03675 Der Blick fürs Wesentliche – Ein praktischer ISM-Leitfaden für KMU
|
Für Risikomanagement und IT-Sicherheitsmanagement in kleineren und mittleren Unternehmen (KMU) fehlt es an Leitlinien, die sowohl systematisch als auch praktikabel sind. Die gängigen ISM-Modelle einerseits sind für größere Unternehmen konzipiert und mit den begrenzten Ressourcen kleinerer Unternehmen kaum umzusetzen, spezielle Empfehlungen für KMU andererseits wirken meist willkürlich zusammengestellt und unvollständig. Durch Kombination mehrerer der gängigen IT-Managementmodelle lässt sich eine generelle Vorgehensweise entwickeln, die diese Lücke schließt. Arbeitshilfen: von: |
1 Einleitung
KMU zwischen Anspruch und Realität
Die kleineren Unternehmen stecken in der Klemme. Dass die IT eine der Kernfunktionen eines Unternehmens darstellt und damit der Informationssicherheit eine zentrale Rolle sowohl für unternehmensinterne Belange als auch in Bezug auf rechtlich-externe Anforderungen zukommt, ist den meisten Geschäftsführungen bekannt. Es wird von verschiedensten Seiten genug darüber berichtet. Aber wie das in einer kleinen Umgebung umzusetzen ist, wie also Unternehmenswerte und die Art ihrer Bedrohung konkret zu identifizieren und eine systematische Schutzstrategie zu implementieren ist, ist alles andere als offensichtlich. Begriffe wie „Risikomanagement” oder „IT-Sicherheitsmanagement” klingen einfach zu groß für die Kleinen und Mittleren. Dabei ist der weitaus größte Anteil der Unternehmen von diesem Dilemma betroffen. KMU machen in Deutschland über 99,5 % aller Unternehmen aus. Davon zählen wiederum nur etwa 1,5 % zu den „mittleren Unternehmen” mit 50–250 Beschäftigten, der Rest sind kleine und kleinste Unternehmen. Alle statistischen Angaben stammen übrigens vom Institut für Mittelstandsforschung (IfM) Bonn [1].
Die kleineren Unternehmen stecken in der Klemme. Dass die IT eine der Kernfunktionen eines Unternehmens darstellt und damit der Informationssicherheit eine zentrale Rolle sowohl für unternehmensinterne Belange als auch in Bezug auf rechtlich-externe Anforderungen zukommt, ist den meisten Geschäftsführungen bekannt. Es wird von verschiedensten Seiten genug darüber berichtet. Aber wie das in einer kleinen Umgebung umzusetzen ist, wie also Unternehmenswerte und die Art ihrer Bedrohung konkret zu identifizieren und eine systematische Schutzstrategie zu implementieren ist, ist alles andere als offensichtlich. Begriffe wie „Risikomanagement” oder „IT-Sicherheitsmanagement” klingen einfach zu groß für die Kleinen und Mittleren. Dabei ist der weitaus größte Anteil der Unternehmen von diesem Dilemma betroffen. KMU machen in Deutschland über 99,5 % aller Unternehmen aus. Davon zählen wiederum nur etwa 1,5 % zu den „mittleren Unternehmen” mit 50–250 Beschäftigten, der Rest sind kleine und kleinste Unternehmen. Alle statistischen Angaben stammen übrigens vom Institut für Mittelstandsforschung (IfM) Bonn [1].
IT läuft nebenher
In Unternehmen mit weniger als 50 Mitarbeitern ist nur in seltenen Fällen ein Team von IT-Spezialisten vorhanden, das das Fachwissen für alle benötigten Bereiche aufbauen und pflegen kann und das in der Lage ist, IT-Projekte mit dem benötigten Zeitaufwand sorgfältig umzusetzen. Oft macht einer der Mitarbeiter, der ein bisschen technikinteressierter ist, das Computernetzwerk so nebenbei mit. Und fast überall werden Server oder IT Services nach der Implementierung sich selbst überlassen, bis irgendjemandem Fehler auffallen.
In Unternehmen mit weniger als 50 Mitarbeitern ist nur in seltenen Fällen ein Team von IT-Spezialisten vorhanden, das das Fachwissen für alle benötigten Bereiche aufbauen und pflegen kann und das in der Lage ist, IT-Projekte mit dem benötigten Zeitaufwand sorgfältig umzusetzen. Oft macht einer der Mitarbeiter, der ein bisschen technikinteressierter ist, das Computernetzwerk so nebenbei mit. Und fast überall werden Server oder IT Services nach der Implementierung sich selbst überlassen, bis irgendjemandem Fehler auffallen.
Der Konflikt zwischen Anspruch und Wirklichkeit wird noch durch den Umstand verschärft, dass in diesen KMU von zwei Dritteln aller sozialversicherungspflichtigen Beschäftigten leider nur gut ein Drittel aller Umsätze erwirtschaftet wird. Das bedeutet ganz schlicht: Die Gewinnmargen sind gering, und die vorhandenen Mittel sehr begrenzt. So scheidet oft auch die Option aus, das IT-Sicherheitsmanagement an externe Dienstleister auszulagern, weil zeitlich umfangreiche und kostspielige IT-Projekte einfach nicht drin sind.
