Projektberichte
Bild: Pixabay - geralt

IT-Sicherheit in KMU: Einsicht, aber kein Handeln? 

Kleine und mittlere Unternehmen aller Wirtschaftszweige sehen zwar die Notwendigkeit von IT-Sicherheit, setzen diese aber selten um. Haben große Unternehmen zu fast 2/3 ein Informationssicherheits-Management (ISMS) eingeführt, so sind es bei kleineren Unternehmen lediglich 13 Prozent (Quelle: DIHK-Digitalisierungsumfrage, 02/2021).
Die Gründe für diese fehlende Handlungsbereitschaft in KMU sind sicherlich vielfältig. Aber das, aus Sicht vieler Unternehmen, schlechte Aufwand-/Nutzenverhältnis der IT-Sicherheitsmaßnahmen spielt dabei wohl eine wichtige Rolle. Die Schwierigkeiten, die zunächst nicht sichtbare Bedrohung durch Cyberangriffe und die daraus resultierenden Schäden in diese Betrachtung einzubeziehen und vor allem auch den Beitrag zum Erfolg des eigenen Geschäftsmodells, mögen Gründe für diese negative Einschätzung sein. Andererseits müssen sich die Protagonist:innen von IT-Sicherheit aber auch fragen lassen, ob sie die Bedürfnisse und Möglichkeiten gerade der KMU aus dem Blick lassen.
Mit Blick auf die Anforderungen aktueller Informationssicherheits-Managementsysteme, wie z.B. der ISO 27001 oder des BSI-Grundschutzes an, kann diese Frage nur unterstrichen werden.  
Zur Wahrheit gehört aber auch, dass es z.B. mit der VdS 10000 sehr niederschwellige, d.h. aufwandsarme ISMS gibt, die KMU einen Einstieg in die IT-Sicherheit ermöglichen, einen ersten systematischen Schutz bieten und vor allem deutlich handhabbarer für die Unternehmen sind. Doch selbst solche ISMS stellen viele KMU vor besondere Herausforderungen: Wer soll sich darum kümmern? Wo sollen wir anfangen? Wie können wir die Erfüllung der Anforderungen in unseren Arbeitsalltag integrieren? 
Insbesondere in KMU muss das Thema IT-Sicherheit als Querschnittsaufgabe gesehen und verankert werden. Zur Verankerung gehört die klare Positionierung der Führung zum Thema IT-Sicherheit sowie das Schaffen der notwendigen organisatorischen Rahmenbedingungen. Auf dieser Basis kann dann jede:r im Unternehmen seinen/ihren Beitrag zu mehr IT-Sicherheit und zum Aufbau eines IT-Sicherheitssystems im Unternehmen leisten. Das bedeutet natürlich nicht, dass alle zu IT-Sicherheitsfachleuten werden. Wie dennoch jede:r einen Beitrag leisten kann, folgt in einem weiteren Blogbeitrag unter dem Begriff „Schweizer Käse Modell der IT-Sicherheit“. Es bleibt aber die Frage: Wie können die Beschäftigten aus dem Einkauf, der Personalabteilung oder der Arbeitsvorbereitung für das Thema begeistert oder besser gesagt, wie motiviert werden, Verantwortung für das Thema zu übernehmen?  
Die Bereitschaft Verantwortung für etwas zu übernehmen, sollte grundsätzlich auf Wissen fußen und einem grundsätzlichen Verständnis für die Bedeutung eines Themas, wie hier der IT-Sicherheit. Aber erst der Übergang von der grundsätzlichen zur persönlichen Bedeutung schafft die Grundlage, dass jemand zumindest bereitwillig und vielleicht sogar mit Begeisterung Verantwortung für ein Thema im Rahmen der eigenen Möglichkeiten übernimmt. Mit der Weiterbildungsplattform „KMU. Einfach Sicher.“ bieten wir Beschäftigten ohne IT-Sicherheitskenntnisse genau diesen Dreisprung an. Die auf didaktischen und medienpädagogischen Erkenntnissen beruhenden Weiterbildungsmodule erreichen die Menschen aus den „Nicht-IT-Abteilungen“ und verschaffen ihnen Handlungsmöglichkeiten im Rahmen ihres originären Arbeitsbereiches, einen Beitrag zur IT-Sicherheit für das Unternehmen zu leisten.  Ein Verständnis darüber, inwiefern kleinere Kniffe im Arbeitsalltag der Mitarbeitenden schon, in Summe, eine große Auswirkung auf das Sicherheitsniveau eines gesamten Unternehmens haben, kann die Sinnhaftigkeit des Themas für die Beschäftigen aufzeigen und so die Motivation anregen. 

Hier geht es zur Weiterbildungsplattform. Viel Spaß dabei! 

Bild des Projektmitarbeiters Michael Kemkes

Michael Kemkes

Technologienetzwerk InnoZent OWL e.V.


weitere interessante Blog-Artikel:

Weiterführende Inhalte