Trotz steigendem Bewusstsein für IT-Themen wie Datenschutz und digitaler Kriminalität besitzen viele kleinere und mittlere Unternehmen (KMU) noch keine ausreichende IT-Sicherheit. Wir zeigen, mit welchen IT-Problemen Unternehmen kämpfen und wie sie diese mit kostengünstigen Mitteln beheben können.
Wissenschaftliche, quantitative Befragung von 1.505 KMU
Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat im Auftrag des Bundesministeriums für Wirtschaft und Energie 1.505 Klein- und Mittelständische Unternehmen zur internen IT-Sicherheit befragt. Die Studie knüpft an eine
Analyse aus 2011/2012 an. Die wissenschaftliche Befragung unterteilt die Unternehmen in
kleinere KMU (< 50 Mitarbeiter) und
größere KMU (50 – 499 Mitarbeiter). Diese werden im folgenden Text zur besseren Übersicht farblich markiert werden.
Mangelnde Investitionen in IT-Sicherheit
Die Ergebnisse der Befragung zeigen, dass das Bewusstsein für den Schutzbedarf von Daten seit 2011/2012 signifikant angestiegen ist. So schätzen heute 80 % der Befragten den benötigten Schutz von Kundendaten als hoch bis sehr hoch ein.
Trotz des steigenden Bewusstseins für digitale Sicherheit hapert es an der Umsetzung. Nur 20 % der kleineren KMU haben bereits eine IT-Sicherheitsanalyse durchgeführt. Bei den größeren KMU hat nur jedes zweite Unternehmen eine solche Analyse veranlasst.
Drastisch fällt das fehlende Gefühl für digitale Gefahren gegenüber Unternehmen aus, wenn man das geplante Budget für IT-Sicherheit als Bezugsgröße wählt.
33 % beziehungsweise
44 % deutscher KMU haben in 2017 überhaupt kein Budget für IT-Sicherheit eingeplant. Weitere
28 % /
24 % planten mit maximal 2.000 € Jahresbudget. Durchschnittlich wurden 2.600 € eingeplant. Da lediglich 9 % der befragten Unternehmen mehr als 2.000 Euro Budget einplanten, ist davon auszugehen, dass einige wenige Unternehmen mit sehr hohen Ausgaben diesen Durchschnittswert in die Höhe getrieben haben.

Mangelnde Investitionen in IT-Sicherheit bei KMU. Angaben in Prozent | Quelle: wik.org
Zeitaufwand, Kostenaufwand und fehlende Qualifikationen als größte Hürde
Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste hat die Unternehmen nach den Gründen für ihre mangelnde IT-Sicherheit befragt. Als häufigsten Grund (
75% /
85 %) nennen die Befragten fehlende Zeit, gefolgt von einem zu hohen Kostenaufwand (
68 % /
85 %) und fehlenden Qualifikationen der Mitarbeiter (
60 % /
71 %).
Besonders interessant ist die Erkenntnis der fehlenden digitalen Kompetenz in KMU auf Personalebene. Nur 54 % der kleineren KMU besitzen mindestens einen Mitarbeiter mit IT-Kenntnissen. Bei den größeren Unternehmen sind es 85 %. Erschreckend ist die Erkenntnis, dass 66 % aller kleineren KMU einen IT-Sicherheitsbeauftragten für irrelevant halten. Dies wird vor allem Cyberkriminelle freuen.
60 % aller KMU haben einen IT-System-Ausfall erlebt
Die aufgeführten Statistiken lassen vermuten, dass die fehlenden Investitionen in eine gute IT-Infrastruktur und IT-Sicherheit damit zu erklären sind, dass die Mehrzahl der Unternehmen bisher mit keinen größeren IT-Problemen zu kämpfen hatten. Jedoch zeigt die Befragung ganz andere Ergebnisse auf. 60 % der Befragten erlitten mindestens einen
IT-System-Ausfall. Jedes zweite KMU wurde Opfer von Virenangriffen. Jedes dritte Unternehmen musste Datenverluste hinnehmen.
