Wie der Mittelstand die IT absichert

Joachim Hackmann ist Principal Consultant bei Pierre Audin Consulting (PAC) in München. Vorher war er viele Jahre lang als leitender Redakteur und Chefreporter bei der COMPUTERWOCHE tätig.
Jedem Unternehmen ist die Bedeutung von IT-Sicherheit klar. Um ein ausreichendes Budget müssen die Security-Verantwortlichen trotzdem immer wieder kämpfen.

Ende vergangenen Jahres befragte das Marktforschungshaus Forrester mehr als 1000 kleine und mittlere Anwenderunternehmen in Nordamerika und Europa nach ihren Plänen zur IT-Sicherheit. Demnach gewinnt das Thema an Bedeutung, wenngleich die Verantwortlichen einen steten Kampf um das Budget ausfechten müssen. Insgesamt hat sich gezeigt, dass die IT-Security in kleinen und mittelgroßen Unternehmen grundsätzlich mit der in Großunternehmen vergleichbar ist. Nichtsdestotrotz gibt es einige bemerkenswerte Besonderheiten.

Budgets steigen:

Die Ausgaben für IT-Security sind im Jahr 2008 gegenüber 2007 leicht gefallen. 9,1 Prozent des IT-Betriebsbudgets flossen im vergangenen Jahr in die IT-Sicherheit, 2007 waren es noch 9,4 Prozent. Für 2009 planen die Unternehmen höhere Ausgaben mit anteiligen 10,1 Prozent.

Datensicherheit hat einen besonderen Stellenwert:

Der Schutz der Daten liegt den Anwendern besonders am Herzen. 87 Prozent erachten die Datensicherheit als "wichtig", dicht gefolgt von der Sicherheit ihrer Anwendungen (80 Prozent). Befragt danach, was ihnen "sehr wichtig" ist, zeigt sich ein deutlicheres Bild. 64 Prozent wählten die Datensicherheit, 48 Prozent nannten ihre Anwendungen.

Datensicherheit ist ein wichtiges Geschäftsziel:

Daten sind ein wichtiges Kapital und bedürfen besonderer Aufmerksamkeit. Den Schutz der Daten und des geistigen Eigentums halten 82 Prozent der Befragten für wichtig, doch nicht minder bedeutsam ist für sie die Sicherheit der Kundendaten. Um ein deutlicheres Bild von der Gewichtung zu bekommen, hat Forrester die Anwender auch um eine Einschätzung gebeten, was ihnen "besonders wichtig" erscheint. Hier nannten 54 Prozent der Verantwortlichen die Kundendaten. 50 Prozent entschieden sich für Geschäftsdaten und -ideen.

Managed Security Services werden beliebter:

Die wichtigsten Gründe für eine Auslagerung sind der Bedarf an Spezial-Know-how (31 Prozent) und der Zwang, Kosten zu sparen (24 Prozent). Die Dienste, die Anwender als Erstes außer Haus betreiben lassen würden, sind das E-Mail- und Web-Content-Filtering (36 Prozent), gefolgt vom Firewall-Monitoring (33 Prozent). Forrester erwartet darüber hinaus eine steigende Nachfrage nach Services für Schwachstellen-Assessments.

Fehlendes Business-Continuity-Management:

Weniger als die Hälfte (45 Prozent) der Unternehmen verfolgt ein formales Business-Continuity-Management (BSM) für den unterbrechungsfreien Geschäftsbetrieb. Die Gründe für diesen Mangel sind vergleichbar mit denen der Großunternehmen: zu starke Konzentration auf die Wiederherstellung im Problemfall (Disaster Recovery, 26 Prozent), fehlende finanzielle Mittel (24 Prozent) und falsch definierte Aufgaben- und Verantwortungsbereiche (24 Prozent) waren die häufigsten Nennungen.

Anwender setzen auf Client-Security-Software, ergänzt durch Verschlüsselung:

Client-Firewalls sind beliebte Installationen (58 Prozent der Befragten nutzen sie) und werden es bleiben. 19 Prozent schützen ihre IT-Installation mit Host-Intrusion-Prevention-Systemen (HIPS) oder erwägen in diesem Jahr ein entsprechendes Pilotprojekt. Zudem sind Pläne zur Einführung von Verschlüsselungstechniken verbreitet (18 Prozent).

