IT-SICHERHEITSINVESTITIONEN IN KLEINEN UND MITTLEREN UNTERNEHMEN

Qualitative Studie in hessischen KMUs

©Pixabay

HINTERGRUND DER STUDIE

Einfluss der Digitalisierung

„Die Digitalisierung kann für viele mittelständische Unternehmen ein Wachstums- und Jobmotor sein –

auch deshalb, weil die scheinbar übermächtigen IT-Riesen wie Google und Co. in deren

Geschäftsbereiche gar nicht hineinschauen.“Markus Beumer, Vorstand der Commerzbank

„Die industrielle Revolution unserer Zeit ist digital. Wir müssen Technologien wie Cloud-Computing, datengesteuerte Wissenschaft und das Internet der Dinge so fördern, dass wir deren Potenzial voll ausschöpfen.“Andrus Ansip, Kommissar für den digitalen Binnenmarkt und Vizepräsident der Europäischen Kommission

Veränderung der Arbeitsweise

Auswirkungen auf die Gesellschaft

Zunehmende Vernetzung / Industrie 4.0

Neue Anforderungen an die IT-Sicherheit

Digitalisierung ist untrennbar mit IT-Sicherheit verknüpft¹

Fortschreitende Digitalisierung ist mit vielen Chancen verbunden, aber auch mit einer erhöhten

Angreifbarkeit²

3¹ https://www.security-insider.de/it-sicherheit-macht-digitalisierung-erst-moeglich-a-562455/² https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html

>>Am 10. Februar 2016 gegen 9 Uhr laufen in der IT-Abteilung der Klinikungewöhnlich viele Fehlermeldungen ein. Ursache ist ein Verschlüsselungs-Trojaner […].Kurze Zeit später arbeitet die hochmoderne Klinik wie vor 30 Jahren. DieTechniker haben alle Systeme heruntergefahren.<<

HINTERGRUND DER STUDIE: AKTUALITÄT

HINTERGRUND DER STUDIE: AKTUALITÄT

17.36

7.84

8.39

7.21

7.9

6.73

4.3

21.22

11.15

10.45

8.74

7.9

6.73

5.41

0 5 10 15 20 25

Vereinigte Staaten von Amerika

Deutschland

Japan

Vereinigtes Königreich

Frankreich*

Italien*

Australia

2017 Cost of Cyber Crime Study from Accenture and Ponemon Institute¹

FY2017 FY2016

* Keine historischen Daten verfügbar für neu hinzugefügte Länder (n=254); Angaben in Mio. USD

¹ https://www.accenture.com/us-en/event-cybertech-europe-2017?src=SOMS#block-insights-and-innovation

“Digitalisierung ohne IT-Sicherheit

ist wie Bungeejumping ohne Seil!

STUDIENDESIGN UND -INHALTIm Zeitraum zwischen November 2017 und Februar 2018 wurde in Zusammenarbeit mit IT4Work und dem FachgebietWirtschaftsinformatik der TU Darmstadt eine qualitative Studiezur IT-Sicherheit in vornehmlich hessischen mittelständischenUnternehmen durchgeführt.

Dabei wurden Experten (Geschäftsführer bzw. IT-Verantwortliche) aus Unternehmen mit 4 bis 660 Mitarbeiternaus verschiedenen Branchen und mit unterschiedlichenMarktausrichtungen mithilfe von Tiefeninterviews befragt. Durch die qualitative Erhebung wurden die Einschätzungenund Bewertungen von Entscheidungsträgern detailliert erfasstund nachfolgend analysiert, um Empfehlungen abzuleiten.

Anforderungen & Herausforderungen

Hemmnisse & Probleme

Erwartungen Empfehlungen

Status Quo

ÜBERBLICK Unternehmens- und Teilnehmerprofil

UNTERNEHMENSPROFIL

16% Kleinstunternehmen(unter 10)

52% Kleine Unternehmen(zwischen 10 und 49)

24% Mittlere Unternehmen(zwischen 50 und 249)

Dienst- / Sachleistungsunternehmen

23

1

8% Produktion

Größe (Mitarbeiterzahl)

24% Dienstleistung+ Produktion

8% Handel

8% Große Unternehmen(über 250)

1

8

60% Dienstleistung

Branchen gemäß NACE Rev. 2¹

Verarbeitendes Gewerbe

Kunden

76 % B2B

24% B2B und B2C

3 weltweit

3 EU

3 regional

16 Deutschland

21

2

7

11

2

0

2

4

6

8

10

12

C F G J N P

HandelBaugewerbe Information und

Kommunikation

Bildung und

Erziehung

¹ NACE Rev. 2 Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft. Structure an Explanatory Notes. In: eurostat (Hrsg.): Methodologies and Working papers. 9

UNTERNEHMENSPROFIL

Erbringung von wirtschaftl.

