Beschreibung des Ansatzes
KMU können gemäß der Literaturanalyse bei Berücksichtigung der wesentlichen relevanten Themen schon mit überschaubarem Aufwand eine signifikante Erhöhung des erforderlichen Schutz- und Konformitätsniveaus erreichen, wenn sie alle relevanten Kompetenzen beachten. Um die Wahrnehmung und das Management der relevanten Fähigkeiten eines KMU zu unterstützen, wird aus der Literaturanalyse im Folgenden ein IT-Governance, Risiko- und IT-Compliance (IT-GRC) Ansatz für KMU abgeleitet. Nach Sichtung, Priorisierung, quantitativer (Anzahl der Publikationen zum Kompetenzbereich) und inhaltlicher Analyse wurden acht Kategorien identifiziert, zu denen in Bezug auf KMU in den 1622 Treffern publiziert wurde. Es waren dies die Kategorien:
-
1.
Information Security Awareness
-
2.
IT-Governance
-
3.
IT-Compliance und Datenschutz
-
4.
Information Security Management (ISM)
-
5.
Technische und physische IT-Sicherheit
-
6.
Cybersicherheit und Cloud Computing
-
7.
Web Application Security und Secure Software Engineering
-
8.
Mobile Security und BYOD
Diese Kategorien wurden den 14 Experten mit der Bitte vorgelegt, jede Kategorie zu kommentieren und dann ein übergreifendes Feedback zur Eignung für KMU zu geben.
Das umfangreiche Feedback fiel in mehreren Punkten recht einhellig aus, d. h. es wurde von einem Drittel bis sogar der Mehrheit der Experten gleichermaßen gegeben. Dies betrifft die folgenden Punkte:
-
a)
Die Wichtigkeit und Bedeutung aller Kategorien für die KMU-Praxis wurde bestätigt.
-
b)
Die Kategorien 5. und 7. wurden als nicht disjunkt und Teil der Kategorien 4. und 6. angesehen.
-
c)
Die Kategorie 4. „Information Security Management (ISM)“ wurde als übergreifend über viele anderen Kategorien eingestuft. Es wurde empfohlen, hier für KMU lediglich das Etablieren eines KMU-freundlichen, schlanken „ISMS“ oder eines ISMS-Sicherheitsprozesses (z. B. nach Vorbild BSI-Standard 200-1) aufzunehmen.
-
d)
Auch wenn die Reihenfolge keine Priorisierung bedeutete, wurde übereinstimmend von stark Management-bezogenen Kategorien hin zu technischen Kategorien sortiert, siehe die finale Kategorienliste unten.
Die finalen Kategorien sind demnach:
-
1.
IT-Compliance
-
2.
IT-Governance
-
3.
Security Awareness
-
4.
ISMS
-
5.
Cyber-Sicherheit
-
6.
Mobile Sicherheit
Die Kategorie „ISMS“ ist dabei gemäß einschlägiger Normen (insb. BSI Grundschutz und ISO 27001) sehr umfassend, jedoch wurde sie von jedem Experten als ein einzelner Bestandteil des Ansatzes bestätigt, da der Begriff ISMS in der KMU-Praxis faktisch nicht selten auf einen speziellen Unternehmensprozess, meist auf technische IT-Sicherheitsmaßnahmen, oder gar auf ein ISMS-Softwarewerkzeug reduziert wird. Die einzelnen Kategorien und ihre aus der Literatur abgeleiteten Inhalte werden im nächsten Abschnitt vorgestellt.
Kategorien
IT-Compliance
IT-Compliance bezeichnet nach (Knoll und Strahringer 2017, S. 6) Kenntnis und Einhaltung aller die IT des Unternehmens betreffenden Vorgaben an das Unternehmen. Auch wenn die Compliance-Vorgaben für große Unternehmen insbesondere bei Finanzen (Prüfungsstandard IDW PS 980, AktG, KonTraG) und Prozessen (CMMI, SPICE) für KMU oftmals nicht gelten, stellen neben dem Datenschutz verschiedene für KMU relevante Compliance-Bereiche in der Umsetzung und Kontrolle für die IT-Compliance heute eine zentrale Herausforderung dar (Henschel und Heinze 2016, S. 157).
Relevanz für KMU
Die Relevanz der IT-Compliance für KMU steigt kontinuierlich. Die rechts-konforme Generierung und Nutzung ständig steigender Datenvolumina innerhalb bekannter oder neuartiger Nutzungs- und Geschäftsmodelle (IoT, Arbeit 4.0, Industrie 4.0) einerseits und neue Gesetzgebungen andererseits stellen KMU vor erhebliche Kompetenzprobleme. Erste Praxisberichte deuten beispielsweise darauf hin, dass nur ein geringer Anteil der europäischen KMU volle DSGVO-Compliance erreicht hat (Dehmel und Kälber 2019).
IT-Governance
IT-Governance umfasst nach Knoll und Strahringer (2017, S. 3) die konsequente Ausrichtung der Organisation, Steuerung und Kontrolle der IT eines Unternehmens an seiner Gesamtstrategie. Ein bei KMU neuralgischer Punkt der IT-Governance ist die Ausgestaltung der verantwortlichen Rollen und Stellen, ab einer bestimmten Unternehmensgröße mindestens IT-Leiter, IT-Sicherheits-Beauftragter und Datenschutzbeauftragter. In einer Befragung von Albayrak und Gadatsch (2017, S. 156) gaben über ein Drittel der KMU an, dass keine IT-Arbeitsteilung vorliege und prinzipiell „jeder alles macht“. Dies wird von der Studie von Hillebrand et al. (2017, S. 56) mit 1505 Befragten bestätigt.
