Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheit in kleinen und mittleren Unternehmen (KMU)

BSI-Studie zum Grad der Sensibilisierung des Mittelstandes in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Untersuchung zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) durchgeführt, die hier als Studie abrufbar ist.

Das Bewusstsein für Themen der IT-Sicherheit ist demnach bei den Verantwortlichen in deutschen KMU vorhanden. Auch in technischer Hinsicht sind viele Unternehmen gegen die Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen.

Die Studie macht deutlich, dass die kleinen und mittleren Unternehmen im Bereich der IT-Sicherheit grundsätzlich geeignet aufgestellt sind. Im Durchschnitt werden rund zwei Drittel der in Anlehnung an den IT-Grundschutz abgefragten IT-Sicherheitsmaßnahmen in den Unternehmen umgesetzt. Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung, Aktualität der Informationen zu Bedrohungslage, Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke umgesetzt. In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Insbesondere im Bereich der geschäftskritischen IT-Sicherheitsprozesse wie etwa dem Umgang mit Sicherheitsvorfällen, dem Notfallmanagement und der Bewertung der Gefahrenbereiche zeigen sich deutliche Schwächen. Hier vertrauen die Unternehmen – möglicherweise in trügerischer Sicherheit – auf die eigenen Fähigkeiten, im Fall des Falles situationsabhängig schnell geeignet reagieren zu können.

Die Selbsteinschätzung der Unternehmen lässt erkennen, dass es bei den Verantwortlichen in den KMU ein hohes Bewusstsein für die Bedeutung der IT-Sicherheit gibt. Der Umsetzungsgrad der technischen Maßnahmen trägt dem auch im Wesentlichen Rechnung. Es sind jedoch die dazu notwendigen Prozesse eines IT-Sicherheitsmanagements weder durchgehend vorhanden noch standardisiert. Auch im Bereich der personellen Maßnahmen gibt es in vielen Unternehmen noch Nachholbedarf. Nur jedes zweite Unternehmen benennt beispielsweise einen IT-Sicherheitsverantwortlichen. In vielen Unternehmen gibt es einen erkennbar hohen Abstimmungsbedarf zwischen Geschäftsführung und IT-Verantwortlichen. Die Bereitschaft die jeweils eigenen Interessen im Hinblick auf den Erfolg des Unternehmens zusammen zu führen ist Wunsch aller Beteiligten. Eine Erfahrung aus der Studie ist, dass eine neutrale Moderation erforderlicher Gespräche hierbei erfolgversprechend sein kann.

Ziel der Studie war es, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer IT-Infrastrukturen im Bereich der kleinen und mittleren Unternehmen zu ermitteln. In Deutschland sind 99 Prozent der Unternehmen dem Mittelstand zuzuordnen. Seine Leistungsfähigkeit und Innovationskraft hat auch Auswirkungen auf den öffentlichen Sektor. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen produzierendes Gewerbe, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews vor Ort sowohl mit der IT-Leitung als auch der Geschäftsleitung, die ebenso wie die anschließende Auswertung von IT-Sicherheitsexperten durchgeführt wurden. Die Ergebnisse wurden in einer zweiten Befragung mit den Unternehmen diskutiert, verifiziert und vertieft. Jedes Untersuchungsgebiet der Studie konnte durch dieses Erhebungsverfahren mit konkreten, praxisnahen Handlungsempfehlungen versehen werden die den Mittelstand anschaulich bei der Optimierung der IT-Sicherheit unterstützen.

Download der Studie: Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen (PDF, 3MB, Datei ist nicht barrierefrei)