IT-Dienstleister und IT-Sicherheit in KMU - wiwi-app.uni ...wiwi-app.uni-regensburg.de/news20/upload/upload__23e429c9d2e5cd3e52a... · Obwohl die Untersuchung keinen Anspruch auf

IT-Dienstleister und

IT-Sicherheit in KMU

Fakten – Perspektiven – Handlungsoptionen

II

Impressum

Herausgeber

it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V.

Lise-Meitner-Str. 4

D-55435 Gau-Algesheim

www.it-sa-benefiz.de

Lehrstuhl Wirtschaftsinformatik I – Informationssysteme (Prof. Dr. Günther Pernul)

Universität Regensburg

Universitätsstraße 31

D-93053 Regensburg

www-ifs.uni-regensburg.de

Durchführung der Studie und Autoren der Langfassung

Anna Klemeschov, Universität Regensburg

Daniel Lohninger, Universität Regensburg

Thomas Schulz, Universität Regensburg

Autoren der Kurzfassung (auf Basis der Langfassung)

Harald Kesberg, Kesberg Consulting/it-sa Benefiz

Michael Weber, Universität Regensburg

Beratung und Expertise

Hans-Jürgen Herrmann, DLR

Birgit Jacobs, qSkills/it-sa Benefiz

Harald Kesberg, Kesberg Consulting/it-sa Benefiz

Michael Weber, Universität Regensburg

Dank für die tatkräftige Unterstützung:

Kesberg Consulting (Harald Kesberg)

qSkills GmbH & Co. KG (Birgit Jacobs)

Dank für den Support bei der Online-Befragung:

IHK München und Oberbayern

Die Mitarbeit von Michael Weber wurde ermöglicht durch „Regionale Wettbewerbsfähigkeit und

Beschäftigung“, Bayern, 2007-2013 (EFRE) im Rahmen des „Security, Education and Competence for Bavarian IT“

(SECBIT) Projektes. www.secbit.de

Oktober 2014

Inhaltsverzeichnis

III

Inhaltsverzeichnis

Impressum ........................................................................................................................ II

Inhaltsverzeichnis ............................................................................................................. III

Abbildungsverzeichnis ..................................................................................................... IV

Abkürzungsverzeichnis ..................................................................................................... V

Management Summary ..................................................................................................... 1

IT-Dienstleister – Schlüssel für die IT-Sicherheit in KMU........................................................ 1

Zusammenfassung der Studienergebnisse ............................................................................. 2

Schlaglichter und Handlungsempfehlungen ........................................................................... 3

1. Marktpotential stärker ausschöpfen ............................................................................... 3

2. Markttransparenz verbessern ......................................................................................... 4

3. Umsetzungslücke bei KMU schließen ............................................................................. 5

IT-Dienstleister und IT-Sicherheit in KMU ........................................................................... 6

IT-Dienstleister und ihre Kunden - Bestandsaufnahme .......................................................... 6

Qualifikationen der IT-Dienstleister........................................................................................ 9

IT-Sicherheits-Produktportfolio der Dienstleister ................................................................ 11

Marketing und Zusammenarbeit mit Kunden ...................................................................... 13

Einschätzung der Situation bei KMU .................................................................................... 17

Bedeutung von IT-Sicherheit in den KMU ......................................................................... 17

Umsetzungsgrad von IT-Sicherheitsmaßnahmen ............................................................. 18

Investitionsbereitschaft in IT-Sicherheitslösungen ........................................................... 18

Bedeutung der Branchenzugehörigkeit ............................................................................ 19

Anteil Sicherheitsvorfälle bei KMU ................................................................................... 21

Ursachen für Sicherheitsvorfälle ....................................................................................... 22

Hemmnisse bei der Verbesserung der IT-Sicherheit ......................................................... 23

Ausblick ................................................................................................................................. 24

Literaturverzeichnis ......................................................................................................... 26

Über die Herausgeber ...................................................................................................... 27

it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V. ....................... 27

Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme ............................................. 27

Abbildungsverzeichnis

IV

Abbildungsverzeichnis

Abb. 1: Aktuelle Mitarbeiterzahl ............................................................................................................................. 6

Abb. 2: Umsatzanteil IT-Dienstleistungen am Gesamtumsatz ................................................................................ 6

Abb. 3: Umsatzanteil IT-Sicherheitslösungen am Gesamtumsatz ........................................................................... 7

Abb. 4: Anteil der Kunden nach Branchenzugehörigkeit ......................................................................................... 7

Abb. 5: Anteil der Kunden nach Mitarbeiterzahl ..................................................................................................... 8

Abb. 6: Erwerb grundlegender Mitarbeiter-Qualifikationen im Bereich IT-Sicherheit ............................................ 9

Abb. 7: Weiterbildung der Mitarbeiter im Bereich IT-Sicherheit ............................................................................. 9

Abb. 8: Mitarbeiter-Informationsquellen zum Themenbereich IT-Sicherheit ........................................................ 10

Abb. 9: Angebot IT-Sicherheitsdienstleistungen .................................................................................................... 11

Abb. 11: Grundlage für den Einsatz von Sicherheitslösungen ............................................................................... 13

Abb. 12: Grundlage der Zusammenarbeit mit Kunden .......................................................................................... 14

Abb. 13: Werbeargumente für den Bereich IT-Sicherheit ...................................................................................... 14

Abb. 14: Faktoren einer erfolgreichen Akquise...................................................................................................... 15

Abb. 15: Eingesetzte Instrumente zur Kundenwerbung ........................................................................................ 16

Abb. 16: Bedeutung IT-Sicherheit nach Mitarbeiterzahl (Einschätzung durch IT-Dienstleister) ............................ 17

Abb. 17: Bedeutung IT-Sicherheit (Selbsteinschätzung der KMU nach [Bund12, S. 17]) ....................................... 17

Abb. 18: Umsetzungsgrad IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister) ............................ 18

Abb. 19: Investitionsbereitschaft in IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister) .............. 18

Abb. 20: Geplante Investitionen in IT-Sicherheit (Hochrechnung auf Basis von [Bund12, S. 33]) .......................... 19

Abb. 21: Bedeutung IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) ...................................... 19

Abb. 22: Umsetzungsgrad der IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) ...................... 20

Abb. 23: Investitionsbereitschaft in IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) .............. 20

Abb. 24: Anteil Sicherheitsvorfälle bei Kunden der befragten IT-Dienstleister ...................................................... 21

Abb. 25: Hauptursachen für Sicherheitsvorfälle .................................................................................................... 22

Abb. 26: Hemmnisse bei der Verbesserung der IT-Sicherheit ................................................................................ 23

Abb. 27: Aktuelle und zukünftige Nachfrage nach IT-Sicherheitslösungen ........................................................... 24

Abb. 28: Mittelfristige Zunahme von IT-Sicherheitsrisiken .................................................................................... 24

Abb. 29: Nachfrage IT-Sicherheitsstandards ......................................................................................................... 24

Abb. 30: Verschärfung gesetzlicher Regelungen ................................................................................................... 25

Abkürzungsverzeichnis

V

Abkürzungsverzeichnis

Abb. Abbildung

ASP Application Service Provider

IEC International Electrotechnical Commission

IKT Informations- und Kommunikationstechnik

ISMS Information Security Management System

ISO International Organization for Standardization

IT Informationstechnik

KMU Kleine und mittlere Unternehmen

SPAM Send phenomenal amounts of mail

VPN Virtual Private Network

Management Summary

1

Management Summary

IT-Dienstleister – Schlüssel für die IT-Sicherheit in KMU

IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) ist ein Thema, das Politik,

Wirtschaft und Sicherheitsexperten seit langem beschäftigt und mehr denn je topaktuell ist.

KMU sind eine wesentliche Säule der deutschen Wirtschaft, das Thema IT-Sicherheit ein

Wirtschaftsfaktor mit steigender Bedeutung. Bisherige Untersuchungen haben jedoch gezeigt,

dass insbesondere kleine Unternehmen noch einen Nachholbedarf im Bereich IT-Sicherheit

haben. In der Regel verfügen sie nicht über qualifizierte IT-Sicherheitsexperten oder IT-

Abteilungen, wie dies beispielsweise bei Konzernen meist der Fall ist.