Dienstleistungen

18 Anwender 5 Anbieter 2 Hybridformen

10

7 IT-Leiter bzw. CIOs

2 Business Development Verantwortliche

2 Consultants

14 Geschäftsführer

UNTERNEHMENS- UND TEILNEHMERPROFILE

STATUS QUODokumentation des aktuell wahrgenommenen Stands im Bereich IT-Sicherheit in KMU

12

EINSCHÄTZUNG DES STATUS QUOEinschätzung des eigenen Wissensstands - aggregiert

Einschätzung des eigenen Bewusstseins - aggregiert

1 2 3 4 5 6 7

Wie würden Sie Ihr generelles strategisches Wissen im Bereich IT-Sicherheitsrisiken beurteilen, z.B. im Hinblick auf grundsätzlich vorhandene Risiken bzw. potenzielle Angreifer?

(Bitte geben Sie Ihre Einschätzung auch auf einer Skala von 1 bis 7 an (1=überhaupt kein Bewusstsein... 7= sehr großes Bewusstsein))

(Bitte geben Sie Ihre Einschätzung auch auf einer Skala von 1 bis 7 an (1=überhaupt kein Wissen... 7= sehr großes Wissen))

Wie würden Sie generell das Bewusstsein in Ihrem Unternehmen in Bezug auf IT-Sicherheitsrisiken einschätzen, z.B. in Bezug auf Email-Betrug, Schadsoftware-Angriffe oder Attacken auf Ihre Unternehmenswebseite?

“Das Bewusstsein ist zunehmend größer, oder wird gefühlt immer größer.

Das Verständnis – entweder stagniert es, oder es wird geringer.

Weil es natürlich auch immer schwieriger wird für den Kunden zu durchblicken, wo irgendwelche Sicherheitsrisiken am Ende dann lauern.

Geschäftsleiter Anbieterunternehmen

14

…zu anderen KMU

…zu großen Unternehmen

LOW HIGH

LOW HIGHLOW HIGH

LOW HIGH

Einschätzung des eigenen Sicherheitsbewusstsein im Vergleich ….

Einschätzung des Sicherheitsbewusstsein im eigenen Unternehmen….

…Mitarbeiter allgemein

…Geschäftsführung

(Eigen- und Fremdwahrnehmung)

SICHERHEITSBEWUSSTSEIN

“Da muss den Unternehmen klar werden: ‘Der Fisch stinkt immer vom Kopf!‘

Bestimmt wird von oben herab und nicht von unten nach oben. Sie brauchen auch nicht bei der IT Abteilung

anfangen, sondern müssen oben anfangen. Was stimmt da oben nicht?

Berater Anbieterunternehmen

IT-SICHERHEITSBEWUSSTSEIN

Bewusstsein

…auf Mitarbeiterebene noch stark ausbaufähig und abhängig von Persönlichkeit

…wichtiger als tatsächliche Kenntnisse

…auf Geschäftsführerebene unumgänglich

…im Mittelstand fast durchgehend mangelhaft

…in Konzernen durchweg höher als

beim Mittelstand

17

IT-SICHERHEITSVORFÄLLE

Mehr als die Hälfte der Teilnehmer hat schon negative Erfahrungen mit IT-Sicherheitsvorfällen gemacht

…es herrscht immer noch oft die Ansicht „es trifft mich nicht“

Als typische Angreifer(gruppen) bzw. Ereignisquellen wird häufig die organisierte Cyberkriminalität wahrgenommen:

Organisierte Cyberkriminelle

Einzeltäter

Mitarbeiter

Konkurrenten

(böswillige)

ABER

“Sie finden immer wieder Rechner, die nicht gelockt werden, beispielsweise von Leuten, die ihren Arbeitsplatz verlassen. Es kommt immer wieder vor, dass jemand eine

Mail öffnet, den Anhang öffnet – was aufgrund der Technologie, die wir im Einsatz haben, nicht zum

Schaden kommt.

IT-Leiter Anwenderunternehmen

BITKOM Studie¹ zeigt allerdings die zentrale Rolle des Mitarbeiters bei Sicherheitsvorfällen auf

19¹https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf

62

41

21

7

3

7

0 10 20 30 40 50 60 70

aktuelle oder ehemalige Mitarbeiter

Unternehmerisches Umfeld: Wettbewerber, Kunden,Lieferanten, Dienstleister

Hobby-Hacker

Organisierte Kriminalität

Ausländischer Nachrichtendienst

Unbekannte Täter/weiß nicht/ k.A.

Von welchem Täterkreis gingen diese Handlungen in den letzten zwei Jahren aus (in Prozent)?