Relevanz für KMU
Es wird übereinstimmend mit Albyarak und Gadatsch (2017, S. 157) aus der Analyse mindestens eine IT-Steuerungsorganisation, eine IT-Strategie/IT-Planung, ein IT-Kennzahlensystem sowie IT-Projektstrukturen als wichtige Elemente für IT-Governance von KMU identifiziert (siehe Tab. 2). IT-Governance erfordert angemessene organisatorische und personelle Maßnahmen auch zur IT-Sicherheit. Diese Maßnahmen werden in KMU deutlich seltener umgesetzt als technische Maßnahmen (Hillebrand et al. 2017). Ein zunehmend wichtiges Teilgebiet der IT-Governance für KMU ist laut der Analyse im Zeitalter des Cloud Computings zudem die Datensouveränität im Zuge der inter-organisationalen, kommerziellen Datennutzung (siehe Johannsen et al. 2020).
Security Awareness
Nach (Richter et al. 2018) ist Security Awareness – oder auch Information Security Awareness – der bezüglich der Sicherheitsgefahren bewusste Umgang mit Informationen, unabhängig vom Medium. In KMU sind konkrete Maßnahmen im Umgang mit Informationssicherheit bezüglich der Sensibilisierung und der Schulung („Lösungen vermitteln und üben“) erforderlich, Security Awareness ist daher ein wichtiges und wachsendes Feld der IT-Sicherheit.
Relevanz für KMU
Security Awareness ist aufgrund geringeren „Know-Hows“ in KMU besonders relevant, und kann nur erfolgreich gelingen, wenn alle Stakeholder in ihren Bereichen entsprechend sensibilisiert sind, weshalb die unten abgeleiteten Werkzeuge alle Zielgruppen bis hin zu den IT-Nutzern beinhalten.
Informationssicherheits-Managementsystem (ISMS)
Ein ISMS ist ein System zum betrieblichen Management der Informationssicherheit, welches nach den verbreiteten Standards der ISO 27001 oder des BSI Grundschutz aufgebaut wird (vgl. Müller 2018, S. 91). Diese Kategorie beschreibt Richtlinien, Verfahren und Methoden, die eine Organisation implementieren sollte, um die Informationssicherheit zu steuern. Diese sind sowohl technischer Natur und beziehen sich auf IT-Systeme, von Firewalls bis hin zu Verschlüsselung oder Authentifizierung, als auch organisatorischer Natur wie z. B. das Herstellen physischer IT-Sicherheit beim Zugang zu (IT-) Einrichtungen.
Relevanz für KMU
Bekannte Standards wie ISO/IEC 27001, COBIT oder BSI Grundschutz (auch in der Basis-Version für KMU) erweisen sich nach wie vor als zu komplex für viele KMU. Dennoch besteht oft dringender Handlungsbedarf, ein ISMS aufzubauen. Gerade kleine Unternehmen können ein ISMS auch mit passenderen Ansätzen wie z. B. ISIS12 einrichten (ISIS12 2018).
Cyber-Sicherheit
Die Cyber-Sicherheit umfasst nach Müller (2018, S. 128) sämtliche Bedrohungen aus dem globalen Internet, verbundene IT-Infrastrukturen sowie deren Kommunikation, Anwendungen, Prozesse mit Daten, Informationen und Intelligenzen. Die ISO/IEC 27032:2012, Information technology – Security techniques – Guidelines for cybersecurity, enthält als einschlägiger Standard Anforderungen für die Sicherheit im Internet (vgl. Müller 2018).
Relevanz für KMU
Cyber-Sicherheit umfasst den Bereich des Cloud Computings. Aufgrund der zunehmenden Auslagerung von IT-Diensten und Infrastrukturen von KMU in die Cloud hat diese Kategorie eine zunehmende Rezeption gerade in jüngeren Publikationen der Literaturanalyse erfahren, was ihr steigende Bedeutung für KMU verleiht (Kant et al. 2020).
Mobile Sicherheit
Mobile Endgeräte bergen nicht nur besondere Angriffsvektoren aus Sicht der IT-Sicherheit in sich, sondern sind auch aus IT-Governance Sicht sowie IT-Compliance Sicht ein wichtiger Problem- und Gestaltungsbereich (Knüpffer et al. 2017). Bring Your Own Device (BYOD) bezeichnet in diesem Zusammenhang die – aus IT-GRC-Sicht problematische – Nutzung privater Endgeräte in Unternehmen, die in KMU verbreitet ist, da hier weniger umfangreiche Angebote von Seiten der IT-Abteilung bei größerem Freiheitsgrad der Mitarbeiter bestehen (Hillebrand et al. 2017, S. 54).
Relevanz für KMU
Gerade junge Mitarbeiter im Umfeld von Startups und KMU gehen oft risikofreudiger mit Daten und Apps im Netz um. Durch die immerwährende Erreichbarkeit beim Arbeiten 4.0 verschwimmen Grenzen. Kleine Unternehmen sind meist geprägt von Tools und Methoden aus dem Consumer-Bereich (IT-Konsumerisierung), so dass auch hier noch großer Handlungsbedarf besteht.
In Tab. 1 sind die wichtigsten Inhalte und Kompetenzbereiche für KMU aufgeführt, die nach der Literaturanalyse und dem in Abschn. 3.1 gegebenen Expertenfeedback für den IT-GRC Ansatz Berücksichtigung gefunden haben.
Tab. 1 Inhalte und Kompetenzbereiche der sechs Kategorien des IT-GRC-Ansatzes