Die Situation der Informations- und Telekommunikationssicherheit in KMUs ist verbesserungsbedürftig. Zu diesem recht moderat formulierten Ergebnis kommt das WIK, das unter Mithilfe des Experteams und der Online-Hanse GmbH aus Köln 73 Unternehmen mit bis zu 1000 Mitarbeitern befragte. Die aufgedeckten und in der Studie "Informations- und Telekommunikationssicherheit in kleinen und mittleren Unternehmen" veröffentlichten Defizite decken sich weitgehend mit den Erfahrungen des Meta-Group-Analysten Christian Byrnes (siehe Seite 29: "Mit einem Sicherheitsprojekt eine IT-Trutzburg bauen").

In den wenigsten Fällen trafen die Interviewer auf Unternehmen, in denen eine detaillierte Strategie verfolgt wurde. Obwohl Sicherheitsziele wie Verfügbarkeit, Integrität, Verbindlichkeit, Vertraulichkeit und Vertrauenswürdigkeit allesamt als "sehr wichtig" oder "unverzichtbar" eingestuft werden, sind selten Maßnahmen eingeleitet.

Technische Defekte an der Hard- und Software gelten als wichtigste Gefahrenquelle. Aber auch der eigene Mitarbeiter wird als Sicherheitsrisiko eingestuft, denn durch Fehlbedienungen kann es zu den am meisten gefürchteten Daten- und Informationsverlusten kommen.

Sind Konzepte vorhanden, zielen sie meistens auf die zuverlässige Verfügbarkeit der technischen Anlagen. Völlig vernachlässigt wird trotz steigender Online-Anbindungen und Nutzung elektronischer Transferverfahren wie EDI und E-Commerce die TK-Infrastruktur. Das Bewußtsein für die neuen Gefahren und Risiken fehlt weitgehend.

Abhilfe kann, so die Verfasser, die Ernennung eines Sicherheitsbeauftragten schaffen. Aber auch Schulungen und die Sensibilisierung der Belegschaft vermögen das Sicherheitsrisiko zu verringern. Die damit verbundenen Kosten stellen meistens kein Problem dar, Schwierigkeiten liegen vielmehr in fehlender fachlicher Qualifikation, Informationsdefiziten und Unterschätzung der Risiken.

Oftmals haben Unternehmen nur gegen solche Gefahren Schutzmaßnahmen getroffen, die in der Vergangenheit bereits zu Problemen geführt haben. Vorausschauende Maßnahmen sind dagegen eher die Ausnahme. In jedem Fall ist die Implementierung von Sicherheitsmaßnahmen ein kommunikationsintensiver, iterativer und kontinuierlicher Prozeß. Trotzdem wird es für umfassenden Schutz keine Garantie geben.