Basis: Alle befragten Unternehmen, die in den letzten 2 Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren (n=571); Mehrfachnennungen möglich

IT-SICHERHEITSVORFÄLLE: ANGRIFFE UND ANGREIFER

Notwendigkeit für Investitionen in die IT-Sicherheit wird oft gesehen, aber das Tagesgeschäft bleibt erste Priorität (zum Nachteil für IT-Sicherheits-maßnahmen)

20

Fokus momentan eher auf Technologie (und nachfolgend auf Menschen) – aber keine ganzheitliche Betrachtung

Menschen Prozesse

Technologie

• Mitarbeiterschulungen Awareness• Kenntnisse und Qualifikationen• Kompetente Ressourcen

• Hardware• SoftwareABER Umsatzbarkeit nur möglich durch kompetente Menschen, einen Plan und unterstützende Prozesse

• Managementsysteme• Governance Richtlinien• Best Practices• IT Audits

STATUS QUO

HERAUSFORDERUNGENDokumentation der wahrgenommenen An-und Herausforderungen im Bereich IT-Sicherheit in KMU aus Praktikersicht

22

EINSCHÄTZUNG DER HERAUSFORDERUNGEN

RessourcenVerhältnis-mäßigkeit

Bewusstsein

Komplexität

Ressourcenmangel wird am häufigsten von Anwenderunternehmen genannt – insbesondere von Geschäftsführern.

Mangelndes Bewusstsein wird vornehmlich von IT-Leitern und Anbieterunternehmen genannt.

Anwenderunternehmen geben offen zu, – teilweise nach einer Risikoanalyse – dass die Verhältnismäßigkeit von Investitionssummen zu einer Entpriorisierung führt.

Die steigende Komplexität durch stetige Digitalisierungsentwicklungen sowie schwer absehbare Wechselwirkungen von IT-Sicherheitsmaßnahmen wurde von Anwendern und Anbietern gleichermaßen angeführt.

“Und von der deutlich geringeren Marge müssen wir deutlich mehr erklären, deutlich mehr mitdenken, damit das überhaupt irgendwie stabil wird. Die Welt wird auch immer komplexer! […] In der Komplexität geht die Übersicht verloren. Wir haben jahrelang Firewalls aufgebaut und die Netzwerke immer dichter gemacht, immer sicherer gemacht. Dann kam

das erste iPhone und dann wollte der Geschäftsführer, egal wo auf der Welt er ist, ob er im Internetcafé sitzt oder in der Firma

auf seine Daten zugreifen und man musste alles öffnen. Also ein absoluter Widerspruch.

Geschäftsleiter Anbieterunternehmen

Mangel an… Budget, Kapital… Zeit… Personal bzw. externen Dienstleister… Know-How… Durchblick

RessourcenVerhältnismäßig-

keit

Bewusstsein

Externalisierung der Herausforderungen

24

Komplexität

MANGEL AN RESSOURCEN UND KOMPLEXITÄT

“Das ist bei kleinen Unternehmen oftmals eine Ressourcenfrage.

Es ist natürlich auch eine finanzielle Frage. Wenn ich mir ein kleineres Unternehmen mit 30-40 Mitarbeiter vorstelle, dort

kann ich Sicherheitsaspekte wahrscheinlich gar nicht mit eigenem Personal abdecken. Also muss ich mir externe

Ressourcen holen und diese externen Berater kosten Geld. […] Das kann gerade in kleinen Unternehmen ein

Ressourcenproblem sein.IT-Leiter Anwenderunternehmen

Ressourcen

Verhältnis-mäßigkeit

Bewusstsein

Bewusste Entscheidung gegen IT-Sicherheit um jeden Preis- Verhältnismäßigkeit- Kosten-Nutzen bzw. Preis-Leistung-Betrachtung- Relevanz für die individuelle Branche/Situation

26

Akzeptanz bzw. Relativieren der Herausforderungen Komplexität

VERHÄLTNISMÄßIGKEIT BZW. KRITIKALITÄT

“Also es wird relativiert!

Es wird relativiert mit der Wahrscheinlichkeit. >> Alle haben einen Trojaner gehabt, ich scheinbar nicht, also ist meine IT scheinbar gut und wie viele Ausfälle hatten wir in den letzten 2 Jahren? Null! Also was wollen Sie überhaupt von

mir? <<

Geschäftsleiter Anwenderunternehmen

Internalisierung der Herausforderungen

Ressourcen

Kritikalität

Bewusstsein

Mangel an… Bewusstsein für den Wert von IT insgesamt… Bewusstsein für die eigene Anfälligkeit bzw. Bedrohungslage

28

Komplexität

MANGEL AN BEWUSSTSEIN

“Bei unseren Kunden muss ich sagen, da ist das schon manchmal ein hartes Geschäft. Aber da ist einfach

auf Seiten der Geschäftsführung einfach kein Bewusstsein dafür da.

Und dann geht das Tagesgeschäft natürlich vor, damit das Unternehmen am Laufen gehalten wird.

Man sieht nicht, welche Gefahren da auch für die Basisfunktionen da sind.

