Security Bilanz Deutschland attestiert organisatorische und konzeptionelle Probleme
Die Studie Security Bilanz Deutschland 2015 untersucht, wie gut Mittelstand und öffentliche Verwaltung Anforderungen an IT-Sicherheit gewachsen sind. Der nun veröffentlichte zweite Bericht dokumentiert organisatorische und strategische Defizite.
Der erste Studienbericht zur Security Bilanz Deutschland hatte Mitte 2015 dokumentiert, dass es um die Umsetzung technischer Maßnahmen zur IT-Sicherheit im Mittelstand und den öffentlichen Verwaltungen nicht gut bestellt ist. Der soeben veröffentlichte, zweite Studienbericht ergänzt das jetzt durch einen anderen Blickwinkel. Das Fazit: Auch organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt.
Organisatorische Maßnahmen werden bei rund zwei Dritteln der Unternehmen und Verwaltungen nur unzureichend umgesetzt. Dazu gehören zum Beispiel die Umsetzung von standardisierten Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter, der Einsatz von Richtlinien sowie die Simulation von Ernstfallszenarien.
Nur wenig besser sieht es bei den rechtlichen Aspekten aus: Bei den rechtlichen Maßnahmen zur Absicherung im Ernstfall, aber auch beim Einsatz etwa von Geheimhaltungsvereinbarungen gestehen mehr als 60 Prozent der Unternehmen Umsetzungsdefizite ein. Auch strategische Maßnahmen, welche auf den langfristigen Erfolg von IT-Sicherheitsmaßnahmen ausgerichtet sind, setzen fast zwei Drittel der Unternehmen nicht gut um. Dabei geht es unter anderem darum, Sicherheitsanforderungen explizit und überprüfbar zu definieren und deren Umsetzung dann auch zu testen.
Selbst testen mit dem Consulter
Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern. Die Umfrageergebnisse bilden dann auch die Referenz, an der sich Unternehmen mit dem heise Security Consulter selbst messen können, um herauszufinden, wie sie bei den einzelnen Punkten im Vergleich abschneiden. Dieser direkte Vergleich mit dem Branchendurchschnitt gibt somit sehr direkte Handlungsempfehlungen zur Verbesserung der eigenen Sicherheit.
Darüber hinaus hat das zur Heise Gruppe gehörende Marktforschungsunternehmen Techconsult auch ein Strategiepapier erstellt, das Mittelstand und Behörden Hilfestellung dabei bieten soll, die IT- und Informationssicherheit langfristig zu verbessern. Es beschreibt fünf strategische Schritte, die den Anstoß für IT- und Informationssicherheit als Prozess im Unternehmen geben und erklärt, wie sich dieser mittels Standortbestimmung, Informations- und Partnersuche, Budgetplanung und umfassender Perspektive zu einem Kreislauf schließt. (ju)
