Kaspersky mit „Entscheider“-Umfrage zur IT-Sicherheit

Bei Kaspersky wurde der „Report Cybersicherheits-Eckpfeiler für proaktive Entscheidungsträger“ publiziert (hier als PDF zu finden). Wenig überraschend sind die Erkenntnisse daraus, wobei daran zu denken ist, dass es um europaweite Erkenntnisse geht, also nicht auf Deutschland beschränkte Befragungen:

  • So sollen laut dem Report 66,4 % der Befragten meinen, dass von Cyberattacken betroffene Organisationen nicht den gleichen Schutz und die gleiche Unterstützung erhalten wie bei Straftaten im realen Leben. So sollen dann 59,2 % eine mangelnde staatliche Unterstützung für Unternehmen ankreiden und 64,4 % einfordern, dass Verbrechen in der Cyberwelt genauso hart bestraft werden wie Straftaten im realen Leben. Letzteres ist jedenfalls in Deutschland ein Unkenruf, so zu tun als wären es hier unbedeutende Bagatellen lässt sich aus meiner Sicht nicht mehr vertreten.
  • Ein weitaus grösseres Problem ist, dass 52,8 % von Sorge geprägt scheinen, persönlich für Sicherheitsvorfälle im eigenen Unternehmen in Anspruch genommen zu werden. In der Tat muss dringend das vor allem deutsche Modell, generalpräventive Aspekte durch die „Bestrafung“ von Opfern von Straftaten Dritter zu schaffen, auf den Prüfstand gehört. Das mit der DSGVO EU-weit umgesetzte Modell scheitert in der Praxis daran, dass man letztlich nur Vertuschung fördert.

Die Studie zeigt dabei ein erhebliches Problem auf: Etwa die Hälfte soll darauf verweisen, schon daran zu scheitern, vertrauenswürdige IT-Sicherheitspartner zu finden – oder an mangelndem Geld hierfür zu scheitern.

Insgesamt, und auch das verdeutlicht die Studie vor allem wohl ungewollt, ergeben sich erhebliche weiße Flecken bei der IT-Sicherheit: Es fällt auf, dass gerade grössere Unternehmen immer wieder im Fokus der Berichterstattung stehen. Auch wenn die Rede gerne von „kleinen mittelständischen Unternehmen“ ist: Cybersecurity betrifft alle Unternehmen, vom Metzger und Bäcker vor Ort über kleine Anwlatskanzleien und Ärzte bis zu Herstellern und Konzernen. In solchen Studien geht es dann daraum, dass man 20% seines IT-Budgets für IT-Sicherheit ausgeben soll. Das stimmt sicherlich, allerdings verkennt man, dass gerade „die kleinen vor Ort“ nicht mal ein echtes IT-Budget haben und sich selbst im Fall einfacher Rechtsstreitigkeiten nicht mal einen Anwalt leisten können. Wer IT-Sicherheit will, muss die Masse in den Blick nehmen – denn ohne eine IT-Hygienemaßnahme wie die IT-Sicherheit in breiter Masse werden immer viele andere infiziert werden.

Fachanwalt für IT-Recht Jens Ferner