IT-Leiter Hybridunternehmen

30

(Heidt & Gerlach 2018)

EINSCHÄTZUNG VON HERAUSFORDERUNGENAbgleich mit Stand der Forschung

Heidt, M, and Gerlach, J.P. (2018) The Influence of SME Constraints on Organizational IT Security. In: Proceedings of the Thirty Ninth International Conference on Information Systems, San Francisco 2018

General Constraint

Constraint Aspects

Constraint Manifestation Effects on Organizational IT Security

Weighting per Role and Firm Group MD UF, UPF

IT UF, UPF

MD, other

PF

Limited Resources

Limited Budget

No or limited budget for IT security investments

less expenditure for IT in general and IT security in particular

Limited Time

No or limited time for discussions, information search regarding IT security investments

less expenditure for IT in general and IT security in particular

Limited Knowhow

No or few experienced employees to assess IT security (investments)

negative impact on expenditure regarding IT security

Small Asset Base

Revenue Stream

Cash flow difficulties or irregularities affect IT security investments

hindrance for further IT security investments

Financial Support

Difficulties to obtain financing through institutions or government

no distinct influence on IT security investments

Owner Capital

Firm assets are directly linked to owners personal assets and (IT) investments assessed differently

marginal influence on IT security investments

Low Formalization Level

Budget Planning

No or marginal budget planning for IT and IT security in particular

negative impact on expenditure regarding IT security

Multiple Roles

Multiple roles and responsibilities within one position and non-existent IT department

non-accountability/ no defined authority for IT security issues

Processes Non-existent, undefined or undocumented (organizational, technological) processes

negative impact on expenditure regarding IT security

General Constraint

Constraint Aspects

Constraint Manifestation Effects on Organizational IT Security

Weighting per Role and Firm Group MD UF, UPF

IT UF, UPF

MD, other

PF

Unterschiedliche Wahrnehmung • GF (Anwenderunternehmen) mit Schwerpunktlegung auf Ressourcenmangel• IT (Anwenderunternehmen) mit stärkeren Fokus auf strukturelle Probleme

• GF und IT (Anbieterunternehmen) mit Fokus auf Prozess-/Strukturschwächen und Leadership

“Gier frisst Hirn

– also wenn es super gut läuft, dann kümmert man sich nur um das, wo es sowieso schon gut läuft und ignoriert die Risiken!

IT-Leiter Anbieterunternehmen

HEMMNISSEEinschätzung von Barrieren und Problemen bei KMU in Bezug auf IT-Sicherheitsmaßnahmen (aus Theorie und Praxis)

SME

33

(Hunter et al, 2002; Bharati & Chaudhury 2009; Goucher 2011; Yildirim et al. 2011)

Fewer compliance drivers

Limited budget

Limited time to spend being educated

Little appreciation of risk

Limited interaction• Geographical area• Industry

Capacity to take economic risk andinvest long-term is limited

Ad hoc management practices Social ties important in business dealings

¹1)Hunter, Gordon, M., M. Diochon, D. Pugsley and B. Wright. (2002). Unique Challenges for Small Business Adoption of Information Technology: The Case of Nova Scotia Ten, in Managing Information Technology in Small Business Publishing, Hershey, PA.; ²2) Bharati, P. and Chaudhury, A. (2009), “SMEs and Competitiveness: The Role of Information Systems”, International Journal of E-Business Research, (5) 1, pp. i-ix.; ³3) Goucher, W. (2011), Do SMEs have the right attitude to security? In: Computer Fraud & Security 2011(7),18-20.; 4) Yildirim, E. Y., Akalp, G., Aytac, S., & Bayram, N. (2011). Factors influencing information security management in small-and medium-sized enterprises: A case study from Turkey. International Journal of Information Management, 31(4), 360-365.

IDENTIFIKATION KMU-SPEZIFISCHER BARRIEREN

KMU

KMU im besonderen Spannungsfeld zwischen eigenen Anforderungen und denen von Staat und Markt

34

IDENTIFIKATION KMU-SPEZIFISCHER BARRIEREN

Begrenzte Unterstützung durch Geschäftsführung

Widersprüche in der Unternehmenszielsetzung

Kunden lehnen IT-Sicherheitsmaßnahmen ab, falls diese mit einem zusätzlichen Aufwand verbunden sind oder mit erhöhten Kosten verbunden sind

Anforderungen des Staates zu hoch für Kleinbetriebe

Fehlende staatliche Unterstützung

Neue, teilweise widersprüchliche, Anforderungen von Lieferanten oder Geschäftskunden (erhöhte Frequenz von Audits/ mehr Dokumentationsbedarf)

35

Limited Resources

Small Asset Base

Low Formalization Level

Insularity

Leadership

Competitors Customers Suppliers/Providers

Country Characteristics

Org

aniz

atio

nal C

hara

cter

isti

cs

Focal SME

Micro Environment

Macro Environment

Individual Characteristics

Globalization Pressures

Industry Characteristics

(Heidt & Gerlach 2018)

GENERELLE HEMMNISSE UND BARRIERENKenntnisse: • Kapitulation oder Umgehungsmaßnahmen als Auswirkung von mangelnden

