Wenn Unternehmen die IT-Sicherheit verschlafen… Empfehlungen vom Experten
Wenn von IT- und Informationssicherheit die Rede ist, wird diese häufig gleichgesetzt mit dem Einsatz von technischen Maßnahmen und Lösungen, die Integrität, Vertraulichkeit und Verfügbarkeit der Daten und IT-Systeme des Unternehmens sicherstellen sollen. Dieses Sicherheitsverständnis ist noch weit verbreitet, greift aber deutlich zu kurz: insbesondere organisatorische, rechtliche und strategische Aspekte müssen als gleichrangig verstanden und ebenso berücksichtigen. Erst im Zusammenspiel technischer Lösungen mit den angesprochenen organisatorischen, rechtlichen und strategischen Maßnahmen kann ein belastbares IT-Security-Konzept entwickelt werden.
Mit der Vorsorge wird die Nachsorge vergessen
Was kostet ein Systemausfall?
Tipps und Empfehlungen vom IT-Sicherheits-Experten
Security-Check zur Studie: Der Security Consulter
Daniel Pippert ist Research Analyst und Experte in Fragen der IT-Sicherheit. In seinem Gastbeitrag auf der exali.de Info-Base erklärt er nicht nur, was Unternehmen in Sachen IT-Security häufig falsch machen, sondern gibt auch Tipps, welche Fragen sich Selbständige dringend stellen sollten.
Security-Bilanz Deutschland: Studie zu Sicherheits- und Datenschutzmaßnahmen in Unternehmen
Im Rahmen der Security-Bilanz Deutschland hat techconsult die aktuelle Situation der IT- und Informationssicherheit im deutschen Mittelstand erhoben. Die Ergebnisse der Befragung bieten wenig Raum für Zweifel, dass es um die Datensicherheit in weiten Teilen des Mittelstandes nicht gut bestellt ist.
Besonders in kleinen Unternehmen fehlt es an umfassenden IT-Security-Strategien. Viele, gerade kleine Unternehmen schrecken vor den Kosten und dem Aufwand zurück, die es erfordert, eine umfassende und belastbare Strategie zur Absicherung der digitalen Ressourcen zu entwickeln.
Mit der Vorsorge wird die Nachsorge vergessen
Auffällig ist aber auch, dass im Rahmen der Entwicklung einer IT-Security Strategie häufig eine Konzentration auf die Prävention von IT-Security-Vorfällen stattfindet. Technische Lösungen wie Virenscanner, Malware-Protection oder Firewalls sind in vielen Unternehmen bereits im Einsatz. Deutlich schlechter steht es aber um die Absicherung realer Schadenfälle, etwa den Verlust eines Dienst-Notebooks im Außendienst oder den Ausfall der IT-Systeme.
IT-Systemausfälle - Die Höhe der Systemausfallkosten pro Stunde. © techconsult GmbH"
Was kostet ein Systemausfall?
Eben solche Systemausfälle zeigen deutlich auf, wo die Probleme des Mittelstandes zu verorten sind: Über die Hälfte der befragten Unternehmen war nicht in der Lage, die Kosten eines Systemausfalls zu beziffern. Besonders kritisch ist dies vor dem Hintergrund, dass Systemausfälle vielfältige Ursachen haben können, sowohl externe Angriffe, wie auch interne Probleme oder ein ganz profaner Stromausfall sind mögliche Ursachen. Damit kann die Kenntnis über die Kosten und weitere Folgen von Systemausfällen als guter Indikator gelten, ob in einem Unternehmen eine intensive Beschäftigung mit den Folgen gängiger Bedrohungen der IT- und Informationssicherheit stattfinden oder eben nicht.
Aktuell muss daher konstatiert werden, dass nicht nur die Umsetzung weit hinter den Möglichkeiten zurück bleibt, sondern dass das Problem tiefer liegt, und zwar bei der Beschäftigung mit den eigenen Stärken und Schwächen und der darauf gründenden Planung einer individuellen IT-Security Strategie.
Tipps und Empfehlungen vom IT-Sicherheits-Experten
Als Rat kann den Unternehmen des Mittelstandes auf Grund der bisherigen Erfahrungen aus der Security Bilanz Deutschland nur mitgegeben werden, eine umfassende und belastbare IT-Security Strategie zu entwickeln, die die Individuelle Situation des Unternehmens berücksichtigt. Welche Maßnahmen zur IT-Sicherheit sind bereits umgesetzt, welches sind die relevanten Bedrohungsszenarien, denen mit technischen Maßnahmen begegnet werden kann? Es gehört aber genauso dazu, die Frage zu klären, welche Restrisiken verbleiben und wie diese z.B. im Rahmen von Versicherungen abgesichert werden können.
Security-Check zur Studie: Der Security Consulter
Den Studienbericht zur Security Bilanz Deutschland steht unter security-bilanz.de zur Verfügung. Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem interessierten Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen.
Die Studie Security Bilanz Deutschland und der heise Security Consulter werden unterstützt von Fortinet, baramundi, Microsoft Deutschland, Sophos, Telekom Deutschland, Networkbox, gateprotect, TeleTrust und Symantec.
Über die techconsult GmbH und den Gastautor Daniel Pippert
Daniel Pippert ist Research Analyst bei der techconsult GmbH. Die techconsult GmbH, gegründet 1992, zählt zu den führenden Analystenhäusern in Zentraleuropa. Der Schwerpunkt der Strategieberatung liegt in der Informations- und Kommunikationsindustrie (ITK).
Durch jahrelange Standard- und Individual-Untersuchungen verfügt techconsult über einen im deutschsprachigen Raum einzigartigen Informationsbestand, sowohl hinsichtlich der Kontinuität als auch der Informationstiefe, und ist somit ein wichtiger Beratungspartner der CXOs sowie der IT-Industrie, wenn es um Produktinnovation, Marketingstrategie und Absatzentwicklung geht. Die techconsult GmbH wird von den geschäftsführenden Gesellschaftern und Gründern Peter Burghardt und Andreas W. Klein am Standort Kassel mit einer Niederlassung in München geleitet und ist Teil der Heise Medien Gruppe.