Mit­tel­stand benötigt pass­genaue Angebote

In seinem sechsten Jahr bietet der Sicher­heits­mo­nitor von DsiN und der DATEV eG erneut nütz­liche Ein­blicke in die IT-Sicher­heitslage von KMU. Wir wollen Ihnen an dieser Stelle die wich­tigsten Ergeb­nisse vorstellen:

Die geschäft­liche Nutzung des Internet gestaltete sich weit­gehend auf hohem Niveau mit einer teil­weisen leichten Abschwä­chungs­tendenz. Diese Abschwä­chung könnte eine Folge der Daten­si­cher­heits­dis­kus­sionen der ver­gan­genen Monate sein. Ent­spre­chende Maß­nahmen zur Erhöhung der Daten­si­cherheit im Unter­nehmen sind emp­fohlen. (Wei­ter­füh­rende Lese­emp­fehlung: Täg­licher Beitrag zum Daten­schutz und Daten­si­cherheit)

Hin­sichtlich der orga­ni­sa­to­ri­schen Maß­nahmen zu Daten­schutz und Sicherheit konnten bei den Unter­nehmen KEINE bedeu­tenden Ver­bes­se­rungen fest­ge­stellt werden. Das Gleiche gilt für den Bereich Social Engi­neering: Nach wie vor wird nur rund EIN VIERTEL der Mit­ar­beiter zu diesem Thema geschult. Das öffnet vielen Angreifern Tür und Tor (vgl. dazu auch den Beitrag „So gefährden Angriffe auf Mit­ar­beiter das Unter­nehmen“).

Viele KMU lassen wei­terhin ganz­heit­liche Ansätze von Sicher­heits­kon­zepten ver­missen. Oftmals wird auf Ein­zel­lö­sungen gesetzt, die nur unzu­rei­chend auf­ein­ander und auf die tat­säch­lichen Anfor­de­rungen der Unter­nehmen abge­stimmt sind. Die Folge ist eine inef­fektive Nutzung der vor­han­denen Res­sourcen und somit ein oftmals wir­kungs­loser Schutz vor Cyberangriffen.

Die dies­jäh­rigen Ergeb­nisse der Studie werfen zudem die Frage auf, ob bereits imple­men­tierte Sicher­heits­kon­zepte und Lösungen in Unter­nehmen den Anfor­de­rungen bei­spiels­weise eines IT-Grun­d­­schutzes des BSI genügen, denn gut gemeint ist auch bei IT-Sicherheit oftmals nicht gut gemacht. Ein­zel­lö­sungen und Sicher­heits­kon­zepte müssen selbst­ver­ständlich fach­män­nisch geplant und umge­setzt werden, ansonsten können sich aus einer feh­ler­haften Umsetzung erst recht Angriffs­vek­toren ergeben (vgl. dazu auch den Beitrag „Geschäfte mit Ran­somware“).

Sinn­volle Rege­lungen zur Benut­zer­ver­waltung — die neben Orga­ni­sation und E‑Mail wei­terhin eine der Schutz­maß­nahmen mit dem größten Nach­hol­bedarf in KMU dar­stellt — bedürfen grund­sätzlich einer ver­stärkten Kom­mu­ni­kation. Im Zuge des sich inten­si­vie­renden Digi­ta­li­sie­rungs­pro­zesses und der bereits erwähnten Schwach­stelle „Mit­ar­beiter“ erfordert die Not­wen­digkeit der Benut­zer­ver­waltung bei den Unter­nehmen einer deut­li­cheren Plat­zierung. (Vgl. dazu den Leit­faden „Ver­hal­tens­regeln für Mit­ar­beiter“).

Bei den Themen Cloud Com­puting und E‑Mail zeichnet sich bei vielen Unter­nehmen Unsi­cherheit darüber ab, ob getroffene Maß­nahmen aus­rei­chend sind und ob Sie umfassend genug über die recht­lichen Anfor­de­rungen Bescheid wissen. Auch bei der Nutzung von Cloud-Diensten gilt die Regel, sich vor dem Einsatz genau darüber zu infor­mieren, wo die Daten gespei­chert werden, was gespei­chert werden darf/muss, und wie man bei einem Anbie­ter­wechsel auch alle Daten migrieren kann (Vgl. dazu den Beitrag „Die Klas­si­fi­zierung von Daten der Cloud erhöht die Sicherheit“).

Neben diesen Ent­wick­lungen gibt es auch erste Anzeichen dafür, dass sich die Infor­ma­ti­ons­kam­pagnen der ver­gan­genen Jahre all­mählich in den orga­ni­sa­to­ri­schen Struk­turen der KMU wider­spiegeln. Dennoch wird nur allzu häufig auf eines der ein­fachsten, effek­tivsten und immer wieder aktu­ellen Mittel nicht zurück­ge­griffen: die Mit­ar­bei­ter­schulung. Hier und auch in den anderen Bereichen gilt es diese weiter mit geeig­neten und neuen Initia­tiven zu for­cieren und die Mit­tel­ständler dadurch zum stär­keren Handeln zu motivieren.

DsiN-Sicher­heits­­­mo­nitor 2016 zum Download