Kenntnissen• fehlendes Wissen und fehlende Kompetenz führen dazu, dass Risikoanalysen

fehlen und Maßnahmen nicht ganzheitlich betrachtet werden

Budget: • Großteil der Anwenderunternehmen stellt Budget nur fallweise zur

Verfügung, dediziertes IT-Budget (und damit IT-Sicherheitsbudget) bleibt Ausnahme

Entscheidungsprozess: • Verhältnismäßigkeit – oft nur rein logisch abgeleitet – als wichtigstes

Entscheidungskriterium für GF• Erfahrung und Bauchgefühl als wichtigstes Entscheidungskriterium für IT-

Maßnahmen

Abgleich mit Stand der Forschung

Heidt, M, and Gerlach, J.P. (2018) The Influence of SME Constraints on Organizational IT Security. In: Proceedings of the Thirty Ninth International Conference on Information Systems, San Francisco 2018

ERWARTUNGEN UND EMPFEHLUNGENHerausarbeiten der Erwartungen und Ableiten von Empfehlungen

“Es gibt vieles, aber vieles ist recht kompliziert. Und da ist dann das Hauptproblem, was ich vorhin gesagt

habe, Zeit. Es ist keine Zeit da,

es ist nicht auf der Prioritätenliste weit genug oben, also beschäftige ich mich eher mit anderen Dingen. Dann habe ich natürlich auch keine Zeit ewig lange Förderanträge zu

lesen und mich da durchzuwühlen durch irgendwelche Antragsformulare.

Geschäftsführer Anbieterunternehmen

38

Inhalte des

Angebots

Anbieter des

AngebotsArt und

Weise der Bereit-stellung

ERWARTUNGSHALTUNG: UNTERSTÜTZUNGSANGEBOTE

Zwei Perspektiven: Es gibt ausreichend Angebote, die aber unbürokratischer werden müssen…

…oder es sind nicht ausreichend Angebote bekannt, die speziell auf die Bedarfe von KMUs ausgelegt sind

Konkret gewünschte Unterstützungsangebote

Checklisten-Einfach-Konkret-Sprache entspricht den Empfängern

Vertrauen essentiell-Staatliche Behörden wie BSI-Öffentliche Einrichtungen (z.B. IHK)-Branchenverbände-Hochschulen

Informationsbereitstellung-Direkt über Newsletter- Indirekt über Multiplikatoren (z.B. Steuerberater, Rechtsanwälte)-Branchenverbände oder andere Netzwerke (Roundtables, IT-Treffs)

“Das ist eine digitale Welt. Ich kann die nicht mehr trennen, die ist mittlerweile voll verwoben.

Insofern: natürlich muss sich das alles anpassen, und natürlich ist das auch ein Lernprozess. […].

Und jede Technologie wird immer Lücken aufweisen. […]. Natürlich müssen wir da drauf achten, dass die

Sicherheitsstandards sich mit anpassen, und dass da nicht irgendwann jemand damit Quatsch macht. Aber da ist

dann wieder die große Frage, wer das machen soll…Geschäftsführer Anwenderunternehmen

IT- und Informationssicherheitsverhalten als Lernprozess bzw. über Motivation verstehen

40

Kompetenz/ Kompetenzerleben

Autonomie/ Selbstbestimmung

Soziale Eingebundenheit

Psychologische Grundbedürfnisse

Menschen möchten etwas bewirken und sich in ihren Handlungen als wirksam und

kompetent erleben.„Effektivität im Umgang mit der Umwelt“

Menschen möchten das Gefühl haben, das eigene Handeln selbst bestimmen zu

können. „Kontrolle über das eigene Leben“

Menschen möchten mit anderen verbunden sein und akzeptiert und anerkannt werden.

„Existenz bedeutsamer/enger Beziehungen mit anderen“

¹ Ryan, R. M., & Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American psychologist, 55(1), 68.² Deci, E. L., & Ryan, R. M. (2002). Overview of self-determination theory: An organismic dialectical perspective. Handbook of self-determination research, 3-33.

Je mehr diese grundlegenden Bedürfnisse befriedigt sind, desto selbstbestimmter ist der Mensch

Kompetenz unterstützen und „zugestehen“ Handlungsfreiräume einräumen Aktivität zur sozialen Einbindung

Stel

lsch

raub

en

EMPFEHLUNGEN AUS DER THEORIE: SELBSTBESTIMMUNGSTHEORIE¹²

Extrinsische MotivationIntrinsische Motivation Amotivation

Selbst-bestimmung

Kompetenz Soziale Eingebundenheit

Psychologische Grundbedürfnisse

41¹ Gagné, M., & Deci, E. L. (2005). Self‐determination theory and work motivation. Journal of Organizational behavior, 26(4), 331-362.perspective. Handbook of self-determination research, 3-33.

