Risikomanagement und Risikoanalyse für kleine und mittlere Unternehmen auf dem Prüfstand

Wie geeignet ist der vereinfachte Sicherheitsansatz der ENISA?

(PresseBox) (Heraklion, Crete, ) ENISA, die Agentur für Netz- und Informationssicherheit der EU, hat eine Pilotstudie ihres vereinfachten Sicherheitsansatzes für kleine und mittlere Unternehmen (KMUs) im Bereich Risikomanagement und Risikoanalyse veröffentlicht. Die Pilotstudie zeigt, dass dieser Ansatz grundsätzlich geeignet ist, das Bewusstsein beim Schutz von IT-Infrastrukturen zu verbessern, dass er jedoch den Erfordernissen besser angepasst werden muss, und dass in verstärktem Maße weitere Organisationen unterstützend eingebunden werden müssen.

Die Sicherheit der KMUs ist von grundlegender Bedeutung für die europäische Wirtschaft, denn diese Unternehmen machen 99 % aller EU-Unternehmen aus - mit ca. 65 Millionen Arbeitsplätzen. Da für KMUs unkomplizierte, flexible, effiziente und kostengünstige Sicherheitslösungen benötigt werden, hat die ENISA einen vereinfachten Ansatz zum Risikomanagement und -analyse entwickelt. Bei diesem vereinfachten Ansatz handelt es sich um eine einfache Standardlösung, speziell für Nicht-Fachleute und kleine Organisationen mit relativ simplen IT-Komponenten. In diesem Bericht wird der Ansatz nun überprüft:

(1) Bewertung des vereinfachten Ansatzes,

(2) Bewertung der Anwendbarkeit des vorgeschlagenen Risikomanagement und -analyseansatzes, sowie

(3) Zusammenstellung von Feedbacks und Verbesserungsvorschlägen.

Zur Unterstützung der Agentur bei der Bewertung des Pilotprojekts wurden drei Organisationen aus unterschiedlichen Wirtschaftsbereichen durch ENISA ausgewählt, um möglichst viele KMUs und Kleinstunternehmen zu erfassen. Dies waren: der Informationssicherheits-Dienstleister GMV Soluciones Globales Internet (Spanien), der Buchhaltungsverband IAAITC (UK), und die Universität von Bologna (Italien) für die öffentlichen Verwaltungs- und Bildungseinrichtungen. Jede dieser Organisationen brachten zur Unterstützung repräsentative KMUs und Kleinstunternehmen aus ihrem Sektor in das Projekt mit ein.

Die Pilotstudie führte zu den folgenden Erkenntnissen:

- Der vereinfachte ENISA-Ansatz zu Risikomanagement und -analyse wurde von den ca. 15 teilnehmenden Unternehmen durchweg sehr positiv aufgenommen.
- Durch den vereinfachten ENISA-Ansatz wurde bei den Unternehmen das Bewusstsein der großen Bedeutung von Informationssicherheitsrisiken sowie deren Bewertung und Management deutlich verbessert. Die beteiligten Unternehmen hatten eine gesteigerte Motivation zur Verbesserung ihrer Informationssicherheitsmanagements.
- Vermutlich werden weder KMUs noch Kleinstunternehmen den vereinfachten Ansatz zu Risikomanagement und -analyse ohne fremde Hilfe, zumindest in der Anfangsphase, verfolgen können.
- Einige Vereinfachungen und Automatisierungen werden möglicherweise erforderlich sein, um den Benutzern aus Klein- und Kleinstunternehmen gerecht zu werden.
- Die Kooperationspartner waren einheitlich der Meinung, dass der ENISA-Ansatz besser an die jeweiligen Bedingungen angepasst werden muss (z.B. orientiert am jeweiligen Sektor oder Marktsegment).
- Der Ansatz der ENISA, Organisationen unterstützend in das Pilotprojekt einzubinden, wurde von allen Teilnehmern akzeptiert. Eine Beteiligung solcher Organisationen in der Zukunft ist weiterhin notwendig.

Unter anderem stellt diese Studie eine Richtlinie für zukünftige KMU-Projekte der ENISA dar.

Der ENISA-Geschäftsführer, Andrea Pirotti, stellt hierzu fest: "Wie wir wissen, sind die kleinen und mittleren Unternehmen die Grundlage der europäischen Wirtschaft. Ein vereinfachter Ansatz zum Risikomanagement für diese Firmen - und seine Überprüfung - ist daher von großer Bedeutung. Er ermöglicht die notwendigen Schritte und Maßnahmen hin zu erhöhter Sicherheit."

Die ganze Studie unter: http://enisa.europa.eu/...

Hintergrundinformation: Diese Studie bezieht sich auf das bei ENISA erhältliche "Information Package for SMEs" (siehe "ENISA Deliverable: Risk Management - Information Package for SMEs")

ENISA - European Network and Information Security Agency

Die Europäische Agentur für Netz- und Informationssicherheit (kurz ENISA, zu engl. European Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegründete Einrichtung. Sitz der seit September 2005 voll geschäftsfähigen ENISA ist Iraklio auf Kreta.

Aufgabe der ENISA ist die Beratung und Koordination der einzelnen Mitgliedsstaaten beim Aufbau kompatibler IT-Sicherheitsstandards.

Darüber hinaus soll sie dabei helfen, Bürger, Unternehmen und Verwaltungen der Europäischen Union über Risiken im Zusammenhang mit der Nutzung des Internet und anderer Informationssysteme aufzuklären und damit einen reibungslosen Binnenmarkt innerhalb der Europäischen Union zu gewährleisten.

ENISA unterstützt die Europäische Kommission, die Mitgliedstaaten der EU und somit auch Unternehmen, den Anforderungen der modernen Informationsgesellschaft und der entsprechenden Gesetzgebung gerecht zu werden. ENISA soll als Ansprechpartner und für den Informationsaustausch dienen.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.