Upload
hoangtu
View
216
Download
0
Embed Size (px)
Citation preview
IT-Dienstleister und
IT-Sicherheit in KMU
Fakten – Perspektiven – Handlungsoptionen
II
Impressum
Herausgeber
it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V.
Lise-Meitner-Str. 4
D-55435 Gau-Algesheim
www.it-sa-benefiz.de
Lehrstuhl Wirtschaftsinformatik I – Informationssysteme (Prof. Dr. Günther Pernul)
Universität Regensburg
Universitätsstraße 31
D-93053 Regensburg
www-ifs.uni-regensburg.de
Durchführung der Studie und Autoren der Langfassung
Anna Klemeschov, Universität Regensburg
Daniel Lohninger, Universität Regensburg
Thomas Schulz, Universität Regensburg
Autoren der Kurzfassung (auf Basis der Langfassung)
Harald Kesberg, Kesberg Consulting/it-sa Benefiz
Michael Weber, Universität Regensburg
Beratung und Expertise
Hans-Jürgen Herrmann, DLR
Birgit Jacobs, qSkills/it-sa Benefiz
Harald Kesberg, Kesberg Consulting/it-sa Benefiz
Michael Weber, Universität Regensburg
Dank für die tatkräftige Unterstützung:
Kesberg Consulting (Harald Kesberg)
qSkills GmbH & Co. KG (Birgit Jacobs)
Dank für den Support bei der Online-Befragung:
IHK München und Oberbayern
Die Mitarbeit von Michael Weber wurde ermöglicht durch „Regionale Wettbewerbsfähigkeit und
Beschäftigung“, Bayern, 2007-2013 (EFRE) im Rahmen des „Security, Education and Competence for Bavarian IT“
(SECBIT) Projektes. www.secbit.de
Oktober 2014
Inhaltsverzeichnis
III
Inhaltsverzeichnis
Impressum ........................................................................................................................ II
Inhaltsverzeichnis ............................................................................................................. III
Abbildungsverzeichnis ..................................................................................................... IV
Abkürzungsverzeichnis ..................................................................................................... V
Management Summary ..................................................................................................... 1
IT-Dienstleister – Schlüssel für die IT-Sicherheit in KMU........................................................ 1
Zusammenfassung der Studienergebnisse ............................................................................. 2
Schlaglichter und Handlungsempfehlungen ........................................................................... 3
1. Marktpotential stärker ausschöpfen ............................................................................... 3
2. Markttransparenz verbessern ......................................................................................... 4
3. Umsetzungslücke bei KMU schließen ............................................................................. 5
IT-Dienstleister und IT-Sicherheit in KMU ........................................................................... 6
IT-Dienstleister und ihre Kunden - Bestandsaufnahme .......................................................... 6
Qualifikationen der IT-Dienstleister........................................................................................ 9
IT-Sicherheits-Produktportfolio der Dienstleister ................................................................ 11
Marketing und Zusammenarbeit mit Kunden ...................................................................... 13
Einschätzung der Situation bei KMU .................................................................................... 17
Bedeutung von IT-Sicherheit in den KMU ......................................................................... 17
Umsetzungsgrad von IT-Sicherheitsmaßnahmen ............................................................. 18
Investitionsbereitschaft in IT-Sicherheitslösungen ........................................................... 18
Bedeutung der Branchenzugehörigkeit ............................................................................ 19
Anteil Sicherheitsvorfälle bei KMU ................................................................................... 21
Ursachen für Sicherheitsvorfälle ....................................................................................... 22
Hemmnisse bei der Verbesserung der IT-Sicherheit ......................................................... 23
Ausblick ................................................................................................................................. 24
Literaturverzeichnis ......................................................................................................... 26
Über die Herausgeber ...................................................................................................... 27
it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V. ....................... 27
Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme ............................................. 27
Abbildungsverzeichnis
IV
Abbildungsverzeichnis
Abb. 1: Aktuelle Mitarbeiterzahl ............................................................................................................................. 6
Abb. 2: Umsatzanteil IT-Dienstleistungen am Gesamtumsatz ................................................................................ 6
Abb. 3: Umsatzanteil IT-Sicherheitslösungen am Gesamtumsatz ........................................................................... 7
Abb. 4: Anteil der Kunden nach Branchenzugehörigkeit ......................................................................................... 7
Abb. 5: Anteil der Kunden nach Mitarbeiterzahl ..................................................................................................... 8
Abb. 6: Erwerb grundlegender Mitarbeiter-Qualifikationen im Bereich IT-Sicherheit ............................................ 9
Abb. 7: Weiterbildung der Mitarbeiter im Bereich IT-Sicherheit ............................................................................. 9
Abb. 8: Mitarbeiter-Informationsquellen zum Themenbereich IT-Sicherheit ........................................................ 10
Abb. 9: Angebot IT-Sicherheitsdienstleistungen .................................................................................................... 11
Abb. 11: Grundlage für den Einsatz von Sicherheitslösungen ............................................................................... 13
Abb. 12: Grundlage der Zusammenarbeit mit Kunden .......................................................................................... 14
Abb. 13: Werbeargumente für den Bereich IT-Sicherheit ...................................................................................... 14
Abb. 14: Faktoren einer erfolgreichen Akquise...................................................................................................... 15
Abb. 15: Eingesetzte Instrumente zur Kundenwerbung ........................................................................................ 16
Abb. 16: Bedeutung IT-Sicherheit nach Mitarbeiterzahl (Einschätzung durch IT-Dienstleister) ............................ 17
Abb. 17: Bedeutung IT-Sicherheit (Selbsteinschätzung der KMU nach [Bund12, S. 17]) ....................................... 17
Abb. 18: Umsetzungsgrad IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister) ............................ 18
Abb. 19: Investitionsbereitschaft in IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister) .............. 18
Abb. 20: Geplante Investitionen in IT-Sicherheit (Hochrechnung auf Basis von [Bund12, S. 33]) .......................... 19
Abb. 21: Bedeutung IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) ...................................... 19
Abb. 22: Umsetzungsgrad der IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) ...................... 20
Abb. 23: Investitionsbereitschaft in IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister) .............. 20
Abb. 24: Anteil Sicherheitsvorfälle bei Kunden der befragten IT-Dienstleister ...................................................... 21
Abb. 25: Hauptursachen für Sicherheitsvorfälle .................................................................................................... 22
Abb. 26: Hemmnisse bei der Verbesserung der IT-Sicherheit ................................................................................ 23
Abb. 27: Aktuelle und zukünftige Nachfrage nach IT-Sicherheitslösungen ........................................................... 24
Abb. 28: Mittelfristige Zunahme von IT-Sicherheitsrisiken .................................................................................... 24
Abb. 29: Nachfrage IT-Sicherheitsstandards ......................................................................................................... 24
Abb. 30: Verschärfung gesetzlicher Regelungen ................................................................................................... 25
Abkürzungsverzeichnis
V
Abkürzungsverzeichnis
Abb. Abbildung
ASP Application Service Provider
IEC International Electrotechnical Commission
IKT Informations- und Kommunikationstechnik
ISMS Information Security Management System
ISO International Organization for Standardization
IT Informationstechnik
KMU Kleine und mittlere Unternehmen
SPAM Send phenomenal amounts of mail
VPN Virtual Private Network
Management Summary
1
Management Summary
IT-Dienstleister – Schlüssel für die IT-Sicherheit in KMU
IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) ist ein Thema, das Politik,
Wirtschaft und Sicherheitsexperten seit langem beschäftigt und mehr denn je topaktuell ist.
KMU sind eine wesentliche Säule der deutschen Wirtschaft, das Thema IT-Sicherheit ein
Wirtschaftsfaktor mit steigender Bedeutung. Bisherige Untersuchungen haben jedoch gezeigt,
dass insbesondere kleine Unternehmen noch einen Nachholbedarf im Bereich IT-Sicherheit
haben. In der Regel verfügen sie nicht über qualifizierte IT-Sicherheitsexperten oder IT-
Abteilungen, wie dies beispielsweise bei Konzernen meist der Fall ist.
Umso wichtiger ist die Rolle externer IT-Dienstleister als vertrauensvolle Partner der KMU in
puncto IT-Sicherheit. Ein Großteil der KMU arbeitet mehr oder weniger regelmäßig mit
entsprechenden Dienstleistern zusammen. Die IT-Dienstleister sind somit ein „Schlüssel zu
den KMU“ und können einen entscheidenden Beitrag leisten, das Sicherheitsniveau in KMU
auf eine solide Basis zu stellen. Bislang lagen allerdings kaum belastbare Fakten über die IT-
Dienstleister und deren Zusammenarbeit mit KMU in Fragen der IT-Sicherheit vor.