Motivationstyp

Intrinsische Motivation

Integrierte Regulierung

Identifizierte Regulierung

Externe RegulierungEingepflanzte Regulierung

Amotivation

Interesse und Freude an der Aufgabe

Übereinstimmung von Zielen, Werten und

Regeln

Wichtigkeit von Zielen, Werten und Regeln

Selbstwert abhängig von Leistung, Ego-Beteiligung

Abhängig von Belohnung und

Bestrafung

Abwesenheit von Absicht

Spektrum der Selbst-

bestimmungIntrinsisch-autonome Motivation

Fehlende Motivation

Regulierung

Autonome Motivation

Mäßig autonome Motivation

Mäßig kontrollierte Motivation

Kontrollierte Motivation

Formen der autonomen Motivation Motivation durch gesetzliche Regulierung (z.B. DSGVO)

EMPFEHLUNGEN AUS DER THEORIE: MOTIVATION STÄRKEN(Gagné & Deci 2005)

Empfehlungen durch Anbieterunternehmen- Einsatz von standardisierten Lösungen kann Entscheidungen

erleichtern und geringere Investitionssummen erfordern- IT- und Informationssicherheitsverhalten als kontinuierlichen

Lern- und Aufklärungsprozess verstehen und leben- Trennung von IT-Sicherheits- und Datenschutzbeauftragten

Empfehlungen durch Anwenderunternehmen- Nutzung diverser Informationsquellen (insbesondere

persönliches Netzwerk und einschlägige Presse) sowie besonderes Augenmerk auf branchenspezifische

Erwartungswerte- IT-Sicherheit als Alleinstellungsmerkmal und potentiellen

Wettbewerbsfaktor verstehen

Übergreifende Empfehlungen- Gesamtgesellschaftlich muss ein Umdenken bezüglich des Umgangs mit Daten stattfinden- Netzwerke, insbesondere branchenspezifische, sollten als Erfolgsfaktor genutzt werden

- Formalisierte Prozesse (Dokumentation, Policies, etc.) können erfolgsversprechend für die Bewusstseinsverankerung sein- Inanspruchnahme von externem Knowhow bei mangelnden internen Ressourcen (insb. Zeit und Personal) ist essentiell

42

ABLEITUNG VON EMPFEHLUNGEN

“USP ist definitiv das Thema Digitalisierung und zwar in der Zusammenarbeit von Kunden und [Unternehmen].

Das ist ein großes Thema. Da sind viele Kollegen, die nicht mal daran gedacht haben, was

man damit alles machen kann. Das ist ein USP nach außen hin.

Ein inneres USP ist die Digitalisierung der eigenen Unternehmung selbst.

Geschäftsführer Anwenderunternehmen

POSTHOC ANALYSE Dokumentation zusätzlicher Erkenntnisse

1 2 3

EU-DSGVO Infrastruktur Google, Facebook, und Co.

„Sind wir mal auch ganz ehrlich, was Google, Whatsappund Facebook jeden Tag an Daten klauen, wieso machtda keiner was? Die EU entscheidet was, das jetztUnternehmer sich absichern müssen, dass sie nichtgehackt werden […] Das ist doch in meinen Augen einno-go! Da müsste der Datenschutz sagen "Facebookalles gut, Google alles gut, sie können die Suchbegriffespeichern. Aber ansonsten alle Daten und Kontakterunterziehen? NEIN!" – GeschäftsführerAnwenderunternehmen

45

„Ganz zu Beginn scheiterten die Projekte einfachdaran, dass wir hier nur DSL6000 hatten(lachend). Dann haben wir vor zwei Jahren50.000 Euro in die Hand genommen und unseine Glasfaserleitung legen lassen.“ –Geschäfts- und IT-LeiterHybridunternehmen

„Datenschutzgrundverordnung ist im Augenblick ganz aktuelletwas, das im Raum rumschwirrt,[…].“ – GeschäftsführerAnbieterunternehmen

¹ http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC ² https://www.akamai.com/de/de/multimedia/documents/state-of-the-internet/q1-2017-state-of-the-internet-connectivity-executive-summary.pdf ³ https://www.gruenderszene.de/allgemein/eprivacy-datenschutz-wirtschaft

WAS BESCHÄFTIGT KMU?

Studie der CARMAO GmbH (IT-Security-Beratung):(Juli 2017, n=329 Geschäftsführer/Vorstände, Unternehmen über 20 Mio. Euro Jahresumsatz)

Bis wann werden alle Maßnahmen für die EU-DSGVO abgeschlossen?

2019 oder später bis Ende 2018 bis Mai 2018 bis Ende 2017 bereits realisiert44

35

28

32

41

38

21

0 10 20 30 40 50

zu spät gestartet

Aufwand unterschätzt

hat keine hohe strategischeAusrichtung

andere Investitionsprioritäten

fehlende fachliche Ressourcen

Defizite in den BDSG-Anforderungen

weitere

Sofern es Verzögerungen bei der Umsetzunggibt: Was sind die hauptsächlichen Gründe dafür?

