Die rasche Digitalisierung zwingt Unternehmen dazu, in neue Technologien zu investieren, um den Anschluss nicht zu verlieren. Um eine zielgerichtete Anwendung dieser Technologien sicherzustellen, müssen Firmen gleichzeitig Strukturen für IT-Governance, Risiko- und Compliance-Management (GRC) etablieren.
Wie der britische Naturforscher Charles Darwin treffend bemerkte, ist es „nicht die stärkste Spezies, die überlebt, auch nicht die intelligenteste, sondern diejenige, die sich am ehesten dem Wandel anpassen kann.“ Dieses Prinzip gilt auch für digitale Transformationsprozesse in Unternehmen und die notwendigen Absicherungsmaßnahmen, um langfristig wettbewerbsfähig zu bleiben.
Doch stellt sich die Frage, ob diese Erkenntnis gleichermaßen für kleine und mittlere Unternehmen (KMU) zutrifft. Wie schätzen KMU die Notwendigkeit von IT-GRC ein und in welchem Ausmaß besteht tatsächlich Handlungsbedarf?
Einfluss der Charakteristika von KMU auf IT-GRC
Herausforderungen für die Implementierung von IT-GRC können darüber hinaus insbesondere durch Familienkonflikte und Eigentümerwechseln sowie Insolvenzrisiken und Finanzierungsprobleme entstehen.
KMU sind nicht nur quantitativ auf zehn bis 49 und 50 bis 499 Mitarbeitende begrenzt, sondern auch qualitativ durch den maßgeblichen persönlichen Einfluss der Geschäftsführung geprägt. Häufig verfügen sie über eine starke Nischenexpertise, aber auch über deutlich geringere Budgetgrenzen als Großunternehmen.
Die mit der Digitalisierung einhergehenden Aufgaben müssen oft neben dem normalen Tagesgeschäft bewältigt werden. Hierbei lässt sich eine generelle Faustregel aufstellen: Je größer mittlere Unternehmen sind, desto eher haben sie eine eigene IT-Abteilung. Daraus entsteht im Rahmen der Digitalisierung gerade für kleinere Unternehmen das Problem, dass zahlreiche Mitarbeitende Gefahr laufen, in Sachen Datenschutz und Datensicherheit nicht hinreichend qualifiziert zu sein.
Weitere Herausforderungen für die Implementierung von IT-GRC können insbesondere durch Familienkonflikte und Eigentümerwechsel sowie Insolvenzrisiken und Finanzierungsprobleme entstehen. KMU stehen somit vor der Aufgabe, trotz begrenzter Ressourcen die Digitalisierung strategisch anzugehen und dabei auch IT-Sicherheitsaspekte angemessen zu berücksichtigen
Gemäß einer Bitkom-Studie aus dem Jahr 2018 waren 73 Prozent der KMU bereits von Datendiebstahl oder Cyberspionage betroffen – zumindest wurde es in diesem Ausmaß entdeckt. IT-Sicherheit ist in Deutschland weder die Ausnahme noch die Regel: Eine Studie von Ende 2023 des Unternehmens Sage zeigt, dass zwei Drittel der befragten KMU Cybersicherheit als Teil der Unternehmenskultur betrachten, allerdings nur 40 Prozent regelmäßig darüber sprechen und 68 Prozent regelmäßig eine Überprüfung durchführen. Damit liegen sie eindeutig unter dem weltweiten Durchschnitt von 76 Prozent. Lediglich 41 Prozent halten es für eine Herausforderung, mit neuen Bedrohungen Schritt zu halten. Und das, obwohl allein im vergangenen Jahr 55 Prozent der Unternehmen von einem Cybersicherheitsvorfall betroffen waren.
In Deutschland entsteht jährlich durch Datendiebstahl und Wirtschaftsspionage ein Schaden von rund 100 Milliarden Euro. Angriffe lassen sich mittlerweile als Cybercrime-as-a-Service im Darknet kaufen. Neben den monetären Schäden führen solche Angriffe auch zu Reputationsschäden, welche wiederum zu weiteren Umsatzeinbußen führen können. Diese Gefahren sind für viele KMU real, weil sie häufig weder ihre konkrete Bedrohungslage noch ihr Risikoprofil kennen.
