Studienbeirat: Partner:

Transkript

1 Studienbeirat: Partner:

2 Inhalt Vorwort... 3 Zur Einleitung: Idee und Studienkonzept... 5 Gesamtergebnis im Überblick... 7 Sicherheitsindex im Detail Gefährdungsindex: Bedrohungslage und gefühlter Schutz Studienrahmen Methodik der Indexbildung Kontaktinformationen Sponsoren Anhang Copyright Dieser Studienbericht wurde von der techconsult GmbH verfasst. Die darin enthaltenen Daten und Informationen wurden gewissenhaft und mit größtmöglicher Sorgfalt nach wissenschaftlichen Grundsätzen ermittelt. Für deren Vollständigkeit und Richtigkeit kann jedoch keine Garantie übernommen werden. Alle Rechte am Inhalt, auch die der Übersetzung, liegen bei der techconsult GmbH. Vervielfältigungen, auch auszugsweise, sind nur mit schriftlicher Genehmigung der techconsult GmbH gestattet. Disclaimer Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen etc. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. In dieser Studie gemachte Referenzen zu irgendeinem spezifischen kommerziellen Produkt, Prozess oder Service durch Markennamen, Handelsmarken, Herstellerbezeichnung etc. bedeutet in keiner Weise eine Bevorzugung durch die techconsult GmbH techconsult GmbH

3 Vorwort Nicht erst seit den jüngsten Skandalen rund um die Nachrichtendienste dieser Welt befassen sich Unternehmen mit der Frage nach IT- und Informationssicherheit und den entsprechenden Schutzmaßnahmen. Doch wie sieht der Status quo in deutschen Unternehmen hinsichtlich IT- und Informationssicherheit aus? Wie sicher fühlt sich der Mittelstand? Wie schätzen Unternehmen ihre Maßnahmen selbst ein? Wo liegen Probleme, vor allem auf welcher Ebene? Ziel des Projektes ist, die Themen IT-Sicherheit und Informationssicherheit im Mittelstand umfassend zu betrachten. Zentrales Anliegen war dabei, mittelständische Unternehmen dabei zu unterstützen, die eigene IT- und Informationssicherheit zu verbessern. Ein Ausgangspunkt dafür ist die vorliegende Studie. Sie liefert ein umfassendes Gesamtbild, wie der deutsche Mittelstand hinsichtlich IT- und Informationssicherheit aufgestellt ist. Eine weitere Anforderung neben dieser Statusaufnahme war von vornherein der Anspruch auf Nachhaltigkeit. Um die Entwicklung von IT- und Informationssicherheit im Mittelstand zu begleiten und ihre Transparenz zu erhöhen, ist vorgesehen, die Studie jährlich zu wiederholen. techconsult kann auf umfangreiche Erfahrungen aus zahlreichen Individual- und Standarduntersuchungen im Mittelstand zurückgreifen. Diese richten sich seit jeher am Anspruch der Nähe zum Anwenderunternehmen aus und verfügen über eine einzigartige Breite und Tiefe. Die Studie Security Bilanz Deutschland ist ein Gemeinschaftsprojekt der techconsult GmbH und des Heise Zeitschriften Verlags. Für die Mitwirkung konnten Günter Ennen (BSI), Joerg Heidrich (Heise Verlag), Jürgen Schmidt (heise security), Dr. Christoph Wegener (wecon.it-consulting), Dr. Holger Mühlbauer (TeleTrust) und Marc Fliehe (BITKOM) als Fachexperten für den Studienbeirat gewonnen werden. Im Partnerbeirat haben Armin Leinfelder (baramundi), Claudia Gharavi (mesh), Michael Kranawetter (Microsoft Deutschland), 2014 techconsult GmbH 3

4 Jürgen Hönig (NCP), Jörg Schindler (Sophos) und Ursel Graubmann (Telekom Deutschland) das Projekt als Experten von Anbieterseite unterstützt und wertvolle Anregungen aus ihren Praxiserfahrungen eingebracht. Darüber hinaus wird die Studie unterstützt von Brainloop und Trend Micro. Sie alle haben entscheidend mit zum Gelingen dieses Projektes beigetragen ein herzlicher Dank an dieser Stelle für Ihr Engagement! Die Studienergebnisse bilden darüber hinaus die Basis für einen Online-Self-Check, den Heise Security Consulter. Wir möchten Sie dazu einladen, diesen Self-Check durchzuführen und so eine Standortbestimmung hinsichtlich IT-Sicherheit in Ihrem Unternehmen vorzunehmen. Sie erhalten sofort eine Auswertung inklusive eines Vergleichs mit den Ergebnissen der hier vorgestellten Studie, das heißt mit Unternehmen Ihrer Branche und Größenklasse, und können schnell erkennen, wo eine Änderung Ihrer Situation nötig wäre. Hannover und Kassel, April 2014 techconsult GmbH 2014 techconsult GmbH 4

5 Zur Einleitung: Idee und Studienkonzept Grundsätzlich geht man davon aus, dass der Mittelstand nicht in der Lage ist, die notwendigen Maßnahmen zu ergreifen, um den sich ständig ändernden und ganzheitlich zu betrachtenden Anforderungen an IT-Sicherheit, Datenschutz und Informationssicherheit gerecht werden zu können. Ist dies wirklich so? Wie gut aufgestellt fühlen sich mittelständische Unternehmen in der technischen aber auch rechtlichen und organisatorischen Umsetzung von IT- und Informationssicherheit? Das Ziel der hier vorgestellten Studie ist es, den Status quo von IT- und Informationssicherheit im deutschen Mittelstand zu erheben. Das Studienkonzept ist dabei darauf ausgerichtet, eine möglichst umfassende Betrachtung des Themas IT-Sicherheit in mittelständischen Unternehmen vorzunehmen. Dabei werden verschiedene Ebenen unterschieden: die technische, organisatorische, rechtliche und strategische Ebene. Auf jeder dieser Ebenen werden Klassen von Lösungen oder Maßnahmen angesprochen, um so auf der einen Seite ein umfassendes Bild zu ermitteln, auf der anderen Seite aber auch eine sinnvolle Detailtiefe rund um die Themen IT- und Informationssicherheit zu ermöglichen. Die Grundlage dafür bilden die Selbsteinschätzungen der Unternehmen. Diese Selbsteinschätzungen wurden nach dem von techconsult seit Jahren erfolgreich eingesetzten zweidimensionalen Relevanz-Umsetzungs-Schema erhoben: Welche Maßnahmen und Lösungen sind für die Unternehmen wichtig und wie zufrieden sind die Unternehmen mit deren Umsetzung? Ganzheitliche Betrachtung Selbsteinschätzung der Unternehmen Zusätzlich wurden IT- und Informationssicherheit aus unterschiedlichen Perspektiven betrachtet: Zum einen wurde der Fokus darauf gesetzt, welche Maßnahmen Unternehmen selbst treffen können, um IT- und Informationssicherheit sicher zu stellen. Dabei wurden unterschiedlichste Kommunikations- und Austauschbeziehungen mit Partnern, Kunden, Lieferanten, Behörden usw. berücksichtigt, in denen Unternehmen stehen. Zum an techconsult GmbH 5