Umso wichtiger ist die Rolle externer IT-Dienstleister als vertrauensvolle Partner der KMU in

puncto IT-Sicherheit. Ein Großteil der KMU arbeitet mehr oder weniger regelmäßig mit

entsprechenden Dienstleistern zusammen. Die IT-Dienstleister sind somit ein „Schlüssel zu

den KMU“ und können einen entscheidenden Beitrag leisten, das Sicherheitsniveau in KMU

auf eine solide Basis zu stellen. Bislang lagen allerdings kaum belastbare Fakten über die IT-

Dienstleister und deren Zusammenarbeit mit KMU in Fragen der IT-Sicherheit vor.

Die vorliegende Untersuchung, basierend auf der Befragung von IT-Dienstleistern, gibt einen

Einblick in das Marktgeschehen, zeigt Erfolgsfaktoren für die Zusammenarbeit von KMU und

IT-Dienstleistern auf und weist auf Optimierungspotentiale hin.

Die der Untersuchung zugrunde liegende Online-Befragung von IT-Dienstleistern fand im Juni

2014 statt. Es wurde ein elektronischer Fragenkatalog online bereitgestellt und in

Kooperationen mit den süddeutschen Industrie- und Handelskammern beworben. Die

Ergebnisse basieren auf der Analyse der Antworten von 99 (bereinigt 85 bzw. mit Expertise im

Bereich IT-Sicherheit 82) IT-Dienstleistern.

Obwohl die Untersuchung keinen Anspruch auf Repräsentativität erhebt, kann sie für Politik,

KMU und IT-Dienstleister wichtige Hinweise bei der Verbesserung des IT-Sicherheitsniveaus in

KMU geben. Themen könnten z.B. sein:

Welche Rolle können IT-Dienstleister bei der Sensibilisierung von KMU spielen? Wie, mit

welchen Lösungen und mit welchen Themen können IT-Dienstleister ihre Kunden adressieren,

ihre Produkte vermarkten? Wie können KMU die Zusammenarbeit mit IT-Dienstleister im

Bereich von IT-Sicherheit verbessern bzw. optimieren?

Die Untersuchung wurde in Zusammenarbeit von it-sa Benefiz e.V. und der Universität

Regensburg durchgeführt und im Rahmen einer Seminararbeit (Langfassung) durchgeführt

und aufgearbeitet. Die vorliegende Kurzfassung stellt eine überarbeitete, kommentierte und

gekürzte Version der Langfassung dar. Die vorliegende Kurzfassung kann ebenso wie die

Langfassung der Studie kostenlos aus dem Internet heruntergeladen werden.

Link zur Kurzfassung:

www.it-sa-benefiz.de/fileadmin/kundenbereich/dokumente/studie-it-dienstleister.pdf

Link zur Langfassung:

www-honors.uni-r.de/public/studie-it-dienstleister-lang.pdf

Management Summary

2

Zusammenfassung der Studienergebnisse

Der überwiegende Anteil der befragten IT-Dienstleister hat bis zu 10 Mitarbeiter und arbeitet

für Kunden mit weniger als 50 Mitarbeitern.

Rund 65% aller befragten IT-Dienstleister bewerten den Anteil von Sicherheitslösungen an

ihrem Umsatz als gering. Dies eröffnet für die Zukunft Potenzial auf dem Markt der IT-

Sicherheit. Bei mehr als 80% der IT-Dienstleister haben die Mitarbeiter Kenntnisse im Bereich

IT-Sicherheit durch Berufserfahrung, Schulungen oder Veranstaltungen / Workshops

erworben bzw. ausgebaut. Zur Informationsbeschaffung spielt hauptsächlich das Internet eine

große Rolle.

Das Produktportfolio lässt sich unterteilen in Basisleistungen und „erweiterte“ Leistungen.

„Erweiterte“ Leistungen, wie der Aufbau eines Managementsystems für Informations-

sicherheit, digitale forensische Untersuchungen und Penetrationstests, bieten nur die

wenigsten Dienstleistungsunternehmen an.

Bei KMU sind aus Sicht der IT-Dienstleister die Bedeutung, der Umsetzungsgrad und die

Investitionsbereitschaft von IT-Sicherheit höher, je größer das Unternehmen ist. Jedoch sind

alle drei Bereiche in den KMU stark ausbaufähig. Hemmnisse für die Erreichung eines

entsprechenden IT-Sicherheitsniveaus stellen oft die Faktoren Kosten, fehlende Akzeptanz bei

den Mitarbeitern, kein direkt erkennbarer Vorteil oder Nutzen, fehlende Qualifikation der

Mitarbeiter, fehlendes Personal oder Zeitaufwand dar.

Die größten Gefahrenquellen und somit die Hauptursachen für IT-Sicherheitsvorfälle stellen

Irrtum, Nachlässigkeit oder Unwissenheit der Mitarbeiter und der Ausfall der Technik dar. Es

entstehen oft Sicherheitsvorfälle, vorrangig durch Spam oder Virenangriffe.

Betrachtet man die Geschäftsbeziehung zwischen IT-Dienstleister und KMU so fällt auf, dass

IT-Dienstleister glauben, dass Vertrauen und persönlicher Kontakt die wichtigsten Faktoren

bei der Akquise und späteren Zusammenarbeit zwischen beiden Geschäftspartnern sind.

Ebenso gehen IT-Dienstleister davon aus, dass für die Auswahl der Fachexperten durch die

KMU persönliche Faktoren eine größere Rolle wie Kosten oder die Qualifikation des IT-

Dienstleisters (fachliche Ausbildung, Zertifizierung, Vorgehen nach einem bestimmten

Standard) spielen. Die von IT-Dienstleistern meist eingesetzten Instrumente zur Kunden-

bewerbung bilden dabei die persönliche Ansprache und das Internet.

Die IT-Dienstleistungsunternehmen prognostizieren einen starken Anstieg der Nachfrage im

Bereich IT-Sicherheit und mittelfristig eine Zunahme an IT-Sicherheitsrisiken. Knapp die Hälfte

der Befragten spricht sich für eine Verschärfung der gesetzlichen Anforderungen aus.

Management Summary

3

Schlaglichter und Handlungsempfehlungen

1. Marktpotential stärker ausschöpfen

Die Vermarktung von Sicherheitsdienstleistungen scheint noch Potential nach „oben“ zu

haben. Das bezieht sich sowohl auf die aktive Vermarktung von IT-Sicherheitslösungen als

auch die Kundenfreundlichkeit der angebotenen Lösungen sowie die verständliche und

transparente Information des Kunden.

� Immerhin 26% der Befragten gaben an, Dienstleistungen im Bereich IT-Sicherheit über-

haupt nicht aktiv zu bewerben. Ein nicht unerheblicher Anteil der Aufträge beruhte

zudem auf Kundenanforderungen und Anforderungen durch Partnerunternehmen und

somit nicht auf aktive Akquisition seitens der IT-Dienstleister.

� 65% der Befragten bezeichneten ihren Umsatzanteil mit Sicherheitslösungen als

gering. Unter Umständen können hier verstärkte Vermarktungsanstrengungen sinnvoll

sein.

� 65% der IT-Dienstleister erwarten mittelfristig eine starke bis sehr starke Zunahme von

IT-Sicherheitsrisiken in KMU, gleichzeitig gehen die IT-Dienstleister von einer deutlich

erhöhten Nachfrage aus. Die mittelfristige Zunahme von Sicherheitsrisiken erfordert

von IT-Dienstleistern den Bereich IT-Sicherheit stärker zu fokussieren.

� 24% der befragten IT-Dienstleister bieten keine kundenfreundlichen Managed Security

Services1 an. Insbesondere kundenfreundliche Lösungen werden jedoch gefordert.

Immerhin erfolgen die meisten Sicherheitsvorfälle durch Versehen oder Unwissen,

also menschliches Versagen. Zu den größten Hemmnissen für die Einführung von

Sicherheitslösungen zählt auch die mangelnde Akzeptanz bei den Mitarbeitern.

Hilfreich könnte es sein, IT-Dienstleister zu unterstützen, verstärkt argumentativ auf ihre

Kunden zuzugehen und IT-Sicherheitsleistungen aktiv zu bewerben. Dazu zählt sicherlich auch

eine transparentere und nachvollziehbare Gestaltung der Zusammenarbeit. Diese ist lediglich

bei der Hälfte der befragten IT-Dienstleister vertraglich vereinbart.

1 Unter Managed Security Services werden im Rahmen dieser Studie IT-Sicherheitsdienste verstanden, die nicht beim Kunden

umgesetzt werden, sondern deren Betrieb und Verwaltung der IT-Dienstleister übernimmt.

Management Summary

4

2. Markttransparenz verbessern

Die beauftragenden KMU sind in der Regel überfordert, die Qualifikation und das Leistungs-

angebot eines IT-Dienstleisters zu beurteilen.

