Die Analysten von techconsult bildeten für die unabhängige Studie “Security Bilanz Deutschland” zwei Indizes: Den Gefährdungsindex und den Sicherheitsindex. Der Sicherheitsindex ist der Grad der Relevanz und Umsetzung einer großen Anzahl von theoretisch möglichen Lösungen und Maßnahmen, die Unternehmen zum Schaffen von IT- und Informationssicherheit ergreifen.

Der Indexwert für das Sicherheitspotenzial erreicht im Gesamtdurchschnitt 57 von 100 Punkten. Dieses Niveau zeigt deutlich, dass der Mittelstand noch weit vom Beherrschen der relevanten Sicherheitsaspekte entfernt ist.

Die Studie zeigt auch, dass es deutliche Unterschiede zwischen den Branchen gibt: So führt die Industrie mit 60 Indexpunkten knapp vor den Banken und Versicherungen mit 59 Punkten das Feld an. Die Dienstleister liegen mit 57 Punkten genau im Durchschnitt. Öffentliche Verwaltungen und Non-Profits liegen mit 54 Punkten drei Zähler unter dem Schnitt, das Schlusslicht bildet der Handel mit nur 52 Punkten.

Der Index für das Gefährdungspotenzial bildet die Bedrohungslage und den Schutz vor diesen Bedrohungen ab. Die besten 25 Prozent der Unternehmen erreichen Durchschnittwerte jenseits der 78-Punkte-Marke. Unternehmen, die gut bis sehr gut hinsichtlich IT- und Informationssicherheit aufgestellt sind, erreichen also mehr als 20 Punkte höhere Indexwerte. Die 25 Prozent der schlechtesten Unternehmen erreichen nur Werte von 38 Punkten oder weniger.

Die Gefährdung, der sich die Unternehmen ausgesetzt sehen, führt zu einem Indexwert von 46 Punkten. Die einzelnen Branchen unterscheiden sich hier nur marginal. Im Handel liegt das wahrgenommene Gefährdungspotenzial leicht niedriger bei 44 Punkten, bei Banken und Versicherungen sowie Öffentliche Verwaltungen und Non-Profits liegt der Indexwert mit 47 Punkten leicht höher. Werte von unter 50 Punkten legen den Schluss nah, dass sich die Befragten keiner dramatischen Bedrohung ausgesetzt sehen und ihre Schutzmaßnahmen subjektiv als ausreichend empfinden.

Aktuell haben mittelständische Unternehmen und Organisationen laut der Studie nicht nur deutlichen Nachholbedarf in Sachen Datenschutz und Informationssicherheit, sondern sind auch nur bedingt dazu geeignet, dem selbst wahrgenommenen Gefährdungspotential standzuhalten.

Befragt wurden für die Studie über 500 repräsentativ ausgewählte kleine und mittelständische Unternehmen in Deutschland im Zeitraum Mitte Januar bis Mitte Februar 2014. Sie soll jährlich wiederholt werden, um die Entwicklung der IT- und Informationssicherung kleiner und mittelständischer Unternehmen in Deutschland nachhaltig verfolgen zu können.

Die in der Studie ausgewiesenen Indexwerte finden sich im Security Consulter wieder, ein Self-Check-Tool von heise Security und techconsult. Es kann kostenlos und anonym Sicherheitsücken und Gefährdungspotenziale in Unternehmen aufzeigen.

Abgefragt werden dabei alle relevanten Sicherheitsaspekte eines Unternehmens. Im Self Check schätzt der Nutzer selbst ein, wie wichtig einzelne technische, organisatorische und rechtliche Vorkehrungen zur IT-Sicherheit und Informationssicherheit für sein Geschäft sind und wie gut deren Umsetzung realisiert wurde. Der Sicherheitsstatus des Unternehmens wird sofort angezeigt, so dass sofort gehandelt werden kann.

Hinweis: Ich bin Mitglied im Partnerbeirat der “Security Bilanz Deutschland”.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.