6 deren wurden aber auch die Bedrohungen in den Blick genommen, welche von innen und außen auf Unternehmen einwirken und ermittelt, wie gut die Absicherung gegen diese Bedrohungen eingeschätzt wird. Der Fragebogen umfasste ca. 40 Fragen, die in detaillierter aber verständlicher Art und Weise den Sicherheitsstatus eines mittelständischen Unternehmens behandeln und trotz Komplexität von einem normalen Mitarbeiter beantwortet werden konnten. Unter anderem behandelte der Fragebogen folgende Themen: Relevanz, Anforderungen und Umsetzung von IT- und Informationssicherheit in verschiedenen Unternehmensbereichen Maßnahmen, Regelungen und Strategien zur IT- und Informationssicherheit, untergliedert in vier Ebenen: Technische Ebene Organisatorische Ebene Rechtliche Ebene Strategische Ebene Bedrohungslage, Ausfälle und Handlungsbedarfe im letzten Jahr 2014 techconsult GmbH 6

7 Gesamtergebnis im Überblick INDIZES IM BRANCHENVERGLEICH Zur Zusammenfassung der detaillierten Betrachtung auf technischer, organisatorischer, rechtlicher und strategischer Ebene wurde ein Index gebildet, der als oberster Vergleichswert dient: der Sicherheitsindex. Dieser Indexwert stellt den Grad der Relevanz und Umsetzung einer großen Anzahl von theoretisch möglichen Lösungen und Maßnahmen auf den verschiedenen Ebenen dar, die in Unternehmen realisiert werden, um IT- und Informationssicherheit zu gewährleisten (siehe auch S. 30, Methodik der Indexbildung). Abbildung 1 zeigt die ermittelten Werte für die befragten mittelständischen Unternehmen insgesamt sowie für die untersuchten Branchen: Der Indexwert für das Sicherheitspotenzial erreicht im Gesamtdurchschnitt 57 von 100 Punkten. Dieses Niveau zeigt deutlich, dass der Mittelstand noch weit von einer vollständigen Beherrschung der relevanten Sicherheitsaspekte entfernt ist. Sicherheitsindex Weiterhin offenbart sich, dass es deutliche Unterschiede zwischen den Branchen gibt. So führt die Industrie mit 60 Indexpunkten knapp vor den Banken und Versicherungen mit 59 Punkten das Feld an. Die Dienstleister liegen mit 57 Punkten genau im Durchschnitt. Öffentliche Verwaltungen und Non-Profits liegen mit 54 Punkten drei Zähler unter dem Schnitt, das Schlusslicht bildet der Handel mit nur 52 Punkten techconsult GmbH 7

8 Gesamtüberblick Indizes 70 Sicherheitspotenzial Gefährdungspotenzial Sicherheitspolster Gesamt Industrie Handel Dienstleistung Banken und Versicherungen Abbildung 1: Indizes im Branchenvergleich Öffentliche Verwaltung / Non-Profit Das theoretische Maximum der Indexwerte beträgt jeweils 100 Punkte. Das praktikable und für den Geschäftsbetrieb akzeptable 2014 techconsult GmbH Tel.: +49 (0) 561/ Maß liegt niedriger, sollte aber nicht weit von den als Best Practice einzustufenden Werten von rund 80 Punkten liegen (s.u.). Hundertprozentige IT-Sicherheit ist bekanntermaßen auch nicht zu erreichen. Neben den Anforderungen hinsichtlich ITund Informationssicherheit muss schließlich auch sichergestellt sein, dass das Unternehmen seiner eigentlichen Tätigkeit weiterhin nachgehen kann, also z.b. Produktion und Verkauf weitestgehend ungehindert fortgesetzt werden können. Weiterhin ist ein Index für das Gefährdungspotenzial gebildet worden, der die Bedrohungslage und den Schutz vor diesen Bedrohungen abbildet. Bedrohung + Schwachstelle = Gefährdung 1 so einfach und doch treffend fällt die Definition des Bundesamt für Sicherheit in der Informationstechnik (BSI) aus. Der Gefährdungsindex bildet genau diese beiden Größen ab: Zum einen die von Unternehmen wahrgenommene Bedrohung, Gefährdungsindex 1 Bundesamt für Sicherheit in der Informationstechnik (BSI), Begriffserläuterung und Einführung, Sicherheit/Themen/Sicherheitsvorfaelle/Begriffserlaeuterungen/Begriffserlaeuterungen_node.html techconsult GmbH 8

9 zum anderen das Vorhandensein von potenziellen Schwachstellen, die sich in Unzufriedenheit oder Zufriedenheit mit der Umsetzung des Schutzes manifestieren. Ein hoher Gefährdungsindex bedeutet somit, dass eine hohe Bedrohung wahrgenommen wird, gegen die man sich nicht gut geschützt fühlt. Ein niedriger Wert hingegen bedeutet, dass die Bedrohung geringer eingeschätzt wird und/oder auch der Schutz vor Bedrohungen besser umgesetzt ist. Dass die ermittelten Werte nur als befriedigend oder ausreichend zu interpretieren sind, zeigt auch die große Spanne in den Ergebnissen. Abbildung 2 zeigt, dass die besten 25 % der Unternehmen Durchschnittwerte jenseits der 78-Punkte-Marke erreichen. Unternehmen, die gut bis sehr gut hinsichtlich IT- und Informationssicherheit aufgestellt sind, erreichen also mehr als 20 Punkte höhere Indexwerte. Die 25 % schlechtesten Unternehmen erreichen nur Werte von 38 Punkten oder weniger. Großer Punkte-Vorsprung der sicheren Unternehmen Sicherheitsindex 25%-Perzentil 75%-Perzentil Gesamt Industrie Handel Dienstleistung Banken und Versicherungen 54 Öffentliche Verwaltung / Non-Profit Abbildung 2: Spanne der Ergebnisse beim Sicherheitsindex Die Gefährdung, der sich die Unternehmen ausgesetzt sehen, führt zu einem Indexwert von 46 Punkten. Die einzelnen Branchen unterscheiden sich hier nur marginal, es herrscht weitgehend Einigkeit. Im Handel liegt das wahrgenommene Gefährdungspotenzial leicht niedriger bei 44 Punkten, bei Banken und Versicherungen sowie Öffentliche Verwaltungen und Non Profits liegt der Indexwert mit 47 Punkten leicht höher. Der Index für das Gefährdungspotenzial ist als vergleichsweise durchschnittlich ausgeprägt zu interpretieren. Werte von unter 50 Punkten legen Mittelstand sieht sich keiner dramatischen Bedrohung ausgesetzt 2014 techconsult GmbH 9

