Kleine Unternehmen, kleine IT-Sicherheit

Andere Länder, andere Sitten – das Prinzip scheint sich laut einer Studie auch auf Unternehmen übertragen zu lassen. Denn danach setzen die Administratoren von Betrieben unterschiedlicher Größe andere Prioritäten. Während CIOs größerer Unternehmen eher in die IT-Sicherheit investieren und auch vorbeugende Abwehrmaßnahmen treffen, kümmern sich die Verantwortlichen kleiner und mittelständischer Firmen hauptsächlich darum, dass das Tagesgeschäft läuft.

Nicht, dass kleinere Betriebe keine Angst vor Angriffen hätten. Im Gegenteil, 80 Prozent der 450 befragten Entscheider kleiner und mittelständischer Unternehmen in Deutschland, Australien, Großbritannien und den USA gaben an, sich vor einem Angriff auf die IT-Sicherheit zu fürchten. Die Erklärung, dass dennoch oft die Schutzmaßnahmen auf der Strecke bleiben, ist so alt wie die IT-Sicherheit selbst: Je kleiner das Unternehmen, desto seltener ist ein nur für die IT Verantwortlicher. Und wenn der Betrieb einen dafür abgestellt hat, ist der oft überfordert oder einfach sehr mit dem Aufrechterhalten des täglichen, operativen Geschäfts beschäftigt.

Sowohl die Personal- als auch die Finanzressourcen sind oftmals beschränkt. Das ist wohl auch ein Grund dafür, dass selten proaktive, aber immerhin zumindest reaktive Maßnahmen ergriffen werden, potenzielle Angriffe abzuwehren. 39 Prozent gaben an, Sicherheitslösungen regelmäßig zu aktualisieren und 38 Prozent informieren sich über neue Gefahren.

Überrascht hat die Aussage, dass durchschnittlich nur 18 Prozent (in Deutschland 21 Prozent) der Befragten schon einmal einen Angriff zu beklagen hatten. Anderen Erhebungen zufolge müssten das wesentlich mehr sein. Möglicherweise bleiben viele Attacken unerkannt, weil sie immer subtiler und raffinierter werden. Eventuelle Schäden würden dann aber auch nicht entdeckt. Das wiederum könnte neue Sicherheitslücken nach sich ziehen, die Angreifer wieder ausnutzen könnten.

“Kleine und mittelständische Unternehmen befassen sich mit dem Thema Sicherheit eher auf taktischer Ebene und orientieren sich vor allem an akuten Bedürfnissen“, erläutert Eric Domage, European Research Manager, Security Products & Solutions, bei IDC. Das Marktforschungsunternehmen hat zusammen mit MessageLabs und McAfee die Studie durchgeführt.

Einen Ausweg aus der Misere könnten extern verwaltete Sicherheitslösungen sein, so genannte Managed Services. Dabei könnten sich IT-Verwalter kleiner Unternehmen auf das Kerngeschäft konzentrieren und komplexe Sicherheitsmaßnahmen externen Spezialisten überlassen. “Das Outsourcing täglich anfallender Sicherheitsaufgaben spart Zeit und Geld”, erklärte denn auch Vimal Solanki, Senior Director of Worldwide Marketing bei McAfee. Viele glauben aber offenbar nicht daran, dass diese Art der Sicherheit günstiger sein soll, und andere wiederum fürchten sich vor der Tatsache, kritische Daten in die Hand Fremder zu legen – ein klassisches Outsourcing-Problem.

Für die Zukunft leuchtet aber auch ein kleiner Hoffnungsschimmer. Mehr als 90 Prozent der Studienteilnehmer wollen 2007 voraussichtlich 20 Prozent mehr Geld für die IT-Sicherheit in die Hand nehmen. Allerdings bestätigten sie auch, dass sich ihre gesamten IT-Ausgaben 2007 voraussichtlich um rund 30 Prozent erhöhen würden.