Neue Wege für mehr Informationssicherheit in KMU

Die Unkenntnis über oder die Nichtbeachtung von Informationssicherheit und entsprechende betriebliche Richtlinien stellen erhebliche Gefahren für alle Unternehmen dar. Der Begriff Informationssicherheit bezieht sich dabei auf den Schutz von Informationen jeglicher Art und Herkun (Scholl & Ehrlich 2020:9) und geht über die o - trotz ihrer Verschiedenheit -synonym genutzten Begriffe IT-Sicherheit, Cyber-Sicherheit und Datenschutz hinaus. Gefährdungen existieren durch menschliche Fehlhandlungen, organisatorische Mängel, vorsätzliche Handlungen, technisches Versagen oder höhere Gewalt. Führungskräe und Mitarbeitende der Unternehmen sollten daher gegenüber technischen und organisatorischen Maßnahmen (TOM), mit denen den Gefährdungen angemessen begegnet werden kann, aufmerksam sein. Dies setzt in den Unternehmen eine aktive Personalentwicklung zur Informationssicherheit und ein umfangreiches Risikomanagement hinsichtlich der betrieblichen Prozesse voraus.Aufgrund der zeitlichen Verzögerung zwischen zum Beispiel einem Cyberangriff und seinen betrieblichen Auswirkungen können zudem langfristige Konsequenzen für ein Unternehmen resultieren, so dass eine langfristige Denkweise eine entscheidende Rolle bei der Reduzierung von Sicherheitsrisiken spielt. Gemäß Li et al. (2018) umfasst diese langfristige Ausrichtung drei Dimensionen, die in Unternehmen im Bereich Informationssicherheit etabliert werden müssen: Kontinuität, Zukunsfähigkeit und Ausdauer. Dieser Ansatz wurde auch im Rahmen des hier dargestellten Projekts Awareness Labor KMU (ALARM) Informationssicherheit mit dem Fokus auf Hilfe zur Selbsthilfe für kleine und mittlere Unternehmen (KMU) verfolgt. Dieses praxisorientierte Forschungsprojekt liefert mit seinen Ergebnissen einen fundierten Beitrag für eine aktive Personalentwicklung und nachhaltige Sensibilisierung. Das Projekt und seine Ergebnisse sind von besonderer Bedeutung für die Erhöhung des Sicherheitsniveaus in deutschen KMU, da Untersuchungen der Situation immer wieder zeigen, dass trotz der fortschreitenden Digitalisierung das Bewusstsein für IT-Sicherheit in Deutschland noch mangelhaft ist (vgl. z. B. Hensler-Unger u. Hillebrand 2018). Selbst wenn die Risikowahrnehmung gewachsen ist, fehlt es an einer umfassenden Umsetzung verschiedener Informationssicherheitsmaßnahmen, die nicht nur technischer Natur sein dürfen.