10 den Schluss nah, dass sich die Befragten keiner dramatischen Bedrohung ausgesetzt sehen und ihre Schutzmaßnahmen subjektiv als ausreichend empfinden. Auch ist die Spanne der Einschätzungen deutlich geringer, als dies beim Sicherheitsindex der Fall ist (vgl. Abbildung 3). Diese Einschätzung einer relativ geringen Gefährdung ist vor dem Hintergrund der nur marginal höheren Einschätzung der eigenen Sicherheitsmaßnahmen trügerisch Gefährdungsindex 25%-Perzentil 75%-Perzentil Gesamt Industrie Handel Dienstleistung Banken und Versicherungen Öffentliche Verwaltung / Non-Profit Abbildung 3: Spanne der Ergebnisse beim Gefährdungsindex Der Mittelstand, inkl. der öffentlichen Verwaltungen und Non- Profit Organisationen, zeigt sich somit erst einmal von der unsicheren Seite: Zur maximal möglichen Ausschöpfung ist es noch ein weiter Weg. Das Sicherheitspolster von 11 Punkten des gemessenen Sicherheitsempfindens (57 Punkte) gegenüber dem Gefährdungsempfinden (46 Punkte) stellt praktisch keinen Vorsprung dar. Wäre die Gefährdungswahrnehmung genauso hoch wie das Sicherheitsempfinden, so würde dies bereits eine sehr kritische Sicherheitslage darstellen, da keinerlei Spielräume für unkalkulierbare/nicht bekannte Risiken bestünden. Vor diesem Hintergrund sollte der wahrgenommene Gefährdungsindex maximal halb so hoch sein, wie der Wert des wahrgenommenen Sicherheitsempfindens. Aktuell haben mittelständische Unternehmen und Organisationen also nicht nur deutlichen Nachholbedarf in Richtung einer bestmöglichen Aufstellung in Sachen Datenschutz und Informationssicherheit, sondern sind zu dem auch nur bedingt geeignet, dem selbst wahrgenommenen Gefährdungspotential standzuhalten. Trügerische Sicherheit: Sicherheitsvorsprung nur gering 2014 techconsult GmbH 10

11 Sicherheitsindex im Detail Der von den Unternehmen realisierte Sicherheitsindex ergibt sich aus vielen einzelnen Lösungen, Maßnahmen und Regelungen, die zur Sicherstellung von IT- und Informationssicherheit umgesetzt werden. Diese Lösungen, Maßnahmen und Regelungen lassen sich nach den verschiedenen Ebenen unterscheiden, die sie adressieren: Die technische, organisatorische, rechtliche und strategische Ebene. Diese Ebenen können als gleichberechtigt angesehen werden. Jede dieser Ebenen muss im Unternehmen adressiert sein. Wenn es keine Umsetzung auf organisatorischer Ebene gibt, kann dieses Defizit nicht durch Lösungen auf technischer Ebene kompensiert werden. Die Strategie hält darüber hinaus alles zusammen und verankert IT- und Informationssicherheit im Unternehmen. Beim Vergleich der Indexwerte der verschiedenen Ebenen zeigt sich deutlich, dass die Performance auf technischer und rechtlicher Ebene deutlich besser ausfällt, als auf organisatorischer oder strategischer Ebene (vgl. Abbildung 4). In allen untersuchten Branchen gibt es Defizite auf der strategischen Ebene. Bei fast allen bestehen ebenso Defizite auf organisatorischer Ebene, nur öffentliche Verwaltungen/Non-Profit-Unternehmen schneiden hier besser ab. Am relativ besten ist insgesamt die technische Ebene umgesetzt, allein der Handel erzielt auf rechtlicher Ebene höhere Indexwerte. Technisch und rechtlich Top, organisatorisch und strategisch Flop Die Industrie zeigt mit nah beieinander liegenden Ebenen-Indizes, dass sie am systematischsten an die Umsetzung von IT- und Informationssicherheit heran geht, trotzdem liegen auch hier die Indexwerte für die organisatorische und strategische Ebene niedriger als die der technischen und rechtlichen Ebene. Nachfolgend wird für jede Ebene aufgezeigt, an welchen Stellen die Umsetzung schon relativ gut gelingt und bei welchen Lösungen oder Maßnahmen mittelständische Unternehmen bisher 2014 techconsult GmbH 11

12 eher schlecht abschneiden. Vollständige Darstellungen der ermittelten Indexwerte für technische Maßnahmen und Lösungen sind im Anhang zu finden. Sicherheitsindex im Detail Gesamt Industrie Handel Dienstleistung Banken und Versicherungen Öffentliche Verwaltung / Non-Profit Sicherheitsindex Technische Ebene Organisatorische Ebene Rechtliche Ebene Strategische Ebene Abbildung 4: Sicherheitsindex im Detail LÖSUNGEN UND MAßNAHMEN AUF TECHNISCHER EBENE Wenn es um das Thema IT-Sicherheit geht, fällt zumeist zunächst der Blick auf die Umsetzung auf technischer Ebene. Hier ist zum einen an die eingesetzten Lösungen zu denken. Die Bandbreite reicht dabei von End-point-Security-Lösungen, wie Anti-Viren- Software für Arbeitsplatzrechner, bis hin zu komplexen integrierten Lösungen auf Infrastruktur-Ebene, wie z.b. Security Information and Event Management (SIEM) oder Unified Threat Management. Zum anderen ist aber auch an IT-seitige Maßnahmen zu denken, wie aufgestellte Passwort-Richtlinien oder die verschlüsselte Speicherung von Daten techconsult GmbH 12

13 Flop Top Abbildung 5 listet die relativen Tops und Flops der technischen Maßnahmen auf, d.h. jeweils diejenigen, die im Mittelstandsdurchschnitt die meisten bzw. wenigsten Punkte beim Sicherheitsindex erreichen. Technische Maßnahmen Technische Maßnahme Sicherheitsindex C Einsatz von Passwortrichtlinien 64 C Physisch getrennte Datenspeicherung 62 C Physische oder logische Trennung von Netzwerken 62 D Zertifikatsbasierte Authentifizierungsverfahren 58 D Nutzung eines unabhängigen Kommunikationskanals/Mediums zur Authentifizierung und Autorisierung 55 D Biometrische Authentifizierungsverfahren techconsult GmbH Abbildung 5: Tops und Flops der technischen Maßnahmen Die technische Maßnahmen, die relativ gesehen am relevantesten und gleichzeitig besten umgesetzt sind, sind wohl fast in jedem Unternehmen zu finden. Dies sind vorgegebene Passwortrichtlinien, die physisch getrennte Datenspeicherung und physische oder logische Trennung von Netzwerken. Als weniger relevant und auch schlechter umgesetzt werden von den befragten mittelständischen Unternehmen fortgeschrittene Maßnahmen wie zertifikatsbasierte Authentifizierungsmaßnahmen, die Nutzung eines unabhängigen Kommunikationskanals zur Authentifizierung und Autorisierung (z.b. Smart-Cards, SMS- Token usw.) und biometrische Authentifizierungsverfahren (z.b. Fingerabdruckscan, Gesichtserkennung). Gerade solchen Verfahren wird jedoch häufig ein höheres Sicherheitsniveau zugesprochen als dies z.b. bei der einfachen Authentifizierung mittels Passwörtern der Fall ist. Top: Standard-Maßnahmen Flop: Fortgeschrittene Maßnahmen 2014 techconsult GmbH 13

