Es fehlt der Blick aufs Ganze

Feature | 6. September 2006 von admin 0

Große und global agierende Konzerne waren Vorreiter in Sachen E-Business. Inzwischen wickeln jedoch auch immer mehr kleine und mittelständische Unternehmen ihre Geschäftsprozesse mit Internet- und E-Business-Technologien ab. Sie erfüllen damit entweder Vorgaben von Großkunden – etwa in der mittelständischen Zulieferindustrie – oder nutzen das Web als zusätzlichen Vertriebskanal. Hinzu kommt, dass heute auch Mittelständler ihre Unternehmensnetze verstärkt um mobile Computer – Notebooks oder PDAs – sowie Heim- und Telearbeitsplätze erweitern und hierfür auf drahtlose Übertragungstechnologien wie WLAN oder Internettelephonie. Damit sind kleine und mittelständische Firmen den gleichen Bedrohungen ausgesetzt wie Großunternehmen. Datenbestände oder digitalisierte Sprachdaten, die als sicherheitsrelevant einzustufen sind, verlassen ihre bisher abgeschottete, ausschließlich im internen Netz angesiedelte Umgebung.

IT-Sicherheit als Wettbewerbsfaktor

Wie bei Großunternehmen sind daher auch im Mittelstand effektive Maßnahmen erforderlich, die den sicheren Daten- und Informationsaustausch mit Partnern und Kunden garantieren, die Unternehmens-IT vor unbefugten Zugriffen und Attacken schützen und deren Ausfallsicherheit garantieren. “Mittelständler müssen mit den Entwicklungen im Bereich der Sicherheitstechnologien Schritt halten”, betonen die IDC-Analysten Carla Arend und Thomas Raschke in einer Untersuchung zur IT-Sicherheit im Mittelstand. “Setzen sie keine entsprechenden Maßnahmen um, schmälert das ihre Attraktivität als Geschäftspartner.”
In der Automobilzulieferindustrie beispielsweise ist für mittelständische Zulieferer ohne IT ein konkurrenzfähiger Geschäftsbetrieb nicht aufrecht zu erhalten. Die großen Hersteller fordern aufgrund der abnehmenden Fertigungstiefe von den Mittelständlern, sich eng an die IT-Lösungen der eigenen Einkaufs- und Entwicklungsabteilungen zu koppeln. Defizite bei der IT-Sicherheit wirken sich negativ auf Wettbewerbsfähigkeit aus. Ein Systemausfall von nur wenigen Stunden hat verheerende Folgen, denn in der Branche wird nicht nur Just-In-Time geliefert, sondern auch produziert. Bei Finanzdienstleistern wiederum stehen andere Sicherheitsaspekte stärker im Vordergrund. Zwar ist die Ausfallsicherheit der IT ebenfalls eine Kernfrage, weitaus wichtiger ist jedoch noch die Vertraulichkeit der Kundendaten.
Branchenunabhängig kommt hinzu, dass der Mittelstand immer mehr gesetzlichen Vorgaben, Richtlinien und Regeln für eine sichere Unternehmensführung unterliegt, wenn er seinen Aktionsradius per E-Business auf die internationale Bühne ausweitet. Und: Je mehr Mittelständler moderne Informations- und E-Business-Technologien verwenden, desto höher ist auch das Risiko, Angriffe auf sich zu ziehen. Der wirtschaftliche Schaden, der durch Datenverlust, Datendiebstahl oder Systemausfälle in mittelständischen Firmen entsteht, ist enorm. Der Sicherheitsanbieter Symantec errechnete anhand einer Umfrage unter mehr als 100 kleinen und mittleren Unternehmen, dass pro Virenattacke durch Systemausfall oder Datenverlust Schäden von 2.300 Euro bis 16.000 Euro entstehen. Da weltweit in nahezu allen Volkswirtschaften die Mittelständler die Gesamtzahl der Unternehmen mit einem Anteil von mehr als 90 Prozent dominieren, summieren sich die Schäden auf Milliardenbeträge.

Die Patchwork-Unternehmen

Folglich ist der Stellenwert der IT-Sicherheit in mittelständischen Firmen hoch, wie eine im Jahr 2005 von IDC veröffentlichte branchenübergreifende Studie unter Mittelständlern in fünf europäischen Ländern belegt. Im Branchendurchschnitt gaben mehr als 95 Prozent der Befragten an, Sicherheitstechnologien installiert zu haben. Doch die hohe Adoptionsrate darf nicht darüber hinweg täuschen, dass viele Mittelständler nur rudimentäre Sicherheitsinfrastrukturen geschaffen haben, vorwiegend einfache Antivirenlösungen.
Laura Converso, als Senior Research Analystin bei IDC für den Mittelstand verantwortlich, sieht hierin keinen Widerspruch. “Für Mittelständler ist IT-Sicherheit zwar eines der wichtigsten Themen”, so die IDC-Analystin. “Die meisten Betriebe gehen das Thema aber nicht proaktiv an, sondern entwickeln tragfähige Sicherheitsmaßnahmen erst nach dem Ernstfall.” Zudem sei die Herangehensweise meist unsystematisch und unstrukturiert. Converso bezeichnet Mittelständler in punkto IT-Sicherheit deshalb auch gerne als “Patchwork-Unternehmen”: Punktuell würden Sicherheitsmaßnahmen getroffen, doch es fehle der Blick aufs Ganze.

