Fehlende Sensibilität gegen Datendiebstahl
Überraschend viele Unternehmen sind hinsichtlich Datendiebstahl und Datenmissbrauch nicht ausreichend sensibilisiert. So antworteten auf die Frage: „Wie hoch schätzen Sie die Gefährdung Ihres Unternehmens durch Datendiebstahl und Missbrauch von Daten ein?“ 47 Prozent der Teilnehmer mit „keine oder geringe Gefährdung“. Und sogar 54 Prozent geben an, keine oder nur geringe Angst vor Datenverlust zu haben. Die gleiche Sorglosigkeit zeigten die Befragten bereits vor einem Jahr. Auch in Q2 2005 sahen 47 Prozent „keine oder nur geringe Gefährdung für ihr Unternehmen durch Datendiebstahl und –missbrauch, 53 Prozent hatten keine Angst vor Datenverlust.
Alarmsignal „Mobile Datenträger“
Dabei sollten bei den KMUs die Alarmglocken schrillen, setzt man dem Sicherheitsgefühl der Umfrageteilnehmer den massiven Einsatz mobiler Datenträger im Unternehmen entgegen. „Nutzen Sie oder Ihre Mitarbeiter mobile Datenträger zum Transport von Daten?“ beantworten 73 Prozent hinsichtlich CD-ROMs und DVDs mit „Ja“, gar 83 Prozent nutzen USB-Sticks oder Speicherkarten und immer noch 45 bzw. 37 Prozent arbeiten mit Disketten und mobilen Festplatten. Lediglich 11 Prozent der Interviewten gaben an, nichts davon im Unternehmen zu nutzen.
Dem Missbrauch Tür und Tor geöffnet
Kritische Unternehmensdaten können heutzutage in Windeseile mit einem winzigen USB-Stick entwendet werden, so dass der großzügige Einsatz mobiler Datenträger dem möglichen Missbrauch Tür und Tor öffnet.
Wie fahrlässig viele kleine und mittelständische Unternehmen mit ihren Unternehmensdaten umgehen, zeigt sich an der Frage „Welche Vorkehrungen haben Sie in Ihrem Unternehmen gegen Missbrauch und Diebstahl von Daten getroffen?“ Über 50 Prozent der Befragten geben an, hier keinerlei Schutzmaßnahmen vorgenommen zu haben. Und 52 Prozent treffen keine technischen Sicherheitsvorkehrungen, damit sensible Daten nicht unerlaubt das Haus verlassen. Nur 12 Prozent aller Indexnutzer überprüfen die E-Mailanhänge und bescheidene 23 Prozent erlauben nur das Einsehen, nicht aber das Exportieren wichtiger Informationen. Dies bestätigt auch Stefan Gehrke, Geschäftsführer der Mcert Deutsche Gesellschaft für IT-Sicherheit: "Kleine und mittelständische Unternehmen gehen oft einfach zu sorglos mit ihren Geschäftsdaten um und setzen sich so unnötigen Risiken aus. Der Sicherheitsindex ist ein probates Mittel, sich einen ersten Überblick über die eigene Sicherheitslage im Betrieb zu verschaffen und gegebenenfalls geeignete Maßnahmen zu treffen."
Großer Nachholbedarf
Die Ergebnisse der aktuellen Auswertung des Sicherheitsindex zeigen einen großen Nachholbedarf für IT-Sicherheit bei den KMUs. Besonders auffällig ist die Nachlässigkeit im Umgang mit Unternehmensdaten und die fehlende Sensibilisierung für dieses kritische Thema. So haben 69 Prozent der Betriebe laut eigener Aussage immer noch kein (47%) oder ein veraltetes (22%) Sicherheitskonzept mit Richtlinien und Verantwortlichkeiten im Hause. Und 50 Prozent der Umfrageteilnehmer haben ihre IT-Sicherheitskonzepte noch nie durch einen externen Spezialisten prüfen lassen.
Informationsstand mangelhaft
Erschreckend schlecht ist nach wie vor der Informationsstand in den kleinen und mittleren Unternehmen. Die Frage „Sind Ihre Mitarbeiter ausreichend über Sicherheitsrisiken und deren Vermeidung informiert und dazu angehalten, diese Regelungen einzuhalten?“ beantworten 33 Prozent der Befragten mit „Nein“. Nur 25 Prozent der Angestellten werden mit einer regelmäßigen Schulung für IT-Sicherheitsrisiken sensibilisiert, 18 Prozent müssen sich sogar mit einer einmaligen Informationsveranstaltung begnügen. Einen Leitfaden zu IT-Sicherheit unterschreiben hingegen nur 25 % der Betriebsangehörigen, ein deutlicher Rückgang zum Vorjahresquartal. Da waren es noch 38 Prozent, die eine solche Unterschrift leisten mussten.
Verwunderlich ist auch, dass sich trotz neuer Regulierungen wie Basel II immer weniger Unternehmen über EDV-Sicherheit und damit verbundene Haftungsrisiken auf dem laufenden halten. Zeigten sich in Q2 2005 4 Prozent der Teilnehmer desinteressiert, waren es ein Jahr später bereits 9 Prozent, die sich nicht informieren. Viele schieben die Verantwortung auf die IT-Abteilung (20 Prozent) oder den IT-Sicherheitsbeautragten (16 Prozent), jedoch: „Durch die neue Gesetzgebung sitzen hier viele Geschäftführer in persönlichen Haftungsfragen den damit verbundenen rechtlichen Konsequenzen auf einem Pulverfass, ohne es zu ahnen“, warnt Petra Jenner, Geschäftsführerin der Check Point Deutschland GmbH.
Hintergrund: Check Point-Sicherheitsindex
Als praktisches Kontrollinstrument konzipiert, soll der Check Point-Sicherheitsindex kleinen und mittelständischen Unternehmen eine einfach zu nutzende Plattform bieten, um möglichst unkompliziert, kostenfrei und herstellerneutral den aktuellen Status ihrer IT-Sicherheit abzuklären und individuelle Handlungsempfehlungen zu erhalten. Als eine Art „elektronischer Coach“, der speziell im KMU-Segment die Sicherheitsthematik sensibilisieren soll, stellt der Index folgende Kriterien in den Vordergrund: technische Einrichtungen gegen Angriffe innerhalb und außerhalb des Unternehmensnetzes, technische Einrichtungen gegen Datenverlust, organisatorische Regelungen zum Umgang mit Daten sowie funktionsspezifische Überprüfungsmechanismen. www.sicherheitsindex.de steht allen interessierten Unternehmen zur kostenlosen Nutzung zur Verfügung. Die Ergebnisse werden anonym ausgewertet und vierteljährlich veröffentlicht. Weitere Informationen unter www.checkpoint.de und www.sicherheitsindex.de.