14 Flop Top Bei der differenzierten Betrachtung nach den untersuchten Branchen lässt sich auch hier wiederum feststellen, dass bei Banken und Versicherungen eine höhere Relevanz und bessere Umsetzung bzgl. des Einsatzes von Passwortrichtlinien in einem deutlich höheren Sicherheitsindex von 72 Punkten resultieren, der deutlich über dem Durchschnittsniveau von 64 Punkten liegt. Am unteren Ende zeigt sich hingegen für die Öffentlichen Verwaltungen und Non-Profit-Unternehmen, dass für biometrische Authentifizierungsverfahren noch keine besondere Relevanz gesehen wird und dementsprechend auch die Umsetzung noch nicht zufriedenstellend gelöst ist und somit der Sicherheitsindex für diese Maßnahme mit nur 38 Punkten deutlich hinter dem Durchschnitt von 49 Punkten zurück bleibt (vgl. Tabelle 1 im Anhang). Auch bei den technischen Lösungen ist festzustellen, dass einfachere, aber lange etablierte und mittlerweile als Standards zu bezeichnende Lösungen mit überdurchschnittlichen Punktzahlen an der Spitze der Liste technischer Lösungen für IT- und Informationssicherheit stehen. Die noch eher jungen fortgeschrittenen und integrierten Lösungen erzielen hingegen weniger Punkte beim Sicherheitsindex (vgl. Abbildung 6). Branchenunterschiede Technische Lösungen Technische Lösungen Sicherheitsindex C Antiviren-Lösungen und Malware-Erkennung 69 C Firewalls 68 C Datensicherungs-, Backup- und Wiederherstellungs-Lösungen 65 D Lösungen zur VoIP-Verschlüsselung 53 D Threat Monitoring, Unified Threat Management (UTM) 53 D Mobile Device Management, Mobile App Management techconsult GmbH Abbildung 6: Tops und Flops der technischen Lösungen 2014 techconsult GmbH 14

15 Etablierte und allgemein bekannte Produkte, wie Antiviren-Scanner und Malware-Erkennung, Firewalls und Datensicherungsund Backup-Lösungen, stellen hinsichtlich Relevanz und Umsetzung bei den mittelständischen Unternehmen die Top 3 der Lösungen für IT- und Informationssicherheit. Diese sind sowohl auf Client-Ebene als End-Point-Security-Lösungen verbreitet als auch auf Infrastruktur-Ebene als reine Software- oder Appliance-Lösung im Einsatz. Dies zeigt sich auch im hohen Punkteniveau beim Sicherheitsindex, der mit 69 Punkten im Mittelstandsdurchschnitt bei Antiviren-Lösungen und Malware-Erkennung als durchaus gut einzustufen ist. Komplexere und integrierte Lösungen zur VoIP-Verschlüsselung, Unified Threat Management oder Mobile Device Management erzielen die geringste Punktzahl. Dies lässt zum einen auf Defizite beim Know-how rückschließen, d.h. der Einführung und dem Betrieb solcher Lösungen, als auch auf den bisher nur unzureichend erkannten Nutzen. Gerade der Mittelstand könnte von solchen Lösungen profitieren, z.b. durch die Integration von verschiedenen Sicherheitslösungen im Rahmen eines Unified Threat Managements. Auch bei den Lösungen bilden wiederum der Handel sowie öffentliche Sektor und Non-Profit-Unternehmen das Schlusslicht im Branchenvergleich. Während beim Handel sich durchweg unterdurchschnittliche Werte für den Sicherheitsindex ergeben, zeigen öffentliche Verwaltungen und Non-Profits auf der einen Seite mit überdurchschnittlichen Punktzahlen bei den Top-3 der technischen Lösungen, dass sie die Standards durchweg gut im Griff haben. Auf der anderen Seite ist aber auch festzuhalten, dass gerade die auch insgesamt im Mittelstand niedriger bewerteten Lösungen in dieser Branche nochmal deutlich unter dem Durchschnitt liegen. Sieben Lösungen erreichen nicht einmal 50 von 100 möglichen Punkten, Mobile Device Management bildet mit nur 41 Punkten auf dem Sicherheitsindex als bisher am wenigsten relevante und entsprechend wenig umgesetzte Lösung den absoluten Tiefpunkt. Hier liegt sehr viel Verbesserungspo- Top: Einfache Lösungen Flop: Komplexe und integrierte Lösungen Branchenunterschiede 2014 techconsult GmbH 15

16 tenzial, denn aufgrund dynamisch steigender Mobilität und zunehmender Nutzung von eigenen Endgeräten für dienstliche Zwecke (BYOD) erlangt MDM rasch eine höhere Relevanz. Gerade aus dem Branchenvergleich kann abgeleitet werden, dass der Blick über den Tellerrand lohnenswert ist, um die eigene IT- und Informationssicherheit zu verbessern. Das gute bis sehr gute Sicherheitsniveau hinsichtlich des Einsatzes von Passwortrichtlinien im Banken- und Versicherungssektor kann aufzeigen, was möglich ist und ggf. Hinweise auf Verbesserungspotenziale geben, die bisher nicht in der eigenen Branche gesehen werden. Die bisher unterdurchschnittliche Relevanz und Umsetzung von biometrischen Authentifizierungsmaßnahmen im öffentlichen Sektor könnten eine Neubewertung erfahren, wenn Best Practices anderer Branchen evaluiert und auf die eigene Situation und Anforderungen übertragen werden. Hierbei sind auch Hersteller wie IT-Dienstleister (Berater, Integratoren und Systemhäuser) gefragt, Lösungen und Maßnahmen für die entsprechende Branche zu entwickeln und mit dem Einsatz fortschrittlicher Sicherheitsmaßnahmen bisher bestehende Lücken abdecken. Von anderen Branchen lernen MAßNAHMEN UND REGELUNGEN AUF ORGANISATORISCHER EBENE Neben technischen Lösungen und Maßnahmen zur Sicherung von IT und Daten ist es auch für mittelständische Unternehmen unabdingbar, Maßnahmen und Regelungen auf organisatorischer Ebene zu treffen. Dies umfasst z.b. die Umsetzung des Bundesdatenschutzgesetzes, regelmäßige Information und Aufklärung der Mitarbeiter über aktuelle Bedrohungen oder die Entwicklung von Notfallplänen und deren Übung. Nicht zuletzt ist diese Ebene bedeutend, weil sie alle Mitarbeiter des Unternehmens betrifft. IT- und Informationssicherheit müssen im Arbeitsalltag gelebt werden und nicht bloß von der IT-Abteilung oder Geschäftsführung vorgegeben und angeordnet sein. Die Durchführung von regelmäßigen Backups, Richtlinien bei Neueinstellungen und die Umsetzung von Maßnahmen nach Bundesdatenschutzgesetz (BDSG) sind die drei Maßnahmen, die Bundesdatenschutzgesetz unter den Tops 2014 techconsult GmbH 16

