Wenn es um Informationssicherheitsrisiken und -abhilfemaßnahmen geht, haben große und kleine/mittlere Unternehmen unterschiedliche Möglichkeiten.
KMU als Wirtschaftsmacht
Der deutsche „Mittelstand“ ist eine Größe – denn wenn wir über den Mittelstand in Deutschland sprechen, dann ist das keine Kleinigkeit. Dementsprechend sind ihre Bedürfnisse auch heute noch essentiell für die deutsche Wirtschaft. In seiner Definition unterscheidet das IfM Bonn nach wie vor alle kleinen und mittleren Unternehmen (KMU) von Großunternehmen anhand quantitativer Kriterien wie Jahresumsatz (≤ 50 Mio. €) und Mitarbeiterzahl (< 500 Beschäftigte). Immerhin sind das rund 3,5 Millionen Unternehmen, sie erwirtschafteten rund 34% aller zu versteuernden Umsätze aus Lieferungen und Leistungen und hatten 2018 rund 18 Millionen sozialversicherungspflichtig Beschäftigte in ihren Reihen.
Wirtschaftlich sind KMU groß, aber auf der IT-Seite eher ein Zwerg, denn KMU beschäftigen vergleichsweise wenige ICT-Spezialisten, denn während in den meisten großen Unternehmen Spezialisten für Informations- und Kommunikationstechnologie (IKT) arbeiten (77%), sind diese in KMU immer noch deutlich seltener. Nur 17% aller KMU geben an, dass sie Mitarbeiter in diesem Kompetenzbereich beschäftigen. Die IT-Abteilungen des Mittelstands sind daher eher schlank und aus betrieblicher Notwendigkeit heraus primär auf Wertschöpfung ausgerichtet.
Sicherheitslage und Digitalisierung
Durch die Innovation der Informationstechnologie verändern sich viele Lebensbereiche und wo Innovationszyklen (vgl. Kondratjew) etwa 40-60 Jahre dauerten, sind IT-Systeme heute nicht nur überall etabliert, sondern erobern ständig und schneller neue Lebensbereiche. Insbesondere der Ausbau der digitalen Wertschöpfungsaktivitäten mit der (internetbasierten) Vernetzung aller an Wertschöpfungsprozess, Entwicklung, Produktion und Vermarktung beteiligten Unternehmen ist eine große Herausforderung. Was das Thema noch brisanter macht, ist die Geschwindigkeit. Zukunftsforscher in der IT sprechen nicht mehr von Jahren, sondern von Wochen.
In diesem Zusammenhang ist bemerkenswert, wie rasant sich neue Technologien derzeit im Cloud-Umfeld ausbreiten und wie stark sich die Corona-Pandemie auf die Digitalisierungsaktivitäten von KMU ausgewirkt hat.
Kriminelle Aktivitäten und Angriffe nehmen laut BSI zu, die IT-Sicherheitslage in Deutschland ist angespannt, Angriffe betreffen Privatpersonen und Behörden gleichermaßen; und zunehmend ist ihnen vor allem die Mittelschicht ausgesetzt. Oft begeben sich Kriminelle nicht auf die Suche nach dem größten Ziel, sondern nach dem einfachsten Weg! Und große Unternehmen mit guten IT-Sicherheitsstrukturen sind schwerer zu "knacken" als mittelständische Unternehmen mit begrenzten Ressourcen.
Aktivitäten
In diesem Spannungsfeld können sich mittelständische Unternehmen nicht zurücklehnen, sondern müssen sich zunehmend fragen, ob sie ausreichend und richtig investieren und ob sie gut genug aufgestellt sind. So sind alle Organisationen gezwungen, sich im Bereich der Informationstechnologie und auch der Informationssicherheit zu verbessern, während gleichzeitig ein Mangel an IT-Fachkräften besteht. Zudem finden diese Experten regional sehr unterschiedliche Chancen auf dem Arbeitsmarkt, so dass es "Informatiker" laut Staufenbiel oft aus Verdienstgründen in die Metropolen zieht, was zu einem Fachkräftemangel für KMU in der Region führt.
In KMU - im Zusammenhang mit Informationssicherheit - wird die Leistung von Standards, Normen, Frameworks und Best Practices der Informationssicherheit (z.B. TISAX, ISO 27001, BSI IT-Grundschutz) oft missverstanden. Schließlich werden sie von mittelständischen Unternehmen oft als Hürde empfunden, wenn sie nicht durch Regulierung oder Kundenanforderungen gefordert werden. Gerade für das Ziel, den internen Informationssicherheits-Reifegrad zu erhöhen oder die Organisation zu verbessern ("Security-by-Design") und in Zusammenarbeit mit anderen Unternehmen, oder um die Reputation am Markt zu fördern, erbringen sie unschätzbare Dienste. Entsprechend hoch bleibt das ungenutzte Potenzial von Informationssicherheits-Managementsystemen (ISMS) auf KMU-Ebene.
