Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze

von | Mrz 28, 2018 | Security Informationen

Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze
Trotz steigendem Bewusstsein für IT-Themen wie Datenschutz und digitaler Kriminalität besitzen viele kleinere und mittlere Unternehmen (KMU) noch keine ausreichende IT-Sicherheit. Wir zeigen, mit welchen IT-Problemen Unternehmen kämpfen und wie sie diese mit kostengünstigen Mitteln beheben können.

Wissenschaftliche, quantitative Befragung von 1.505 KMU

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat im Auftrag des Bundesministeriums für Wirtschaft und Energie 1.505 Klein- und Mittelständische Unternehmen zur internen IT-Sicherheit befragt. Die Studie knüpft an eine Analyse aus 2011/2012 an. Die wissenschaftliche Befragung unterteilt die Unternehmen in kleinere KMU (< 50 Mitarbeiter) und größere KMU (50 – 499 Mitarbeiter). Diese werden im folgenden Text zur besseren Übersicht farblich markiert werden.

Mangelnde Investitionen in IT-Sicherheit

Die Ergebnisse der Befragung zeigen, dass das Bewusstsein für den Schutzbedarf von Daten seit 2011/2012 signifikant angestiegen ist. So schätzen heute 80 % der Befragten den benötigten Schutz von Kundendaten als hoch bis sehr hoch ein.
Trotz des steigenden Bewusstseins für digitale Sicherheit hapert es an der Umsetzung. Nur 20 % der kleineren KMU haben bereits eine IT-Sicherheitsanalyse durchgeführt. Bei den größeren KMU hat nur jedes zweite Unternehmen eine solche Analyse veranlasst.
Drastisch fällt das fehlende Gefühl für digitale Gefahren gegenüber Unternehmen aus, wenn man das geplante Budget für IT-Sicherheit als Bezugsgröße wählt. 33 % beziehungsweise 44 % deutscher KMU haben in 2017 überhaupt kein Budget für IT-Sicherheit eingeplant. Weitere 28 % / 24 % planten mit maximal 2.000 € Jahresbudget. Durchschnittlich wurden 2.600 € eingeplant. Da lediglich 9 % der befragten Unternehmen mehr als 2.000 Euro Budget einplanten, ist davon auszugehen, dass einige wenige Unternehmen mit sehr hohen Ausgaben diesen Durchschnittswert in die Höhe getrieben haben.
Mangelnde Investitionen in IT-Sicherheit bei KMU

Mangelnde Investitionen in IT-Sicherheit bei KMU. Angaben in Prozent | Quelle: wik.org

Zeitaufwand, Kostenaufwand und fehlende Qualifikationen als größte Hürde

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste hat die Unternehmen nach den Gründen für ihre mangelnde IT-Sicherheit befragt. Als häufigsten Grund (75% / 85 %) nennen die Befragten fehlende Zeit, gefolgt von einem zu hohen Kostenaufwand (68 % / 85 %) und fehlenden Qualifikationen der Mitarbeiter (60 % / 71 %).
Besonders interessant ist die Erkenntnis der fehlenden digitalen Kompetenz in KMU auf Personalebene. Nur 54 % der kleineren KMU besitzen mindestens einen Mitarbeiter mit IT-Kenntnissen. Bei den größeren Unternehmen sind es 85 %. Erschreckend ist die Erkenntnis, dass 66 % aller kleineren KMU einen IT-Sicherheitsbeauftragten für irrelevant halten. Dies wird vor allem Cyberkriminelle freuen.

60 % aller KMU haben einen IT-System-Ausfall erlebt

Die aufgeführten Statistiken lassen vermuten, dass die fehlenden Investitionen in eine gute IT-Infrastruktur und IT-Sicherheit damit zu erklären sind, dass die Mehrzahl der Unternehmen bisher mit keinen größeren IT-Problemen zu kämpfen hatten. Jedoch zeigt die Befragung ganz andere Ergebnisse auf. 60 % der Befragten erlitten mindestens einen IT-System-Ausfall. Jedes zweite KMU wurde Opfer von Virenangriffen. Jedes dritte Unternehmen musste Datenverluste hinnehmen.

