BSI bewertet IT-Sicherheit in kleinen und mittleren Unternehmen (KMU)

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen einer Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) festegestellt hat, ist das Bewusstsein für IT-Sicherheitsthemen hoch, die Umsetzung konkreter Maßnahmen aber immernoch verbesserungswürdig.

Auch in technischer Hinsicht sind viele Unternehmen gbereits gegen Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen aber auch einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen. Auch wird die Durchgängigkeit der und Wirkung der eingeführten Prozesse und Vorgaben bemägelt.

Die Studie macht deutlich, dass die kleinen und mittleren Unternehmen im Bereich der IT-Sicherheit grundsätzlich geeignet aufgestellt sind. Im Durchschnitt werden rund zwei Drittel der in Anlehnung an den IT-Grundschutz abgefragten IT-Sicherheitsmaßnahmen in den Unternehmen umgesetzt. Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung und Absicherung der Netzwerke umgesetzt. In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Insbesondere bei den geschäftskritischen IT-Sicherheitsprozessen wie etwa dem Umgang mit Sicherheitsvorfällen oder dem Notfallmanagement zeigen sich deutliche Schwächen. Hier vertrauen die Unternehmen zumeist auf die eigene Fähigkeit, im Fall des Falles geeignet reagieren zu können – ein offensichtlicher Trugschluss der IT-Sicherheit.

Nur jedes zweite Unternehmen hat einen IT-Sicherheitsbeauftragten ernannt

Auch im Bereich der personellen Maßnahmen gibt es in vielen Unternehmen noch Nachholbedarf. Nur jedes zweite Unternehmen benennt beispielsweise einen IT-Sicherheitsverantwortlichen.

In den Firmen gibt es zmeist hohen Abstimmungsbedarf zwischen der Geschäftsführung und ihrer IT-Abteilung. Die Bereitschaft, die jeweils eigenen Interessen im Hinblick auf den Erfolg des Unternehmens zusammen zu führen ist grundsätzlich vorhanden, an der Koordination fehlt hier aber oft, da kein Sicherheitsbeuftragter mit dieser Aufgabe betraut wurde. Die Studie zeigt auch, dass eine neutrale Moderation der hierzu erforderlichen Gespräche der erfolgreichste Weg ist.

Ziel der Studie war es, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer IT-Infrastrukturen im Bereich der KMU zu ermitteln. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen Maschinenbau, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews sowohl mit der IT-Leitung als auch der Geschäftsleitung, die ebenso wie die anschließende Auswertung von IT-Sicherheitsexperten durchgeführt wurden. Die Ergebnisse wurden in einer zweiten Befragung mit den Unternehmen diskutiert, verifiziert und vertieft. Durch dieses Erhebungsverfahren konnte das BSI jedem Untersuchungsgebiet der Studie konkrete, praxisnahe Handlungsempfehlungen hinzufügen, die den Mittelstand anschaulich bei der Optimierung der IT-Sicherheit unterstützen.

Wir beraten Sie gerne zur Einführung eines Informations-Sicherheits-Management-Systems nach ISO 27001 und zur Umsetzung der des IT-Grundschutz nach den Vorgaben des BSI.

Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor————————————————————————————————————————
Quellen und Links:

Informationen zur ISO 27001
http://www.tec4net.com/web/0000009c6d0162a2c/f360249505024ef0c/index.html
Studie des BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf?__blob=publicationFile

tec4net Ihr Starker IT-Partner

vorformulierten Vertrag
Das Urteil des Arbeitsgerichts Dessau-Roßlau (Az. 1 Ca 148/11)

Vortrag zum Thema Praxisnaher Datenschutz – ein voller Erfolg!

Der Vortrag zum Thema „Praxisnaher Datenschutz im Unternehmen“ bei der AFCEA München war ein voller Erfolg.

Herr Matthias Walter, tec4net IT-Solutions gab in seinem Vortrag einen Einblick in das Thema Datenschutz und die praxisnahe Umsetzung im Unternehmen.

Die Armed Forces Communications and Electronics Association (AFCEA) wurde 1946 in New York, USA gegründet und ist eine internationale Vereinigung von Fachleuten aus Staat, Militär, Sicherheitsbehörden, Industrie, Wirtschaft und Wissenschaft.

Zum Vortrag:
Im Rahmen der „Unternehmens-Compliance“ nimmt der Datenschutz eine zentrale Stellung ein, oder sollte es möchte ein Unternehmen den damit einhergehenden Bedrohungen durch Abmahnung, Imageverlust oder Bußgeldzahlungen entgehen.

Beinahe alle Unternehmensbereiche und -abläufe sind für den Datenschutz relevant. Angefangen bei der E-Mail-Kommunikation, über das Bewerbungsmanagement, die Finanzbuchhaltung bis zur Auftragsvergabe an externe Dienstleister. Oft wurde beim Design der betrieblichen Prozesse nicht an die Vorgaben des BDSG gedacht, und so verwundert es nicht, dass in vielen Firmen Verstöße gegen das Datenschutzgesetz an der Tagesordnung sind.

Beantwortet wurden unter anderem die folgenden Fragestellungen:
Was müssen Entscheider und Verantwortliche eines Unternehmens wissen?
Wer haftet für die Verstöße?
Wo lauern besondere Gefahren?

Außerdem gab Herr Walter Einblick in folgende Punkte:
– Definition – Datenschutz vs. Datensicherheit
– Was möchte der Gesetzgeber durch das BDSG erreichen
– Geschichtlicher und Gesellschaftlicher Hintergrund
– Rechte und Pflichten von Betroffenen und Beteiligten
– Die Wichtigsten Paragraphen und deren Bedeutung
– Was ist eine Auftragsdatenverarbeitung
– Rechtsvorschriften und Erlaubnisvorbehalt
– Notwendige Maßnahmen und Kontrollpflichten
– Aufgaben und Bestellung eines Datenschutzbeauftragten
– Die Herausforderungen, die Unternehmen im Bereich des Datenschutzes meistern müssen.