Die vorliegende Untersuchung, basierend auf der Befragung von IT-Dienstleistern, gibt einen
Einblick in das Marktgeschehen, zeigt Erfolgsfaktoren für die Zusammenarbeit von KMU und
IT-Dienstleistern auf und weist auf Optimierungspotentiale hin.
Die der Untersuchung zugrunde liegende Online-Befragung von IT-Dienstleistern fand im Juni
2014 statt. Es wurde ein elektronischer Fragenkatalog online bereitgestellt und in
Kooperationen mit den süddeutschen Industrie- und Handelskammern beworben. Die
Ergebnisse basieren auf der Analyse der Antworten von 99 (bereinigt 85 bzw. mit Expertise im
Bereich IT-Sicherheit 82) IT-Dienstleistern.
Obwohl die Untersuchung keinen Anspruch auf Repräsentativität erhebt, kann sie für Politik,
KMU und IT-Dienstleister wichtige Hinweise bei der Verbesserung des IT-Sicherheitsniveaus in
KMU geben. Themen könnten z.B. sein:
Welche Rolle können IT-Dienstleister bei der Sensibilisierung von KMU spielen? Wie, mit
welchen Lösungen und mit welchen Themen können IT-Dienstleister ihre Kunden adressieren,
ihre Produkte vermarkten? Wie können KMU die Zusammenarbeit mit IT-Dienstleister im
Bereich von IT-Sicherheit verbessern bzw. optimieren?
Die Untersuchung wurde in Zusammenarbeit von it-sa Benefiz e.V. und der Universität
Regensburg durchgeführt und im Rahmen einer Seminararbeit (Langfassung) durchgeführt
und aufgearbeitet. Die vorliegende Kurzfassung stellt eine überarbeitete, kommentierte und
gekürzte Version der Langfassung dar. Die vorliegende Kurzfassung kann ebenso wie die
Langfassung der Studie kostenlos aus dem Internet heruntergeladen werden.
Link zur Kurzfassung:
www.it-sa-benefiz.de/fileadmin/kundenbereich/dokumente/studie-it-dienstleister.pdf
Link zur Langfassung:
www-honors.uni-r.de/public/studie-it-dienstleister-lang.pdf
Management Summary
2
Zusammenfassung der Studienergebnisse
Der überwiegende Anteil der befragten IT-Dienstleister hat bis zu 10 Mitarbeiter und arbeitet
für Kunden mit weniger als 50 Mitarbeitern.
Rund 65% aller befragten IT-Dienstleister bewerten den Anteil von Sicherheitslösungen an
ihrem Umsatz als gering. Dies eröffnet für die Zukunft Potenzial auf dem Markt der IT-
Sicherheit. Bei mehr als 80% der IT-Dienstleister haben die Mitarbeiter Kenntnisse im Bereich
IT-Sicherheit durch Berufserfahrung, Schulungen oder Veranstaltungen / Workshops
erworben bzw. ausgebaut. Zur Informationsbeschaffung spielt hauptsächlich das Internet eine
große Rolle.
Das Produktportfolio lässt sich unterteilen in Basisleistungen und „erweiterte“ Leistungen.
„Erweiterte“ Leistungen, wie der Aufbau eines Managementsystems für Informations-
sicherheit, digitale forensische Untersuchungen und Penetrationstests, bieten nur die
wenigsten Dienstleistungsunternehmen an.
Bei KMU sind aus Sicht der IT-Dienstleister die Bedeutung, der Umsetzungsgrad und die
Investitionsbereitschaft von IT-Sicherheit höher, je größer das Unternehmen ist. Jedoch sind
alle drei Bereiche in den KMU stark ausbaufähig. Hemmnisse für die Erreichung eines
entsprechenden IT-Sicherheitsniveaus stellen oft die Faktoren Kosten, fehlende Akzeptanz bei
den Mitarbeitern, kein direkt erkennbarer Vorteil oder Nutzen, fehlende Qualifikation der
Mitarbeiter, fehlendes Personal oder Zeitaufwand dar.
Die größten Gefahrenquellen und somit die Hauptursachen für IT-Sicherheitsvorfälle stellen
Irrtum, Nachlässigkeit oder Unwissenheit der Mitarbeiter und der Ausfall der Technik dar. Es
entstehen oft Sicherheitsvorfälle, vorrangig durch Spam oder Virenangriffe.
Betrachtet man die Geschäftsbeziehung zwischen IT-Dienstleister und KMU so fällt auf, dass
IT-Dienstleister glauben, dass Vertrauen und persönlicher Kontakt die wichtigsten Faktoren
bei der Akquise und späteren Zusammenarbeit zwischen beiden Geschäftspartnern sind.
Ebenso gehen IT-Dienstleister davon aus, dass für die Auswahl der Fachexperten durch die
KMU persönliche Faktoren eine größere Rolle wie Kosten oder die Qualifikation des IT-
Dienstleisters (fachliche Ausbildung, Zertifizierung, Vorgehen nach einem bestimmten
Standard) spielen. Die von IT-Dienstleistern meist eingesetzten Instrumente zur Kunden-
bewerbung bilden dabei die persönliche Ansprache und das Internet.
Die IT-Dienstleistungsunternehmen prognostizieren einen starken Anstieg der Nachfrage im
Bereich IT-Sicherheit und mittelfristig eine Zunahme an IT-Sicherheitsrisiken. Knapp die Hälfte
der Befragten spricht sich für eine Verschärfung der gesetzlichen Anforderungen aus.
Management Summary
3
Schlaglichter und Handlungsempfehlungen
1. Marktpotential stärker ausschöpfen
Die Vermarktung von Sicherheitsdienstleistungen scheint noch Potential nach „oben“ zu
haben. Das bezieht sich sowohl auf die aktive Vermarktung von IT-Sicherheitslösungen als
auch die Kundenfreundlichkeit der angebotenen Lösungen sowie die verständliche und
transparente Information des Kunden.
� Immerhin 26% der Befragten gaben an, Dienstleistungen im Bereich IT-Sicherheit über-
haupt nicht aktiv zu bewerben. Ein nicht unerheblicher Anteil der Aufträge beruhte
zudem auf Kundenanforderungen und Anforderungen durch Partnerunternehmen und
somit nicht auf aktive Akquisition seitens der IT-Dienstleister.
� 65% der Befragten bezeichneten ihren Umsatzanteil mit Sicherheitslösungen als
gering. Unter Umständen können hier verstärkte Vermarktungsanstrengungen sinnvoll
sein.
� 65% der IT-Dienstleister erwarten mittelfristig eine starke bis sehr starke Zunahme von
IT-Sicherheitsrisiken in KMU, gleichzeitig gehen die IT-Dienstleister von einer deutlich
erhöhten Nachfrage aus. Die mittelfristige Zunahme von Sicherheitsrisiken erfordert
von IT-Dienstleistern den Bereich IT-Sicherheit stärker zu fokussieren.
� 24% der befragten IT-Dienstleister bieten keine kundenfreundlichen Managed Security
Services1 an. Insbesondere kundenfreundliche Lösungen werden jedoch gefordert.
Immerhin erfolgen die meisten Sicherheitsvorfälle durch Versehen oder Unwissen,
also menschliches Versagen. Zu den größten Hemmnissen für die Einführung von
Sicherheitslösungen zählt auch die mangelnde Akzeptanz bei den Mitarbeitern.
Hilfreich könnte es sein, IT-Dienstleister zu unterstützen, verstärkt argumentativ auf ihre
Kunden zuzugehen und IT-Sicherheitsleistungen aktiv zu bewerben. Dazu zählt sicherlich auch
eine transparentere und nachvollziehbare Gestaltung der Zusammenarbeit. Diese ist lediglich
bei der Hälfte der befragten IT-Dienstleister vertraglich vereinbart.
1 Unter Managed Security Services werden im Rahmen dieser Studie IT-Sicherheitsdienste verstanden, die nicht beim Kunden
umgesetzt werden, sondern deren Betrieb und Verwaltung der IT-Dienstleister übernimmt.
Management Summary
4
2. Markttransparenz verbessern
Die beauftragenden KMU sind in der Regel überfordert, die Qualifikation und das Leistungs-
angebot eines IT-Dienstleisters zu beurteilen.
� Die Vertragsgestaltung bei KMU gestaltet sich wenig transparent. Die Zusammenarbeit
zwischen IT-Dienstleister und KMU findet bei 62% bzw. 60% aller Dienstleister nach
Bedarf (ad hoc) bzw. in Absprache mit den Verantwortlichen der KMU statt. Bei nur
57% aller Dienstleister beruht die Zusammenarbeit auf Basis vertraglicher
Vereinbarungen. Eine Verbesserung der Zusammenarbeit kann durch eine spezifi-
schere Vertragsgestaltung erzielt werden; dadurch entsteht eine höhere Transparenz
der Leistungen und Kosten für die KMU.