Schlecht geschützte E-Mail-Kommunikation in Unternehmen

96 % beziehungsweise 99 % der befragten KMU nutzen die E-Mail als Kommunikationsmedium. Dabei geben 90 % / 98 % an, einen Spamfilter zu nutzen. 98 % / 100 % verwenden einen Virenschutz. Im Kontrast dazu steht die Aussage, dass jedes zweite Unternehmen schon mindestens einmal mit Problemen durch Virenangriffe zu kämpfen hatte.
Dies lässt annehmen, dass entweder die Aussagen der Befragten nicht korrekt sind oder die genutzten Schutzmechanismen nicht für den professionellen Gebrauch in Unternehmen geeignet sind. Beide Vermutungen werden unterstützt durch die kaum bis gar nicht vorhandenen Investitionen in IT-Sicherheit.
Des Weiteren nutzen nur 35 % beziehungsweise 44 % eine E-Mail-Verschlüsselungs-Lösung. Es wird deutlich, dass das Bewusstsein für einen erhöhten Datenschutz zwar gestiegen ist, dies jedoch nicht die erforderlichen Maßnahmen herbeiführt.
Trotz des technischen Know-hows verschlüsseln selbst im E-Commerce-Gewerbe lediglich 40 % beziehungsweise 33 % der Unternehmen ihren E-Mail-Verkehr. Positiv hingegen ist die Nutzung gesetzeskonformer E-Mail-Archivierung. Zwei Drittel der KMU im E-Commerce archivieren ihre E-Mails gesetzeskonform.
Statistiken zu Spam in Unternehmen

E-Mail Sicherheit in Unternehmen. Hohes Spam-Aufkommen in Deutschland

Einfache und kostengünstige Maßnahmen zur Steigerung der IT-Sicherheit

Die Steigerung der IT-Sicherheit ist selbst in kleinen Unternehmen mit wenigen Mitteln umzusetzen. Die einfachste Möglichkeit ist die Schulung der eigenen Mitarbeiter. Die Aufklärung über potentielle Gefahren kann vor einem Großteil digitaler Gefahren schützen.
Zudem hilft die Erarbeitung eines IT-Notfallplans, angemessen auf Cyber-Angriffe zu reagieren und mögliche Schäden zu minieren. Welche Situation kann eintreten und mit welchen Mitteln und in welcher Zeit sollte darauf reagiert werden. Ein simpler Plan, der die Verbreitung von Schäden verhindert, ist das sofortige Trennen des infizierten Gerätes vom Netzwerk.
Privat häufig genutzt, in Unternehmen gerne vernachlässigt: Regelmäßige Backups verhindern folgenschwere Datenverluste. Zuverlässige und leistungsstarke Lösungen gibt es bereits für geringes Geld – entweder lokal oder noch besser als Cloud-Dienst.

Skalierbare SaaS-Lösungen als Ersatz für eigene IT-Sicherheits-Mitarbeiter

Insbesondere kleinere Unternehmen können das Budget für einen Angestellten, der ausschließlich für die IT-Sicherheit zuständig ist, nicht bereitstellen. Eine einfache und preisgünstigste Alternative bietet Software as a Service (SaaS). SaaS-Anbieter spezialisieren sich als Experten auf einen Service-Bereich und bieten dem Kunden eine große Expertise. In der IT-Security-Branche sind diese Services meist cloudbasierte Lösungen. Diese sind zuverlässig, kostengünstig, schnell eingerichtet und skalierbar. Zusätzlicher Vorteil: Es ist kein Aufwand für die Einrichtung der Hard- und Software-Infrastruktur notwendig, da dies die Cloudanbieter bereitstellen. Selbst kleine Unternehmen mit geringer IT-Expertise und kleinem Budget können so die interne digitale Sicherheit erhöhen.

Cloud E-Mail-Security für Unternehmen

Hornetsecurity hat es sich zum Ziel gesetzt, die IT-Sicherheit in Unternehmen zu erhöhen. Dabei liegt der Fokus der Services auf Mail-, Web- und File-Security. So lassen sich beispielsweise der Spamfilter mit einer Erkennungsrate von 99,9 %, die E-Mail-Archivierung oder die E-Mail-Verschlüsselung innerhalb weniger Stunden einrichten. Die Einrichtung benötigt kein Expertenwissen und steigert die IT-Sicherheit eines Unternehmens signifikant.
Zudem betragen die Kosten im Vergleich zu einem eigenen IT-Angestellten nur einen Bruchteil. Der Preis für die Nutzung des Hornetsecurity Spamfilters, der E-Mail-Archivierung und der E-Mail-Verschlüsselung in einem Betrieb mit 50 Angestellten beträgt insgesamt weniger als 10 % des Jahresgehalts eines fähigen IT-Sicherheitsexperten.

Fazit

Obwohl die Digitalisierung der Gesellschaft und der Unternehmen immer weiter vorantreibt, scheint die Sicherheit bei der Nutzung digitaler Möglichkeiten immer noch keine große Rolle zu spielen. Ein Großteil deutscher KMU kümmern sich zu wenig um die eigene IT-Sicherheit. Besonders deutlich wird dies bei den kaum vorhandenen geplanten jährlichen Ausgaben für IT-Sicherheit.
Theoretisch ist die Anstellung eines IT-Security-Mitarbeiters mehr als notwendig. In der Praxis wird die IT-Sicherheit zu sehr vernachlässigt. Cloudbasierte SaaS Lösungen wie die Mail-Security-Services von Hornetsecurity unterstützen Unternehmen dabei, mit einem geringen Budget die IT-Sicherheit drastisch zu erhöhen und Cyberkriminalität präventiv zu bekämpfen.