Neuer Notstand: IT-Sicherheit bei den kleinen Firmen wieder Stiefkind

Das Bewusstsein für IT-Sicherheit scheint gerade bei kleinen und schnell wachsenden Unternehmen in den vergangenen Monaten stark nachzulassen. Davor warnt der Consulting-Konzern Pricewaterhouse-Coopers. Für seine jüngste Studie zum Thema hat Mark Lobel, verantwortlich für PWCs Security Services, die CEOs von 400 US-Unternehmen befragt, die Umsätze zwischen 5 und 150 Millionen Dollar ausgewiesen hatten. Die Hälfte der Befragten räumte mindestens einen gravierenden IT-Sicherheitsvorfall aus der jüngsten Zeit ein.
Als Ursache hat Lobel eine Entkoppelung von Unternehmens- und Sicherheitsbudget ausgemacht. Während viele Firmen schnell wachsen konnten, seien die Ausgaben für die IT-Sicherheit meist auf ihrem bisherigen Niveau gehalten worden. Während noch Anfang des Jahres eine allgemeine Ausweitung der Security-Budgets in großen Unternehmen zu verzeichnen war, hinken die kleineren offenbar hinterher – und das, obwohl die finanziellen Auswirkungen durchaus greifbar und deutlich seien, so Lobel.

In neun von zehn Fällen werden Viren oder Würmer als Auslöser der Vorfälle identifiziert. Dabei spielen illegale Netzwerkzugriffe die wichtigste Rolle, gefolgt von Denial-of-Service-Attacken. Nur in 2 Prozent der Vorfälle wurde bisher ein unerlaubter Zugriff auf drahtlose Netze als Ursprung ausgemacht. In 61 Prozent aller Fälle führen die IT-Verantwortlichen den entstandenen Schaden auf Hacker-Aktivitäten zurück. In gut einem Viertel der Fälle kommen digitale Schädlinge über unzureichend gesicherte Mail-Systeme ins Unternehmen.

Erschreckend ist die Offenheit der Befragten in einem ganz sensiblen Punkt. In jedem zehnten Fall haben die IT-Leiter die eigenen Mitarbeiter, entlassene Kollegen und konkurrierende Unternehmen als Urheber ausgemacht. Dabei sei in mindestens 83 Prozent der Fälle auch ein materieller Schaden entstanden, der sich in Nichtverfügbarkeit von Systemen, verlorenen Kundendaten oder Informationsverlusten an die Konkurrenz manifestiert.

Der PWC-Sicherheitsexperte rät deshalb gerade kleineren Unternehmen, die sich schnell entwickeln, einen Mitarbeiter fest mit der IT-Sicherheit zu betrauen, selbst wenn er oder sie diese Aufgabe nur mit einem Teil der Arbeitszeit wahrnimmt. Nur so könnten auch Sicherheitsrichtlinien und Prozesse im Unternehmen fortlaufend auf ihre Auswirkung überprüft werden. IT-Sicherheit habe eben nichts mit glamouröser Technik zu tun, sondern sei tägliche Kärrnerarbeit, so Lobel.