Variabilität von KMU
Die Best-Practice-Ansätze für IT-Sicherheit sind in den seltensten Fällen mittelstandstauglich und deswegen auch nicht weit verbreitet. Das hängt mit zu hohen Kosten für die IT, begrenzten personellen Ressourcen und fehlendem Bewusstsein für die Notwendigkeit der Implementierung zusammen. Deswegen setzen KMU oft keine ganzheitlichen Lösungen um, sondern greifen eher auf einzelne technologische Maßnahmen zurück. Gerade wegen der Individualität und Vielfältigkeit von mittelständischen Unternehmen gibt es für die Umsetzung keine Blaupause, sondern eher grundlegende Leitlinien für die Einführung geeigneter Standards.
Wie verschieden die Ansätze sein können und müssen, lässt sich durch eine Skizzierung der unterschiedlichen Beschaffenheit von mittelständischen Unternehmen aufzeigen. In Kleinst- und Kleinunternehmen wird die IT oft ausgelagert, es gibt keine klare Verantwortung für die IT und es herrscht eine hohe Risikotoleranz aufgrund von geringer Risikokapazität. Größere Kleinunternehmen haben gegebenenfalls schon eine IT-Abteilung und lediglich komplexere Aufgaben müssen wegen begrenzter interner Fähigkeiten und Kapazitäten ausgelagert werden. Mittelgroße Unternehmen haben hingegen bereits eine heterogene IT-Landschaft, kaufen Software eher, als sie selbst zu entwickeln, um sie anschließend anzupassen, und lagern die komplexesten Aufgaben noch immer aus.
Durch diese Besonderheiten und Variablen der Beschaffenheit entstehen bei komplexen Rahmenwerken wie COBIT Einführungsbarrieren. Es bedarf erst einer notwendigen Spezifizierung des Rahmenwerks durch das kleine oder mittlere Unternehmen, die tiefgreifende Kenntnisse der Anforderungen voraussetzt. Außerdem sind zahlreiche kleine und mittlere Unternehmen mit der Umsetzung von IT-Sicherheitsstandards sowie umfassenden Datenschutzgesetzen wie etwa der Datenschutzgrundverordnung (DSGVO) oder der ePrivacy-Verordnung schlichtweg überfordert. Es bedarf eines Ansatzes, der die Besonderheiten der KMU miteinkalkuliert.
Ansatz für IT-Governance, Risiko- und Compliance-Management für KMU
IT-GRC kann allgemein als eine integrierte Planungs- und Kontrollsicht von Chancen und Risiken eines Unternehmens definiert werden, die sich aus der Nutzung von Informationen als Produktionsfaktor im „Zeitalter der Digitalisierung“ ergeben. Für kleine und mittlere Unternehmen lässt sich ein Ansatz des Mittelstand-4.0-Kompetenzzentrums IT-Wirtschaft zur Wahrnehmung, Messung und Steuerung von IT-GRC aus sechs Kompetenzbereichen vorstellen.
IT-Governance besteht aus Organisationsstrukturen und Prozessen, die gewährleisten sollen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Notwendig dafür ist die Entwicklung einer ganzheitlichen IT-Strategie. Diese sollte die Installation geeigneter IT-Steuerungsstrukturen und die Einführung von IT-Aufsichtsrollen, die Regelung von Entscheidungsfindungsprozessen zur Digitalisierung und die Etablierung eines IT-Investitions- und Projektmanagements beinhalten.
IT-Compliance hat das Ziel, einen Zustand zu erreichen, in dem alle verbindlich vorgegebenen Vorgaben, die die IT des Unternehmens betreffen, nachweisbar eingehalten werden. Insbesondere durch die Nutzung eines sich ständig vergrößernden Datenbestandes steigt die Relevanz der regelkonformen Nutzung dieser Daten immer weiter. Das gilt für die Umsetzung der DSGVO und für die Umsetzung weiterer allgemeiner gesetzlicher Vorgaben wie des Handelsgesetzbuchs (HGB) oder der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Außerdem müssen die durch das Unternehmen selbst etablierten Regelungen und Verfahrensanweisungen sowie die branchenspezifischen Gesetze eingehalten werden. Die darauffolgenden vier Kategorien Security Awareness, ISMS, Cyber Security und Mobile Sicherheit sind hingegen dem Risikomanagement zuzuordnen.
