzen sicherheitsgefährdender Verhaltensweisen demonstrieren. Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen.

Vertragsrechtliche Absicherung

Rechtliche Maßnahmen zur Absicherung im Ernstfall, aber auch der Einsatz von Maßnahmen wie Geheimhaltungsvereinbarungen weisen bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite auf. Eine vertragsrechtliche Absicherung im Ernstfall ist für die Unternehmen essentiell, wenn beispielsweise der Abfluss unternehmensinterner Daten an unberechtigte Dritte eintritt. Durch sie lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, welche die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können. Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.

Langfristiger Erfolg der IT- und Informationssicherheit ist gefährdet

Strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, werden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. Die strategischen Maßnahmen stellen einen wichtigen Bestandteil für eine langfristig erfolgreiche Umsetzung der IT- und Informationssicherheit dar. Wenn die eigenen Sicherheitsanforderungen und -maßnahmen explizit und überprüfbar definiert sind, sind die Unternehmen in der Lage, den Einsatz von Maßnahmen und Lösungen zu planen und den Umsetzungserfolg besser zu beurteilen. Bei weniger als einem Drittel der Unternehmen sind beispielsweise Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch die Integration von IT-Security-Maßnahmen in die Unternehmensprozesse wird nur bei wenigen Unternehmen erfolgreich umgesetzt. Für strategische Maßnahmen besteht angesichts der hohen Defizite dringender Handlungsbedarf, will man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie sind der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.

Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit aufweisen – zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat. Aus diesem Anlass hat das Marktforschungs- und Beratungshaus techconsult ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt.

Umsetzungsprobleme

Bild: Zwei Drittel der mittelständischen Unternehmen und öffentlichen Verwaltungen geben an, dass Awareness-Kampagnen für IT-Security nicht gut umgesetzt sind.

Die Studienberichte und das Strategiepapier stehen ab sofort auf der Webseite des Projekts unter www.security-bilanz.de für alle interessierten Unternehmen zur Verfügung. Dort findet sich auch weitere Informationen zur Studie sowie ein Benchmark-System, das mittelständischen Anwendern ermöglicht, sich mit den Studienergebnissen zu vergleichen.

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Net at Work, Bitdefender, DATEV eG, G+H Netzwerk-Design, Hewlett Packard Enterprise, msg systems ag und TeleTrust.

www.techconsult.de

GRID LIST
Archiv

Jedes vierte Unternehmen hat noch keine einzige Akte digitalisiert

Weniger aufwändiges Suchen in Hängeregistern, weniger Doppelablagen, weniger…
Tb W190 H80 Crop Int Bbe1757ea0aadbf20dd421615c7de4f3

Datenschutzverletzungen durch Mitarbeiter: Aus Fehlern lernen

Laut einer aktuellen Studie von Kaspersky Lab und B2B International hatten 42 Prozent…
Tb W190 H80 Crop Int 46a1e6039c4b963fe1603383a1adfc0b

Smart-Home-Geräte als neues Ziel von Cryptojacking-Attacken

Fortinet gibt die Ergebnisse seines aktuellen Global Threat Landscape Reports bekannt.…
Digital Concept

Unternehmen setzen verstärkt auf Digitalisierungs-Teams

Unternehmen schaffen verstärkt eigene Abteilungen oder Teams, die sich ausschließlich mit…
DSGVO

Die meisten Unternehmen halten die DSGVO offenbar nicht ein

Etwa 70 Prozent von 103 befragten global agierenden Unternehmen gelingt es offenbar…
Cloud Security

Nachholbedarf in Sachen Cloud Security

Obwohl die Nutzung von Cloudanwendungen - insbesondere Office 365 und AWS - weiter…
Smarte News aus der IT-Welt