� Die Vertragsgestaltung bei KMU gestaltet sich wenig transparent. Die Zusammenarbeit

zwischen IT-Dienstleister und KMU findet bei 62% bzw. 60% aller Dienstleister nach

Bedarf (ad hoc) bzw. in Absprache mit den Verantwortlichen der KMU statt. Bei nur

57% aller Dienstleister beruht die Zusammenarbeit auf Basis vertraglicher

Vereinbarungen. Eine Verbesserung der Zusammenarbeit kann durch eine spezifi-

schere Vertragsgestaltung erzielt werden; dadurch entsteht eine höhere Transparenz

der Leistungen und Kosten für die KMU.

� Ein Großteil der befragten IT-Dienstleister gab an, dass die Zusammenarbeit mit KMU

auf Vertrauensbasis und Empfehlung erfolgt. Die Kunden scheinen keine belastbaren

Kriterien für die Auswahl der IT-Dienstleister, wie etwa Kenntnisse über Zertifikate

oder Ausbildungen, zu kennen und zu fordern. Derartige Kriterien sind somit auch nicht

entscheidungsrelevant. Zusätzliche Entscheidungshilfen für KMU hinsichtlich erforder-

licher Qualifikationen oder Herangehensweisen der IT-Dienstleister könnten hier

hilfreich sein. Derartige Informationen könnten über die IT-Dienstleister selber bzw.

im Rahmen von Informationsveranstaltungen oder -kampagnen erfolgen.

� Die Ausbildung der IT-Dienstleister ist sehr uneinheitlich und für Kunden nicht

bewertbar. Abhilfe könnte die Ausbildung von IT-Dienstleistern nach einem gewissen

Standard und das Agieren nach einem einheitlichen und professionellen Vorgehen

sein.

� Die Vorgehensweise der IT-Dienstleister im Bereich IT-Sicherheit ist sehr unterschied-

lich und orientiert sich an uneinheitlichen Kriterien und Methoden. Dies erschwert ein

einheitliches, professionelles Vorgehen in den beauftragenden KMU. Bestehende

Standards wie z.B. ISO/IEC-27001 werden derzeit nur von 23% aller IT-Dienstleister als

Entscheidungsgrundlage für das Angebot an KMU genutzt. Die Nachfrage nach

entsprechenden Sicherheitsstandards ist bei KMU die Ausnahme und kommt nur in

Einzelfällen vor.

� Das könnte ein Indiz sein, dass diese Standards und Frameworks für den Bedarf der

KMU weniger geeignet sind. Benötigt werden kompakte, leicht verständliche und

transparente Regelwerke und Lösungen, die KMU bei den täglichen Aufgaben im

Bereich IT-Sicherheit unterstützen und ermutigen.

� Denkbar wäre ein auf die Belange von KMU angepasster „Grundschutz“ als struktu-

rierte Handlungsanleitung.

Management Summary

5

3. Umsetzungslücke bei KMU schließen

Aus Sicht der IT-Dienstleister besteht in Sachen IT-Sicherheit bei KMU starker Nachholbedarf.

� Insbesondere KMU mit weniger als 50 Mitarbeitern messen IT-Sicherheit nach

Einschätzung der IT-Dienstleister mit nur 32% große Bedeutung bei. Bei den Unter-

nehmen mit 100 bis 500 Mitarbeitern liegen diese Werte bei 87%. Auffällig ist

insbesondere bei den kleinen KMU, dass die Selbsteinschätzung der KMU erheblich

von denen der IT-Dienstleister abweichen. In früheren Untersuchungen haben rund

zwei Drittel der befragten KMU unter 50 Mitarbeiter die Bedeutung von IT-Sicherheit

mit sehr hoch oder hoch bewertet.

� Die Investitionsbereitschaft für IT-Sicherheit ist aus Sicht der IT-Dienstleister

insbesondere in kleinen KMU mit weniger als 50 Mitarbeitern niedrig (lediglich 23%

sehr hoch oder hoch). Die Vergleichswerte für KMU mit mehr als 100 Mitarbeitern

liegen dagegen bei 77%.

� Das heißt verkürzt, die meisten KMU halten IT-Sicherheit für wichtig, investieren aller-

dings nicht in entsprechendem Maße. Dies sollte bei der Ausgestaltung von

Sensibilisierungsmaßnahmen für KMU berücksichtigt werden.

� 41% der befragten IT-Dienstleister sprechen sich für staatliche Auflagen wie etwa

Sicherheitsrichtlinien für KMU aus. Die Erstellung von unternehmensinternen Sicher-

heitsrichtlinien könnte einen verpflichtenden Charakter für KMU bekommen. Diese

Beurteilung könnte im Zusammenhang stehen mit den Schwierigkeiten von IT-

Dienstleistern, ihre Kunden argumentativ zu erreichen und zu Investitions-

entscheidungen zu bewegen.

� 61% der IT-Dienstleister bewerteten Irrtum, die Nachlässigkeit oder Unwissenheit

einzelner Mitarbeiter von KMU mit einer hohen oder sehr hohen Auftrittshäufigkeit.

Menschliches Versagen ist die Nr. 1 der Gefahrenquellen.

� Um dieses Sicherheitsrisiko zu mindern, ist eine kontinuierliche Aufklärung und

Informationsvermittlung seitens der betreuenden IT-Dienstleister über die gesamte

Dauer der Zusammenarbeit mit den KMU notwendig. KMU sollten über aktuelle IT-

Sicherheitsrisiken informiert und über geeignete Gegenmaßnahmen aufgeklärt

werden. Dies kann über planmäßige und außerplanmäßige Informationsveranstal-

tungen und Schulungen realisiert werden.

� Haupthemmnisse für die Durchführung von IT-Sicherheitsmaßnahmen sind nach

Einschätzung der IT-Dienstleister Kosten, fehlende Akzeptanz bei den Mitarbeitern

und nicht wahrnehmbarer Nutzen. Offenbar sehen die Mitarbeiter von KMU derartige

Maßnahmen als Einschränkung der Flexibilität und Benutzerfreundlichkeit der IT-

Systeme an. Hilfreich könnten verstärkte qualifizierte Beratungen hinsichtlich Kosten-

Nutzen-Aspekte und kundenfreundliche Lösungen seitens der IT-Dienstleister sein.

IT-Dienstleister und IT-Sicherheit in KMU

6


IT-Dienstleister und ihre Kunden - Bestandsaufnahme

69% der IT-Dienstleister, die an dieser Umfrage teilgenommen haben, beschäftigten weniger

als zehn Mitarbeiter und 27% der Teilnehmer haben 10 bis 49 Mitarbeiter. Größere IT-

Dienstleister mit 50 bis 99 Mitarbeitern sind nur zu 2% vertreten, sehr große IT-Dienstleister

mit mehr als 500 Mitarbeitern machen nur 1% der befragten Unternehmen aus (vgl. Abb. 1).

Abb. 1: Aktuelle Mitarbeiterzahl

Es fällt auf, dass insbesondere hinsichtlich der Mitarbeiterzahl kleine IT-Dienstleister an der

Befragung teilgenommen haben. Basierend auf den Zahlen des Statistischen Bundesamtes

[Stat13, S. 26] waren im Jahr 2010 durchschnittlich 10,2 Mitarbeiter pro Unternehmen2

beschäftigt, die IKT-Dienstleistungen anbieten. Die beobachtete Verteilung der befragten IT-

Dienstleister bestätigt die Vermutung, dass IT-Dienstleister oftmals als (sehr) kleine Unter-

nehmen gruppiert sind.

Abb. 2 illustriert, dass mehr als 70% der Befragten einen hohen bis fast ausschließlichen Anteil

ihres Umsatzes durch das Angebot von IT-Dienstleistungen erwirtschaften.

Abb. 2: Umsatzanteil IT-Dienstleistungen am Gesamtumsatz

2 Eigene Berechnungen wurden auf der Grundlage der offiziellen Daten angestellt.

69% 27% 2% 0% 0% 1%0%

20%

40%

60%

80%

< 10 10 - 49 50 - 99 100 - 249 250 - 500 > 500

Basis n = 85

0%7%

20% 30% 43%0%

10%

20%

30%

40%

50%

kein Anteil geringer Anteil in etwa die Hälfte hoher Anteil fast ausschließlich

Basis n = 85


7

Ausschlaggebend für die Charakterisierung der IT-Dienstleister ist die Frage, welchen Anteil

des Umsatzes das Unternehmen durch das Angebot von IT-Sicherheitslösungen erzielt (vgl.

