Hamburg, 13. November 2003 - Das IT- und Sicherheitsmanagement im deutschen Mittelstand ist unzureichend. Der organisatorische und technische Status der IT- (Sicherheits-) Infrastruktur deutscher Unternehmen birgt enormes Verbesserungspotential. Dieses Ergebnis erbrachte eine Umfrage der Wirtschaftsprüfungsgesellschaft Deloitte & Touche und der Handelskammer Hamburg unter Hamburger Mittelstandsunternehmen.

Die Ergebnisse im Einzelnen

Informationstechnologie ist für mittelständische Unternehmer ein wichtiges Thema, um das sich in der Regel der Geschäftsführer selbst kümmert und der die direkte Verantwortung trägt. Investitions- und Richtungsentscheidungen fällt in über der Hälfte der Fälle der Geschäftsführer direkt. Immerhin noch bei einem Drittel der Befragten ist der IT-Leiter alleine verantwortlich für IT-Ausgaben. Genau umgekehrt verhält es sich mit der operativen Managementverantwortung in der IT. In knapp 60 % der Unternehmen trägt ein IT-Leiter die Managementverantwortung für den laufenden Betrieb in seinem Bereich. Die Managementverantwortung deckt sich aber offensichtlich nicht mit der Budgetverantwortung. Die Frage bleibt offen, wie diese Diskrepanz im täglichen Arbeitsumfeld bewältigt wird.

Häufigkeit und Ursachen von Systemausfällen

66 % der befragten Unternehmen verzeichneten in den vergangenen 12 Monaten einen bemerkbaren Ausfall ihrer IT-Systeme. 50 % davon nannten als Ursache am häufigsten Hard- und Software-Fehler. Halb so oft waren Virenattacken und Stromausfälle schuld an den Systemausfällen. Fehlbedienungen spielten noch in 10% der Fälle eine Rolle.

Peter Wirnsperger, Senior Manager in der Security Services Group bei Deloitte & Touche, rät aufgrund dieser Ergebnisse: „Dass in Unternehmen Systeme in der genannten Häufigkeit ausfallen, sollte ein deutlicher Warnhinweis sein, mehr in das Management der IT-Infrastruktur zu investieren. Ereignisse wie diese können jeden treffen!"

Auf die Frage, welche Systeme von den bemerkten Ausfällen betroffen waren, führten die Unternehmer am häufigsten das E-Mail-System (42 %) an. Besonders geschäftskritische Anwendungen wie ERP-Systeme waren zu 25 % durch die Systemausfälle beeinträchtigt. Der Rest verteilt sich auf nicht näher spezifizierte IT-Systeme wie beispielsweise Einzelplatzrechner oder Dateiserver.

Wirnsperger interpretiert die Zahlen so: „Nachdem die Antworten lediglich auf Ausfälle abzielten, durch die das ungestörte Arbeiten behindert wurde, nehmen wir an, dass die eigentliche Zahl der Systemausfälle wesentlich höher liegt. Wahrscheinlich ist, dass die Betroffenen weitere IT-Ausfälle als „normale Wartungsarbeiten" deklarieren und damit als notwendiges Übel dulden."

Erschreckend hohe Ausfallzeiten - Dunkelziffer bei den Kosten

Mit 12 Stunden lag die Dauer der durchschnittlichen Ausfallszeit in einem erschreckend hohen Bereich, wobei die Streuung aller Antworten im Bereich von 15 Minuten bis zu 72 Stunden lag. Der Geschäftsverlust und die Kosten für den Systemausfall im Einzelnen wird mit zwei Ausnahmen auf null beziehungsweise nicht bezifferbar bewertet. Nur in seltenen Fällen können Unternehmen die Ausgaben für IT-Sicherheit und mögliche Schäden angeben.

Die befragten Unternehmer bemängeln, dass der Mittelstand händeringend nach einfachen Kosten-/ Nutzenrechnungen für das Sicherheitsmanagement der IT sucht. Die IT-Branche blieb bisher allerdings die Antworten noch schuldig.

Peter Wirnsperger empfiehlt den Mittelständlern, sich an großen Unternehmen zu orientieren: „Banken betreiben schon seit langem konsequentes Sicherheitsmanagement auf hohem Niveau. Der Mittelstand kann von diesen Erfahrungen lernen und für sich daraus Lösungen ableiten, die der Größe, Komplexität und Branchenausrichtung des eigenen Unternehmens entsprechen."

Mittelständische Auswege aus der Problematik

In 50 % der Fälle schaffte das Unternehmensmanagement neue Hard- oder Software oder beides zur Problembeseitigung an und in jedem fünften Fall veranlassten sie organisatorische Änderungen und Mitarbeitertrainings.

Zur Lösung von neuen Anforderungen und Problemfällen im IT-Bereich setzen die meisten Unternehmen ausschließlich die eigenen Mitarbeiter ein (50 %). Auf Berater und externe Dienstleister greifen lediglich 18 % zurück. Die verbleibenden 32 % geben an, Projekte durch die interne IT-Abteilung mit teilweise externer Unterstützung umsetzen zu lassen.

Dr. Alexander Neunzig, bei der Handelskammer Hamburg verantwortlich für die IT-Anwenderberatung, schätzt die Situation so ein: „Auch in mittelständischen Unternehmen hat die Komplexität der Anforderungen an die interne IT in den vergangenen Jahren enorm zugenommen. Sollte das Fachwissen im Bereich der IT-Sicherheit nicht vorhanden sein, so empfehlen wir kleinen und mittleren Unternehmen, gezielt auf die Erfahrung externer Berater für die Analyse von Schwachstellen zurückzugreifen."

Maßnahmen zur Problembeseitigung

Die befragten Unternehmen haben für die nächsten 6 Monate die Durchführung eines Sicherheitsprogramms geplant. Folgende Projekte möchten die Mittelständler anpacken.

Unabhängige Studien belegen, dass Unternehmen generell sehr geringe Budgets für IT-Sicherheitsmaßnahmen bereitstellen. In kleinen und mittleren Unternehmen sind diese Werte oft dramatisch niedrig. Die hohe Zahl und lange Dauer von Systemausfällen ist direkte Folge dieser Ausgabenbeschränkung.

Wenn allerdings Unternehmen die Basissicherheitstechnologien bereits eingeführt haben oder die Einführung planen, kann die Einbettung in die Organisation noch verbesserungswürdig sein. Es besteht zukünftig weiterer Bedarf an neuer und technisch verbesserter Abwehr- und Managementsysteme.