Verwendete Sicherheitslösungen

Verwendete Sicherheitslösungen

Zu ähnlichen Einschätzungen kommen die Marktforscher von Forrester oder das Unternehmen Security for Business (S4B). Laut Forrester haben komplexere Prozesse, wie Intrusion/Detection-Prevention, Authentifizierung, VPN-Tunnel oder Vulnerability Scans bisher nur in wenige mittelständische Unternehmen Einzug gehalten. S4B fand heraus, dass sich der Mittelstand nur in Ausnahmefällen systematisch mit den Sicherheitsbelangen auseinandersetzt. Drei Viertel der kleineren Betriebe haben demnach noch keine professionelle Überprüfung ihrer Sicherheitsverhältnisse vorgenommen oder veranlasst.

Wenn Kompetenz fehlt …

Die unzureichende und unsystematische Umsetzung bei Mittelständlern hat Gründe. Um eine konkrete Kosten-Nutzen-Analysen von Sicherheitsmaßnahmen und -projekten durchzuführen, müssten detaillierte Daten zu Sicherheitsattacken und -verletzungen gesammelt und ausgewertet werden. Laut Martin Haas, Consulting Director bei IDC in Frankfurt, ist der Aufbau einer ganzheitlichen Sicherheitsinfrastruktur, die idealer Weise mit den strategischen Unternehmenszielen verknüpft wird, unabdingbar. Die nötigen technischen Voraussetzungen – etwa eine mehrstufige Sicherheitsinfrastruktur – können nur durch qualifiziertes Personal geschaffen werden. Das wiederum ist für Mittelständler ein nicht zu unterschätzender Kostenfaktor.
Die Marktforscher der Yankee Group haben ausgerechnet, dass die Personalkosten 25 Prozent der Ausgaben für IT-Sicherheit ausmachen. Die Gehälter für einen Sicherheitsbeauftragten liegen zwischen 60.000 und 100.000 US-Dollar pro Jahr, IT-Leiter erzielen bis zu 150.000 US-Dollar Jahresgehalt. Selbst bei einer kleinen IT-Abteilung mit drei bis vier Personen kommen pro Jahr stattliche Personalkosten zusammen, die den finanziellen Rahmen eines Mittelständlers – im Gegensatz zu Großunternehmen – rasch sprengen. Yankee-Group-Analyst Jim Slaby bezeichnet daher Ausgaben, um im Bereich IT-Sicherheit firmenintern Kompetenz aufbauen, als überflüssigen “Luxus”. Dieses Geld fehle Mittelständlern dann für wichtige Kernaufgaben – neue und marktfähige Produkte sowie Services zu entwickeln, und damit die Wettbewerbsfähigkeit zu verbessern.
Doch ohnehin ist der Mittelstand zu Investitionen in dieser Höhe gar nicht bereit. Laut S4B-Studie zahlt ein Viertel der Mittelständler für eine Sicherheitsanalyse maximal 1.000 Euro. Zu ähnlichen Ergebnissen kommen die Analysten von Forrester. Mehr als 40 Prozent der von Forrester befragten Betriebe geben weniger als 1.200 Euro pro Jahr für externe Dienstleistungen in Sachen IT-Sicherheit aus.

… verpuffen Initiativen

Sicherheitspersonal vorhanden ?

Sicherheitspersonal vorhanden ?

“Viele kleine und mittlere Firmen haben keine IT-Abteilung, die das Unternehmensnetzwerk gegen Angriffe von außen absichert und die Sicherheitslösungen – falls vorhanden – professionell verwaltet”, haut IDC-Analystin Converso in dieselbe Kerbe. Und wenn sind die IT-Abteilungen vergleichsweise klein. Einer gemeinsamen Umfrage der Network Research Group an der Universität Plymouth und der San Diego State University unter mehr als 120 europäischen und US-amerikanischen Mittelständlern ist zu entnehmen, dass meist die IT-Administratoren die Aufgabe IT-Sicherheit mit übernehmen. Nur 2,5 Prozent der befragten Firmen mit 20 bis 250 Mitarbeitern haben einen eigenen Sicherheitsbeauftragten. In beiden Fällen sind die Verantwortlichen jedoch nur selten für mögliche Bedrohungsszenarien geschult.
Fehlende oder geringe Fachkompetenz vermindert das Risikobewusstsein. Werden Bedrohungen aber erst gar nicht wahrgenommen, unterbleiben infolge auch die notwendigen Risikoanalysen, um Schwachstellen aufzudecken, Schadenspotenziale zu berechnen und Sicherheitslücken durch geeignete Maßnahmen zu schließen. Selbst wenn also Betriebe mit geringer Fachkompetenz Initiativen in punkto IT-Sicherheit einleiten, verpuffen diese oft.

Alternative Outsourcing

Yankee Group empfiehlt Mittelständler deshalb, ernsthaft in Betracht zu ziehen, den Bereich IT-Sicherheit als Managed Services auszulagern. Durch Outsourcing der IT-Sicherheit sparen Mittelständler im Vergleich zu den Inhouse-Kosten für Personal, IT-Werkzeugen und Updates nach Schätzung der Yankee Group zwischen 20 und 60 Prozent. Ebenso steigt die Qualität der IT-Sicherheit messbar, denn die Security-Dienstleister beschäftigen hochqualifizierte Sicherheits-Spezialisten. Sie verfolgen Trends und bringen ihre Erfahrungswerte aus Projekten in anderen Unternehmen ein. Das Wissen wiederum steht allen Kunden gleichermaßen zur Verfügung.
Martin Haas rechnet noch aus einem anderen Grund damit, dass Mittelständler künftig zumindest Teile einer Sicherheitslösung in Form von Managed Services in Anspruch nehmen. “Je höher das geforderte Sicherheitsniveau steigt”, so der IDC-Analyst, “desto komplexer werden die Lösungen und damit auch die Anforderungen an den Mittelstand.”

Dr. Andreas Schaffry

Dr. Andreas Schaffry

Leave a Reply