IT-Security-Beauftragte praktizieren "learning by doing"
Mittelstand: Wenig Wissen über Netz-Sicherheit
Die Autoren der Studie wollten wissen, welchen Hintergrund die Menschen haben, die im Mittelstand quasi als CISO arbeiten. Ergebnis: Gut jeder Zweite (52 Prozent) hat eine Berufsausbildung im Bereich IT. 24 Prozent sind Quereinsteiger, die sich ihre Kenntnisse selbst angeeignet haben. Weitere 22 Prozent sind Quereinsteiger, die sich über Weiterbildung qualifiziert haben.
So nimmt denn auch nur knapp jede vierte Firma (23 Prozent) für sich in Anspruch, die gesetzlichen Vorgaben zur IT-Sicherheit zu kennen. 49 Prozent erklären vage, über die Vorgaben "teilweise" Bescheid zu wissen. Und 21 Prozent sagen frank und frei, dass sie sie nicht kennen.
Vor dem Hintergrund ist es nicht erstaunlich, dass knapp vier von zehn Unternehmen (38 Prozent) keine Sicherheitsstrategie formuliert und schriftlich festgehalten haben. Weitere 32 Prozent geben an, dies "teilweise" getan zu haben. Nur 28 Prozent der Befragten können die Frage nach einer schriftlich fixierten Security-Strategie mit "Ja" beantworten.
Mittelstand ohne Notfallplan
Und IT-Notfallpläne sind im Mittelstand Mangelware: Jeder zweite Studienteilnehmer zieht in diesem Punkt blank. Ein weiteres Viertel erklärt, es gebe "teilweise" einen solchen Plan. Noch nicht einmal in jeder fünften Firma (19 Prozent) ist ein IT-Notfallplan existent.
Immerhin: 48 Prozent der Studienteilnehmer geben an, ein Datensicherungskonzept formuliert und umgesetzt zu haben. 28 Prozent antworten auch in dieser Frage mit einem "teilweise", 18 Prozent geben zu, dass es keines gibt.