� Ein Großteil der befragten IT-Dienstleister gab an, dass die Zusammenarbeit mit KMU
auf Vertrauensbasis und Empfehlung erfolgt. Die Kunden scheinen keine belastbaren
Kriterien für die Auswahl der IT-Dienstleister, wie etwa Kenntnisse über Zertifikate
oder Ausbildungen, zu kennen und zu fordern. Derartige Kriterien sind somit auch nicht
entscheidungsrelevant. Zusätzliche Entscheidungshilfen für KMU hinsichtlich erforder-
licher Qualifikationen oder Herangehensweisen der IT-Dienstleister könnten hier
hilfreich sein. Derartige Informationen könnten über die IT-Dienstleister selber bzw.
im Rahmen von Informationsveranstaltungen oder -kampagnen erfolgen.
� Die Ausbildung der IT-Dienstleister ist sehr uneinheitlich und für Kunden nicht
bewertbar. Abhilfe könnte die Ausbildung von IT-Dienstleistern nach einem gewissen
Standard und das Agieren nach einem einheitlichen und professionellen Vorgehen
sein.
� Die Vorgehensweise der IT-Dienstleister im Bereich IT-Sicherheit ist sehr unterschied-
lich und orientiert sich an uneinheitlichen Kriterien und Methoden. Dies erschwert ein
einheitliches, professionelles Vorgehen in den beauftragenden KMU. Bestehende
Standards wie z.B. ISO/IEC-27001 werden derzeit nur von 23% aller IT-Dienstleister als
Entscheidungsgrundlage für das Angebot an KMU genutzt. Die Nachfrage nach
entsprechenden Sicherheitsstandards ist bei KMU die Ausnahme und kommt nur in
Einzelfällen vor.
� Das könnte ein Indiz sein, dass diese Standards und Frameworks für den Bedarf der
KMU weniger geeignet sind. Benötigt werden kompakte, leicht verständliche und
transparente Regelwerke und Lösungen, die KMU bei den täglichen Aufgaben im
Bereich IT-Sicherheit unterstützen und ermutigen.
� Denkbar wäre ein auf die Belange von KMU angepasster „Grundschutz“ als struktu-
rierte Handlungsanleitung.
Management Summary
5
3. Umsetzungslücke bei KMU schließen
Aus Sicht der IT-Dienstleister besteht in Sachen IT-Sicherheit bei KMU starker Nachholbedarf.
� Insbesondere KMU mit weniger als 50 Mitarbeitern messen IT-Sicherheit nach
Einschätzung der IT-Dienstleister mit nur 32% große Bedeutung bei. Bei den Unter-
nehmen mit 100 bis 500 Mitarbeitern liegen diese Werte bei 87%. Auffällig ist
insbesondere bei den kleinen KMU, dass die Selbsteinschätzung der KMU erheblich
von denen der IT-Dienstleister abweichen. In früheren Untersuchungen haben rund
zwei Drittel der befragten KMU unter 50 Mitarbeiter die Bedeutung von IT-Sicherheit
mit sehr hoch oder hoch bewertet.
� Die Investitionsbereitschaft für IT-Sicherheit ist aus Sicht der IT-Dienstleister
insbesondere in kleinen KMU mit weniger als 50 Mitarbeitern niedrig (lediglich 23%
sehr hoch oder hoch). Die Vergleichswerte für KMU mit mehr als 100 Mitarbeitern
liegen dagegen bei 77%.
� Das heißt verkürzt, die meisten KMU halten IT-Sicherheit für wichtig, investieren aller-
dings nicht in entsprechendem Maße. Dies sollte bei der Ausgestaltung von
Sensibilisierungsmaßnahmen für KMU berücksichtigt werden.
� 41% der befragten IT-Dienstleister sprechen sich für staatliche Auflagen wie etwa
Sicherheitsrichtlinien für KMU aus. Die Erstellung von unternehmensinternen Sicher-
heitsrichtlinien könnte einen verpflichtenden Charakter für KMU bekommen. Diese
Beurteilung könnte im Zusammenhang stehen mit den Schwierigkeiten von IT-
Dienstleistern, ihre Kunden argumentativ zu erreichen und zu Investitions-
entscheidungen zu bewegen.
� 61% der IT-Dienstleister bewerteten Irrtum, die Nachlässigkeit oder Unwissenheit
einzelner Mitarbeiter von KMU mit einer hohen oder sehr hohen Auftrittshäufigkeit.
Menschliches Versagen ist die Nr. 1 der Gefahrenquellen.
� Um dieses Sicherheitsrisiko zu mindern, ist eine kontinuierliche Aufklärung und
Informationsvermittlung seitens der betreuenden IT-Dienstleister über die gesamte
Dauer der Zusammenarbeit mit den KMU notwendig. KMU sollten über aktuelle IT-
Sicherheitsrisiken informiert und über geeignete Gegenmaßnahmen aufgeklärt
werden. Dies kann über planmäßige und außerplanmäßige Informationsveranstal-
tungen und Schulungen realisiert werden.
� Haupthemmnisse für die Durchführung von IT-Sicherheitsmaßnahmen sind nach
Einschätzung der IT-Dienstleister Kosten, fehlende Akzeptanz bei den Mitarbeitern
und nicht wahrnehmbarer Nutzen. Offenbar sehen die Mitarbeiter von KMU derartige
Maßnahmen als Einschränkung der Flexibilität und Benutzerfreundlichkeit der IT-
Systeme an. Hilfreich könnten verstärkte qualifizierte Beratungen hinsichtlich Kosten-
Nutzen-Aspekte und kundenfreundliche Lösungen seitens der IT-Dienstleister sein.
IT-Dienstleister und IT-Sicherheit in KMU
6
IT-Dienstleister und IT-Sicherheit in KMU
IT-Dienstleister und ihre Kunden - Bestandsaufnahme
69% der IT-Dienstleister, die an dieser Umfrage teilgenommen haben, beschäftigten weniger
als zehn Mitarbeiter und 27% der Teilnehmer haben 10 bis 49 Mitarbeiter. Größere IT-
Dienstleister mit 50 bis 99 Mitarbeitern sind nur zu 2% vertreten, sehr große IT-Dienstleister
mit mehr als 500 Mitarbeitern machen nur 1% der befragten Unternehmen aus (vgl. Abb. 1).
Abb. 1: Aktuelle Mitarbeiterzahl
Es fällt auf, dass insbesondere hinsichtlich der Mitarbeiterzahl kleine IT-Dienstleister an der
Befragung teilgenommen haben. Basierend auf den Zahlen des Statistischen Bundesamtes
[Stat13, S. 26] waren im Jahr 2010 durchschnittlich 10,2 Mitarbeiter pro Unternehmen2
beschäftigt, die IKT-Dienstleistungen anbieten. Die beobachtete Verteilung der befragten IT-
Dienstleister bestätigt die Vermutung, dass IT-Dienstleister oftmals als (sehr) kleine Unter-
nehmen gruppiert sind.
Abb. 2 illustriert, dass mehr als 70% der Befragten einen hohen bis fast ausschließlichen Anteil
ihres Umsatzes durch das Angebot von IT-Dienstleistungen erwirtschaften.
Abb. 2: Umsatzanteil IT-Dienstleistungen am Gesamtumsatz
2 Eigene Berechnungen wurden auf der Grundlage der offiziellen Daten angestellt.
69% 27% 2% 0% 0% 1%0%
20%
40%
60%
80%
< 10 10 - 49 50 - 99 100 - 249 250 - 500 > 500
Basis n = 85
0%7%
20% 30% 43%0%
10%
20%
30%
40%
50%
kein Anteil geringer Anteil in etwa die Hälfte hoher Anteil fast ausschließlich
Basis n = 85
IT-Dienstleister und IT-Sicherheit in KMU
7
Ausschlaggebend für die Charakterisierung der IT-Dienstleister ist die Frage, welchen Anteil
des Umsatzes das Unternehmen durch das Angebot von IT-Sicherheitslösungen erzielt (vgl.
Abb. 3). Für 65% der befragten IT-Dienstleister bildet das Angebot von IT-Sicherheitslösungen
nur einen geringen Anteil am Umsatz. Für 16% macht es in etwa die Hälfte aus, für 11% einen
hohen Anteil und nur 5% generieren Ihren Umsatz fast ausschließlich durch IT-
Sicherheitslösungen.
