Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

01.05.2012 - 

BSI: Sicherheits-Management in KMU

Notfallvorkehrungen mangelhaft

Andrea König lebt als freie Journalistin in Hamburg. Arbeiten von ihr wurden unter anderem in der Süddeutschen Zeitung und im Focus veröffentlicht, seit 2008 schreibt sie auch für CIO.de. Die Schwerpunkte Ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager.
KMU setzen im Schnitt zwei von drei Maßnahmen des IT-Grundschutzes um. Allerdings: Prozesse zum Sicherheits-Management sind oft nicht aufeinander abgestimmt.
Nur in jedem zweiten KMU gibt es einen Sicherheitsverantwortlichen.
Nur in jedem zweiten KMU gibt es einen Sicherheitsverantwortlichen.
Foto: fotolia.com/Gina Sanders

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. Ziel der Studie war, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer Infrastrukturen in KMUs zu ermitteln. Grundsätzlich sind die kleinen und mittleren Unternehmen im Bereich IT-Sicherheit geeignet aufgestellt, heißt es in den Studienergebnissen. Die Studienautoren fragten in Anlehnung an den IT-Grundschutz Sicherheitsmaßnahmen ab und fanden heraus, dass in den Unternehmen rund zwei Drittel dieser Maßnahmen umgesetzt werden.

In einigen Bereichen gibt es sogar überdurchschnittlich viele Sicherheitsmaßnahmen, heißt es in der Studie. Dazu gehören die Bereiche Datensicherung, Risikobewertung der Geschäftsprozesse, Aktualität der Informationen zur Bedrohungslage, zu Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke.

In anderen Bereichen sprechen die Studienautoren von einem erheblichen Nachholbedarf an Sicherheitsmaßnahmen. Diese Defizite betreffen insbesondere den Bereich der geschäftskritischen IT-Sicherheitsprozesse. Explizit genannt werden hier der Umgang mit Sicherheitsvorfällen, das Notfallmanagement und die Bewertung der Gefahrenbereiche.

Die Studienautoren bemängeln darüber hinaus, dass sich bei einer Gesamtbetrachtung der IT-Sicherheitsmanagementprozesse zeigt, dass zwar Prozesse existieren, diese aber nicht aufeinander abgestimmt sind. Zum Teil fehle in den befragten Unternehmen das Bewusstsein für einen Prozess als Arbeitsgrundlage, heißt es in der Studie. Werden Prozesse angepasst, stehe dahinter häufig kein Konzept, sondern das Ergebnis aus Versuch und Irrtum. Das sei insbesondere im Bereich der Vorbeugung von Sicherheitsvorfällen und im Notfallmanagement zu erkennen.

Jedes zweite KMU hat Sicherheitsverantwortlichen

Einerseits viele Rettungsringe, andererseits gar kein Rettungsring: Die Sicherheitsmaßnahmen sind äußerst unterschiedlich ausgeprägt.
Einerseits viele Rettungsringe, andererseits gar kein Rettungsring: Die Sicherheitsmaßnahmen sind äußerst unterschiedlich ausgeprägt.
Foto: fotolia.com/Andrea Danti

Auch personell sieht das BSI Nachholbedarf und beobachtet Spannungsfelder in der Aufgabenverteilung. Ein Sicherheitsverantwortlicher existiert nur in jedem zweiten Unternehmen, das an der Studie teilgenommen hat. Allerdings erhält nur knapp ein Drittel der Sicherheitsbeauftragten ausreichend Ressourcen für die Durchführung der Tätigkeiten. In Unternehmen, die keinen Sicherheitsverantwortlichen benennen, übernimmt üblicherweise der CIO diese Aufgabe.

Auch einen erhöhten Abstimmungsbedarf zwischen der Geschäftsführung und dem CIO sehen die Studienautoren. Beide Seiten wurden für die Studie gebeten, die IT-Sicherheitsmanagementprozesse im Unternehmen zu bewerten. Dabei fiel auf, dass die CIOs die Prozesse im Vergleich zur Geschäftsführung tendenziell schlechter einstufen.

Die Studienautoren empfehlen KMUs, die erforderlichen Schutzmaßnahmen umzusetzen und die zugehörigen IT-Sicherheitsmanagementprozesse zu etablieren und zu standardisieren. Da eine sofortige Umsetzung aller Maßnahmen KMUs vermutlich an ihre personellen Grenzen bringen würde, sollten die notwendigen Maßnahmen sukzessive umgesetzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen produzierendes Gewerbe, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews vor Ort sowohl mit der IT-Leitung als auch der Geschäftsleitung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)

Newsletter 'Fachhandel' bestellen!