17 Flop Top im Mittelstandsdurchschnitt die höchsten Punktzahlen beim Sicherheitsindex erzielen. Die Maßnahmen nach Bundesdatenschutzgesetz sind jene in der Anlage zu 9 des BDSG beschrieben Kontrollen (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeitskontrolle) sowie das dort formulierte Trennungsgebot der getrennten Speicherung von zu unterschiedlichen Zwecken erhobenen Daten. Unter den Flops finden sich Awareness-Kampagnen für das Thema IT-Security, Regelmäßige Tests und Übungen der Notfallund Reaktionspläne und Übungen zum Thema IT-Security. Insbesondere diese Maßnahmen tragen jedoch entscheidend zu einer erfolgreichen Umsetzung von IT- und Informationssicherheit bei, indem sie durch Sensibilisierung der Mitarbeiter dafür sorgen, dass IT- und Informationssicherheit im Unternehmen gelebt wird. Mitarbeitersensibilisierung und -schulung ausbaufähig Organisatorische Maßnahme Sicherheitsindex C Durchführen von regelmäßigen Backups 65 C Richtlinien bei Neueinstellungen 59 C Maßnahmen nach Bundesdatenschutzgesetz (BDSG) 59 D Awareness-Kampagnen für das Thema IT-Security 52 D Regelmäßige Tests und Übungen der Notfall- und Reaktionspläne 52 D Übungen zum Thema IT-Security techconsult GmbH Abbildung 7: Tops und Flops der organisatorischen Maßnahmen MAßNAHMEN UND REGELUNGEN AUF RECHTLICHER EBENE Um bei einem unverhofften sicherheitsbedingten Zwischenfall als Unternehmen nicht das Nachsehen zu haben, müssen umfangreiche rechtliche Maßnahmen getroffen werden. So können 2014 techconsult GmbH 17

18 verbindliche Absprachen und die Einhaltung gesetzlicher Regelungen sowie deren nachvollziehbare und vollständige Dokumentation im Ernstfall wertvolle Nachweise bei Schuld- und Haftungsfragen sein. Die meisten Unternehmen haben diesen Umstand erkannt und setzen alle betreffenden Maßnahmen bereits annähernd gleich gut um (vgl. Abbildung 8). Dabei ergeben sich sowohl für die nach dem Bundesdatenschutzgesetz vertraglich geregelte Auftragsdatenverarbeitung als auch für die Verpflichtung zur Erbringung von Nachweisen und Dokumentationen 59 Punkte beim Sicherheitsindex. Letztere ist insbesondere wichtig, um die Einhaltung von Datenschutz- und Sicherheit zu prüfen und ggf. zurückverfolgen zu können. Nur knapp dahinter reihen sich mit 58 Indexpunkten Geheimhaltungsvereinbarungen und vertraglich festgelegte Zuständigkeiten und Haftungen ein. Indexpunkte für rechtliche Maßnahmen Rechtliche Maßnahme Sicherheitsindex Wir treffen vertragliche Regelungen zur Auftragsdatenverarbeitung nach dem Bundesdatenschutz-Gesetz (BDSG). Wir haben festgelegt, dass Nachweise und Dokumentationen erbracht werden müssen, die aufzeigen, dass Datenschutz und Datensicherheit gewährleistet sind. Wir schließen Geheimhaltungsvereinbarungen/Non-Disclosure Agreements (NDA) ab. Wir überprüfen regelmäßig die Einhaltung der festgelegten Maßnahmen und Regelungen. Wir haben eine vertragliche Definition/Festlegung von Zuständigkeiten und Haftung techconsult GmbH Abbildung 8: Maßnahmen auf rechtlicher Ebene Kein Mehrwert ergibt sich aus Maßnahmen, die nicht praktiziert und eingehalten werden. Daher ist es erfreulich, dass die regelmäßige Kontrolle der Einhaltung auf dem gleichen Niveau steht wie die Maßnahmen selbst und somit ebenfalls 58 Punkte erzielt. Kontrolle von rechtlichen Maßnahmen 2014 techconsult GmbH 18

19 Trotzdem ist das Niveau knapp unter der 60-Punkte-Marke als ausbaufähig zu bewerten. Dies deuten auch die Unterschiede an, die zwischen den Branchen festzustellen sind. Vertragliche Regelungen nach Bundesdatenschutzgesetz werden in der Industrie, bei Banken und Versicherungen sowie im öffentlichen Sektor und bei Non-Profit-Unternehmen als relevanter und dementsprechend auch schon besser umgesetzt bewertet, als dies beim Handel und in der Dienstleistungsbranche der Fall ist (vgl. Tabelle 4 im Anhang). Niveau insgesamt noch ausbaufähig STRATEGISCHE EBENE Eine dedizierte IT-Security-Strategie zu entwerfen, diese zu implementieren und sie auch fortwährend an sich entwickelnde Rahmenbedingungen anzupassen, fordert die Unternehmen heraus. Voraussetzungen dafür sind hoher personeller und zeitlicher Aufwand, notwendiges Know-how zu aktuellen IT- und Informationssicherheitsthemen sowie genaue Kenntnisse der internen Unternehmensstrukturen. IT-Security-Strategie Erfreulich ist, dass rund zwei Drittel der befragten Unternehmen bereits über eine IT-Security-Strategie verfügen, sei es als Teil der allgemeinen IT-Strategie oder als eigenständige Strategieplanung. Weitere rund 12 % der befragten Unternehmen haben das Thema bereits aufgegriffen und befinden sich in der Planungsoder am Beginn der Implementierungsphase. Nur rund 13 % aller Unternehmen sehen im Bereich Strategie aktuell keinen Handlungsbedarf (vgl. Abbildung 9) techconsult GmbH 19

20 Hat Ihr Unternehmen eine IT-Security-Strategie? Ja, wir haben eine IT-Security-Strategie, die dokumentiert ist und regelmäßig überprüft und aktualisiert wird. 26% Ja, jedoch nur im Rahmen unserer allgemeinen IT- Strategie 40% Nein, ist aber geplant bzw. schon konkret in Arbeit 13% Nein, ist bisher auch noch nicht geplant 13% weiß nicht/keine Angabe 8% 0% 10% 20% 30% 40% 50% Basis: 503 Unternehmen 2014 techconsult GmbH Abbildung 9: IT-Security-Strategien im Mittelstand Im Branchenvergleich setzen sich Industrieunternehmen und das Banken- und Versicherungsgewerbe erneut an die Spitze: Der Anteil der Unternehmen, die bereits über eine IT-Security-Strategie verfügen, liegt bei 75 % in der Industrie bzw. 81 % bei Banken und Versicherungen. Dies spiegelt wider, dass in diesen Branchen die Themenfelder des Umgangs mit sensiblen Daten seit langer Zeit wichtige, zum Teil erfolgsentscheidende, oder stark gesetzlich regulierte Faktoren darstellen. IT-Security-Strategien im Branchenvergleich Am relativ schlechtesten schneiden die öffentlichen Verwaltungen sowie Non-Profit-Unternehmen ab, bei denen nur rund die Hälfte über eine eigene IT-Security-Strategie verfügen und 17 % aktuell keinen Handlungsbedarf sehen. Bei den öffentlichen Verwaltungen kann allerdings vermutet werden, dass gesetzliche Regelungen an zentraler Stelle auf Ebene der Landes- oder Bun techconsult GmbH 20