Abb. 3: Umsatzanteil IT-Sicherheitslösungen am Gesamtumsatz
Abb. 4 gibt eine Übersicht der Branchenzugehörigkeit der Kunden der IT-Dienstleister. Ca. 75%
aller IT-Dienstleister betreuen Kunden aus dem Handel oder dem verarbeitenden Gewerbe,
gefolgt von 65% Kunden aus dem Handwerk. Ungefähr die Hälfte der Befragten betreuen
Freiberufler (Wirtschaftsprüfer, Steuerberater, Rechtsanwälte, Ingenieure), Kunden aus dem
Gesundheits- und Sozialwesen sowie Finanz- und Versicherungsdienstleister. Nur jeder fünfte
IT-Dienstleister zählt Unternehmen aus dem Gastgewerbe zu seinen Kunden. 28% der IT-
Dienstleister geben weitere Branchen an und nennen u.a. Behörden, die Automobilindustrie
sowie die Logistikbranche. Hervorzuheben ist, dass IT-Dienstleister mehr Kunden in
Handwerksbetrieben zu haben scheinen als in IT-affineren Branchen, wie dem Gesundheits-
und Sozialwesen oder den Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten und
Ingenieuren.
Abb. 4: Anteil der Kunden nach Branchenzugehörigkeit
3,6%
65,4%
15,5% 10,7%4,8%
0%
10%
20%
30%
40%
50%
60%
70%
kein Anteil geringer Anteil in etwa die Hälfte hoher Anteil fast ausschließlich
Basis n = 85
20%
28%
45%
55%
56%
65%
74%
75%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Gastgewerbe
Andere Branchen
Finanz- & Versicherungsdienstleister
Gesundheits- & Sozialwesen
Wirtschaftsprüfer, Steuerberater,
Rechtsanwälte, Ingenieure
Handwerksbetriebe
Verarbeitendes Gewerbe
Handel
Basis n = 85
IT-Dienstleister und IT-Sicherheit in KMU
8
Um ein abschließendes Bild über die Kunden der IT-Dienstleister zu erhalten, wurde nach der
Mitarbeiterzahl der Mehrheit Ihrer Kunden gefragt. Wie in Abb. 5 dargestellt, haben 20% der
Kunden in der Regel unter 10 Mitarbeiter, 38% haben 10 bis 49 Mitarbeiter, 20% haben 50 bis
99 Mitarbeiter, 11% haben 100 bis 249 Mitarbeiter, 5% haben 250 bis 500 Mitarbeiter und 7%
haben mehr als 500 Mitarbeiter.
Abb. 5: Anteil der Kunden nach Mitarbeiterzahl
20,0%
37,6%
20,0%
10,6%4,7% 7,1%
0%
5%
10%
15%
20%
25%
30%
35%
40%
< 10 10 - 49 50 - 99 100 - 249 250 - 500 > 500
Basis n = 85
IT-Dienstleister und IT-Sicherheit in KMU
9
Qualifikationen der IT-Dienstleister
Wie Mitarbeiter von IT-Dienstleistern grundlegende Qualifikationen im Bereich der IT-
Sicherheit erwerben zeigt Abb. 6. 81% der Befragten geben Berufserfahrung an, 77% bzw. 59%
qualifizieren sich durch externe bzw. interne Schulungen und 52% profitieren von einer
Berufsausbildung. In 42% der Unternehmen basiert die Qualifikation auf einem Hochschul-
abschluss. 15% verfolgen einen sonstigen Kenntniserwerb, wobei keine weiteren Nennungen
vorliegen. Jedes der befragten Unternehmen weist mindestens eine der genannten Qualifi-
kationen vor.
Abb. 6: Erwerb grundlegender Mitarbeiter-Qualifikationen im Bereich IT-Sicherheit
Abb. 7 zeigt die eingesetzten Weiterbildungsmaßnahmen im Bereich der IT-Sicherheit für
Mitarbeiter der IT-Dienstleister. Rund 80% aller befragten IT-Dienstleister nutzen Schulungen
sowie Veranstaltungen und Workshops. Arbeitsgruppen dienen zu 27% als Instrument der
Weiterbildung. Jedes fünfte IT-Dienstleistungsunternehmen stellt neue Mitarbeiter ein,
ebenso viele erlangen Mitarbeiter-Zertifikate durch Berufsverbände. Unter den 15% andere
Möglichkeiten wurden das Selbststudium mit Testsystemen oder Web-Seminaren und
aktuelle Forschungsprojekte genannt. Nur 11% der IT-Dienstleister nutzen ein berufs-
begleitendes Studium, um im Bereich IT-Sicherheit Kenntnisse zu erwerben. Sogar 5% der IT-
Dienstleister bilden ihre Mitarbeiter nicht weiter, obwohl sie IT-Sicherheitslösungen anbieten.
Abb. 7: Weiterbildung der Mitarbeiter im Bereich IT-Sicherheit
0%
15%
42%
52%
59%
77%
81%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Keine grundlegende Qualifikation
Sonstiger Kenntniserwerb
Hochschulabschluss
Berufsausbildung
Interne Schulungen
Externe Schulungen
Berufserfahrung
Basis n = 82
5%
11%
15%
20%
20%
27%
78%
79%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Keine Weiterbildungen
Berufsbegleitendes Studium
Andere Möglichkeiten
Mitarbeiter-Zertifikate durch Berufsverbände
Einstellen neuer Mitarbeiter
Teilnahme an Arbeitsgruppen
Veranstaltungen / Workshops
Schulungen
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
10
Als beliebteste Informationsquellen der IT-Dienstleister im Bereich IT-Sicherheit werden mit
93% das Internet bzw. Online-Medien genutzt (vgl. Abb. 8). Darauf folgen Fachliteratur (72%),
Netzwerke mit anderen IT-Dienstleistern (70%) und Herstellerinformationen (66%). Rund die
Hälfte aller Befragten informiert sich auf Fachmessen sowie durch Newsletter. Die
Tagespresse, die in der Regel eher unspezifisch über das Thema IT-Sicherheit berichtet, ist für
29% eine Informationsquelle. Überraschend ist die geringe Bedeutung der wissenschaftlichen
Literatur (18%) und öffentlicher Einrichtungen (16%). Alle Befragten haben mindestens eine
genutzte Informationsquelle angegeben.
Abb. 8: Mitarbeiter-Informationsquellen zum Themenbereich IT-Sicherheit
Insgesamt kann festgehalten werden, dass die Mitarbeiter der meisten IT-Dienstleister über
eine grundlegende Qualifikation im Bereich IT-Sicherheit verfügen. Daneben hat die Weiter-
bildung insbesondere durch Schulungen einen festen Stellenwert. Schnelllebigen Entwick-
lungen wird insbesondere mit dem Internet, Online-Medien und Fachliteratur Rechnung
getragen.
0%
2%
16%
18%
29%
45%
52%
66%
70%
72%
93%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Keine Informationsquellen
Andere Quellen
Öffentliche Einrichtungen
Wissenschaftliche Literatur
Tagespresse
Newsletter
Fachmessen
Herstellerinformationen
Netzwerke mit anderen IT-Dienstleistern
Fachliteratur
Internet bzw. Online-Medien
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
11
IT-Sicherheits-Produktportfolio der Dienstleister
Analysiert wird in diesem Abschnitt das IT-Sicherheits-Produktportfolio der befragten IT-
Dienstleister.
Abb. 9: Angebot IT-Sicherheitsdienstleistungen
Abb. 9 illustriert die angebotenen IT-Sicherheitsdienstleistungen der befragten IT-Dienst-
leister. Mit knapp 90% werden Virenschutz, Firewall, Spamfilter und Backup-Konzepte von
nahezu jedem IT-Dienstleister angeboten. Bei knapp 80% sind Benutzer-Rechteverwaltung
und Verschlüsselungskonzepte im Produktportfolio enthalten. Weiterhin werden die
Erstellung von Sicherheitsrichtlinien (70%), die Durchführung von IT-Sicherheitsanalysen oder
Risikoanalysen (62%), Notfallplanungen (55%), IT-Security Schulungen und Trainings (38%),
Penetrationstests (28%), der Aufbau eines Managementsystems für Informationssicherheit
(ISMS) (27%) und digitale forensische Untersuchungen (11%) angeboten. Als sonstige IT-
Sicherheitsleistungen wurden gemanagte Standortvernetzungen und Secure Software
Development genannt.
