Auf einer Skala von eins (unwichtig) bis vier (sehr wichtig) erreicht die Kommunikation mit Kunden den Wert 3,2 und steht damit vorn. Es folgen die Kommunikation mit Lieferanten (2,98), der Bereich Einkauf (2,67) und die Lieferantensuche (2,63). Die Bedeutung des Internets ist den Firmen also bewusst.
Seine Gefahren auch. Die Firmen geben an, den Betrieb noch nicht einmal einen Tag aufrechterhalten zu können, sollten E-Mail und File-Server ausfallen. Knapp jeder dritte Befragte (30 Prozent) erklärt sogar, das Geschäft ohne funktionierenden E-Mail-Verkehr nur eine bis vier Stunden am Laufen halten zu können.
Andererseits gestehen die Studienteilnehmer massive Wissenslücken ein. Bei der Frage nach dem Informationsbedarf liegt der Punkt Netz- und Informationssicherheit ganz oben (3,61 auf einer Skala von Eins bis fünf). Danach werden Online-Recht (3,36) und Datenaustausch mit Externen (3,27) genannt.
Einen eigenen IT-Sicherheitsbeauftragten gibt es nur in 37,5 Prozent der Firmen. Sofern einer im Einsatz ist, bleibt er weitgehend auf sich selbst gestellt: 42 Prozent bezeichnen "learning by doing" als ihre Weiterbildung. Immerhin 34,4 Prozent können regelmäßige Fachseminare besuchen. Zehn Prozent verlassen sich auf Fachliteratur oder Internet-Recherchen.
Die Autoren der Studie wollten wissen, welchen Hintergrund die Menschen haben, die im Mittelstand quasi als CISO arbeiten. Ergebnis: Gut jeder Zweite (52 Prozent) hat eine Berufsausbildung im Bereich IT. 24 Prozent sind Quereinsteiger, die sich ihre Kenntnisse selbst angeeignet haben. Weitere 22 Prozent sind Quereinsteiger, die sich über Weiterbildung qualifiziert haben.
So nimmt denn auch nur knapp jede vierte Firma (23 Prozent) für sich in Anspruch, die gesetzlichen Vorgaben zur IT-Sicherheit zu kennen. 49 Prozent erklären vage, über die Vorgaben "teilweise" Bescheid zu wissen. Und 21 Prozent sagen frank und frei, dass sie sie nicht kennen.
Vor dem Hintergrund ist es nicht erstaunlich, dass knapp vier von zehn Unternehmen (38 Prozent) keine Sicherheitsstrategie formuliert und schriftlich festgehalten haben. Weitere 32 Prozent geben an, dies "teilweise" getan zu haben. Nur 28 Prozent der Befragten können die Frage nach einer schriftlich fixierten Security-Strategie mit "Ja" beantworten.
Mittelstand ohne Notfallplan
Und IT-Notfallpläne sind im Mittelstand Mangelware: Jeder zweite Studienteilnehmer zieht in diesem Punkt blank. Ein weiteres Viertel erklärt, es gebe "teilweise" einen solchen Plan. Noch nicht einmal in jeder fünften Firma (19 Prozent) ist ein IT-Notfallplan existent.
Immerhin: 48 Prozent der Studienteilnehmer geben an, ein Datensicherungskonzept formuliert und umgesetzt zu haben. 28 Prozent antworten auch in dieser Frage mit einem "teilweise", 18 Prozent geben zu, dass es keines gibt.
An der Studie "IT-Sicherheit in Unternehmen 2007" des Netzwerkes Elektronischer Geschäftsverkehr haben sich 275 kleinere und mittelständische Betriebe beteiligt.