Begrenzte Anwendungssicherheit:

Die mittelständischen Anwender verfolgen eine ähnlich intensive Sicherung ihrer Anwendungen wie Großunternehmen. 72 Prozent der Befragten berichteten, sie hätten Tools zur Sicherung ihrer Applikationen in Betrieb. Unter den Großunternehmen sind es 75 Prozent. Doch der Detailblick zeigt die Unterschiede: Beide Anwendergruppen greifen zwar im vergleichbaren Maß auf Firewalls zurück. Doch während bis zu 45 Prozent der großen Anwender ihre Applikationen mit weiteren Security-Tools schützen, tun dies maximal ein Drittel der mittelständischen Unternehmen.

Probleme, Kosten der IT-Sicherheit zu begründen: Für kleine und mittelgroße Unternehmen ist der sichere IT-Betrieb ein steter Wettstreit. 84 Prozent bewerten den Kampf gegen Eindringlinge, Malware und Datenklau als Herausforderung. Eine schwere Aufgabe ist es immer wieder, die Kosten für IT-Sicherheit gegenüber der Geschäftsleitung, dem Finanzchef und dem Controlling zu rechtfertigen (54 Prozent).

E-Mail-Verschlüsselung dominiert: Zum Schutz vor Datenabfluss (Data Leak Protection) greifen 26 Prozent der Unternehmen auf E-Mail-Verschlüsselung zurück. Jeweils 23 Prozent vertrauen auf Verschlüsselung des Netzspeichers und Data Leak Prevention. In den Zukunftsplänen spielen Schutzmechanismen gegen Datenklau eine bedeutende Rolle. Etwa 20 Prozent stehen in diesem Jahr vor entsprechenden Projekten.

Entscheidungsträger vertrauen persönlichen Empfehlungen:

Die detaillierte Analyse unterstreicht, dass der Schutz von Daten den Anwendern ein ganz besonderes Anliegen ist.
Die detaillierte Analyse unterstreicht, dass der Schutz von Daten den Anwendern ein ganz besonderes Anliegen ist.
Viel Kraft und Zeit müssen Security-Verantwortliche darauf verwenden, die Kosten für IT-Sicherheit gegenüber den Vorgesetzten zu begründen.
Viel Kraft und Zeit müssen Security-Verantwortliche darauf verwenden, die Kosten für IT-Sicherheit gegenüber den Vorgesetzten zu begründen.

Anwender vertrauen vor allem dem Rat von Gleichgesinnten und Kollegen. 84 Prozent der Befragten gaben an, persönliche Empfehlungen seien wichtig oder sehr wichtig. Fachmagazine und -zeitschriften sind für 74 Prozent bedeutsame Informationsquellen. Consultants, Händler und Wiederverkäufer erachten 69 Prozent als wichtige Helfer. Informationen aus dem Internet schenken die Befragten dagegen nicht so viel Vertrauen. Zwar stöbern 84 Prozent der Unternehmen auf den Seiten der Anbieter und schätzen die dort gefundenen Informationen. Doch Diskussionsforen, im Web betriebene Veranstaltungen und Newsletters fallen deutlich ab. Zwischen 51 Prozent und 55 Prozent nutzen digitale Medien zur Entscheidungsfindung.

Eckdaten der Befragung

Befragt wurden knapp über 1000 Unternehmen in Kanada, Frankreich, Deutschland, Großbritannien und den USA.

Unternehmensgröße:

  • x14 Prozent der Befragten beschäftigen zwei bis fünf Angestellte.

  • Jeweils rund ein Drittel hat sechs bis 99 beziehungsweise 100 bis 499 Mitarbeiter.

  • Knapp über 20 Prozent sind Unternehmen mit 500 bis 999 Mitarbeiter.

Position der Befragten:

  • 72 Prozent entstammen der Geschäftsleitung.

  • 16 Prozent sind IT-Manager in Führungsposition.

Branchen:

  • Ein Viertel der Unternehmen sind Dienstleister.

  • Knapp ein Fünftel kommt aus der Fertigung.

  • Der Handel stellt 14 Prozent der befragten Firmen.

  • Zwölf Prozent sind Vertreter der Unterhaltungs- und Medienindustrie.