0%
2%
11%
27%
28%
38%
55%
62%
70%
77%
78%
87%
88%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Keine IT-Sicherheitsangebote
Sonstige
Digitale forensische Untersuchungen
Aufbau Managementsystem für Informationssicherheit
(ISMS)
Penetrationtests
IT-Security Schulungen & Trainings
Notfallplanung
IT-Sicherheitsanalyse / Risikoanalyse
Erstellung Sicherheitsrichtlinie / IT-
Sicherheitskonzeption
Verschlüsselungskonzepte (z.B. Email)
Benutzer-Rechteverwaltung
Backup-Konzepte
Virenschutz, Firewall, Spamfilter
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
12
Eine weitere produktspezifische Frage beschäftigt sich mit dem Angebot von Managed
Security Services (vgl. Abb. 10). Ca. 60% der IT-Dienstleister bieten ein Remote Perimeter
Management (z.B. Managed Firewall, VPN, Intrusion Detection) sowie Backup und Daten-
archivierung an. SPAM Filter als Managed Security Service können die Kunden von 54% der IT-
Dienstleister erwarten. Darüber hinaus werden von 48% Security Monitoring (z.B. Managed
Monitoring, Alerting), von 18% Compliance Monitoring und von 17% Penetration and
Vulnerability Testing angeboten. Hervorzuheben ist, dass ein Viertel aller IT-Dienstleister
keine Managed Security Services anbietet. Dies könnte auf zusätzliche Absatzmöglichkeiten
für IT-Dienstleister hinweisen.
Abb. 10: Angebot Managed Security Services
2%
17%
18%
24%
48%
54%
59%
59%
0% 10% 20% 30% 40% 50% 60% 70%
Sonstige
Penetration and Vulnerability Testing
Compliance Monitoring
Kein Managed Security Service
Security Monitoring
SPAM Filter
Backup / Datenarchivierung
Remote Perimeter Management
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
13
Marketing und Zusammenarbeit mit Kunden
Die Untersuchung der Kundenbeziehung basiert auf Fragen zum Eigen- und Kundenprofil,
Produktportfolio und dem Marketing der IT-Dienstleister. In Abb. 11 wird untersucht, nach
welchen Grundlagen IT-Dienstleister entscheiden, welche Sicherheitslösungen sie ihren
Kunden anbieten.
88% bzw. 68% der Befragten stehen im unmittelbaren Austausch mit der Geschäftsleitung
bzw. den IT-Fachexperten des Kunden. Für 55% der IT-Dienstleister ist eine qualitative
Risikoanalyse beim Kunden durch Selbsteinschätzung des Kunden in Verbindung mit der
Expertenmeinung des IT-Dienstleisters maßgeblich. Bei 23% der KMU sind standardisierte
Vorgehensweisen wie beispielsweise der ISO/IEC-27001 Grundlage eines Angebotes. Nur
jeder zehnte IT-Dienstleister nutzt als Entscheidungsgrundlage für das Angebot von Sicher-
heitslösungen eine Risikoanalyse auf Basis statistischer Bewertungsmethoden. Hervor-
zuheben ist, dass 6% der befragten IT-Dienstleister keine Entscheidungsgrundlagen bei Ihrem
Vorgehen verwenden. Es fällt auf, dass das Angebot an Sicherheitslösungen hauptsächlich
durch persönliche Gespräche und die damit korrespondierenden Bedürfnisse der KMU
bestimmt wird. Strukturiertes Vorgehen nach bestimmten Standards bzw. existierenden
Methoden spielt als Entscheidungsgrundlage für das Angebot von IT-Sicherheitslösungen nur
eine untergeordnete Rolle.
Abb. 11: Grundlage für den Einsatz von Sicherheitslösungen
6%
11%
23%
23%
55%
68%
88%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Keine speziellen Entscheidungsgrundlagen
Risikoanalyse auf Basis statistischer
Bewertungsmethoden (quantitativ)
In Kooperation mit einem externen IT-
Sicherheitsdienstleister
Risikoanalyse nach Standards (z.B. ISO 27001)
Risikoanalyse durch Selbsteinschätzung und
Expertenmeinung (qualitativ)
Austausch mit IT-Fachexperten des Kunden
Gespräche mit Geschäftsleitung
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
14
Wichtig für die Einschätzung und Bewertung der Zusammenarbeit mit KMU ist die Kenntnis,
nach welchen Vereinbarungen die Zusammenarbeit zwischen IT-Dienstleister und KMU
geregelt wird (vgl. Abb. 12). 62% der IT-Dienstleister regeln die Zusammenarbeit mit ihren
Kunden nach Bedarf und 60% besprechen IT-Sicherheitsthemen mit den Verantwortlichen der
KMU. Knapp über die Hälfte, nämlich 57% der IT-Dienstleister, regeln die Zusammenarbeit
über strikte vertragliche Vereinbarungen wie beispielsweise Service Level Agreements. Es ist
auffällig, dass das persönliche Verhältnis zum Kunden vorrangig ist und viele Themen spontan
nach Bedarf mit den Firmeneigentümern besprochen werden. Dies zeigt sich auch durch die
Tatsache, dass bei 12% der IT-Dienstleister die Zusammenarbeit nicht geregelt wird.
Abb. 12: Grundlage der Zusammenarbeit mit Kunden
Im Bereich des Marketing und der Kundenakquise wird zunächst untersucht mit welchen
Werbeargumenten IT-Dienstleister ihr Leistungsangebot im Bereich IT-Sicherheit bewerben
(vgl. Abb. 13). 76% der IT-Dienstleister bewerben Ihre IT-Sicherheitslösungen mit dem Schutz
vor Verlust unternehmensrelevanter Daten. Bei 62% der Befragten ist der Ausfall der
Produktion ein wichtiges Werbeargument. Weitere Punkte, die für die Kundenwerbung eine
wichtige Rolle spielen, sind gesetzliche Anforderungen (56%), Haftungsgefahren (46%),
Kundenanforderungen (40%) und Anforderung durch Partnerunternehmen (22%). 26% der IT-
Dienstleister geben an IT-Sicherheitsdienstleistungen nicht aktiv zu bewerben.
Ein markantes Ergebnis ist, dass jeder vierte IT-Dienstleister keine aktive Werbung für
Sicherheitsleistungen betreibt. Hierbei lässt sich nur vermuten, dass IT-Dienstleister erwarten,
dass Werbemaßnahmen in diesem Bereich nur geringe Aufmerksamkeit bei KMU hervorrufen
und kein profitabler Nutzen aus den getätigten Aufwendungen entsteht. Für eine detaillierte
Analyse sind weitere Untersuchungen notwendig.
Abb. 13: Werbeargumente für den Bereich IT-Sicherheit
2%
12%
57%
60%
62%
0% 10% 20% 30% 40% 50% 60% 70%
Andere Möglichkeiten
Zusammenarbeit wird nicht geregelt
Vertragliche Vereinbarungen (z.B. Service Level
Agreements)
In Absprache mit Verantwortlichen der KMU
Nach Bedarf (ad hoc)
Basis n = 82
0%
22%
26%
40%
46%
56%
62%
76%
0% 20% 40% 60% 80%
Andere Argumente
Anforderung durch Partnerunternehmen
Ich bewerbe nicht aktiv
Kundenanforderungen
Haftungsgefahren (z.B. Geschäftsführerhaftung)
Gesetzliche Anforderungen
Gefahr eines Produktionsausfalls
Gefahr des Verlustes unternehmensrelevanter Daten
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
15
Was sind Faktoren für eine erfolgreiche Akquise (vgl. Abb. 14)? 94% der IT-Dienstleister geben
an, dass Vertrauen eine hohe oder sehr hohe Bedeutung für die Gewinnung neuer Kunden
hat. Knapp 90% der IT-Dienstleister empfinden persönliche Empfehlungen und persönlichen
Kontakt als bedeutend. Auch die räumliche Nähe zum Kunden hat bei 64% einen hohen
Stellenwert. Weniger als 50% der befragten IT-Dienstleister bewerteten den Faktor Kosten mit
einer hohen oder sehr hohen Bedeutung. Darüber hinaus scheinen deutlich mehr als die Hälfte
der befragten IT-Dienstleister davon überzeugt zu sein, dass die ausweisbare Qualifikation der
IT-Dienstleister, d.h. fachliche Ausbildung, nachweisbare Weiterbildung der eigenen
Mitarbeiter oder IT-sicherheitsrelevante Zertifizierungen des eigenen Unternehmens, nicht
allzu bedeutend ist für KMU. Geeignete Werbemaßnahmen werden von 72% der befragten
IT-Dienstleister als gering oder mittel hinsichtlich ihrer Bedeutung eingestuft.
