IT-Sicherheit: Initiativen für KMUs setzen auf Aufklärung, konkrete Hilfe gibt es aber nicht
Anzeige
Bei den meisten staatlichen Initiativen zur Verbesserung der IT-Sicherheit in KMUs steht die Wahrnehmung des Themas bei den Unternehmensverantwortlichen im Fokus. Dies ist zwar eine Grundvoraussetzung für den Erfolg der Sicherheitsmaßnahmen, aber dafür fehlen oft konkrete Hilfen. Nur 35 Prozent der für eine internationale Studie analysierten Initiativen konnten konkreten informationstechnologischen Zielen aus dem Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik zugeordnet werden. Das zeigte eine Studie von Detecon International im Auftrag des Bundesministeriums für Wirtschaft und Energie zusammen mit dem Institut für Wirtschafts- und Politikforschung und der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e. V.
KMU beteiligen sich nicht aktiv an Initiativen zur Verbesserung der IT-Sicherheit
Die meisten Initiativen für KMU gibt es im internationalen Vergleich in Deutschland. Aber die KMU beteiligen sich nur wenig aktiv an Initiativen zur Verbesserung der IT-Sicherheit. Das hat vor allem drei Gründe: Unterschätzung der Risiken mangelnder IT-Sicherheit, fehlendes Detailwissen und der Mangel an konkreter und zielgruppengerechter Unterstützung der nationalen Initiativen. Ursache für diese drei Gründe sind u. a. das fehlende Angebot geeigneter Lösungen, die verzerrte Wahrnehmung und die fehlenden Ressourcen der Inhaber. Es steht zu erwarten, dass sich nationale Initiativen in Zukunft stärker an den Bedarfen der KMU als Akteure solcher Initiativen orientieren, um das Risiko von wirtschaftlichen und Wissens-Verlusten, das sich aus der mangelnden IT-Sicherheit ergibt, für Unternehmen, eine Wirtschaftsregion oder eine Branche reduzieren.
Individuelle Beratung vor Ort durch staatliche Zuschüsse
Bei den meisten Initiativen steht die Aufklärungsarbeit durch Informationsmaterial, Kampagnen oder Schulungen im Fokus. Individuelle Beratungen vor Ort erfolgen entweder durch einen Mitarbeiter der Initiative oder z. B. beim britischen „Innovation Vouchers for Cyber Security“ mit staatlichen Zuschüssen durch IT-Dienstleister. Voraussetzung für einen Beratungsgutschein ist, dass das Unternehmen wenigstens die Idee und Umsetzung des Vorhabens erklären kann. Dieser Ansatz ist für eine Adaption besonders interessant. Vor der Umsetzung gilt zu prüfen, ob weitere Anforderungen an die Dienstleistung formuliert oder bestehende deutsche Plattformen genutzt werden können.
Konkrete technische Lösungen aus Initiativen eher der Ausnahmefall
Konkrete technische Lösungen aus den Initiativen sind eher die Ausnahme. Dies ist aufgrund der erheblichen Defizite in den KMUs vor allem bei der Verschlüsselung ihrer Kommunikation eher überraschend, vor allem da die „Initiative-S“ ein Beispiel für eine konkrete Unterstützung ist.
„Initiative-S“ prüft Websites auf Schadsoftware und hilft bei der Bereinigung
Ziel der „Initiative-S“ ist die Prüfung von Websites und Unterstützung bei der Bereinigung von Schadsoftware. Alle gut 17.000 registrierten Unternehmen hatten bis Märt 2014 ihre Websites ständig prüfen lassen, täglich wurden ein bis zwei Infektionen unschädlich gemacht. Auch das niederländische Programm „Hulpknop“ (deutsch: Notfallknopf) leistet konkrete Hilfe für Opfer von Cyberangriffen, in dem es anhand von Kategorien schnell Informationen zu den konkret zu ergreifenden Gegenmaßnahmen liefert.
Resonanz für gezielt konzipierte Initiativen besser, Zahl der erreichten Unternehmen gering
Ein generelles Dilemma für die Optimierung der IT-Sicherheit ist, dass die Resonanz für Initiativen, die durch ihre gezielte Konzeption einzelne Unternehmen ansprechen, besser ist, sie aber nur wenige Unternehmen aufgrund der klaren Zielgruppe erreichen. Die Einbindung von Multiplikatoren, wie Verbänden, Rechtsanwälten oder Unternehmensberater, die die Informationen an Klienten, Kunden und Mitglieder weitergeben, kann Abhilfe schaffen. Ein deutsches Beispiel sind die Kammern.