Abb. 3). Für 65% der befragten IT-Dienstleister bildet das Angebot von IT-Sicherheitslösungen

nur einen geringen Anteil am Umsatz. Für 16% macht es in etwa die Hälfte aus, für 11% einen

hohen Anteil und nur 5% generieren Ihren Umsatz fast ausschließlich durch IT-

Sicherheitslösungen.

Abb. 3: Umsatzanteil IT-Sicherheitslösungen am Gesamtumsatz

Abb. 4 gibt eine Übersicht der Branchenzugehörigkeit der Kunden der IT-Dienstleister. Ca. 75%

aller IT-Dienstleister betreuen Kunden aus dem Handel oder dem verarbeitenden Gewerbe,

gefolgt von 65% Kunden aus dem Handwerk. Ungefähr die Hälfte der Befragten betreuen

Freiberufler (Wirtschaftsprüfer, Steuerberater, Rechtsanwälte, Ingenieure), Kunden aus dem

Gesundheits- und Sozialwesen sowie Finanz- und Versicherungsdienstleister. Nur jeder fünfte

IT-Dienstleister zählt Unternehmen aus dem Gastgewerbe zu seinen Kunden. 28% der IT-

Dienstleister geben weitere Branchen an und nennen u.a. Behörden, die Automobilindustrie

sowie die Logistikbranche. Hervorzuheben ist, dass IT-Dienstleister mehr Kunden in

Handwerksbetrieben zu haben scheinen als in IT-affineren Branchen, wie dem Gesundheits-

und Sozialwesen oder den Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten und

Ingenieuren.

Abb. 4: Anteil der Kunden nach Branchenzugehörigkeit

3,6%

65,4%

15,5% 10,7%4,8%

0%

10%

20%

30%

40%

50%

60%

70%

kein Anteil geringer Anteil in etwa die Hälfte hoher Anteil fast ausschließlich

Basis n = 85

20%

28%

45%

55%

56%

65%

74%

75%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Gastgewerbe

Andere Branchen

Finanz- & Versicherungsdienstleister

Gesundheits- & Sozialwesen

Wirtschaftsprüfer, Steuerberater,

Rechtsanwälte, Ingenieure

Handwerksbetriebe

Verarbeitendes Gewerbe

Handel

Basis n = 85


8

Um ein abschließendes Bild über die Kunden der IT-Dienstleister zu erhalten, wurde nach der

Mitarbeiterzahl der Mehrheit Ihrer Kunden gefragt. Wie in Abb. 5 dargestellt, haben 20% der

Kunden in der Regel unter 10 Mitarbeiter, 38% haben 10 bis 49 Mitarbeiter, 20% haben 50 bis

99 Mitarbeiter, 11% haben 100 bis 249 Mitarbeiter, 5% haben 250 bis 500 Mitarbeiter und 7%

haben mehr als 500 Mitarbeiter.

Abb. 5: Anteil der Kunden nach Mitarbeiterzahl

20,0%

37,6%

20,0%

10,6%4,7% 7,1%

0%

5%

10%

15%

20%

25%

30%

35%

40%

< 10 10 - 49 50 - 99 100 - 249 250 - 500 > 500

Basis n = 85


9

Qualifikationen der IT-Dienstleister

Wie Mitarbeiter von IT-Dienstleistern grundlegende Qualifikationen im Bereich der IT-

Sicherheit erwerben zeigt Abb. 6. 81% der Befragten geben Berufserfahrung an, 77% bzw. 59%

qualifizieren sich durch externe bzw. interne Schulungen und 52% profitieren von einer

Berufsausbildung. In 42% der Unternehmen basiert die Qualifikation auf einem Hochschul-

abschluss. 15% verfolgen einen sonstigen Kenntniserwerb, wobei keine weiteren Nennungen

vorliegen. Jedes der befragten Unternehmen weist mindestens eine der genannten Qualifi-

kationen vor.

Abb. 6: Erwerb grundlegender Mitarbeiter-Qualifikationen im Bereich IT-Sicherheit

Abb. 7 zeigt die eingesetzten Weiterbildungsmaßnahmen im Bereich der IT-Sicherheit für

Mitarbeiter der IT-Dienstleister. Rund 80% aller befragten IT-Dienstleister nutzen Schulungen

sowie Veranstaltungen und Workshops. Arbeitsgruppen dienen zu 27% als Instrument der

Weiterbildung. Jedes fünfte IT-Dienstleistungsunternehmen stellt neue Mitarbeiter ein,

ebenso viele erlangen Mitarbeiter-Zertifikate durch Berufsverbände. Unter den 15% andere

Möglichkeiten wurden das Selbststudium mit Testsystemen oder Web-Seminaren und

aktuelle Forschungsprojekte genannt. Nur 11% der IT-Dienstleister nutzen ein berufs-

begleitendes Studium, um im Bereich IT-Sicherheit Kenntnisse zu erwerben. Sogar 5% der IT-

Dienstleister bilden ihre Mitarbeiter nicht weiter, obwohl sie IT-Sicherheitslösungen anbieten.

Abb. 7: Weiterbildung der Mitarbeiter im Bereich IT-Sicherheit

0%

15%

42%

52%

59%

77%

81%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Keine grundlegende Qualifikation

Sonstiger Kenntniserwerb

Hochschulabschluss

Berufsausbildung

Interne Schulungen

Externe Schulungen

Berufserfahrung

Basis n = 82

5%

11%

15%

20%

20%

27%

78%

79%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Keine Weiterbildungen

Berufsbegleitendes Studium

Andere Möglichkeiten

Mitarbeiter-Zertifikate durch Berufsverbände

Einstellen neuer Mitarbeiter

Teilnahme an Arbeitsgruppen

Veranstaltungen / Workshops

Schulungen

Basis n = 82


10

Als beliebteste Informationsquellen der IT-Dienstleister im Bereich IT-Sicherheit werden mit

93% das Internet bzw. Online-Medien genutzt (vgl. Abb. 8). Darauf folgen Fachliteratur (72%),

Netzwerke mit anderen IT-Dienstleistern (70%) und Herstellerinformationen (66%). Rund die

Hälfte aller Befragten informiert sich auf Fachmessen sowie durch Newsletter. Die

Tagespresse, die in der Regel eher unspezifisch über das Thema IT-Sicherheit berichtet, ist für

29% eine Informationsquelle. Überraschend ist die geringe Bedeutung der wissenschaftlichen

Literatur (18%) und öffentlicher Einrichtungen (16%). Alle Befragten haben mindestens eine

genutzte Informationsquelle angegeben.

Abb. 8: Mitarbeiter-Informationsquellen zum Themenbereich IT-Sicherheit

Insgesamt kann festgehalten werden, dass die Mitarbeiter der meisten IT-Dienstleister über

eine grundlegende Qualifikation im Bereich IT-Sicherheit verfügen. Daneben hat die Weiter-

bildung insbesondere durch Schulungen einen festen Stellenwert. Schnelllebigen Entwick-

lungen wird insbesondere mit dem Internet, Online-Medien und Fachliteratur Rechnung

getragen.

0%

2%

16%

18%

29%

45%

52%

66%

70%

72%

93%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Keine Informationsquellen

Andere Quellen

Öffentliche Einrichtungen

Wissenschaftliche Literatur

Tagespresse

Newsletter

Fachmessen

Herstellerinformationen

Netzwerke mit anderen IT-Dienstleistern

Fachliteratur

Internet bzw. Online-Medien

Basis n = 82


11

IT-Sicherheits-Produktportfolio der Dienstleister

Analysiert wird in diesem Abschnitt das IT-Sicherheits-Produktportfolio der befragten IT-

Dienstleister.

Abb. 9: Angebot IT-Sicherheitsdienstleistungen

Abb. 9 illustriert die angebotenen IT-Sicherheitsdienstleistungen der befragten IT-Dienst-

leister. Mit knapp 90% werden Virenschutz, Firewall, Spamfilter und Backup-Konzepte von

nahezu jedem IT-Dienstleister angeboten. Bei knapp 80% sind Benutzer-Rechteverwaltung

und Verschlüsselungskonzepte im Produktportfolio enthalten. Weiterhin werden die

Erstellung von Sicherheitsrichtlinien (70%), die Durchführung von IT-Sicherheitsanalysen oder

Risikoanalysen (62%), Notfallplanungen (55%), IT-Security Schulungen und Trainings (38%),

Penetrationstests (28%), der Aufbau eines Managementsystems für Informationssicherheit

(ISMS) (27%) und digitale forensische Untersuchungen (11%) angeboten. Als sonstige IT-

Sicherheitsleistungen wurden gemanagte Standortvernetzungen und Secure Software

Development genannt.

