Mittelstand in puncto IT-Sicherheit zu reaktiv?

Hart ins Gericht geht das Marktforschungsunternehmen IDC mit dem IT-Sicherheitsbewusstsein kleinerer und mittlerer Unternehmen. Basis der Mit­telstands-Schelte ist eine Befragung von 450 IT-Entscheidern in den Verei­nigten Staaten, Australien, Großbritannien und Deutschland, die im Auftrag der Firmen McAfee und MessageLabs durchgeführt wurde. Hauptpunkt der Kritik der IDC-Marktforscher an den Unternehmen ist eine zu reaktive ­Herangehensweise der meisten Mittelständler an die Fragen der IT-Sicherheit. Obwohl 76 Prozent der befragten IT-Verantwortlichen aus den Branchen ­Fertigung, Banken/Fi­nanzdienste, Me­dien/Marketing, Unternehmensberatung und Dienstleistung erhebliche bis ka­tastrophale Auswirkungen von IT-Sicherheitslecks für die eigenen Ge­schäftsprozesse zu Protokoll geben, be­stehe das Hauptaugenmerk der IT-Verantwortlichen darauf, bei Sicherheitslösungen allgemein und bei neuen Risiken auf dem Laufenden zu bleiben, die Kosten niedrig zu halten und die Betriebsbereitschaft von IT-Systemen wie beispielsweise E-Mail zu garantieren. Spielraum für Schlussfolgerungen Die IDC-Analysten folgern aus diesen Antworten eine reaktive Denkweise in Sachen IT-Sicherheit bei den Befragten. Uns scheinen die Antworten eine eher nüchterne Betrachtungsweise für die anstehenden Probleme zu signalisieren, die keineswegs in Widerspruch zu der Aufgabe steht, das Funktionieren der Geschäftsabläufe unterbrechungsfrei zu gewährleisten. Dabei kann ganz außer Acht gelassen werden, inwieweit die Analysten durch vorgegebene Antwortschemata die Verteilung der Antworten selbst provoziert haben. Zugegeben: die Auswertung von Um­fragen ist oft schwierig und immer delikat. Viele Zahlen lassen sich so oder auch ein wenig anders bewerten. Besonders misslich für die Auswertenden wird es dann, wenn Zahlen vorliegen, die man nicht so recht glauben mag, nicht zuletzt deshalb nicht, weil sie den Ergebnissen ähnlicher Erhebungen widersprechen. So tun sich die IDC-Analysten schwer mit dem Befragungsergebnis, dass nur 18 Prozent der Befragten bisher Opfer von Einbrüchen in ihre IT-Systeme geworden sind (in Deutschland: 21 Prozent). Daraus zu folgern, dass viele der Befragten solche Einbrüche gar nicht wahrnehmen, ist vielleicht legitim (weil andere Studien höhere Prozentwerte liefern), aber natürlich nicht zwingend. Auch die Tatsache, dass lediglich neun Prozent der Befragten das Thema »Einhalten von Vorschriften« als Herausforderung für die IT-Sicherheit in den nächs­ten zwölf Monaten ansehen, mag zu­nächst verwundern. Die Unterstellung von Fehleinschätzungen ist auch hier zu­lässig, aber noch viel weniger zwingend als beim oben genannten Fallbeispiel, und zwar einfach deshalb, weil in kleineren und mittleren Unternehmen derzeit die Digitalisierung noch nicht so weit fortgeschritten ist wie bei Großunternehmen. Die Einhaltung von Ge­setzen und sonstigen Vorschriften be­wegt sich bei den Mittelständlern deshalb noch sehr viel stärker im Papier- als im Digitalbereich.

Wacklige Argumentation Zulässig, aber auch nicht zwingend ist die Hauptschlussfolgerung der IDC-Analysten aus den Studienergebnissen, die sicherlich vor allem auch den Auftraggebern McAfee und MessageLabs geschuldet ist. Die Marktforscher raten den mittelständischen Unternehmen ziemlich pauschal, ihre IT-Sicherheitsüberwachung weitgehend oder vollständig an externe Dienstleister zu vergeben. Damit könnten sie die reaktiven Aufgaben, die sie bisher selbst wahrnehmen zu einem Fixpreis auf die Externen übertragen und sich selber ganz auf Abwehrstrategien gegen neue Angriffsarten konzentrieren. Dazu gehören für die IDC-Analysten vor allem ganz gezielte Angriffe gegen das jeweilige Unternehmen. Im Wesentlichen handelt es dabei um Wirtschaftsspionage in ihren verschiedenen technischen Ausprägungen (siehe auch InformationWeek, 3/2007, Seite 28). In der heutigen Zeit ist indes nur noch schwer zwischen inneren und äußeren Angriffen zu unterscheiden. Gleiches gilt cum grano salis auch für die Begriffe »reaktiv« und »pro­aktiv«. Nicht nur deshalb bewegt sich die IDC-Studie auf glitschigem Argumentationsgelände. Was natürlich nicht heißt, dass einige Empfehlungen durchaus stimmig und auch kostenmäßig gut darstellbar sind.