Was bedeutet das für KMU? Können sie die notwendigen Maßnahmen selbst ergreifen? Was sind aktuelle und marktgetriebene Optionen im Bereich der Informationssicherheit?
Die vollständige Auslagerung von Dienstleistungen oder Fragen der Informationssicherheit ist aufgrund von Kosten, unterschiedlichen Größenordnungen zwischen Angebot und Nachfrage sowie Sicherheitsüberlegungen oft verboten. Zudem muss intern immer genügend Wissen vorhanden sein, um externe Leistungen zu bewerten und zu steuern oder mit Risikosituationen umzugehen. Der komplette Ausstieg aus internen Services und der Wechsel zu externen Servicepartnern oder in die Cloud und damit der vollständige Abbau interner Kapazitäten und Kompetenzen ist aus Kostengründen willkommen. Doch der Anbieterwechsel, deren Kontrolle oder der Rückweg ist dann schwierig oder nur mit großem Aufwand möglich.
Eine mögliche Lösung ist der Aufbau eigener IT-Personalkapazitäten, die jedoch nur begrenzten Erfolg in der Marktsituation und in der Größe und Finanzkraft von KMU verspricht und auch andere Fallstricke mit sich bringt. Schließlich ist eine Vollzeitstelle für den "CISO / Information Security Officer" in vielen Fällen eines KMU mit z. B. 50 Mitarbeitern oft überdimensioniert. Des Weiteren ist die Anhäufung von Rollen in einer Person (z.B. dem IT-Leiter) nicht im Sinne der Standards und der Geschäftsziele des Unternehmens, da sie insbesondere Zielkonflikte im Spannungsfeld zwischen Kosten und Sicherheit mit sich bringt.
Beispielsweise verfügen große Unternehmen in der Regel über die Mittel und Strukturen (oder schaffen sie), KMU müssen Alternativen in Betracht ziehen.
Der oft bestmögliche Weg für KMU geht in Richtung "Security-as-a-Service", d.h. sie bringen in angepassten Servicemodellen temporär (oder dauerhaft) die notwendigen Kompetenzen und Kapazitäten in das Unternehmen ein. Zudem gelingt es Ihnen mit den vorhandenen Kapazitäten oft, die interne Umsetzung mit externer Unterstützung anzugehen. Diesen Weg muss das Management verstehen und mitgehen, die digitalen Kompetenzen im der Führungsebene des Mittelstand spielen daher eine wichtige Rolle.
Dieser Trend verändert zunehmend auch die Arbeitsweise von Unternehmen im Bereich IT- und Internetsicherheit. Mittelfristig, so Bitkom, wird jedes vierte Unternehmen Security-as-a-Service-Modelle nutzen, die Performance auf Basis der Kombination von Technologie und Standards mit dem SaaS-Modell ist beeindruckend, z.B. auch in der Rolle eines "CISOaaS".
Schlussfolgerung
Aus unserer Erfahrung heraus kann auch mit begrenzten Ressourcen eine intelligente Kombination aus Wissen, Konzepten (Security-by-Design), Remote-Lösungen, Standards (ISO/IEC 27001) und Servicemodellen bessere und kostengünstigere Optionen bieten, und die Services im Rahmen von "Security-as-a-Service" sind auf dem Vormarsch. Der Trend unter KMU geht in diese Richtung, Security-as-a-Service-Modelle bieten einen idealen Kompromiss zwischen Leistung, Kosten, Flexibilität und Stabilität, schaffen Sicherheit und entlasten Management und Budgets.
Über technisch-organisatorische und kaufmännische Fragen hinaus ist der Kulturwandel in KMU nach wie vor wichtig, um Security-as-a-Service-Modelle zu akzeptieren und anzupassen. Und auch das Engagement des – oft noch inhabergeführten – Managements von KMU im Bereich der Informationssicherheit ist wichtig, es muss hinter dem Konzept stehen, sich aber auch anpassen und aktiv vorleben: "Cyber Security ist Chefsache!"
Security-as-a-Service ist eine interessante Option und wird zu mehr Informationssicherheit führen und schließlich das Management effizient und effektiv unterstützen.
Autor: Klaus Kilvinger
Sprechen Sie mit uns, um Ihre Risiken mittels eines effektiven und effizienten Informationssicherheitsmanagementsystems zu reduzieren!