0%

2%

11%

27%

28%

38%

55%

62%

70%

77%

78%

87%

88%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Keine IT-Sicherheitsangebote

Sonstige

Digitale forensische Untersuchungen

Aufbau Managementsystem für Informationssicherheit

(ISMS)

Penetrationtests

IT-Security Schulungen & Trainings

Notfallplanung

IT-Sicherheitsanalyse / Risikoanalyse

Erstellung Sicherheitsrichtlinie / IT-

Sicherheitskonzeption

Verschlüsselungskonzepte (z.B. Email)

Benutzer-Rechteverwaltung

Backup-Konzepte

Virenschutz, Firewall, Spamfilter

Basis n = 82


12

Eine weitere produktspezifische Frage beschäftigt sich mit dem Angebot von Managed

Security Services (vgl. Abb. 10). Ca. 60% der IT-Dienstleister bieten ein Remote Perimeter

Management (z.B. Managed Firewall, VPN, Intrusion Detection) sowie Backup und Daten-

archivierung an. SPAM Filter als Managed Security Service können die Kunden von 54% der IT-

Dienstleister erwarten. Darüber hinaus werden von 48% Security Monitoring (z.B. Managed

Monitoring, Alerting), von 18% Compliance Monitoring und von 17% Penetration and

Vulnerability Testing angeboten. Hervorzuheben ist, dass ein Viertel aller IT-Dienstleister

keine Managed Security Services anbietet. Dies könnte auf zusätzliche Absatzmöglichkeiten

für IT-Dienstleister hinweisen.

Abb. 10: Angebot Managed Security Services

2%

17%

18%

24%

48%

54%

59%

59%

0% 10% 20% 30% 40% 50% 60% 70%

Sonstige

Penetration and Vulnerability Testing

Compliance Monitoring

Kein Managed Security Service

Security Monitoring

SPAM Filter

Backup / Datenarchivierung

Remote Perimeter Management

Basis n = 82


13

Marketing und Zusammenarbeit mit Kunden

Die Untersuchung der Kundenbeziehung basiert auf Fragen zum Eigen- und Kundenprofil,

Produktportfolio und dem Marketing der IT-Dienstleister. In Abb. 11 wird untersucht, nach

welchen Grundlagen IT-Dienstleister entscheiden, welche Sicherheitslösungen sie ihren

Kunden anbieten.

88% bzw. 68% der Befragten stehen im unmittelbaren Austausch mit der Geschäftsleitung

bzw. den IT-Fachexperten des Kunden. Für 55% der IT-Dienstleister ist eine qualitative

Risikoanalyse beim Kunden durch Selbsteinschätzung des Kunden in Verbindung mit der

Expertenmeinung des IT-Dienstleisters maßgeblich. Bei 23% der KMU sind standardisierte

Vorgehensweisen wie beispielsweise der ISO/IEC-27001 Grundlage eines Angebotes. Nur

jeder zehnte IT-Dienstleister nutzt als Entscheidungsgrundlage für das Angebot von Sicher-

heitslösungen eine Risikoanalyse auf Basis statistischer Bewertungsmethoden. Hervor-

zuheben ist, dass 6% der befragten IT-Dienstleister keine Entscheidungsgrundlagen bei Ihrem

Vorgehen verwenden. Es fällt auf, dass das Angebot an Sicherheitslösungen hauptsächlich

durch persönliche Gespräche und die damit korrespondierenden Bedürfnisse der KMU

bestimmt wird. Strukturiertes Vorgehen nach bestimmten Standards bzw. existierenden

Methoden spielt als Entscheidungsgrundlage für das Angebot von IT-Sicherheitslösungen nur

eine untergeordnete Rolle.

Abb. 11: Grundlage für den Einsatz von Sicherheitslösungen

6%

11%

23%

23%

55%

68%

88%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Keine speziellen Entscheidungsgrundlagen

Risikoanalyse auf Basis statistischer

Bewertungsmethoden (quantitativ)

In Kooperation mit einem externen IT-

Sicherheitsdienstleister

Risikoanalyse nach Standards (z.B. ISO 27001)

Risikoanalyse durch Selbsteinschätzung und

Expertenmeinung (qualitativ)

Austausch mit IT-Fachexperten des Kunden

Gespräche mit Geschäftsleitung

Basis n = 82


14

Wichtig für die Einschätzung und Bewertung der Zusammenarbeit mit KMU ist die Kenntnis,

nach welchen Vereinbarungen die Zusammenarbeit zwischen IT-Dienstleister und KMU

geregelt wird (vgl. Abb. 12). 62% der IT-Dienstleister regeln die Zusammenarbeit mit ihren

Kunden nach Bedarf und 60% besprechen IT-Sicherheitsthemen mit den Verantwortlichen der

KMU. Knapp über die Hälfte, nämlich 57% der IT-Dienstleister, regeln die Zusammenarbeit

über strikte vertragliche Vereinbarungen wie beispielsweise Service Level Agreements. Es ist

auffällig, dass das persönliche Verhältnis zum Kunden vorrangig ist und viele Themen spontan

nach Bedarf mit den Firmeneigentümern besprochen werden. Dies zeigt sich auch durch die

Tatsache, dass bei 12% der IT-Dienstleister die Zusammenarbeit nicht geregelt wird.

Abb. 12: Grundlage der Zusammenarbeit mit Kunden

Im Bereich des Marketing und der Kundenakquise wird zunächst untersucht mit welchen

Werbeargumenten IT-Dienstleister ihr Leistungsangebot im Bereich IT-Sicherheit bewerben

(vgl. Abb. 13). 76% der IT-Dienstleister bewerben Ihre IT-Sicherheitslösungen mit dem Schutz

vor Verlust unternehmensrelevanter Daten. Bei 62% der Befragten ist der Ausfall der

Produktion ein wichtiges Werbeargument. Weitere Punkte, die für die Kundenwerbung eine

wichtige Rolle spielen, sind gesetzliche Anforderungen (56%), Haftungsgefahren (46%),

Kundenanforderungen (40%) und Anforderung durch Partnerunternehmen (22%). 26% der IT-

Dienstleister geben an IT-Sicherheitsdienstleistungen nicht aktiv zu bewerben.

Ein markantes Ergebnis ist, dass jeder vierte IT-Dienstleister keine aktive Werbung für

Sicherheitsleistungen betreibt. Hierbei lässt sich nur vermuten, dass IT-Dienstleister erwarten,

dass Werbemaßnahmen in diesem Bereich nur geringe Aufmerksamkeit bei KMU hervorrufen

und kein profitabler Nutzen aus den getätigten Aufwendungen entsteht. Für eine detaillierte

Analyse sind weitere Untersuchungen notwendig.

Abb. 13: Werbeargumente für den Bereich IT-Sicherheit

2%

12%

57%

60%

62%

0% 10% 20% 30% 40% 50% 60% 70%

Andere Möglichkeiten

Zusammenarbeit wird nicht geregelt

Vertragliche Vereinbarungen (z.B. Service Level

Agreements)

In Absprache mit Verantwortlichen der KMU

Nach Bedarf (ad hoc)

Basis n = 82

0%

22%

26%

40%

46%

56%

62%

76%

0% 20% 40% 60% 80%

Andere Argumente

Anforderung durch Partnerunternehmen

Ich bewerbe nicht aktiv

Kundenanforderungen

Haftungsgefahren (z.B. Geschäftsführerhaftung)

Gesetzliche Anforderungen

Gefahr eines Produktionsausfalls

Gefahr des Verlustes unternehmensrelevanter Daten

Basis n = 82


15

Was sind Faktoren für eine erfolgreiche Akquise (vgl. Abb. 14)? 94% der IT-Dienstleister geben

an, dass Vertrauen eine hohe oder sehr hohe Bedeutung für die Gewinnung neuer Kunden

hat. Knapp 90% der IT-Dienstleister empfinden persönliche Empfehlungen und persönlichen

Kontakt als bedeutend. Auch die räumliche Nähe zum Kunden hat bei 64% einen hohen

Stellenwert. Weniger als 50% der befragten IT-Dienstleister bewerteten den Faktor Kosten mit

einer hohen oder sehr hohen Bedeutung. Darüber hinaus scheinen deutlich mehr als die Hälfte

der befragten IT-Dienstleister davon überzeugt zu sein, dass die ausweisbare Qualifikation der

IT-Dienstleister, d.h. fachliche Ausbildung, nachweisbare Weiterbildung der eigenen

Mitarbeiter oder IT-sicherheitsrelevante Zertifizierungen des eigenen Unternehmens, nicht

allzu bedeutend ist für KMU. Geeignete Werbemaßnahmen werden von 72% der befragten

IT-Dienstleister als gering oder mittel hinsichtlich ihrer Bedeutung eingestuft.