Abb. 14: Faktoren einer erfolgreichen Akquise
4%
5%
8%
9%
13%
15%
55%
58%
66%
8%
14%
21%
35%
30%
49%
34%
31%
28%
40%
27%
32%
46%
37%
24%
8%
11%
6%
32%
37%
29%
10%
19%
9%
2%
17%
18%
10%
1%
2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Geeignete Werbemaßnahmen
IT-sicherheitsrelevante Zertifizierung des eigenen
Unternehmens (z.B. ISO 27001)
Nachweisbare Weiterbildung der eigenen Mitarbeiter
(z.B. Zertifikate)
Fachliche Ausbildung
Kostenvorteil
Räumliche Nähe zum Kunden
Persönlicher Kontakt
Persönliche Empfehlung durch Kunden
Vertrauen
sehr hoch hoch mittel gering sehr gering
Basis n = 85
IT-Dienstleister und IT-Sicherheit in KMU
16
Eine weitere marketingbezogene Frage beschäftigt sich mit den Instrumenten zur Kunden-
werbung, die von IT-Dienstleistern vorrangig eingesetzt werden (vgl. Abb. 15). Für 79% der
befragten IT-Dienstleister ist die persönliche Ansprache mit hoher oder sehr hoher Bedeutung
das wichtigste Instrument um im Zuge der Kundenwerbung KMU erfolgreich an sich zu binden.
Auch das Internet wird von 36% mit einer hohen oder sehr hohen Bedeutung als bedeutsames
Instrument zur Kundenbewerbung angegeben. Vorträge, Fachmessen, Branchenbücher und
Anbieterverzeichnisse, Broschüren, Anzeigen in Printmedien und Newsletter werden
hingegen als weniger wichtig erachtet.
Abb. 15: Eingesetzte Instrumente zur Kundenwerbung
Zusammenfassend ist festzuhalten, dass IT-Dienstleister überzeugt sind, dass persönlicher
Kontakt und ein vertrauensvolles Verhältnis die wichtigsten Faktoren bei der Akquise,
Kundenbewerbung und erfolgreichen Zusammenarbeit zwischen IT-Dienstleistern und KMU
sind. Qualifikation, Zertifizierung und Kosten werden hingegen von IT-Dienstleistern als
weniger wichtig erachtet.
8%
17%
33%
13%
11%
10%
17%
19%
46%
20%
9%
19%
16%
16%
18%
30%
15%
21%
32%
30%
29%
29%
18%
23%
7%
46%
55%
39%
49%
42%
39%
11%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Newsletter
Anzeige Printmedien
Broschüren
Branchenbücher /
Anbieterverzeichnisse
Fachmessen
Vorträge
Internetplattform
Persönliche Ansprache
sehr hoch hoch mittel gering sehr gering
Basis n = 85
IT-Dienstleister und IT-Sicherheit in KMU
17
Einschätzung der Situation bei KMU
Im Rahmen der Studie wurden die befragten IT-Dienstleister um eine Einschätzung zur Lage
der IT-Sicherheit Ihrer Kunden gebeten. Um diese Einschätzung mit einer Selbsteinschätzung
der KMU vergleichen zu können, wurden die nachfolgenden Fragen bewusst in ihrer
Formulierung und in ihren Antwortmöglichkeiten an die Studie „IT-Sicherheitsniveau in
kleinen und mittleren Unternehmen“ [Bund12] angelehnt. Es werden daher in der Folge
zunächst die Ergebnisse der vorliegenden Studie (Einschätzung durch die IT-Dienstleister)
beschrieben und diese anschließend mit den Ergebnissen der Studie „IT-Sicherheitsniveau in
kleinen und mittleren Unternehmen“ (Selbsteinschätzung der KMU) verglichen.
Bedeutung von IT-Sicherheit in den KMU
Abb. 16 zeigt die Bedeutung von IT-Sicherheit in KMU eingeschätzt durch die IT-Dienstleister.
Auffällig ist, dass mit steigender Mitarbeiterzahl die Bedeutung der IT-Sicherheit zunimmt.
Abb. 16: Bedeutung IT-Sicherheit nach Mitarbeiterzahl (Einschätzung durch IT-Dienstleister)
Im Vergleich zur Selbsteinschätzung der KMU (dargestellt in Abb. 17) ergeben sich deutliche
Diskrepanzen zu den uns vorliegenden Ergebnissen. Die KMU räumen der IT-Sicherheit über
alle Unternehmensgrößen hinweg eine hohe bis sehr hohe Bedeutung ein. Besonders aus-
geprägt ist die Differenz bei kleinen Unternehmen. Nur ein Drittel der IT-Dienstleister schätzt
die Bedeutung von IT-Sicherheit bei dieser Gruppe als hoch bis sehr hoch ein. Bei der Selbst-
einschätzung der KMU sind es jedoch rund zwei Drittel. Bei den Unternehmen mit über 100
Mitarbeitern stimmt die Einschätzung der IT-Dienstleister mit der Selbsteinschätzung
annährend überein. [Bund12]
Abb. 17: Bedeutung IT-Sicherheit (Selbsteinschätzung der KMU nach [Bund12, S. 17])
46%
22%
5%
41%
39%
27%
11%
27%
32%
1%
11%
22%
0%
1%
14%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 - 500
50 - 99
1 - 49
sehr hoch hoch mittel gering sehr gering
Basis: n = 82
39%
32%
33%
47%
44%
36%
13%
21%
21%
1%
3%
7%
1%
1%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 - 500
50 - 99
1 - 49
sehr hoch hoch mittel gering sehr gering
Basis: n = 952
IT-Dienstleister und IT-Sicherheit in KMU
18
Umsetzungsgrad von IT-Sicherheitsmaßnahmen
Abb. 18 verdeutlicht die Annahme, dass eine hoch eingeschätzte Bedeutung der IT-Sicherheit
nicht notwendigerweise zu einem ebenso hohen Umsetzungsgrad von IT-Sicherheits-
maßnahmen führt. Es ist erkennbar, dass mit der Mitarbeiterzahl auch der eingeschätzte
Umsetzungsgrad zunimmt. Diese Einschätzung spiegelt sich auch in der Perspektive der KMU
wieder [Bund12, S. 25-26]. Allerdings kann gegenwärtig noch nicht von einem ausreichenden
Umsetzungsgrad, in keiner der untersuchten Gruppen, ausgegangen werden. Lediglich bei der
Gruppe mit über 100 Mitarbeitern wird der Umsetzungsgrad von 41% der IT-Dienstleister als
hoch oder sehr hoch eingeschätzt. In der Gruppe mit 50 bis 99 Mitarbeitern wird immerhin
bei jedem zweiten Unternehmen ein befriedigendes IT-Sicherheitsniveau konstatiert.
Besonders prekär ist die Lage bei den Unternehmen mit weniger als 50 Mitarbeitern. Drei
Viertel der IT-Dienstleister schätzen dort einen geringen bis sehr geringen Umsetzungsgrad
von IT-Sicherheitsmaßnahmen.
Abb. 18: Umsetzungsgrad IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister)
Investitionsbereitschaft in IT-Sicherheitslösungen
Die Unterschiede zwischen den Unternehmensgrößen haben auch bei der Investitions-
bereitschaft Bestand (vgl. Abb. 19). 78% der befragten IT-Dienstleister schätzen die Investi-
tionsbereitschaft der Gruppe mit unter 50 Mitarbeitern gering oder sehr gering ein. Lediglich
bei den Unternehmen mit über 100 Mitarbeitern gehen die IT-Dienstleister bei jedem dritten
KMU von hoher bis sehr hoher Investitionsbereitschaft aus.
Abb. 19: Investitionsbereitschaft in IT-Sicherheit nach Mitarbeiterzahl (Einschätzung IT-Dienstleister)
0%
0%
6%
1%
13%
35%
24%
42%
46%
44%
38%
12%
31%
7%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
1 - 49
50 - 99
100 - 500
sehr hoch hoch mittel gering sehr gering
Basis n = 82
5%
1%
0%
30%
11%
4%
42%
34%
19%
17%
44%
37%
6%
10%
41%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 - 500
50 - 99
1 - 49
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
19
Im Vergleich zur Selbsteinschätzung der KMU (vgl. Abb. 20) lässt sich zumindest auch der
Trend erkennen, dass KMU mit mehr Mitarbeitern mehr in IT-Sicherheit investieren. Dies ist
aber auch nicht verwunderlich, da anzunehmen ist, dass größere Unternehmen über mehr
freie finanzielle Mittel und somit über ein größeres Investitionsvolumen verfügen.