Schlecht geschützte E-Mail-Kommunikation in Unternehmen
96 % beziehungsweise
99 % der befragten KMU nutzen die E-Mail als Kommunikationsmedium. Dabei geben
90 % /
98 % an, einen Spamfilter zu nutzen.
98 % /
100 % verwenden einen Virenschutz. Im Kontrast dazu steht die Aussage, dass jedes zweite Unternehmen schon mindestens einmal mit Problemen durch Virenangriffe zu kämpfen hatte.
Dies lässt annehmen, dass entweder die Aussagen der Befragten nicht korrekt sind oder die genutzten Schutzmechanismen nicht für den professionellen Gebrauch in Unternehmen geeignet sind. Beide Vermutungen werden unterstützt durch die kaum bis gar nicht vorhandenen Investitionen in IT-Sicherheit.
Des Weiteren nutzen nur
35 % beziehungsweise
44 % eine E-Mail-Verschlüsselungs-Lösung. Es wird deutlich, dass das Bewusstsein für einen erhöhten Datenschutz zwar gestiegen ist, dies jedoch nicht die erforderlichen Maßnahmen herbeiführt.
Trotz des technischen Know-hows verschlüsseln selbst im E-Commerce-Gewerbe lediglich
40 % beziehungsweise
33 % der Unternehmen ihren E-Mail-Verkehr. Positiv hingegen ist die Nutzung
gesetzeskonformer E-Mail-Archivierung. Zwei Drittel der KMU im E-Commerce archivieren ihre E-Mails gesetzeskonform.

E-Mail Sicherheit in Unternehmen. Hohes Spam-Aufkommen in Deutschland
Einfache und kostengünstige Maßnahmen zur Steigerung der IT-Sicherheit
Die Steigerung der IT-Sicherheit ist selbst in kleinen Unternehmen mit wenigen Mitteln umzusetzen. Die einfachste Möglichkeit ist die Schulung der eigenen Mitarbeiter. Die Aufklärung über potentielle Gefahren kann vor einem Großteil digitaler Gefahren schützen.
Zudem hilft die
Erarbeitung eines IT-Notfallplans, angemessen auf Cyber-Angriffe zu reagieren und mögliche Schäden zu minieren. Welche Situation kann eintreten und mit welchen Mitteln und in welcher Zeit sollte darauf reagiert werden. Ein simpler Plan, der die Verbreitung von Schäden verhindert, ist das sofortige Trennen des infizierten Gerätes vom Netzwerk.
Privat häufig genutzt, in Unternehmen gerne vernachlässigt: Regelmäßige Backups verhindern folgenschwere Datenverluste. Zuverlässige und leistungsstarke Lösungen gibt es bereits für geringes Geld – entweder lokal oder noch besser
als Cloud-Dienst.
Skalierbare SaaS-Lösungen als Ersatz für eigene IT-Sicherheits-Mitarbeiter
Insbesondere kleinere Unternehmen können das Budget für einen Angestellten, der ausschließlich für die IT-Sicherheit zuständig ist, nicht bereitstellen. Eine einfache und preisgünstigste Alternative bietet Software as a Service (SaaS). SaaS-Anbieter spezialisieren sich als Experten auf einen Service-Bereich und bieten dem Kunden eine große Expertise. In der IT-Security-Branche sind diese Services meist cloudbasierte Lösungen. Diese sind zuverlässig, kostengünstig, schnell eingerichtet und skalierbar. Zusätzlicher Vorteil: Es ist kein Aufwand für die Einrichtung der Hard- und Software-Infrastruktur notwendig, da dies die Cloudanbieter bereitstellen. Selbst kleine Unternehmen mit geringer IT-Expertise und kleinem Budget können so die interne digitale Sicherheit erhöhen.