Ende vergangenen Jahres befragte das Marktforschungshaus Forrester mehr als 1000 kleine und mittlere Anwenderunternehmen in Nordamerika und Europa nach ihren Plänen zur IT-Sicherheit. Demnach gewinnt das Thema an Bedeutung, wenngleich die Verantwortlichen einen steten Kampf um das Budget ausfechten müssen. Insgesamt hat sich gezeigt, dass die IT-Security in kleinen und mittelgroßen Unternehmen grundsätzlich mit der in Großunternehmen vergleichbar ist. Nichtsdestotrotz gibt es einige bemerkenswerte Besonderheiten.

Budgets steigen:

Die Ausgaben für IT-Security sind im Jahr 2008 gegenüber 2007 leicht gefallen. 9,1 Prozent des IT-Betriebsbudgets flossen im vergangenen Jahr in die IT-Sicherheit, 2007 waren es noch 9,4 Prozent. Für 2009 planen die Unternehmen höhere Ausgaben mit anteiligen 10,1 Prozent.

Datensicherheit hat einen besonderen Stellenwert:

Der Schutz der Daten liegt den Anwendern besonders am Herzen. 87 Prozent erachten die Datensicherheit als "wichtig", dicht gefolgt von der Sicherheit ihrer Anwendungen (80 Prozent). Befragt danach, was ihnen "sehr wichtig" ist, zeigt sich ein deutlicheres Bild. 64 Prozent wählten die Datensicherheit, 48 Prozent nannten ihre Anwendungen.

Datensicherheit ist ein wichtiges Geschäftsziel:

Daten sind ein wichtiges Kapital und bedürfen besonderer Aufmerksamkeit. Den Schutz der Daten und des geistigen Eigentums halten 82 Prozent der Befragten für wichtig, doch nicht minder bedeutsam ist für sie die Sicherheit der Kundendaten. Um ein deutlicheres Bild von der Gewichtung zu bekommen, hat Forrester die Anwender auch um eine Einschätzung gebeten, was ihnen "besonders wichtig" erscheint. Hier nannten 54 Prozent der Verantwortlichen die Kundendaten. 50 Prozent entschieden sich für Geschäftsdaten und -ideen.

Managed Security Services werden beliebter:

Die wichtigsten Gründe für eine Auslagerung sind der Bedarf an Spezial-Know-how (31 Prozent) und der Zwang, Kosten zu sparen (24 Prozent). Die Dienste, die Anwender als Erstes außer Haus betreiben lassen würden, sind das E-Mail- und Web-Content-Filtering (36 Prozent), gefolgt vom Firewall-Monitoring (33 Prozent). Forrester erwartet darüber hinaus eine steigende Nachfrage nach Services für Schwachstellen-Assessments.

Fehlendes Business-Continuity-Management:

Weniger als die Hälfte (45 Prozent) der Unternehmen verfolgt ein formales Business-Continuity-Management (BSM) für den unterbrechungsfreien Geschäftsbetrieb. Die Gründe für diesen Mangel sind vergleichbar mit denen der Großunternehmen: zu starke Konzentration auf die Wiederherstellung im Problemfall (Disaster Recovery, 26 Prozent), fehlende finanzielle Mittel (24 Prozent) und falsch definierte Aufgaben- und Verantwortungsbereiche (24 Prozent) waren die häufigsten Nennungen.

Anwender setzen auf Client-Security-Software, ergänzt durch Verschlüsselung:

Client-Firewalls sind beliebte Installationen (58 Prozent der Befragten nutzen sie) und werden es bleiben. 19 Prozent schützen ihre IT-Installation mit Host-Intrusion-Prevention-Systemen (HIPS) oder erwägen in diesem Jahr ein entsprechendes Pilotprojekt. Zudem sind Pläne zur Einführung von Verschlüsselungstechniken verbreitet (18 Prozent).

Begrenzte Anwendungssicherheit:

Die mittelständischen Anwender verfolgen eine ähnlich intensive Sicherung ihrer Anwendungen wie Großunternehmen. 72 Prozent der Befragten berichteten, sie hätten Tools zur Sicherung ihrer Applikationen in Betrieb. Unter den Großunternehmen sind es 75 Prozent. Doch der Detailblick zeigt die Unterschiede: Beide Anwendergruppen greifen zwar im vergleichbaren Maß auf Firewalls zurück. Doch während bis zu 45 Prozent der großen Anwender ihre Applikationen mit weiteren Security-Tools schützen, tun dies maximal ein Drittel der mittelständischen Unternehmen.

Probleme, Kosten der IT-Sicherheit zu begründen: Für kleine und mittelgroße Unternehmen ist der sichere IT-Betrieb ein steter Wettstreit. 84 Prozent bewerten den Kampf gegen Eindringlinge, Malware und Datenklau als Herausforderung. Eine schwere Aufgabe ist es immer wieder, die Kosten für IT-Sicherheit gegenüber der Geschäftsleitung, dem Finanzchef und dem Controlling zu rechtfertigen (54 Prozent).

E-Mail-Verschlüsselung dominiert: Zum Schutz vor Datenabfluss (Data Leak Protection) greifen 26 Prozent der Unternehmen auf E-Mail-Verschlüsselung zurück. Jeweils 23 Prozent vertrauen auf Verschlüsselung des Netzspeichers und Data Leak Prevention. In den Zukunftsplänen spielen Schutzmechanismen gegen Datenklau eine bedeutende Rolle. Etwa 20 Prozent stehen in diesem Jahr vor entsprechenden Projekten.

Entscheidungsträger vertrauen persönlichen Empfehlungen:

Anwender vertrauen vor allem dem Rat von Gleichgesinnten und Kollegen. 84 Prozent der Befragten gaben an, persönliche Empfehlungen seien wichtig oder sehr wichtig. Fachmagazine und -zeitschriften sind für 74 Prozent bedeutsame Informationsquellen. Consultants, Händler und Wiederverkäufer erachten 69 Prozent als wichtige Helfer. Informationen aus dem Internet schenken die Befragten dagegen nicht so viel Vertrauen. Zwar stöbern 84 Prozent der Unternehmen auf den Seiten der Anbieter und schätzen die dort gefundenen Informationen. Doch Diskussionsforen, im Web betriebene Veranstaltungen und Newsletters fallen deutlich ab. Zwischen 51 Prozent und 55 Prozent nutzen digitale Medien zur Entscheidungsfindung.