BSI: Sicherheits-Management in KMU

Notfallvorkehrungen mangelhaft

Andrea König schreibt seit 2008 für CIO.de. Die Schwerpunkte ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager. Die Arbeit als freie Autorin für verschiedene Redaktionen ist mittlerweile kein Vollzeitjob mehr - hauptberuflich arbeitet sie als PR-Beraterin bei einer Hamburger Kommunikationsagentur.
KMU setzen im Schnitt zwei von drei Maßnahmen des IT-Grundschutzes um. Allerdings: Prozesse zum Sicherheits-Management sind oft nicht aufeinander abgestimmt.
Nur in jedem zweiten KMU gibt es einen Sicherheitsverantwortlichen.
Nur in jedem zweiten KMU gibt es einen Sicherheitsverantwortlichen.
Foto: DMS Expo

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. Ziel der Studie war, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer Infrastrukturen in KMUs zu ermitteln. Grundsätzlich sind die kleinen und mittleren Unternehmen im Bereich IT-Sicherheit geeignet aufgestellt, heißt es in den Studienergebnissen. Die Studienautoren fragten in Anlehnung an den IT-Grundschutz Sicherheitsmaßnahmen ab und fanden heraus, dass in den Unternehmen rund zwei Drittel dieser Maßnahmen umgesetzt werden.

Einerseits viele Rettungsringe, andererseits gar kein Rettungsring: Die Sicherheitsmaßnahmen sind äußerst unterschiedlich ausgeprägt.
Einerseits viele Rettungsringe, andererseits gar kein Rettungsring: Die Sicherheitsmaßnahmen sind äußerst unterschiedlich ausgeprägt.
Foto: Anja Liefting - Fotolia.com

In einigen Bereichen gibt es sogar überdurchschnittlich viele Sicherheitsmaßnahmen, heißt es in der Studie. Dazu gehören die Bereiche Datensicherung, Risikobewertung der Geschäftsprozesse, Aktualität der Informationen zur Bedrohungslage, zu Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke.

In anderen Bereichen sprechen die Studienautoren von einem erheblichen Nachholbedarf an Sicherheitsmaßnahmen. Diese Defizite betreffen insbesondere den Bereich der geschäftskritischen IT-Sicherheitsprozesse. Explizit genannt werden hier der Umgang mit Sicherheitsvorfällen, das Notfallmanagement und die Bewertung der Gefahrenbereiche.

Zur Startseite