Mehrfachnennungen möglich

46

EU-DATENSCHUTZGRUNDVERORDNUNG

4 5 6

Cyberinsurances Rolle der IHK Mündigkeit der Bürger

„Also wenn man als Verbraucher zum Beispiel sagt "Ich erwartevon dem oder dem Unternehmen, dem Klinikum oder so, wenn ihrmeine Daten aufbewahrt, dann erwarte ich auch, dass meineDaten nicht irgendwie aus Versehen sonst wo landen." Und dannkann man auch gewisse Anforderungen stellen und die aucheventuell.. also im Wahlprogramm kann man ja aufnehmen, dassman Daten sicher aufbewahrt... [..] Naja, wenn die Menschenimmer mehr und mehr Wert auf ihre Daten legen, dann reagierendie Unternehmen ja auch darauf.“ – VertriebsleiterAnwenderunternehmen

„Die IHK hat mehr als genug Angebote an ihre Mitgliederzu solchen Themen, die auch nichts zusätzlich kosten. Einkaufmännischer Geschäftsführer, der gerade seine PCeinschalten kann, der hat nicht das Empfinden, was er inRichtung IT-Sicherheit tun kann. Aber der fragt auch beiThemen um den Feuerschutz bei seinem Bauamt nach. Alsokönnte er da auch wunderbar nachfragen. Das ist für michkeine Entschuldigung.“ – IT-LeiterAnwenderunternehmen

„Am Ende sind wir immer noch Menschen und dieInformatiker können nicht alles technisch abfangen, weil derAdministrator im Prinzip dann auch eine Sicherheitslückehat und man weiß nicht, welche Mitarbeiter man auch hatund im Prinzip gibt es auch das interne Risiko, was immermitzuführen ist und da sollte man sich immer versicherndagegen. Wenn es denn eine Versicherung gibt.“ – IT-Leiter Anwenderunternehmen

47¹ Bildquelle: flickr² Bildquelle: IHK.de³ Bildquelle: pixabay

DOKUMENTATION ZUSÄTZLICHER ERKENNTNISSE

7 8 9

IT-Strategietypen Vertrauen Begrifflichkeiten

48¹ Bildquelle: pixabay² Bildquelle: pixabay³ Bildquelle: pixabay

„Also IT Sicherheit ist an und für sich eine technischeUmsetzung der Informationssicherheit. […] das istübrigens auch die offizielle Definition. Das ist das wasman auch tatsächlich in den ganzen Definitionen sieht.Wir haben auf dem Information Sicherheit Markt eingroßes Problem: und zwar denkt jeder, dass er damitmischen kann. Und das, obwohl er es auch nichtkennt.“ – Berater Anbieterunternehmen

Erkenntnisse aus der Forschung:Miles and Snow Types of Strategy Großteil der KMU eher reaktiv oder verteidigend

Wissen Sie, wenn Sie jetzt mit ihrem Auto zurAutowerkstatt gehen, dann sagt der Ihnen "Hör mal zu, dumusst eine Ölfilterinspektion machen, aber deinKühlerschlauch leckt ein bisschen und den sollten wir maltauschen!" Dann tuen Sie das im Vertrauen und sagen,„das machen wir“ und gucken nicht vorher, ob da vielleichtder Kühlerschlauch gewechselt werden muss oder fehlt dairgendwas. Sondern Sie gehen dahin und sagen "machen".Und genau so ist es bei Leuten, die keine Ahnung von IThaben. Die wissen, dass man es braucht zum Arbeiten,aber irgendwo ist da auch mal Schluss! – GeschäftsleiterAnwenderunternehmen

DOKUMENTATION ZUSÄTZLICHER ERKENNTNISSE

49¹ Miles R. & Snow C. (1978) Organizational Strategy, Structure, and Process. McGraw-Hill: New York.² Desarbo, W. S. et al. (2005): Revisiting the Miles and Snow Strategic Framework: Uncovering Interrelationships between Strategic Types, Capabilities, Environmental Uncertainty, and Firm Performance. In : Strategic Management Journal (26), 47-74.

• Ignorieren von Entwicklungen und Trends außerhalb ihres Marktes

• Suchen von Stabilität• Insbesondere bei Unternehmen mit

wettbewerbsfähigen Preisen und High-Quality Produkten Hohe horizontale Differenzierung, zentralisierte Kontrolle, formale Kommunikationshierarchie

Prospektor

Prospector

Verteidiger

Defender

Analysierer

Analyzer

Reagierender

Reactor

(Miles and Snow, 1978; Desarbo et al. 2005)

• Versuchen Elemente von Defenders und Prospectors zu vereinen

• Ziel ist Minimierung des Risikos und Maximierung der „opportunities“

• Übernahme von erfolgreichen Ideen von Prospectors, Marktbearbeitung wie Defenders Flexibilität und Stabilität bei höherer Effizienz als Prospectors