Abb. 14: Faktoren einer erfolgreichen Akquise

4%

5%

8%

9%

13%

15%

55%

58%

66%

8%

14%

21%

35%

30%

49%

34%

31%

28%

40%

27%

32%

46%

37%

24%

8%

11%

6%

32%

37%

29%

10%

19%

9%

2%

17%

18%

10%

1%

2%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Geeignete Werbemaßnahmen

IT-sicherheitsrelevante Zertifizierung des eigenen

Unternehmens (z.B. ISO 27001)

Nachweisbare Weiterbildung der eigenen Mitarbeiter

(z.B. Zertifikate)

Fachliche Ausbildung

Kostenvorteil

Räumliche Nähe zum Kunden

Persönlicher Kontakt

Persönliche Empfehlung durch Kunden

Vertrauen

sehr hoch hoch mittel gering sehr gering

Basis n = 85


16

Eine weitere marketingbezogene Frage beschäftigt sich mit den Instrumenten zur Kunden-

werbung, die von IT-Dienstleistern vorrangig eingesetzt werden (vgl. Abb. 15). Für 79% der

befragten IT-Dienstleister ist die persönliche Ansprache mit hoher oder sehr hoher Bedeutung

das wichtigste Instrument um im Zuge der Kundenwerbung KMU erfolgreich an sich zu binden.

Auch das Internet wird von 36% mit einer hohen oder sehr hohen Bedeutung als bedeutsames

Instrument zur Kundenbewerbung angegeben. Vorträge, Fachmessen, Branchenbücher und

Anbieterverzeichnisse, Broschüren, Anzeigen in Printmedien und Newsletter werden

hingegen als weniger wichtig erachtet.

Abb. 15: Eingesetzte Instrumente zur Kundenwerbung

Zusammenfassend ist festzuhalten, dass IT-Dienstleister überzeugt sind, dass persönlicher

Kontakt und ein vertrauensvolles Verhältnis die wichtigsten Faktoren bei der Akquise,

Kundenbewerbung und erfolgreichen Zusammenarbeit zwischen IT-Dienstleistern und KMU

sind. Qualifikation, Zertifizierung und Kosten werden hingegen von IT-Dienstleistern als

weniger wichtig erachtet.

8%

17%

33%

13%

11%

10%

17%

19%

46%

20%

9%

19%

16%

16%

18%

30%

15%

21%

32%

30%

29%

29%

18%

23%

7%

46%

55%

39%

49%

42%

39%

11%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Newsletter

Anzeige Printmedien

Broschüren

Branchenbücher /

Anbieterverzeichnisse

Fachmessen

Vorträge

Internetplattform

Persönliche Ansprache


Basis n = 85


17

Einschätzung der Situation bei KMU

Im Rahmen der Studie wurden die befragten IT-Dienstleister um eine Einschätzung zur Lage

der IT-Sicherheit Ihrer Kunden gebeten. Um diese Einschätzung mit einer Selbsteinschätzung

der KMU vergleichen zu können, wurden die nachfolgenden Fragen bewusst in ihrer

Formulierung und in ihren Antwortmöglichkeiten an die Studie „IT-Sicherheitsniveau in

kleinen und mittleren Unternehmen“ [Bund12] angelehnt. Es werden daher in der Folge

zunächst die Ergebnisse der vorliegenden Studie (Einschätzung durch die IT-Dienstleister)

beschrieben und diese anschließend mit den Ergebnissen der Studie „IT-Sicherheitsniveau in

kleinen und mittleren Unternehmen“ (Selbsteinschätzung der KMU) verglichen.

Bedeutung von IT-Sicherheit in den KMU

Abb. 16 zeigt die Bedeutung von IT-Sicherheit in KMU eingeschätzt durch die IT-Dienstleister.

Auffällig ist, dass mit steigender Mitarbeiterzahl die Bedeutung der IT-Sicherheit zunimmt.

Abb. 16: Bedeutung IT-Sicherheit nach Mitarbeiterzahl (Einschätzung durch IT-Dienstleister)

Im Vergleich zur Selbsteinschätzung der KMU (dargestellt in Abb. 17) ergeben sich deutliche

Diskrepanzen zu den uns vorliegenden Ergebnissen. Die KMU räumen der IT-Sicherheit über

alle Unternehmensgrößen hinweg eine hohe bis sehr hohe Bedeutung ein. Besonders aus-

geprägt ist die Differenz bei kleinen Unternehmen. Nur ein Drittel der IT-Dienstleister schätzt

die Bedeutung von IT-Sicherheit bei dieser Gruppe als hoch bis sehr hoch ein. Bei der Selbst-

einschätzung der KMU sind es jedoch rund zwei Drittel. Bei den Unternehmen mit über 100

Mitarbeitern stimmt die Einschätzung der IT-Dienstleister mit der Selbsteinschätzung

annährend überein. [Bund12]

Abb. 17: Bedeutung IT-Sicherheit (Selbsteinschätzung der KMU nach [Bund12, S. 17])

46%

22%

5%

41%

39%

27%

11%

27%

32%

1%

11%

22%

0%

1%

14%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 - 500

50 - 99

1 - 49


Basis: n = 82

39%

32%

33%

47%

44%

36%

13%

21%

21%

1%

3%

7%

1%

1%

4%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 - 500

50 - 99

1 - 49


Basis: n = 952


18

Umsetzungsgrad von IT-Sicherheitsmaßnahmen

Abb. 18 verdeutlicht die Annahme, dass eine hoch eingeschätzte Bedeutung der IT-Sicherheit

nicht notwendigerweise zu einem ebenso hohen Umsetzungsgrad von IT-Sicherheits-

maßnahmen führt. Es ist erkennbar, dass mit der Mitarbeiterzahl auch der eingeschätzte

Umsetzungsgrad zunimmt. Diese Einschätzung spiegelt sich auch in der Perspektive der KMU

wieder [Bund12, S. 25-26]. Allerdings kann gegenwärtig noch nicht von einem ausreichenden

Umsetzungsgrad, in keiner der untersuchten Gruppen, ausgegangen werden. Lediglich bei der

Gruppe mit über 100 Mitarbeitern wird der Umsetzungsgrad von 41% der IT-Dienstleister als

hoch oder sehr hoch eingeschätzt. In der Gruppe mit 50 bis 99 Mitarbeitern wird immerhin

bei jedem zweiten Unternehmen ein befriedigendes IT-Sicherheitsniveau konstatiert.

Besonders prekär ist die Lage bei den Unternehmen mit weniger als 50 Mitarbeitern. Drei

Viertel der IT-Dienstleister schätzen dort einen geringen bis sehr geringen Umsetzungsgrad

von IT-Sicherheitsmaßnahmen.

Abb. 18: Umsetzungsgrad IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister)

Investitionsbereitschaft in IT-Sicherheitslösungen

Die Unterschiede zwischen den Unternehmensgrößen haben auch bei der Investitions-

bereitschaft Bestand (vgl. Abb. 19). 78% der befragten IT-Dienstleister schätzen die Investi-

tionsbereitschaft der Gruppe mit unter 50 Mitarbeitern gering oder sehr gering ein. Lediglich

bei den Unternehmen mit über 100 Mitarbeitern gehen die IT-Dienstleister bei jedem dritten

KMU von hoher bis sehr hoher Investitionsbereitschaft aus.

Abb. 19: Investitionsbereitschaft in IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister)

0%

0%

6%

1%

13%

35%

24%

42%

46%

44%

38%

12%

31%

7%

1%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

1 - 49

50 - 99

100 - 500


Basis n = 82

5%

1%

0%

30%

11%

4%

42%

34%

19%

17%

44%

37%

6%

10%

41%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 - 500

50 - 99

1 - 49


Basis n = 82


19

Im Vergleich zur Selbsteinschätzung der KMU (vgl. Abb. 20) lässt sich zumindest auch der

Trend erkennen, dass KMU mit mehr Mitarbeitern mehr in IT-Sicherheit investieren. Dies ist

aber auch nicht verwunderlich, da anzunehmen ist, dass größere Unternehmen über mehr

freie finanzielle Mittel und somit über ein größeres Investitionsvolumen verfügen.