21 desbehörden umgesetzt werden, was zur Reduzierung des Aufwandes und auch des Handlungsdrucks in diesem Bereich beiträgt. Hinsichtlich der Umsetzung der Strategie stellt sich die Situation in der Dienstleistungsbranche nur wenig besser dar. Lediglich rund 64 % der Unternehmen verfügen bereits über eine IT- Security-Strategie, jedes zehnte Unternehmen sieht hingegen keinen Handlungsbedarf. So positiv die grundsätzlichen Bestrebungen zum Aufbau unternehmensinterner IT-Security-Strategie auf den ersten Blick auch erscheinen, zeichnet der Teilindex für die strategischen Maßnahmen ein differenzierteres Bild im Bereich der Strategieentwicklung. Die im Durchschnitt erzielten 56 von 100 Punkten legen den Schluss nahe, dass das Gros der Unternehmen den strategischen Gesichtspunkten der IT-Sicherheit bisher noch nicht die angebrachte Relevanz beimisst und auch die Umsetzung der entsprechenden Maßnahmen als bisher nur ausreichend oder allenfalls befriedigend zu bewerten ist (vgl. Abbildung 10). Strategische Maßnahmen 2014 techconsult GmbH 21

22 Strategische Maßnahme Sicherheitsindex Festlegung der Prozesse zur regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen auf Aktualität, ggf. Aktualisierung/Überarbeitung Festlegung der Prozesse zur Definition und Dokumentation der einzusetzenden Maßnahmen Festlegung einer unternehmensweiten IT-Security-Leitlinie (Policy) 57 Integration von IT-Security in Unternehmensprozesse 57 Festlegung der Prozesse zur regelmäßigen Überprüfung auf Einhaltung der Regelungen (z.b. hinsichtlich gesetzlicher Vorgaben, IT-Compliance) und Abgleich mit der IT-Security-Leitlinie Abstimmung der Investitions- und Personalplanung hinsichtlich Bedarf im Bereich IT-Security und Bereitstellung von Ressourcen (Personal, Budgets) techconsult GmbH Abbildung 10: Sicherheitsindex strategische Maßnahmen Auch hier führen die Industrie mit 60 Punkten sowie Banken und die Versicherungsbranche mit 58 Punkten den Branchenvergleich an. Der Handel (51 Punkte) und öffentliche Verwaltungen und Non-Profit-Unternehmen (50 Punkte) bilden hier abermals die Schlusslichter (vgl. Tabelle 5 im Anhang). Bei der Frage, inwiefern die IT-Security-Strategie im Unternehmen umgesetzt ist, zeigt sich, dass die Unternehmen ganz unterschiedliche Wege beschreiten, sowohl hinsichtlich der Verankerung auf den anderen Ebenen (technisch, organisatorisch, rechtlich), als auch bei der Implementierung und der kontinuierlichen Weiterentwicklung. Umsetzung der Strategie Rund 57 % der Unternehmen geben an, regelmäßig zu überprüfen, ob sich die IT-Security-Strategie in den gewählten Maßnahmen widerspiegelt. Die eigenen IT-Security Strategie haben bisher erst rund 40 % aller Unternehmen in allen relevanten Ebenen verankert, also sowohl auf technischer, organisatorischer und auch auf rechtlicher Ebene. Bisher haben nur rund ein Drittel der 2014 techconsult GmbH 22

23 befragten Unternehmen die IT-Security-Strategie umgesetzt, z.b. im Client und Systemmanagement. Darüber hinaus finden nur bei rund 20 % aller Unternehmen regelmäßige Audits statt, um die Umsetzung der IT-Security-Strategie sicherzustellen (vgl. Abbildung 11). Umsetzung der Strategie im Unternehmen Wir haben unsere Strategie in den technischen, organisatorischen und rechtlichen Maßnahmen abgebildet. 41% Wir überprüfen regelmäßig, ob sich unsere Strategie in den Maßnahmen wiederfindet und umgekehrt. 57% Wir haben unsere Strategie auch in den Maßnahmen umgesetzt, z.b. im Client- und Systemmanagement. 34% Wir führen regelmäßig Audits durch, um die Umsetzung unserer Security-Strategie zu überprüfen. 24% 0% 10% 20% 30% 40% 50% 60% Wie haben Sie Ihre Strategie in Ihrem Unternehmen umgesetzt? Welche Aussagen treffen zu? Basis: 503 Unternehmen Mehrfachnennung möglich 2014 techconsult GmbH Abbildung 11: Grad der Umsetzung der IT-Security-Strategie Vollumfängliche IT- und Informationssicherheit und effizienter Geschäftsbetrieb sind nicht immer miteinander vereinbar. Bei der Suche nach möglichen Kompromissen müssen die unterschiedlichen Anforderungen berücksichtigt werden: Während die Datenschutz- und IT-Verantwortlichen den Schutz sensibler Daten zu gewährleisten haben, sind für die Geschäftseinheiten einfache Bedienbarkeit und reibungslose Abläufe entscheidend. Konflikte zwischen IT-Sicherheit und Geschäftseinheit Angesichts solcher Konfliktpotentiale überrascht es, dass rund 40 % der Unternehmen keine Fälle bekannt sind, bei denen die Umsetzung von IT-Sicherheitsmaßnahmen und -vorgaben zu Konflikten mit anderen Geschäftsbereichen führten techconsult GmbH 23

24 Treten solche Konflikte aber auf knapp zwei Drittel der Unternehmen verfügen hier über Erfahrungswerte werden die Vorgaben der IT in rund 30 % der Fälle vollständig umgesetzt. In rund 60 % der Fälle erfolgt eine teilweise Umsetzung. In den übrigen 10 % der Fälle werden die Vorgaben der IT-Security überhaupt nicht umgesetzt und stattdessen in der Regel den Anforderungen des Geschäftsbereichs nachgeordnet (vgl. Abbildung 12). Konflikte zwischen Sicherheitsmaßnahmen und Anforderungen der Geschäftsbereiche Ja, solche Vorfälle sind bekannt; letztendlich wurden die Vorgaben der IT-Sicherheit vollständig umgesetzt. 18% Ja, solche Vorfälle sind bekannt; letztendlich wurden die Vorgaben der IT-Sicherheit nur teilweise umgesetzt. 35% Ja, solche Vorfälle sind bekannt; letztendlich wurden die Vorgaben der IT-Sicherheit nicht umgesetzt. 6% Nein, solche Fälle sind nicht bekannt. 41% 0% 10% 20% 30% 40% 50% Sind Ihnen Fälle bekannt, bei denen die Umsetzung von IT-Sicherheitsmaßnahmen bzw. -vorgaben zu Konflikten mit der jeweiligen Geschäftseinheit führte? Basis: 503 Unternehmen 2014 techconsult GmbH Abbildung 12: Lösung von Konflikten zwischen Sicherheit und Anforderungen der Geschäftsbereiche 2014 techconsult GmbH 24