• Ziel sind neue Produkte und Markt-erweiterungsmöglichkeiten

• Erfolg abhängig von Entwicklungen, Umweltfaktoren, Trends und Events

• (strukturelle) Flexibilität besonders wichtig Flache formale Differenzierung, dezentrale Kontrolle, laterale und vertikale Kommunikation

• Keine „richtige“ Strategie bzw. bei fehlender oder fehlerhafter Umsetzung der anderen drei Strategietypen

• Festhalten an der bisherigen Strategie trotz Änderungen der Umweltbedingungen (entweder durch fehlende Einsicht oder bei ausbleibender Änderung der Strategieführung

STRATEGIETYPEN – AUS DER FORSCHUNG

EXECUTIVE SUMMARY Zusammenfassung der Ergebnisse

• Kaum ein KMU hat ein dediziertes IT- oder IT-Sicherheitsbudget

• Formalisierte Prozesse fehlen mehrheitlich – aber nur die gemeinsame Betrachtung von Mensch, Technologie und Prozess ist erfolgsversprechend

• Die Perspektive „Unternehmer als Einzelkämpfer“ wirkt sich negativ auf das Verständnis und die Umsetzung von IT-Sicherheit aus

• „Kontrolle“ und „Schmerz“, d.h. gesetzliche Bestimmungen inklusive Kontrollen und eigener Schaden durch einen Angriff oder eine Klage, werden als Hauptmotivatoren für Investitionen gesehen

• Mangelnde Ressourcen werden von KMU als größte Herausforderung gesehen

EXECUTIVE SUMMARY• KMU sehen sich mehrheitlich schlechter aufgestellt als große Unternehmen

50

DANKE FÜR IHRE UNTERSTÜTZUNG!

Margareta Heidt, M.Sc.Wissenschaftliche

Mitarbeiterin am Lehrstuhl Wirtschaftsinformatik

Prof. Dr. Peter BuxmannInhaber Lehrstuhl

Wirtschaftsinformatik |Leiter HIGHEST

53

Durchgeführt vonFachgebiet Wirtschaftsinformatik |

Software & Digital BusinessTechnische Universität Darmstadt

S1|02 242Hochschulstraße 164289 Darmstadt

Kontakt:heidt@is.tu-darmstadt.de

54

Im Auftrag von

55

(1) https://www.security-insider.de/it-sicherheit-macht-digitalisierung-erst-moeglich-a-562455/(2) https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html(3) https://www.accenture.com/us-en/event-cybertech-europe-2017?src=SOMS#block-insights-and-innovation(4) https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf(5) http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC(6) https://www.akamai.com/de/de/multimedia/documents/state-of-the-internet/q1-2017-state-of-the-internet-connectivity-executive-summary.pdf(7) https://www.gruenderszene.de/allgemein/eprivacy-datenschutz-wirtschaft(8) https://www.computerwoche.de/i/detail/artikel/3330971/1/2684271/EL_mediaN10074/(9) https://insider.zurich.co.uk/industry-spotlight/3-smes-aware-government-schemes/

QUELLEN – INTERNET

56

(1) NACE Rev. 2 Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft. Structure an Explanatory Notes. In: eurostat (Hrsg.): Methodologies and Working papers.(2) Hunter, Gordon, M., M. Diochon, D. Pugsley and B. Wright. (2002). Unique Challenges for Small Business Adoption of Information Technology: The Case of Nova Scotia Ten, in Managing Information Technology in Small Business Publishing, Hershey, PA.; (3) Bharati, P. and Chaudhury, A. (2009), “SMEs and Competitiveness: The Role of Information Systems”, International Journal of E-Business Research, (5) 1, pp. i-ix.; (4) Goucher, W. (2011), Do SMEs have the right attitude to security? In: Computer Fraud & Security 2011(7),18-20.; 4) Yildirim, E. Y., Akalp, G., Aytac, S., & Bayram, N. (2011). Factors influencing information security management in small-and medium-sized enterprises: A case study from Turkey. International Journal of Information Management, 31(4), 360-365.(5) Ryan, R. M., & Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American psychologist, 55(1), 68.(6) Deci, E. L., & Ryan, R. M. (2002). Overview of self-determination theory: An organismic dialectical perspective. Handbook of self-determination research, 3-33.(7) Gagné, M., & Deci, E. L. (2005). Self‐determination theory and work motivation. Journal of Organizational behavior, 26(4), 331-362.perspective. Handbook of self-determination research, 3-33.(8) Miles R. & Snow C. (1978) Organizational Strategy, Structure, and Process. McGraw-Hill: New York.(9) Desarbo, W. S. et al. (2005): Revisiting the Miles and Snow Strategic Framework: Uncovering Interrelationships between Strategic Types, Capabilities, Environmental Uncertainty, and Firm Performance. In : Strategic Management Journal (26), 47-74.

QUELLEN – LITERATUR

57

(1) Bildquelle: flickr(2) Bildquelle: Pixabay(3) Bildquelle: IHK.de(4) Bildquelle: Pixabay

QUELLEN – BILDMATERIAL