Eine Untersuchung zu diesem Thema hatte 2014 gezeigt, dass viele Unternehmen sich dieser Problematik bewusst sind, allerdings noch keine konkreten Maßnahmen für Verbesserungen eingeleitet haben. In dem 2015 veröffentlichten Security Bilanz Deutschland Bericht wurde untersucht, inwieweit
mittelständische Unternehmen und öffentliche Verwaltung die Maßnahmen für
IT- und Informationssicherheit umgesetzt haben. Das Ergebnis der Studie war wenig überraschend, da wieder einmal deutlich wurde, dass immer noch die meisten Unternehmen die Umsetzung der angesprochenen Maßnahmen nicht sonderlich vorantreiben.
Auch die Mitarbeitersensibilisierung bleibt auf der StreckeZwei Drittel der Unternehmen und Verwaltungen setzen die organisatorischen Maßnahmen nur unzureichend um. Insbesondere standardisierte Verfahren für IT- und Informationssicherheit, die Sensibilisierung der Mitarbeiter oder der Einsatz von Richtlinien bleiben in den Unternehmen oft auf der Strecke. Zudem vernachlässigen viele Unternehmen neben den technischen Maßnahmen auch die Schulung ihrer Mitarbeiter, wenn es um die
IT- und Informationssicherheit geht. Diese Tatsache ist allerdings nur schwer zu verstehen, da ein solches Fehlverhalten schwere Konsequenzen für das Unternehmen haben kann. Geeignete Maßnahmen können z.B. Übungen zu IT-Security oder Awareness-Kampagnen sein. Die Unternehmen dürfen für diesen Schutz den
finanziellen und zeitlichen Aufwand nicht scheuen. Nur so können die Mitarbeiter in diesen Bereichen ausreichend geschult werden.
Rechtliche Maßnahmen zur AbsicherungVerbesserungsbedarf beim Einsatz von Maßnahmen wie z.B. Geheimhaltungsvereinbarung bestehen bei fast 60 Prozent der Unternehmen. Droht der Verlust von unternehmensinternen
Daten an unberechtigte Dritte, ist es ratsam für die Unternehmen, zuvor die Haftungsfrage und Zuständigkeiten abgeklärt zu haben. Vor allem rechtliche Konsequenzen können so abgemildert werden. Wurde dies im Vorfeld nicht bedacht, können die Bemessung der Folgen und die rechtlichen Konsequenzen nur schwer eingeschätzt werden. Im schlimmsten Fall können diese Folgen auch existenzbedrohend für das Unternehmen sein.
IT- und Informationssicherheit sollten langfristig nicht gefährdet seinBei der Umsetzung von strategischen Maßnahmen gibt es in zwei Dritteln der Unternehmen Probleme. Diese Tatsache ist überraschend, denn die strategischen Maßnahmen sind ein wesentlicher Bestandteil für den Erfolg auf diesem Sektor. Zudem sind solche Maßnahmen erfolgversprechender, wenn sie explizit und überprüfbar definiert sind. Unternehmen haben auch nur so die Möglichkeit, den Einsatz von Maßnahmen und Lösungen zu organisieren. In den Unternehmen sind das weniger als ein Drittel dieser Maßnahmen, die regelmäßig überprüft werden müssen. Zu diesen regelmäßigen überprüfbaren Leistungen zählen insbesondere die Kontrolle der eingesetzten organisatorischen, rechtlichen und technischen Maßnahmen innerhalb des Unternehmens. Große Defizite gibt es insbesondere in den Unternehmen, wenn es um die Abstimmung der benötigten Ressourcen für den Bereich IT-Security oder die Integration von
IT-Security-Maßnahmen in die Unternehmensprozesse geht. Sollen langfristig die Informations- und IT-Sicherheit nicht gefährdet werden, müssen die Unternehmen die angesprochenen Maßnahmen so schnell wie möglich umsetzen. Fast 50 Prozent der untersuchten mittelständischen Unternehmen und öffentlichen Verwaltungen haben im Bereich der
IT- und Informationssicherheit Handlungsbedarf. Und seit 2014 hat sich die geschilderte Situation in den meisten Unternehmen eher verschlechtert als verbessert. Dies nahm das Marktforschungs- und Beratungshaus Techconsult zum Anlass dafür, ein Strategiepapier zu erstellen, um die
IT- und Informationssicherheit langfristig zu verbessern. In diesem Papier werden fünf wesentliche strategische Maßnahmen für eine erfolgreiche Umsetzung von
IT- und Informationssicherheit erläutert. Zu diesen Maßnahmen zählen Informations- und Partnersuche, Budgetplanung, eine umfassende Perspektive zu einem Kreislauf und eine Standortbestimmung.
Zusätzliche Anhaltspunkte durch den Security-CheckDer Security-Check "Security Consulter" bietet mittelständischen Unternehmen die Chance die Stärken und Schwächen im Vergleich zu anderen Unternehmen einzuschätzen. Mit dem Security-Check können die Ergebnisse der Studie in Bezug gesetzt werden, was den Unternehmen ermöglicht, den Ist-Zustand in der
IT- und Informationssicherheit erfolgreich einzuschätzen.
(Quelle: http://www.techconsult.de/security-bilanz-deutschland/organisatorische-rechtliche-und-strategische-umsetzung-von-it-und-informationssicherheit-haeufig-mangelhaft
)