25 Gefährdungsindex: Bedrohungslage und gefühlter Schutz Der Gefährdungsindex veranschaulicht das Verhältnis von wahrgenommener Bedrohung und der Einschätzung des umgesetzten Schutzniveaus. Der durchschnittliche Gefährdungsindex aller befragten Unternehmen beträgt 46 Punkte. Die abgefragten Szenarien wurden zwar insgesamt als Bedrohungen erkannt, jedoch wird das resultierende Gefährdungspotential als überschaubar und handhabbar angesehen. Der Mittelstand fühlt sich somit vor diesen gängigen Bedrohungslagen angemessen geschützt. Besonders bemerkenswert ist der Umstand, dass dabei keine der gängigen Bedrohungslagen heraussticht. Die Unternehmen sehen sich aktuell gut aufgestellt und haben für verschiedene Bedrohungen angemessene Schutzvorkehrungen getroffen (vgl. Abbildung 13). Gefährdungen Gefährdungssindex Datenverlust durch Unachtsamkeit und Fehlverhalten der Mitarbeiter (Geräteverlust, versehentliche Löschung etc.) 47 Interne Angriffe (z.b. Datendiebstahl, Sabotage) 46 Phishing und Social Engineering 46 Befall unserer Systeme durch Schadsoftware wie Viren und Würmer 46 Systemausfälle und Datenverlust durch Systemausfälle (Hardware- Defekte, Software-Fehler etc.) Denial-of-Service-Attacken (Angriffe mit dem Ziel, die Verfügbarkeit unserer Systeme zu verringern) Aushebelung der Zugangsbeschränkungen durch eigene Mitarbeiter 45 Unbefugter Zugang zu unseren Systemen und Daten (Trojaner, Hackerangriffe, Spyware) techconsult GmbH Abbildung 13: Gefährdungen im Mittelstand 2014 techconsult GmbH 25

26 In der Betrachtung der wahrgenommenen Gefährdung auf Branchenebene sind zwei erhöhte Werte beim Gefährdungsindex auffällig. Banken und Versicherungen sehen sich bei internen Angriffen mit 53 Punkten beim Gefährdungsindex einer um 7 Punkten höheren Gefährdung ausgesetzt als dies im Mittelstandsdurchschnitt der Fall ist. Ebenso sehen sich öffentliche Verwaltungen und Non-Profits besonders durch Datenverlust durch Unachtsamkeit und Fehlverhalten der Mitarbeiter (Geräteverlust, versehentliche Löschung etc.) gefährdet, was in 53 Punkten beim Gefährdungsindex resultiert. Vermeintlich positiv fällt der Gefährdungsindex für Systemausfälle und Datenverlust durch Systemausfälle (Hardware-Defekte, Software-Fehler etc.) im Handel aus. Nach der Einschätzung der befragten Handelsunternehmen ist die Bedrohung hier relativ gesehen niedriger, und die Schutzmaßnahmen sind besser umgesetzt. Insgesamt zeigt das Niveau beim Gefährdungsindex jedoch im Vergleich mit dem Sicherheitsindex, dass sich aus der Selbsteinschätzung der Mittelständler im Durchschnitt nur einen geringer Sicherheitsvorsprung als Puffer ergibt (vgl. auch oben, Abbildung 1). Daraus ergibt sich, dass die Sicherheit, in der sich der Mittelstand wähnt, schnell in einen akuten Ernstfall umschlagen kann, z.b. weil sich die Bedrohungslage durch Bekanntwerden von Schwachstellen erhöht. Gerade auch die große Spanne in der Selbstbewertung der eigenen Sicherheitslage (vgl. oben, Abbildung 2) zeigt, dass in vielen Fällen auch konkreter Handlungsbedarf besteht. Im Durchschnitt liegt ein Viertel der mittelständischen Unternehmen unter einem Sicherheitsindex-Wert von 40 Punkten. Bei der Einschätzung der Gefährdung liegen die Indexwerte jedoch deutlich näher beieinander. Hier liegt die Hälfte der befragten Unternehmen in einem Bereich zwischen 41 und 51 Punkten für den Gefährdungsindex. Dies legt den Schluss nahe, dass auch bei einem Viertel der Unternehmen dringender Handlungsbedarf besteht, weil ihr Sicherheitsniveau niedriger als das Gefährdungsniveau liegt, dem sie sich ausgesetzt sehen techconsult GmbH 26

27 Studienrahmen Die Befragung wurde im Januar und Februar 2014 durchgeführt. Mittels Computer Aided Web Interview (CAWI) wurden insgesamt 503 Personen befragt. Die Branchenverteilung (vgl. Abbildung 14) zeigt einen Schwerpunkt im Dienstleistungssegment, dem insgesamt rund 44 % der befragten Unternehmen angehören. Branchenverteilung 14% 23% Industrie 8% 4% 15% Handel IT-Dienstleister Handwerkliche und Service- Dienstleistungen Beratungsdienstleistungen Banken und Versicherungsgewerbe 24% 12% Öffentliche Verwaltung / Non Profit Welcher Branche gehört Ihr Unternehmen an? Basis: 503 Unternehmen Abbildung 14: Branchenverteilung Die IT-Dienstleister sind dabei mit 12 % Anteil bewusst etwas überrepräsentiert, um diese Gruppe in einer der diesem Bericht folgenden Detailauswertungen genauer untersuchen zu können. Schließlich sind sie gerade für kleinere Mittelständler die ersten Ansprechpartner, wenn es um die Umsetzung von Sicherheitskonzepten geht. Nach Größenklassen betrachtet macht die Gruppe der mittelständischen Unternehmen mit 20 bis 199 Mitarbeitern mit 41 % den größten Anteil der Befragten aus, gefolgt von mittelgroßen Mittelständlern mit 200 bis 499 Mitarbeitern, die einem Drittel 2014 techconsult GmbH 27

28 vertreten sind und dem großen Mittelstand mit 500 bis Unternehmen, denen ein Viertel der Befragten angehört (vgl. Abbildung 15). Größenklassenverteilung 25% 20 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 41% 500 bis Mitarbeiter 33% Wie viele Mitarbeiter beschäftigt Ihr Unternehmen? Basis: 503 Unternehmen Abbildung 15: Verteilung der Größenklassen der Unternehmen Die in der Studie befragten Personen sollten zu IT- und Informationssicherheit im eigenen Unternehmen Aussagen treffen können. Daher findet sich ein hoher Anteil von IT-Leitern und IT-Mitarbeitern (38 %) unter den Befragten. Fast ebenso viele der befragten Personen haben leitende Funktionen inne oder gehören der Geschäftsführung bzw. dem Vorstand an (37 %) techconsult GmbH 28

29 Ansprechpartner 18% 4% 3%2% 3% 10% 27% Geschäftsführer, Vorstand, CEO, COO, CFO, Finanzvorstand Abteilungsleiter, Bereichsleiter, Projektleiter Abteilungsmitarbeiter, Sachbearbeiter, Projektmitarbeiter IT-Leiter, CIO IT-Mitarbeiter 20% 14% Welche Position nehmen Sie in Ihrem Unternehmen ein? Basis: 503 Unternehmen Informationssicherheits-/IT- Sicherheitsbeauftragter Sicherheitsbeauftragter Interner/externer Datenschutzbeauftragter Andere Funktion Abbildung 16: Ansprechpartner der Studie 2014 techconsult GmbH 29

