Security Awareness im KMU-Bereich – die Quadratur des Kreises
In der Diskussion um Security Awareness wird im Kontext kleiner und mittlerer Unternehmen (KMU) häufig angeführt, dass das Thema dort nicht die Priorität habe, wie es in Großunternehmen vermeintlich der Fall sei. Was also charakterisiert die Situation im KMU-Bereich?
Mittelständische Unternehmen stehen laut einer Studie des Marktforschungsunternehmen IDC in einem ausgeprägten Abhängigkeitsverhältnis von der IT. Sie verlassen sich in sicherheitsrelevanten Fragen auf externe Anbieter, kennen zwar die unmittelbaren Gefahren für die IT, sind aber stark mit "low-level"-Aufgaben rund um die IT-Sicherheit (z.B. Updates, Monitoring) beschäftigt.
Mitarbeiter in kleinen Unternehmen sind häufiger Spam, Phishing und Spyware ausgesetzt. Sie verhalten sich zudem risikoreicher als ihre KollegInnen in Großunternehmen. Genereller Handlungsbedarf in Sachen Awareness ist somit auch im KMU-Umfeld gegeben.
Security Awareness im KMU-Bereich – die Quadratur des Kreises?
Security Awareness im KMU-Bereich – allzu schnell wird da einfach abgewunken. Keine Zeit, kein Geld, niemand der sich darum kümmert ergo keine Awareness? Die in doppeltem Sinne "medienwirksame" Darstellung von Awareness-Aktivitäten beschränkt sich in der Tat hauptsächlich auf Kampagnen aus dem großunternehmerischen Kontext. Wer hat noch nicht von den vielfältigen Awareness-Aktivitäten der SAP, der Münchener Rück oder RWE AG gehört? Dennoch - Awareness ist genauso ein Thema im Segment der KMUs - wenngleich mit anderen Mitteln. Die entscheidende Startvoraussetzung, nämlich das "committment" der Unternehmensleitung ist dieselbe wie bei Großbetrieben. Danach haben die KMUs einen entscheidenden Vorteil im Hinblick auf weitere Realisierungsschritte.
Lebt die Unternehmensleitung sicherheitskonformes Verhalten glaubhaft vor, so ist der Awareness-Prozess im KMU-Bereich als solcher vergleichsweise leichter umzusetzen als im großunternehmerischen Kontext. Warum? Weil bei dem typischen top-down Awareness-Ansatz eben nicht x-Managementebenen durchdrungen werden müssen, bei denen die Gefahr der Verwässerung besteht.
In Betrieben dieser Größenordnung hat der für Sicherheit Verantwortliche auch viel eher die Chance, sich direkt mit den Mitarbeitern zum Thema Sicherheit auseinanderzusetzen. Anforderungen und Wünsche, Bedenken und Anregungen der Mitarbeiter kann er unmittelbar mit ihnen austauschen – dieser direkte "Kundenkontakt" des Sicherheitsverantwortlichen stellt einen, im Vergleich zur vielfach anonym geprägten Situation in Großbetrieben und Konzernen, entscheidenden Erfolgsfaktor für Awareness im KMU Segment dar.
Auch bei beschränkten zeitlichen Ressourcen für das Thema Sicherheit - der Sicherheitsverantwortliche hat aufgrund überschaubarerer Organisationsstrukturen viel eher und stetig die Möglichkeit zum persönlichen Gespräch, ein weiterer nicht zu unterschätzender Vorteil. Das stetige, persönliche Gespräch ist dabei zwar kein medienwirksamer, dafür aber ein für dieses Unternehmenssegment angemessener, kostengünstiger wie auch nachhaltiger Weg zur Steigerung des Sicherheitsbewusstseins. Dies kombiniert mit einer an den konkreten Risiken orientierten, die Mitarbeiter involvierenden und nachhaltigen Wissensvermittlung, sowie einem soliden Standing des Sicherheitsverantwortlichen bei Mitarbeitern und Unternehmensleitung wird den Weg der Sensibilisierung mit vergleichweise einfachen Mitteln ebnen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER