KMU schätzen Bedarf an IT-Security falsch ein

Die Studien zu digitalen Gefahren und Internet-Kriminalität sind meist von der Security-Industrie selbst in Auftrag gegeben und wollen vor allem die Notwendigkeit von deren Produkten unterstreichen. Das jedenfalls meinen Kritiker. Doch dass das Säbelrasseln von Kaspersky, Sophos, Trend Micro, Symantec, G Data und anderen nicht nur Marketing ist, erkennen am Ende vor allem die Firmen, die selbst Opfer wurden.
Ende vergangenen Jahres ließ etwa G Data im Rahmen seiner Small Business Security Studie 2012 (als PDF hier) 304 kleine deutsche Firmen befragen um zu erfahren, wie diese Unternehmen mit IT-Sicherheit umgehen.

Weniger als die Hälfte hielt Schäden durch Cyber-Attacken und Schadprogramme für unwahrscheinlich.” Fast jeder sechste Betrieb geht von einer hohen Wahrscheinlichkeit aus, vier von zehn Firmen sehen dagegen nur ein geringes Schadensrisiko”, summiert G Data die Ergebnisse und kommt zum Schluss: “Kleinere Firmen fühlen sich sicher”.
Dass die meisten Firmen eher durch den Blick auf das verfügbare Geld zu diesem Trugschluss verleitet werden, will nun eine Studie von Kaspersky Labs ausfindig gemacht haben: “IT-Sicherheit ist eine Frage des Budgets”, betitelt das russische Security-Unternehmen die Bekanntgabe seiner aktuellen Umfrageergebnisse.
Security ist nicht mehr wert als Taschengeld
Demnach investieren Großunternehmen im Vergleich zu kleinen verhältnismäßig das Vierfache in IT-Sicherheit. Während die G-Data-Studie sich vor allem auf den Umgang der Unternehmen mit Security-Produkten konzentrierte und herausfand, dass guter Support den deutschen Unternehmen am wichtigsten ist, legte Kaspersky mit seiner weltweiten Befragung (PDF) eher darauf wert, wie viel Geld Unternehmen bereit sind, für Sicherheit in die Hand zu nehmen. Daher wurden sogar die Gesamtausgaben inklusive Hardware, Software und Beratung berücksichtigt.
Am sparsamsten sind tatsächlich kleine Unternehmen zwischen 10 und 99 Mitarbeitern. Sie geben lediglich 27 Euro pro Jahr und Mitarbeiter aus. Das entspricht in Deutschland den durchschnittlichen Ausgaben von Eltern für das Taschengeld ihrer Kinder. Diesen Wert nennt die “KidsVerbraucherAnalyse 2012“. Süffisant fügt die PR-Abteilung von Kaspersky an, dass “die Kids” das Geld auch wirklich bekommen.
Bei mittelgroßen Unternehmen mit bis zu 999 Mitarbeitern seien die Ausgaben kaum höher: Hier ermittelte Kaspersky durchschnittlich eine Investition von 38 Euro pro Mitarbeiter und Jahr. Erst Konzerne ab 1000 Mitarbeiter geben jedes Jahr rund 110 Euro pro Mitarbeiter für die Sicherheit aus.
Beide Studien kommen zum Ergebnis, dass IT-Sicherheit für Unternehmen weltweit (nach Wirtschaftskrisen) als die größte Bedrohung angesehen wird – man aber gerade in kleineren Unternehmen zu wenig für sie ausgibt. Von den für die Kaspersky-Studie befragten 3300 IT-Profis beschweren sich die meisten zudem darüber, dass ihre Vorgesetzten zu wenig Verständnis für die Cyber-Gefahr aufbringen und daher zu wenig Budget bereitstellen. Selbst aber haben 31 Prozent der Befragten zugeben müssen, dass sie noch nie etwas über die Einzelheiten der gängigsten Gefahren gehört hatten.

Know-how-Mangel senkt Sicherheit
Zu den Bedrohungen aus dem Internet müssen also nicht nur Sicherheits-Tools gekauft werden – größter notwendiger Kostenposten in der Zukunft wird wohl die Ausbildung in IT-Sicherheit sein. Und da ist nur zu hoffen, dass dafür die Budgets reichen.
Immerhin bescheinigt G Data den meisten kleinen deutschen Unternehmen, dass sie ihre IT-Infrastruktur mit Security-Software schützen – das war es aber dann, denn noch immer werde die Wahrscheinlichkeit der Schäden durch Cyber-Kriminalität falsch eingeschätzt, jammert das deutsche Security-Unternehmen. “Gerade kleinere Firmen werden heute immer häufiger angegriffen und geschädigt”, so der Anbieter. Grund sei vor allem, dass die Administration der Infrastruktur in den meisten Unternehmen nur als Teilzeitaufgabe wahrgenommen werde.
Und so empfehlen nahezu alle Security-Häuser, Mitarbeiter und leitendes Personal besser zu schulen und Cyber-Gefahren vorausschauend entgegenzutreten. Dass “nur” Anti-Malware-Schutz helfe, glauben inzwischen aber 5 Prozent weniger als im Vorjahr, ergibt Kasperskys aktuelle Befragung. Die Wichtigkeit verschlüsselter Datenspeicherung sensitiver Daten sehen inzwischen 7 Prozent mehr als 2011, und eine Strategie für das “Disaster Recovery” ist vier Prozent der Befragten wichtiger als im vergangenen Jahr. Es bewegt sich also etwas im bisher mangelhaften Security-Bewusstsein – aber immer noch im Schneckentempo.