30 Methodik der Indexbildung Ein Ziel der Studie war es, auf oberster Ebene Indizes zu erstellen, die als Maßzahlen für Vergleiche dienen können. Die Idee dahinter ist mit einem Benchmark zu vergleichen. Diese Indizes sind zum einen der Sicherheitsindex, der die Umsetzung von IT- und Informationssicherheit im Unternehmen fokussiert, zum anderen der Gefährdungsindex, der die Bedrohungen und die Absicherung gegen diese Bedrohungen betrachtet. Diese Methodik hat sich seit Jahren in unterschiedlichen Indexprojekten (z.b. Business Performance Index) bewährt und wurde kontinuierlich weiterentwickelt. Die Indexwerte ergeben sich dabei jeweils aus der Relevanz und Umsetzung von Maßnahmen und Lösungen bzw. der wahrgenommenen Bedrohung durch und des Schutzes vor bestimmten Gefahren. Diese basieren auf der Selbsteinschätzung der befragten Unternehmen und wurden jeweils mittels einer 6er-Skala (1=sehr hohe Relevanz bzw. sehr zufrieden mit der Umsetzung bis 6=überhaupt nicht relevant bzw. überhaupt nicht zufrieden mit der Umsetzung) erhoben. Für die Indexbildung werden diese Angaben auf Werte zwischen 0 und 100 transformiert und aggregiert. Die Aggregation erfolgt beim Sicherheitsindex zum einen auf den Teilebenen (technische, organisatorische, rechtliche und strategische Ebene) und zum anderen auch zusammenfassend als Gesamtwert (vgl. Abbildung 17). Die Umsetzung und die Absicherung dienen als eigentliche Dimensionen zur Indexbildung, denn letztlich entscheiden getroffene Maßnahmen über die Sicherheit im Unternehmen. Jedes Unternehmen ist aber anders, hat andere Schwerpunkte und Prozesse zu berücksichtigen und ganz sicher haben die jeweiligen Akteure in den Unternehmen auch unterschiedliche Wahrnehmungen. Daher ist es nur folgerichtig, dass es keinen einheitlichen Maßnahmenkatalog zur Absicherung geben kann. Wir berücksichtigen diese Unterschiedlichkeit mit der Einführung einer Gewichtung. Für den Sicherheitsindex heißt diese Gewichtung 2014 techconsult GmbH 30

31 2014 techconsult GmbH Relevanz, für den Gefährdungsindex Bedrohung. Der Umsetzung einer Maßnahme innerhalb eines Bereiches (technisch, strategisch, rechtlich, etc.) wird also die Relevanz gegenübergestellt, die diese Maßnahme nach Einschätzung der Befragten für das Unternehmen hat. So fällt eine hohe Umsetzung letztlich weniger ins Gewicht, wenn die Relevanz für einen Bereich unerheblich ist. Andersherum wird es entsprechend kritischer, wenn einer sehr hohen Relevanz nur eine geringe Umsetzung gegenüber steht. Die abgefragte Relevanz fungiert demnach als Gewichtungsfaktor. Analog dazu steht die Bedrohung als Gewichtungsfaktor für die Absicherung. Wenn in einem bestimmten Bereich eine erhöhte Bedrohungslage festgestellt wird, ist der Absicherung eine höheres Gewicht beizumessen, als in einem nicht akut bedrohtem Bereich. Indexbildung Relevanz Umsetzung Bedrohung Absicherung Skalierung und Indexbildung Aggregation Indizes auf Ebenen Gesamt-Indizes Technische Ebene Organisatorische Ebene Aggregation Sicherheitsindex Rechtliche Ebene Strategische Ebene Gefährdungsindex Gefühlte Bedrohung und Einschätzung des Schutzes gegen Bedrohungen Abbildung 17: Schematische Darstellung der Indexbildung 2014 techconsult GmbH 31

32 Kontaktinformationen ÜBER TECHCONSULT Die techconsult GmbH, gegründet 1992, zählt zu den führenden Analystenhäusern in Zentraleuropa. Der Schwerpunkt der Strategieberatung liegt in der Informations- und Kommunikationsindustrie (ITK). Durch jahrelange Standard- und Individual-Untersuchungen verfügt techconsult über einen im deutschsprachigen Raum einzigartigen Informationsbestand, sowohl hinsichtlich der Kontinuität als auch der Informationstiefe, und ist somit ein wichtiger Beratungspartner der CXOs sowie der IT-Industrie, wenn es um Produktinnovation, Marketingstrategie und Absatzentwicklung geht. Die techconsult GmbH wird von den geschäftsführenden Gesellschaftern und Gründern Peter Burghardt und Andreas W. Klein am Standort Kassel mit einer Niederlassung in München geleitet und ist Teil der Heise Medien Gruppe. techconsult GmbH The IT Market Analysts Am Platz der Deutschen Einheit Leipziger Straße Tel Fax techconsult GmbH 32

33 Sponsoren Die baramundi software AG bietet Management-Software für Clients, Server und mobile Geräte. Der Fokus liegt dabei auf sicherem Management von Arbeitsplatzumgebungen, plattformübergreifend und für verschiedenste Endgeräte, sowie auf Compliance- und Schwachstellenmanagement. Die MESH GmbH bietet maßgeschneiderte Datacenter-, Cloud- und Connectivity- Services für den Mittelstand und unterstützt Unternehmen beim Outsourcing der Infrastruktur in sichere IT-Rechenzentren. Bei den MESH Trusted Cloud Lösungen können zusätzlich Private-, Community- oder Hybrid-Cloud Services individuell betrieben und miteinander kombiniert werden. ISO-zertifizierte Rechenzentren sowie sichere Netzwerkdienste durch Multi-Tier I Carrier-Anbindungen garantieren eine hohe Verfügbarkeit und Ausfallsicherheit. Die Microsoft Deutschland GmbH richtet sich mit seinem Safety & Security Center mit Sicherheitshinweisen und Hintergrundartikeln an alle IT-Anwender, die ihre IT-Umgebungen schützen wollen. Das Safety & Security Center bietet neben allgemeinen Informationen auch praktische Hinweise, z.b. wie Angriffsversuche zu erkennen und abzuwenden sind. Die NCP engineering GmbH ist technologischer Weltmarktführer für Lösungen rund um den ferngesteuerten Zugriff auf zentrale Datenbestände und Ressourcen von Unternehmen. NCP liefert Produkte, Spitzentechnologie, zentrales Remote Access Management und End-to-Site Sicherheit aus einer Hand. Die Sophos GmbH hat sich der Sicherheit und dem Schutz aller existierenden Endpoints von Netzwerken verschrieben. Durch individuelle, an Unternehmensanforderungen angepasste Produkte können alle Geräte eines Netzwerks zuverlässig, einfach und zentral in der Cloud verwaltet werden. Telekom bietet Anwendern komplette IT Sicherheit: beginnend mit Checks und Consulting (IT Security Checks) über umfassende Sicherheit für Unternehmensnetze (Managed Network Security) und volle Sicherheit für feste und mobile IT Arbeitsplätze (Managed Endpoint Security) bis hin zur Sicherheit für sensible Kommunikation und Daten kombiniert (Managed Communication Security) techconsult GmbH 33