Security Bilanz Deutschland 2014

Das Sicherheitspolster ist zu dünn

Von Henrik Groß, techconsult

Mittelständische Unternehmen sind nicht weniger gefährdet als Großunternehmen. Grundsätzlich geht man davon aus, dass der Mittelstand einfach nicht in der Lage sei, die notwendigen Maßnahmen zu ergreifen, um den sich ständig ändernden Anforderungen an Datenschutz und Informationssicherheit gerecht zu werden. Stimmt das aber? Wie gut fühlen sich mittelständische Unternehmen in der technischen, rechtlichen und organisatorischen Umsetzung ihrer Security aufgestellt? Wo sind die Sicherheitslücken und wie stellt sich insgesamt das Sicherheitsniveau des Mittelstands dar?

Diese Fragestellungen hat techconsult gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundesverband IT-Sicherheit (TeleTrusT) sowie Sicherheitsexperten und heise Security erstmals in einer groß angelegten Studie erfasst. Befragt wurden seit Anfang 2014 über 500 kleine und mittelständische Unternehmen der Industrie, des Handels, Dienstleister, Banken und Versicherungen sowie Öffentliche Verwaltungen und Nonprofit-Unternehmen mit 20 bis 1999 Mitarbeitern.

Die erste Befragungswelle

57 von maximal 100 Punkten zeigt der Sicherheitsindex dieser ersten Befragungswelle an. Dieser Wert, der sich aus dem Einsatz von technischen, organisatorischen und rechtlichen Maßnahmen ergibt, spiegelt das aktuelle Sicherheitsempfinden des Mittelstands wider. Damit zeigt sich der Mittelstand – inklusive der öffentlichen Verwaltungen und Nonprofit-Organisationen – erst einmal von der unsicheren Seite. Zur maximal möglichen Ausschöpfung ist es noch ein weiter Weg.

Verstärkt wird dieser Befund durch das wahrgenommene Gefährdungspotenzial, das sich 2014 im Mittelstand mit einem Gefährdungsindex von 46 Punkten erfassen lässt. Das Sicherheitspolster von 11 Punkten, das zwischen gemessenem Sicherheitsempfinden (57 Punkte) und dem Gefährdungsempfinden (46 Punkte) liegt, stellt praktisch nur einen keinen Vorsprung dar. Wäre die Gefährdungswahrnehmung genauso hoch wie das Sicherheitsempfinden, so würde dies bereits eine sehr kritische Sicherheitslage darstellen, da dann keinerlei Spielräume für unkalkulierbare oder nicht bekannte Risiken mehr bestünden. Vor diesem Hintergrund sollte der wahrgenommene Gefährdungsindex maximal halb so hoch sein, wie der Wert des wahrgenommenen Sicherheitsempfindens.

Aktuell haben mittelständische Unternehmen und Organisationen also nicht nur deutlichen Nachholbedarf in Richtung einer bestmöglichen Aufstellung in Sachen Datenschutz und Informationssicherheit, sondern sind zudem auch nur bedingt geeignet, dem selbst wahrgenommenen Gefährdungspotenzial standzuhalten.

Wirft man nun noch einen Blick auf die unteren 25 % der Befragungsgruppe, dann zeigt sich, dass diese Gruppe mit einem Sicherheitsindex von 38 Punkten als extrem gefährdet gelten kann. Zum Vergleich: Als Security-Performer können sich aktuell die Unternehmen bezeichnen, die 78 und mehr Indexpunkte erzielen. Dieser Durchschnittswert ergibt sich aus der Top-25-%-Gruppe der aktuellen Analyse.

Fazit: Selbst testen und vergleichen

Die Ergebnisberichte zur jährlich geplanten Security Bilanz Deutschland erscheinen auf dem Studienportal www.security-bilanz.de; sie sollen detaillierte Analysen liefern, wo der Mittelstand Herausforderungen sieht und welche Gefahren als besonders bedrohlich wahrgenommen werden. Zusätzlich bietet der individuelle Security-Check heise Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, die eigenen Problembereiche im Vergleich zu ähnlichen Unternehmen zu identifizieren.

Nützliche Links