Abb. 20: Geplante Investitionen in IT-Sicherheit (Hochrechnung auf Basis von [Bund12, S. 33])
Bedeutung der Branchenzugehörigkeit
Im Rahmen der Studie wurden die IT-Dienstleister gebeten, ihre Einschätzung zu Bedeutung,
Umsetzungsgrad sowie Investitionsbereitschaft der KMU im Bereich der IT-Sicherheit nicht
nur nach Unternehmensgröße, sondern auch nach Branchen abzugeben. Es wurden die
Finanz- und Versicherungsbranche, das Gesundheits- und Sozialwesen, Wirtschaftsprüfer,
Steuerberater, Rechtsanwälte und Ingenieure, das Gastgewerbe sowie Handwerksbetriebe als
Branchen zur Bewertung vorgegeben.
Bei der Analyse der Ergebnisse fallen zwei Gruppierungen von Branchen auf. In den Branchen
Finanz- und Versicherungsdienstleister, Gesundheits- und Sozialwesen sowie Wirtschafts-
prüfer, Steuerberater, Rechtsanwälte und Ingenieure hat IT-Sicherheit eine hohe Bedeutung
(vgl. Abb. 21) und folglich einen hohen Umsetzungsgrad (vgl. Abb. 22) und es besteht eine
hohe Investitionsbereitschaft der KMU der Branchen (vgl. Abb. 23).
Abb. 21: Bedeutung IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)
18%
11%
3%
13%
9%
4%
15%
13%
8%
15%
19%
16%
40%
48%
69%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 - 500
50 - 99
1 - 49
sehr hoch hoch mittel gering sehr gering
Basis n = 952
1%
0%
43%
51%
51%
11%
15%
26%
29%
35%
28%
35%
20%
18%
11%
38%
30%
10%
1%
1%
22%
21%
1%
0%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Gastgewerbe
Handwerksbetriebe
Gesundheits- & Sozialwesen
Wirtschaftsprüfer, Steuerberater,
Rechtsanwälte, Ingenieure
Finanz- & Versicherungsdienstleister
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
20
Für die zweite Gruppierung, darunter Handwerksbetriebe und das Gastgewerbe, werden
Umsetzungsgrad (vgl. Abb. 22) und Investitionsbereitschaft (vgl. Abb. 23) deutlich geringer
eingeschätzt. Allerdings wird auch die Bedeutung der IT-Sicherheit in diesen Branchen deutlich
geringer bewertet (vgl. Abb. 22).
Abb. 22: Umsetzungsgrad der IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)
Auf den ersten Blick überraschen diese Ergebnisse nicht. Es ist anzunehmen, dass Finanz- und
Versicherungsdienstleister, Wirtschaftsprüfer, Steuerberater, Rechtsanwälte und Ingenieure
sowie das Gesundheits- und das Sozialwesen strikteren gesetzlichen Vorschriften für den
Bereich der IT-Sicherheit unterliegen als das Handwerks- und das Gastgewerbe. Dennoch zeigt
die Selbsteinschätzung der KMU hinsichtlich der Bedeutung der IT-Sicherheit keine derartig
großen Unterschiede zwischen den Branchen [Bund12, S. 51]. Es liegt daher die Vermutung
nahe, dass IT-Dienstleister neue Kunden für den Bereich der IT-Sicherheit im Handwerks- und
Gastgewerbe finden könnten.
Abb. 23: Investitionsbereitschaft in IT-Sicherheit nach Branchen (Einschätzung durch IT-Dienstleister)
0%
10%
10%
10%
1%
21%
29%
42%
11%
11%
39%
40%
33%
39%
33%
27%
13%
12%
50%
55%
4%
7%
3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Gastgewerbe
Handwerksbetriebe
Gesundheits- & Sozialwesen
Wirtschaftsprüfer, Steuerberater,
Rechtsanwälte, Ingenieure
Finanz- & Versicherungsdienstleister
sehr hoch hoch mittel gering sehr gering
Basis n = 82
7%
7%
9%
17%
30%
36%
4%
7%
32%
33%
36%
40%
35%
28%
21%
17%
57%
58%
15%
9%
3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Gastgewerbe
Handwerksbetriebe
Gesundheits- & Sozialwesen
Wirtschaftsprüfer, Steuerberater,
Rechtsanwälte, Ingenieure
Finanz- & Versicherungsdienstleister
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
21
Anteil Sicherheitsvorfälle bei KMU
Nach Einschätzung der IT-Dienstleister ist die Wahrscheinlichkeit für KMU mit Problemen
durch Spam (52%), Virenangriffe (40%), Weitergabe der Benutzererkennung (32%) sowie
Ausfall der IT-Systeme (30%) konfrontiert zu werden hoch bis sehr hoch (vgl. Abb. 24).
Abb. 24: Anteil Sicherheitsvorfälle bei Kunden der befragten IT-Dienstleister
Im Vergleich mit der Selbsteinschätzung der KMU [Bund12, S. 21] ist auffällig, dass der Ausfall
von IT-Systemen aus Sicht der KMU ein deutlich häufigeres Problem darstellt als aus Sicht der
IT-Dienstleister. Dies könnte zum einen daran liegen, dass KMU, die von einem IT-Dienstleister
betreut werden, deutlich seltener von Ausfällen der IT-Systeme betroffen sind. Zum anderen
könnte man aber auch eine unterschiedliche Definition eines Ausfalls eines IT-Systems
vermuten.
0%
0%
1%
1%
2%
2%
2%
3%
5%
6%
10%
17%
23%
2%
6%
4%
6%
11%
11%
16%
4%
26%
24%
22%
33%
29%
20%
10%
16%
8%
21%
27%
16%
16%
33%
33%
12%
31%
37%
28%
25%
20%
24%
34%
27%
24%
32%
28%
19%
25%
10%
5%
50%
59%
59%
61%
32%
33%
42%
46%
9%
19%
31%
10%
6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Interne Unbefugte haben wichtige Daten gestohlen
Externe Unbefugte haben wichtige Daten gestohlen
Unternehmen wurde ausspioniert
Identitätsdiebstahl
Mobile Geräte (z.B. Notebooks, Smartphones) sind
abhanden gekommen
Datenschutzrechtliche Probleme sind aufgetreten
Unternehmen hat Gesetze durch mangelnde IT-
Sicherheit verletzt
Probleme mit Datenübermittlung an Banken
Daten wurden versehentlich verändert / gelöscht
IT-Systeme sind ausgefallen
Gleiche Benutzererkennung wurde an Zweitperson
weitergegeben
Probleme durch Virenangriffe
Probleme durch Spam
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
22
Ursachen für Sicherheitsvorfälle
Um die Anzahl der IT-Sicherheitsvorfälle in Zukunft zu minimieren, müssen zunächst die
Hauptursachen für Sicherheitsvorfälle analysiert werden (vgl. Abb. 25). Es fällt auf, dass viele
der IT-Dienstleister (61%) in Irrtum, Nachlässigkeit oder Unwissen einzelner Mitarbeiter ein
hohes oder sehr hohes Bedrohungspotenzial bei KMU sehen. Die Selbsteinschätzung der KMU
bestätigt diese Wahrnehmung [Bund12, S. 20]. Allerdings verwundert es ein bisschen, dass
dennoch lediglich 19% der KMU angeben, dass Ihre Mitarbeiter regelmäßig an IT-
Sicherheitsschulungen teilnehmen [Bund12, S. 26].
Abb. 25: Hauptursachen für Sicherheitsvorfälle
Außerdem fällt auf, dass, wie bereits bei den Sicherheitsvorfällen, die KMU erneut eine
deutlich häufigere Ursache im Ausfall von Technik sehen [Bund12, S. 20] als dies die
Einschätzung der IT-Dienstleister ausdrückt. Erneut liegt der Schluss nahe, dass KMU, die nicht
von einem IT-Dienstleister betreut werden, häufiger unter Ausfällen von Technik leiden als die
Kunden eines IT-Dienstleisters.
15%
6%
26%
46%
16%
12%
13%
10%
29%
28%
31%
18%
37%
26%
21%
9%
48%
68%
44%
58%
21%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Absichtliche Manipulation von IT oder Daten durch
Außentäter
Nichts davon
Absichtliche Manipulation von IT oder Daten durch
Innentäter
Spionage durch Nachrichtendienste oder
konkurrierenden Unternehmen
Ausfall der Technik
Irrtum, Nachlässigkeit oder Unwissen einzelner
Mitarbeiter
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
23
Hemmnisse bei der Verbesserung der IT-Sicherheit
Für die Verbesserung der IT-Sicherheit ist es zudem essentiell konkrete Maßnahmenkataloge
auszuarbeiten. Hierfür müssen die Hemmnisse beim Ausbau der IT-Sicherheit berücksichtigt
werden (vgl. Abb. 26).
