Passwörter auf der Schreibtischunterlage notiert oder bestehend aus Vornamen und Geburtsdatum: Auch nach zahlreichen Datenskandalen geben sich Unternehmen und Mitarbeiter von Unternehmen erstaunlich bedenkenlos, was das Thema IT-Sicherheit im Unternehmen angeht. Dabei nimmt die Digitalisierung zu und damit befinden sich immer mehr Unternehmenswerte auf Servern oder gar in der Cloud.
Eine aktuelle Erhebung des Vereins Deutschland sicher im Netz (DsiN) und des IT-Dienstleisters DATEV eG zur IT-Sicherheitslage im Mittelstand zeigt, dass die in den Betrieben umgesetzten IT-Sicherheitsmaßnahmen über einen Vergleichszeitraum von vier Jahren in Teilen sogar rückläufig sind.
Nahezu alle Unternehmen sichern inzwischen ihren Internetzugang sowie ihre Daten und spielen regelmäßig die erforderlichen Sicherheits-Updates der Software-Hersteller ein. Ein gesamtheitliches Sicherheitskonzept hat sich aber noch nicht flächendeckend etabliert. So hat nur gut die Hälfte der Unternehmen (57 Prozent) die Verantwortlichkeit dafür überhaupt geregelt, bei lediglich knapp einem Drittel (32 Prozent) wird ein solches Konzept von der Geschäftsleitung getragen.

Mitarbeiter nur unzureichend sensibilisiert

Die Defizite sind laut Studie unterschiedlich und vielschichtig. Ein Schwachpunkt ist beispielsweise das Sicherheitsbewusstsein der Mitarbeiter. Nicht einmal ein Drittel der Unternehmen sieht die Notwendigkeit, ihre Beschäftigten für das Thema IT-Sicherheit zu sensibilisieren. Nur 26 Prozent der Unternehmen bieten regelmäßige Informationen und Schulungen zum sicherheitsbewussten Verhalten an – ein Zuwachs von gerade einmal zwei Prozent gegenüber dem Status von 2011. Über dokumentierte Sicherheitsrichtlinien verfügen gerade einmal 28 Prozent, was eine Stillstand zu 2011 bedeutet. Ebenfalls 28 Prozent der Unternehmen geben an, überhaupt keine organisatorischen Maßnahmen zu ergreifen.

Auch in der E-Mail-Kommunikation zeigt sich dringender Handlungsbedarf. Obwohl die E-Mail das meist genutzte Kommunikationsmedium im Unternehmen ist und zunehmend für den Versand von sensiblen Dokumenten verwendet wird, versenden mehr als die Hälfte der Unternehmen (57 Prozent) ihre E-Mails nach wie vor ungeschützt. Der NSA-Abhör-Skandal des vergangenen Jahres hat sich demnach nicht nachhaltig auf das Bewusstsein in den Unternehmen ausgewirkt. Auch beim Umgang mit vertraulichen Informationen bleiben die praktischen Sicherheitsmaßnahmen aus.
Ein ähnliches Bild ergibt sich beim mobilen Zugriff auf Unternehmensdaten. Während die Nutzung dieser Möglichkeit deutliche Zuwächse verzeichnet, ist die Absicherung nach wie vor dürftig umgesetzt. Insbesondere im Wachstumssegment der Smartphones und Tablets geben lediglich 26 Prozent der befragten Unternehmen an, entsprechende Maßnahmen im Betrieb zu ergreifen. Gegenüber dem Vorjahr bedeutet das einen Rückgang von 10 Prozentpunkten.

Sicherheitsmonitor dokumentiert mittelfristige Entwicklung

Die aktuellen Informationen zur IT-Sicherheitslage im Mittelstand veröffentlicht DsiN bereits im vierten Jahr in Folge. Als „DsiN-Sicherheitsmonitor Mittelstand“ steht die ausführliche Fassung auf den DsiN-Internetseiten und auf www.dsin-blog.de zum Download bereit. Neu ist in diesem Jahr, dass der Bericht über die Vergleichswerte der vergangenen vier Jahre auch den mittelfristigen Trend dokumentiert.
Basis der Erhebung sind die Ergebnisse des „DsiN-Sicherheitschecks“, mit dem sich kleine und mittelständische Unternehmen kostenfrei im Internet über den Stand ihrer Informationssicherheit informieren können.
Seit 2010 ist er unter https://www.sicher-im-netz.de/machen-sie-den-dsin-sicherheitscheck verfügbar. Die anonymen Befragungsergebnisse wertet DsiN gemeinsam mit DATEV seit 2011 jährlich in Form der Sicherheitsstudie aus. Jedes Jahr werden rund 1.500 Sicherheitschecks durchgeführt, sodass der aktuelle Sicherheitsmonitor inzwischen auf den Angaben von etwa 6.000 Unternehmen beruht.