Abb. 20: Geplante Investitionen in IT-Sicherheit (Hochrechnung auf Basis von [Bund12, S. 33])

Bedeutung der Branchenzugehörigkeit

Im Rahmen der Studie wurden die IT-Dienstleister gebeten, ihre Einschätzung zu Bedeutung,

Umsetzungsgrad sowie Investitionsbereitschaft der KMU im Bereich der IT-Sicherheit nicht

nur nach Unternehmensgröße, sondern auch nach Branchen abzugeben. Es wurden die

Finanz- und Versicherungsbranche, das Gesundheits- und Sozialwesen, Wirtschaftsprüfer,

Steuerberater, Rechtsanwälte und Ingenieure, das Gastgewerbe sowie Handwerksbetriebe als

Branchen zur Bewertung vorgegeben.

Bei der Analyse der Ergebnisse fallen zwei Gruppierungen von Branchen auf. In den Branchen

Finanz- und Versicherungsdienstleister, Gesundheits- und Sozialwesen sowie Wirtschafts-

prüfer, Steuerberater, Rechtsanwälte und Ingenieure hat IT-Sicherheit eine hohe Bedeutung

(vgl. Abb. 21) und folglich einen hohen Umsetzungsgrad (vgl. Abb. 22) und es besteht eine

hohe Investitionsbereitschaft der KMU der Branchen (vgl. Abb. 23).

Abb. 21: Bedeutung IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)

18%

11%

3%

13%

9%

4%

15%

13%

8%

15%

19%

16%

40%

48%

69%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 - 500

50 - 99

1 - 49


Basis n = 952

1%

0%

43%

51%

51%

11%

15%

26%

29%

35%

28%

35%

20%

18%

11%

38%

30%

10%

1%

1%

22%

21%

1%

0%

1%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Gastgewerbe

Handwerksbetriebe






Basis n = 82


20

Für die zweite Gruppierung, darunter Handwerksbetriebe und das Gastgewerbe, werden

Umsetzungsgrad (vgl. Abb. 22) und Investitionsbereitschaft (vgl. Abb. 23) deutlich geringer

eingeschätzt. Allerdings wird auch die Bedeutung der IT-Sicherheit in diesen Branchen deutlich

geringer bewertet (vgl. Abb. 22).

Abb. 22: Umsetzungsgrad der IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)

Auf den ersten Blick überraschen diese Ergebnisse nicht. Es ist anzunehmen, dass Finanz- und

Versicherungsdienstleister, Wirtschaftsprüfer, Steuerberater, Rechtsanwälte und Ingenieure

sowie das Gesundheits- und das Sozialwesen strikteren gesetzlichen Vorschriften für den

Bereich der IT-Sicherheit unterliegen als das Handwerks- und das Gastgewerbe. Dennoch zeigt

die Selbsteinschätzung der KMU hinsichtlich der Bedeutung der IT-Sicherheit keine derartig

großen Unterschiede zwischen den Branchen [Bund12, S. 51]. Es liegt daher die Vermutung

nahe, dass IT-Dienstleister neue Kunden für den Bereich der IT-Sicherheit im Handwerks- und

Gastgewerbe finden könnten.

Abb. 23: Investitionsbereitschaft in IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)

0%

10%

10%

10%

1%

21%

29%

42%

11%

11%

39%

40%

33%

39%

33%

27%

13%

12%

50%

55%

4%

7%

3%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Gastgewerbe

Handwerksbetriebe






Basis n = 82

7%

7%

9%

17%

30%

36%

4%

7%

32%

33%

36%

40%

35%

28%

21%

17%

57%

58%

15%

9%

3%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Gastgewerbe

Handwerksbetriebe






Basis n = 82


21

Anteil Sicherheitsvorfälle bei KMU

Nach Einschätzung der IT-Dienstleister ist die Wahrscheinlichkeit für KMU mit Problemen

durch Spam (52%), Virenangriffe (40%), Weitergabe der Benutzererkennung (32%) sowie

Ausfall der IT-Systeme (30%) konfrontiert zu werden hoch bis sehr hoch (vgl. Abb. 24).

Abb. 24: Anteil Sicherheitsvorfälle bei Kunden der befragten IT-Dienstleister

Im Vergleich mit der Selbsteinschätzung der KMU [Bund12, S. 21] ist auffällig, dass der Ausfall

von IT-Systemen aus Sicht der KMU ein deutlich häufigeres Problem darstellt als aus Sicht der

IT-Dienstleister. Dies könnte zum einen daran liegen, dass KMU, die von einem IT-Dienstleister

betreut werden, deutlich seltener von Ausfällen der IT-Systeme betroffen sind. Zum anderen

könnte man aber auch eine unterschiedliche Definition eines Ausfalls eines IT-Systems

vermuten.

0%

0%

1%

1%

2%

2%

2%

3%

5%

6%

10%

17%

23%

2%

6%

4%

6%

11%

11%

16%

4%

26%

24%

22%

33%

29%

20%

10%

16%

8%

21%

27%

16%

16%

33%

33%

12%

31%

37%

28%

25%

20%

24%

34%

27%

24%

32%

28%

19%

25%

10%

5%

50%

59%

59%

61%

32%

33%

42%

46%

9%

19%

31%

10%

6%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Interne Unbefugte haben wichtige Daten gestohlen

Externe Unbefugte haben wichtige Daten gestohlen

Unternehmen wurde ausspioniert

Identitätsdiebstahl

Mobile Geräte (z.B. Notebooks, Smartphones) sind

abhanden gekommen

Datenschutzrechtliche Probleme sind aufgetreten

Unternehmen hat Gesetze durch mangelnde IT-

Sicherheit verletzt

Probleme mit Datenübermittlung an Banken

Daten wurden versehentlich verändert / gelöscht

IT-Systeme sind ausgefallen

Gleiche Benutzererkennung wurde an Zweitperson

weitergegeben

Probleme durch Virenangriffe

Probleme durch Spam


Basis n = 82


22

Ursachen für Sicherheitsvorfälle

Um die Anzahl der IT-Sicherheitsvorfälle in Zukunft zu minimieren, müssen zunächst die

Hauptursachen für Sicherheitsvorfälle analysiert werden (vgl. Abb. 25). Es fällt auf, dass viele

der IT-Dienstleister (61%) in Irrtum, Nachlässigkeit oder Unwissen einzelner Mitarbeiter ein

hohes oder sehr hohes Bedrohungspotenzial bei KMU sehen. Die Selbsteinschätzung der KMU

bestätigt diese Wahrnehmung [Bund12, S. 20]. Allerdings verwundert es ein bisschen, dass

dennoch lediglich 19% der KMU angeben, dass Ihre Mitarbeiter regelmäßig an IT-

Sicherheitsschulungen teilnehmen [Bund12, S. 26].

Abb. 25: Hauptursachen für Sicherheitsvorfälle

Außerdem fällt auf, dass, wie bereits bei den Sicherheitsvorfällen, die KMU erneut eine

deutlich häufigere Ursache im Ausfall von Technik sehen [Bund12, S. 20] als dies die

Einschätzung der IT-Dienstleister ausdrückt. Erneut liegt der Schluss nahe, dass KMU, die nicht

von einem IT-Dienstleister betreut werden, häufiger unter Ausfällen von Technik leiden als die

Kunden eines IT-Dienstleisters.

15%

6%

26%

46%

16%

12%

13%

10%

29%

28%

31%

18%

37%

26%

21%

9%

48%

68%

44%

58%

21%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Absichtliche Manipulation von IT oder Daten durch

Außentäter

Nichts davon

Absichtliche Manipulation von IT oder Daten durch

Innentäter

Spionage durch Nachrichtendienste oder

konkurrierenden Unternehmen

Ausfall der Technik

Irrtum, Nachlässigkeit oder Unwissen einzelner

Mitarbeiter


Basis n = 82


23

Hemmnisse bei der Verbesserung der IT-Sicherheit

Für die Verbesserung der IT-Sicherheit ist es zudem essentiell konkrete Maßnahmenkataloge

auszuarbeiten. Hierfür müssen die Hemmnisse beim Ausbau der IT-Sicherheit berücksichtigt

werden (vgl. Abb. 26).