Abb. 26: Hemmnisse bei der Verbesserung der IT-Sicherheit
Neben den zu erwartenden Faktoren wie Kostenaufwand, Personalmangel und fehlende
Qualifikation ist ersichtlich, dass die IT-Dienstleister wahrnehmen, dass IT-Sicherheitsthemen
immer noch auf Unverständnis bei den Mitarbeitern der KMU stoßen. Es könnte vermutet
werden, dass die Mitarbeiter derartige Maßnahmen als Bedrohung ihrer Flexibilität und
Benutzerfreundlichkeit der IT-Systeme ansehen [Bund12, S. 41].
9%
10%
15%
16%
22%
31%
31%
33%
35%
29%
48%
40%
35%
31%
31%
48%
8%
32%
34%
24%
26%
28%
23%
23%
18%
35%
18%
18%
11%
16%
12%
12%
12%
51%
9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Keine geeignete Lösungen verfügbar
Unübersichtlichkeit der vorhandenen Angebote
Keine Notwendigkeit zur Erhöhung der IT-Sicherheit
Zeitaufwand
Fehlendes Personal
Fehlende Qualifikation der Mitarbeiter
Kein direkt erkennbarer Vorteil oder Nutzen
Fehlende Akzeptanz bei den Mitarbeitern
Kostenaufwand
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
24
Ausblick
Die zukünftige Nachfrage nach IT-Sicherheitslösungen schätzen 55% der IT-Dienstleister als
hoch oder sehr hoch ein (vgl. Abb. 27). Vergleicht man diesen Wert mit der aktuell
eingeschätzten Nachfrage, die nur 15% der IT-Dienstleister mit hoch oder sehr hoch einstufen,
so lässt sich folgern, dass man mit einem starken Anstieg der Bedeutung der IT-Sicherheit und
dadurch der Nachfrage nach IT-Sicherheitslösungen durch KMU rechnet.
Abb. 27: Aktuelle und zukünftige Nachfrage nach IT-Sicherheitslösungen
Betrachtet man die mittelfristige Zunahme von IT-Sicherheitsrisiken, so erwarten 65% der
Fachexperten, dass in Zukunft eine hohe oder sehr hohe Zunahme stattfindet (vgl. Abb. 28).
Abb. 28: Mittelfristige Zunahme von IT-Sicherheitsrisiken
Sollte der erwartete Anstieg der Sicherheitsrisiken eintreten, ist eine weitere Sensibilisierung
der KMU für die Themen der IT-Sicherheit zu erwarten. IT-Dienstleister müssen sowohl auf die
zunehmenden Sicherheitsrisiken, als auch auf die steigende Nachfrage durch KMU vorbereitet
sein, um den künftigen Anforderungen gerecht werden zu können.
Abb. 29 zeigt die Nachfrage der KMU bei ihren IT-Dienstleistern nach IT-Sicherheitsstandards,
wie beispielsweise der ISO/IEC-27000er Reihe. Bei nur 3% aller IT-Dienstleister spielt die
Nachfrage nach IT-Sicherheitsstandards durch Ihre Kunden eine hohe oder sehr hohe
Bedeutung. Hingegen beschreiben 79% der Fachexperten die Nachfrage nach Standards als
sehr gering oder gering.
Abb. 29: Nachfrage IT-Sicherheitsstandards
11%
15%
44%
44%
33%
35%
11%
6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Aktuelle Nachfrage
Zukünftige Nachfrage
sehr hoch hoch mittel gering sehr gering
Basis n = 82
4% 61% 33%
0% 20% 40% 60% 80% 100%
Mittelfristige
Risikenzunahme
sehr hoch hoch mittel gering sehr gering
Basis n = 82
18% 31% 48%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Nachfrage IT-Sicherheitsstandards
sehr hoch hoch mittel gering sehr gering
Basis n = 82
IT-Dienstleister und IT-Sicherheit in KMU
25
Um auf eine mögliche Zunahme der IT-Sicherheitsrisiken bei KMU frühzeitig vorbereitet zu
sein, könnte eine Verschärfung der gesetzlichen Regelungen zur Umsetzung von IT-Sicher-
heitsstandards bei KMU zweckmäßig sein. Knapp die Hälfte aller IT-Dienstleister findet eine
derartige Verschärfung für KMU im Bereich IT-Sicherheit wünschenswert (Ja). 51% der
Befragten sehen keine Vorteile in der Neuausrichtung (Nein) der gesetzlichen Anforderungen
(vgl. Abb. 30). Ein möglicher Grund für Ablehnung verschärfter gesetzlicher Regelungen
könnte das Fehlen von IT-Sicherheitsstandards sein, die speziell auf die Belange von KMU
ausgerichtet sind.
Abb. 30: Verschärfung gesetzlicher Regelungen
41% 51% 8%0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
Ja Nein keine Angabe
Basis n = 82
Literaturverzeichnis
26
Literaturverzeichnis
[Bund12] BÜLLINGEN, Franz ; HILLEBRAND, Annette ; BUNDESMINISTERIUM FÜR WIRTSCHAFT UND
TECHNOLOGIE (BMWI) (Hrsg.): IT-Sicherheitsniveau in kleinen und mittleren Unternehmen -
Studie im Auftrag des Bundesministeriums für Wirtschaft und Technologie. Version: 2012.
http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/studie-it-sicherheit, Abruf: 12.09.2014
[Stat13] Statistisches Bundesamt: IKT-Branche in Deutschland. Bericht zur wirtschaft-
lichen Entwicklung. Wiesbaden 2013.
Über die Herausgeber
27
Über die Herausgeber
it-sa Benefiz - Gemeinnütziger Verein zur Förderung der IT-Sicherheit e.V.
it-sa Benefiz e.V. wurde im Mai 2009 gegründet. Ziel des Vereins ist die Förderung
von Wissenschaft und Forschung, Bildung und Erziehung. Insbesondere fördert der
Verein das Fachgebiet IT-Sicherheit innerhalb des Informatik-Studiums sowie die
Sensibilisierung für Gefahren der Informationstechnik und des Internets im Rahmen von Aus-
und Fortbildung. it-sa Benefiz e.V. ist u.a. Mitglied in der Allianz für Cyber-Sicherheit,
„Deutschland sicher im Netz“ und ASW (Arbeitsgemeinschaft für Sicherheit in der Wirtschaft).
Vereinsziele als St0eckbrief:
� Förderung der IT-Sicherheit in der Informationsgesellschaft
� Verankerung des Themas IT-Sicherheit in Studium, Bildung und Ausbildung
� Sensibilisierung für Risiken der Informationstechnik und des Internets im Rahmen von
Aus- und Fortbildung
� Nachwuchsförderung durch Vermittlung von Praktika, Stipendien und Diplomarbeiten
� Akzeptanz schaffen für das Thema IT-Sicherheit
Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme
Die Universität Regensburg ist eine bayerische Volluniversität, die sich seit ihrer
Gründung 1962 zu einem renommierten Lehr- und Forschungszentrum
entwickelt hat. Derzeit sind ca. 21.000 Studierende an der Universität Regensburg
eingeschrieben, davon knapp 1.500 Studierende aus dem Ausland. Die Universität ist in 11
Fakultäten gegliedert und beschäftigt mehr als 3.700 Mitarbeiter (davon ca. 380 Professoren).
Der Lehrstuhl für Wirtschaftsinformatik I – Informationssysteme wird von Prof. Dr. Günther
Pernul geleitet. Die Forschungsschwerpunkte des Lehrstuhls liegen in der Analyse,
Modellierung und dem Design von Informationssystemen sowie Sicherheit und Vertrauen in
und zwischen Informationssystemen. Dabei sind auch die Belange von KMU ein besonderes
Anliegen. Weitere Informationen können auf der Lehrstuhl-Homepage eingesehen werden:
www-ifs.uni-r.de
Forschungsprojekte des Lehrstuhls: www-ifs.uni-r.de/Research/Funded_Research
Auswahl aktueller Forschungsprojekte des Lehrstuhls:
SECBIT: Security, Education and Competence for Bavarian IT
Das Projekt fördert den Ausbau der Forschung, Anwenderberatung und die Aus- und
Weiterbildung als Kernaspekte der Kompetenzpartnerschaft IT-Sicherheit in Niederbayern
und der Oberpfalz. www.secbit.de
FORSEC: Bay. Forschungsverbund Sicherheit hochgradig vernetzter IT-Systeme
Der Bayerische Forschungsverbund FORSEC, koordiniert durch die Universität Regensburg,
setzt sich die Erforschung der IT-Sicherheit für hochgradig vernetzte IT-Systeme zum Ziel.
www.bayforsec.de
Über die Herausgeber
28
www.it-sa-benefiz.de www-ifs.uni-regensburg.de