Security Awareness kann als der bewusste Umgang mit Informationen unabhängig vom Medium im Hinblick auf Sicherheitsgefahren verstanden werden. Diese Kategorie ist von hoher Wichtigkeit, weil der Mensch zwar Schöpfer der technischen Strukturen ist, aber dennoch zu einer enormen Schwachstelle für die IT-Sicherheit werden kann. Gerade in KMU ist es unabdingbar, den Sensibilisierungsgrad von Mitarbeitenden und Management zu erhöhen, da sich diese über das Risikopotenzial häufig nicht im Klaren sind und der bewusste Umgang mit den Sicherheitsgefahren dadurch Gefahr läuft auszubleiben. Hierfür ist die Schaffung von IT-Sicherheitsbeauftragten als Ansprechpartner und Meldestellen ein wichtiger Schritt. Außerdem müssen Mitarbeitende bestmöglich über aktuelle Sicherheitsbedrohungen informiert werden.
Ein Information Security Management System (ISMS) bezeichnet ein System für das betriebliche Management der Informationssicherheit, welches beispielsweise nach verbreiteten Ansätzen wie COBIT oder dem BSI-Grundschutz aufgebaut wird. Solche Rahmenwerke geben vor, welche Maßnahmen die Organisation für das Erlangen von Informationssicherheit umsetzen muss. Dazu zählen technische Vorgaben, wie das Schaffen von Firewalls, und physische IT-Sicherheit, beispielsweise durch begrenzte Zugänge zum Rechenzentrum der Organisation. Die Umsetzung dieser Ansätze ist oft zu komplex. Für kleinere mittelständische Unternehmen empfiehlt es sich deswegen, ein ISMS etwa mit dem Ansatz CISIS12 zu errichten.
Die Cybersicherheit schließt sämtliche Bedrohungen aus dem Internet gegenüber verbundenen IT-Infrastrukturen und deren Prozesse mit Daten und Informationen ein. Zentral sind hier die Erkennung und Prävention von Cyberangriffen und Malware sowie die generelle Überwachung des Netzwerkverkehrs. Durch Logging und Monitoring von Zugriffen kann dabei die Gefahr von Datenabfluss verringert werden. Die Sicherheit muss durch verschlüsselte Kommunikation ebenfalls beim Datenaustausch mit anderen mittelständischen Unternehmen garantiert werden.
Wegen der Auslagerung vieler Prozesse und Datenbestände steigt die Popularität von Cloud-Speicherungssystemen, wodurch die Implementierung einer Cloud-Regulierung ebenfalls wichtiger wird. Insgesamt ist ein Security-by-Default-Ansatz entscheidend: Sicherheitsmaßnahmen sollen von Beginn der Nutzung eines Systems oder Programms an integriert werden, damit die Sicherheit der Daten von Beginn an proaktiv verhindert werden kann.
Eine große Angriffsfläche für die IT-Sicherheit bietet die sich auflösende Grenze zwischen Arbeit und Privatleben. Das geschieht insbesondere durch die Nutzung privater mobiler Endgeräte für die Arbeit. Dieses Risiko ist in mittelständischen Unternehmen häufig hoch, weil die IT-Standards weniger ausgeprägt sind. Das gilt insbesondere für Start-ups beziehungsweise genereller für Unternehmen mit überwiegend jungen Mitarbeitenden.
Der Einsatz von Mobile Application und Device-Management-Systemen soll durch zentrale Administration der Anwendungen von Firmengeräten IT-Sicherheit und Kontrolle ermöglichen. Verschlüsselungsmechanismen können den Fernzugriff erschweren und ungewünschte Zugriffe verhindern. Diese Gefahr kann durch eine angemessene Passwortkomplexität und 2-Faktor-Authentifizierung weiter eingedämmt werden.
Ausblick
KMU sollten sich mit den Handlungsempfehlungen für einen möglichen IT-GRC-Ansatz beschäftigen, um ein Grundfundament an IT-Sicherheit zu erreichen, sofern dies noch nicht geschehen ist. Dabei ist zu beachten, dass viele Empfehlungen nicht auf jede Organisationsstruktur anwendbar sind.
Abgleiche mit solchen oder ähnlichen Modellen eines Ansatzes können dennoch dabei helfen, ein Bewusstsein dafür zu entwickeln, an welchen Stellen ein mittelständisches Unternehmen bereits Stärken in der IT-Sicherheit aufweist und wo noch Veränderungsbedarf besteht. Denn der Fortgang von Innovationen durch Arbeit und Industrie 4.0 macht auch vor dem Mittelstand keinen Halt. Entweder man baut sich ein Boot und schwimmt auf dem Fluss, oder man versucht es ohne Boot und läuft Gefahr, durch die Strömung hinuntergerissen zu werden.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Cybersecurity. Das Heft können Sie hier bestellen.