Abb. 26: Hemmnisse bei der Verbesserung der IT-Sicherheit

Neben den zu erwartenden Faktoren wie Kostenaufwand, Personalmangel und fehlende

Qualifikation ist ersichtlich, dass die IT-Dienstleister wahrnehmen, dass IT-Sicherheitsthemen

immer noch auf Unverständnis bei den Mitarbeitern der KMU stoßen. Es könnte vermutet

werden, dass die Mitarbeiter derartige Maßnahmen als Bedrohung ihrer Flexibilität und

Benutzerfreundlichkeit der IT-Systeme ansehen [Bund12, S. 41].

9%

10%

15%

16%

22%

31%

31%

33%

35%

29%

48%

40%

35%

31%

31%

48%

8%

32%

34%

24%

26%

28%

23%

23%

18%

35%

18%

18%

11%

16%

12%

12%

12%

51%

9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Keine geeignete Lösungen verfügbar

Unübersichtlichkeit der vorhandenen Angebote

Keine Notwendigkeit zur Erhöhung der IT-Sicherheit

Zeitaufwand

Fehlendes Personal

Fehlende Qualifikation der Mitarbeiter

Kein direkt erkennbarer Vorteil oder Nutzen

Fehlende Akzeptanz bei den Mitarbeitern

Kostenaufwand


Basis n = 82


24

Ausblick

Die zukünftige Nachfrage nach IT-Sicherheitslösungen schätzen 55% der IT-Dienstleister als

hoch oder sehr hoch ein (vgl. Abb. 27). Vergleicht man diesen Wert mit der aktuell

eingeschätzten Nachfrage, die nur 15% der IT-Dienstleister mit hoch oder sehr hoch einstufen,

so lässt sich folgern, dass man mit einem starken Anstieg der Bedeutung der IT-Sicherheit und

dadurch der Nachfrage nach IT-Sicherheitslösungen durch KMU rechnet.

Abb. 27: Aktuelle und zukünftige Nachfrage nach IT-Sicherheitslösungen

Betrachtet man die mittelfristige Zunahme von IT-Sicherheitsrisiken, so erwarten 65% der

Fachexperten, dass in Zukunft eine hohe oder sehr hohe Zunahme stattfindet (vgl. Abb. 28).

Abb. 28: Mittelfristige Zunahme von IT-Sicherheitsrisiken

Sollte der erwartete Anstieg der Sicherheitsrisiken eintreten, ist eine weitere Sensibilisierung

der KMU für die Themen der IT-Sicherheit zu erwarten. IT-Dienstleister müssen sowohl auf die

zunehmenden Sicherheitsrisiken, als auch auf die steigende Nachfrage durch KMU vorbereitet

sein, um den künftigen Anforderungen gerecht werden zu können.

Abb. 29 zeigt die Nachfrage der KMU bei ihren IT-Dienstleistern nach IT-Sicherheitsstandards,

wie beispielsweise der ISO/IEC-27000er Reihe. Bei nur 3% aller IT-Dienstleister spielt die

Nachfrage nach IT-Sicherheitsstandards durch Ihre Kunden eine hohe oder sehr hohe

Bedeutung. Hingegen beschreiben 79% der Fachexperten die Nachfrage nach Standards als

sehr gering oder gering.

Abb. 29: Nachfrage IT-Sicherheitsstandards

11%

15%

44%

44%

33%

35%

11%

6%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Aktuelle Nachfrage

Zukünftige Nachfrage


Basis n = 82

4% 61% 33%

0% 20% 40% 60% 80% 100%

Mittelfristige

Risikenzunahme


Basis n = 82

18% 31% 48%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Nachfrage IT-Sicherheitsstandards


Basis n = 82


25

Um auf eine mögliche Zunahme der IT-Sicherheitsrisiken bei KMU frühzeitig vorbereitet zu

sein, könnte eine Verschärfung der gesetzlichen Regelungen zur Umsetzung von IT-Sicher-

heitsstandards bei KMU zweckmäßig sein. Knapp die Hälfte aller IT-Dienstleister findet eine

derartige Verschärfung für KMU im Bereich IT-Sicherheit wünschenswert (Ja). 51% der

Befragten sehen keine Vorteile in der Neuausrichtung (Nein) der gesetzlichen Anforderungen

(vgl. Abb. 30). Ein möglicher Grund für Ablehnung verschärfter gesetzlicher Regelungen

könnte das Fehlen von IT-Sicherheitsstandards sein, die speziell auf die Belange von KMU

ausgerichtet sind.

Abb. 30: Verschärfung gesetzlicher Regelungen

41% 51% 8%0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

Ja Nein keine Angabe

Basis n = 82

Literaturverzeichnis

26

Literaturverzeichnis

[Bund12] BÜLLINGEN, Franz ; HILLEBRAND, Annette ; BUNDESMINISTERIUM FÜR WIRTSCHAFT UND

TECHNOLOGIE (BMWI) (Hrsg.): IT-Sicherheitsniveau in kleinen und mittleren Unternehmen -

Studie im Auftrag des Bundesministeriums für Wirtschaft und Technologie. Version: 2012.

http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/studie-it-sicherheit, Abruf: 12.09.2014

[Stat13] Statistisches Bundesamt: IKT-Branche in Deutschland. Bericht zur wirtschaft-

lichen Entwicklung. Wiesbaden 2013.

Über die Herausgeber

27


it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V.

it-sa Benefiz e.V. wurde im Mai 2009 gegründet. Ziel des Vereins ist die Förderung

von Wissenschaft und Forschung, Bildung und Erziehung. Insbesondere fördert der

Verein das Fachgebiet IT-Sicherheit innerhalb des Informatik-Studiums sowie die

Sensibilisierung für Gefahren der Informationstechnik und des Internets im Rahmen von Aus-

und Fortbildung. it-sa Benefiz e.V. ist u.a. Mitglied in der Allianz für Cyber-Sicherheit,

„Deutschland sicher im Netz“ und ASW (Arbeitsgemeinschaft für Sicherheit in der Wirtschaft).

Vereinsziele als St0eckbrief:

� Förderung der IT-Sicherheit in der Informationsgesellschaft

� Verankerung des Themas IT-Sicherheit in Studium, Bildung und Ausbildung

� Sensibilisierung für Risiken der Informationstechnik und des Internets im Rahmen von

Aus- und Fortbildung

� Nachwuchsförderung durch Vermittlung von Praktika, Stipendien und Diplomarbeiten

� Akzeptanz schaffen für das Thema IT-Sicherheit

Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme

Die Universität Regensburg ist eine bayerische Volluniversität, die sich seit ihrer

Gründung 1962 zu einem renommierten Lehr- und Forschungszentrum

entwickelt hat. Derzeit sind ca. 21.000 Studierende an der Universität Regensburg

eingeschrieben, davon knapp 1.500 Studierende aus dem Ausland. Die Universität ist in 11

Fakultäten gegliedert und beschäftigt mehr als 3.700 Mitarbeiter (davon ca. 380 Professoren).

Der Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme wird von Prof. Dr. Günther

Pernul geleitet. Die Forschungsschwerpunkte des Lehrstuhls liegen in der Analyse,

Modellierung und dem Design von Informationssystemen sowie Sicherheit und Vertrauen in

und zwischen Informationssystemen. Dabei sind auch die Belange von KMU ein besonderes

Anliegen. Weitere Informationen können auf der Lehrstuhl-Homepage eingesehen werden:

www-ifs.uni-r.de

Forschungsprojekte des Lehrstuhls: www-ifs.uni-r.de/Research/Funded_Research

Auswahl aktueller Forschungsprojekte des Lehrstuhls:

SECBIT: Security, Education and Competence for Bavarian IT

Das Projekt fördert den Ausbau der Forschung, Anwenderberatung und die Aus- und

Weiterbildung als Kernaspekte der Kompetenzpartnerschaft IT-Sicherheit in Niederbayern

und der Oberpfalz. www.secbit.de

FORSEC: Bay. Forschungsverbund Sicherheit hochgradig vernetzter IT-Systeme

Der Bayerische Forschungsverbund FORSEC, koordiniert durch die Universität Regensburg,

setzt sich die Erforschung der IT-Sicherheit für hochgradig vernetzte IT-Systeme zum Ziel.

www.bayforsec.de


28

www.it-sa-benefiz.de www-ifs.uni-regensburg.de

Documents

IT-Dienstleister und IT-Sicherheit in KMU - wiwi-app.uni ...wiwi-app.uni-regensburg.de/news20/upload/upload__23e429c9d2e5cd3e52a... · Obwohl die Untersuchung keinen Anspruch auf