IT-Dienstleister
Wo die IT-Sicherheit noch zu kurz kommt
Fortsetzung des Artikels von Teil 1
Wer informiert sich wo?
Interessant ist auch der Punkt, bei wem und wo sich KMU rund um IT-Sicherheit informieren: An erster Stelle liegen hier die Tages- und die Fachpresse, erst an vierter Stelle folgen externe IT-Dienstleister – fast gleichauf mit sozialen Netzwerken. Die Hands-On-Mentalität gerade in kleineren Unternehmen scheint sich hier widerzuspiegeln. Viele Betriebe versuchen es selbst oder, wie die Studie zusammenfasst, für die Bereitstellung nötiger IT-Dienstleistungen wird oftmals auf Hilfe aus der Nachbarschaft und dem Bekannten-/Freundeskreis zurückgegriffen. Die regionale Nähe stelle wiederum auch bei der Auswahl passender IT-Dienstleister für Unternehmen mitunter einen wichtigen Faktor dar.
Und auch den Faktor Mensch rückt die Untersuchung in den Fokus: Denn den sehen die in der Studie befragten IT-Dienstleister als größtes Sicherheits- und Risikofaktor. Geringe Sensibilisierung für das Thema sowie unzureichendes Wissen, möglicherweise gepaart mit organisatorischen Lücken wie ungeklärten Zugangsberechtigungen, sind die Gemengelage, die IT-Dienstleister in vielen KMU beobachten. Manchmal ginge es auch schlichtweg um die Frage, wer den Schlüssel zum Serverraum hat. Menschliches Versagen gaben demnach 36 Prozent der IT-Dienstleister als größtes IT-Sicherheitsrisiko in KMU an; gefolgt von Organisationsversagen (25 Prozent), Angriffen (20 Prozent) sowie technischem Versagen (19 Prozent). Eine Besonderheit gibt es offenbar unter Apple-Usern: So sei laut Studie in kleinen Firmen oftmals die Überzeugung zu finden, dass Apple-Software ohnehin als sicher gelte. Weitere Sicherheitsmaßnahmen würden dann oftmals gar nicht mehr unternommen.
Andererseits scheint es insbesondere für sehr kleine Betriebe mitunter nicht ganz einfach zu sein, einen externen IT-Dienstleister zu finden. So weist die Studie darauf hin, dass diese oft schon volle Auftragsbücher hätten und somit „ein eingeschränktes Interesse an kleinteiligem Auftragsvolumen, komplizierten Entscheidungsstrukturen und einem hohen Aufwand für individuelle Leistungen, die selten skalierbar sind. Diese Diskrepanz führt unter anderem zu einer wenig kosteneffizienten und qualitativ unzureichenden IT-Sicherheit bei KMU durch IT-Dienstleister.“
Kleines Unternehmen und große IT-Dienstleister
Sollte sich ein Kleinstbetrieb dann gar nicht erst an einen großen IT-Dienstleister wenden? Doch. So zumindest lautet die Einschätzung bei Cancom, einem der größten Systemhäuser in Deutschland. Denn das Schutzbedürfnis eines Unternehmens lasse sich „nur in den seltensten Fällen an dessen Größe festmachen“, ist Daniel Graßer überzeugt. Er ist Director Competence Center Security bei Cancom. Auf funkschau-Nachfrage führt er aus, dass im Falle einer Anwaltskanzlei oder Arztpraxis „ein erhöhtes Sicherheitsbedürfnis schon von Haus aus begründet“ sei. Und auch ein mittelständischer Handwerksbetrieb könne über schützenswerte, geschäftskritische Informationen und Daten verfügen, die ein erhöhtes Maß an IT-Sicherheit erfordern. Bei Cancom stehe daher nicht das Kriterium der Betriebsgröße im Vordergrund, sondern das, was konkret geschützt werden soll.
Aber kann sich ein Kleinstbetrieb überhaupt ein Systemhaus dieser Größe und Kompetenz leisten? „Da wir bei Cancom bereits in vielen Bereichen auf standardisierte As a Service-Modelle setzen, wie auch im Bereich IT-Security, haben wir die Möglichkeit, auch kleineren Kunden modernste Lösungen anzubieten, die in gleicher Weise skaliert auch bei großen Konzernen zum Einsatz kommen. Unternehmen beziehen so vollwertige IT-Security-Leistungen bequem als Service, die sich immer an dem aktuellen Bedarf orientieren und auf Knopfdruck skaliert werden können“, so Graßer.
Dieses Potenzial bestätigt auch die Studie des Ministeriums: „Standardisierte Produkte sind bei fast allen befragten IT-Dienstleistern angestrebt – sogar bei Selbstentwicklern – damit Wartung und Management frei durchführbar und auch ersetzbar bleiben.“ Handlungsbedarf gibt es in vielen KMU und Kleinstbetrieben aber in jedem Fall. Zeit-, Kosten- und Personalgründe lassen die IT-Sicherheit im Tagesgeschäft oftmals untergehen. Und auch die Suche nach einem geeigneten IT-Dienstleister, zu dem der Bereich ausgelagert werden könnte, nimmt Zeit und Geld in Anspruch. Doch das Thema, so Graßer, sollte „nicht auf die lange Bank geschoben werden, da sehr oft nicht weniger als die Geschäftsfähigkeit auf dem Spiel steht.“ Oder wie es die Redewendung besagt: „IT ist nicht alles, aber ohne IT ist alles nichts.“
- Wo die IT-Sicherheit noch zu kurz kommt
- Wer informiert sich wo?
Lesen Sie mehr zum Thema
