Thought Leadership
techconsult nimmt mit der Indexstudie Security Bilanz Deutschland die IT- und Informationssicherheit im Mittelstand in den Blick. Dazu wurden über 500 Unternehmen mit 20 bis 1.999 Mitarbeitern nach ihrer Einschätzung der eigenen Sicherheit befragt sowie nach der Gefährdung, der sie sich aktuell ausgesetzt sehen.
Fazit des nun auf dem Studienportal www.security-bilanz.de veröffentlichten Berichts: Das im Durchschnitt erzielte Sicherheitsniveau von 57 Indexpunkten ist zum einen nicht als gut zu bewerten, zum anderen wähnt sich der Mittelstand – gemessen an der Einschätzung der Gefährdung – in einer trügerischen Sicherheit.
Die subjektiv empfundene Sicherheit durch technische, rechtliche, organisatorische und strategische Maßnahmen wurde insgesamt mit 57 von 100 Punkten beim Sicherheitsindex bewertet, die Gefährdung hingegen mit 46 Punkten im entsprechenden Gefährdungsindex. Dies erweckt zunächst einmal den Eindruck, dass alles in Ordnung ist: Auch wenn durchschnittlich 57 von 100 Punkten im Sicherheitsindex alles andere als vorbildlich sind, so reichen sie scheinbar dennoch aus, um die relativ geringe Gefährdungslage abzudecken.
Doch diese Selbsteinschätzung der Befragten ist trügerisch. Neben vorsätzlichen Angriffen sowie Fehlverhalten und Unachtsamkeit der eigenen Mitarbeiter bedrohen auch bisher unbekannte Schwachstellen die IT- und Informationssicherheit im Mittelstand. So zeigt beispielsweise der jüngst entdeckte Heartbleed-Bug, dass ein Programmierfehler ungeahnte Auswirkungen auf eine bisher als sicher erachtete SSL-Verschlüsselung haben kann. Das derzeitig kleine Sicherheitspolster von 11 Punkten reicht somit unter Umständen nicht aus, um bisher unbekannte Risiken aufzufangen, zumal diese als neue Bedrohungen die Gefährdung erhöhen und gleichzeitig als plötzlich bekannt werdende Schwachstellen die Sicherheit mindern.
Weiterhin zeigt sich, dass die Herausforderungen für den Mittelstand gerade in den fortschrittlicheren, oftmals auch als sicherer angesehenen Lösungen und Konzepten liegen. Einfache und etablierte Verfahren für die IT-Sicherheit sind bereits mehr oder weniger gut umgesetzt. Bei komplexeren Verfahren, wie z.B. der Authentifizierung mittels Smart-Cards usw., erreichen die befragten Unternehmen hingegen deutlich geringere Punktzahlen. Hier sind Optimierungspotenziale vorhanden, die relativ einfach deutliche Sicherheitsgewinne versprechen. Ein Problem scheint möglicherweise fehlendes Know-how zu sein: Gerade beim Handel zeigt der Index eine Schwäche bei den organisatorischen Maßnahmen, zu denen auch gehört, Wissen rund um IT- und Informationssicherheit bei den eigenen Mitarbeiter auf zu bauen.
Der Ergebnisbericht zur Studie ist ab sofort auf dem Studienportal www.security-bilanz.de verfügbar und liefert detaillierte Analysen, wo der Mittelstand Herausforderungen sieht und welche Gefahren als besonders bedrohlich wahrgenommen werden.
Security-Check zur Studie
Zusätzlich zur Studie bietet der individuelle Security-Check jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der heise Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.
Die Studie Security Bilanz Deutschland und der heise Security Consulter werden unterstützt von baramundi, IBM, mesh, Microsoft Deutschland, NCP, Sophos, Telekom Deutschland, Brainloop, Trend Micro, Symantec und PSW Group.
