©Pixabay IT-SICHERHEITSINVESTITIONEN IN KLEINEN · 2018-10-01 · 2017 Cost of Cyber Crime Study...
Transcript of ©Pixabay IT-SICHERHEITSINVESTITIONEN IN KLEINEN · 2018-10-01 · 2017 Cost of Cyber Crime Study...
IT-SICHERHEITSINVESTITIONEN IN KLEINEN UND MITTLEREN UNTERNEHMEN
Qualitative Studie in hessischen KMUs
©Pixabay
HINTERGRUND DER STUDIE
Einfluss der Digitalisierung
„Die Digitalisierung kann für viele mittelständische Unternehmen ein Wachstums- und Jobmotor sein –
auch deshalb, weil die scheinbar übermächtigen IT-Riesen wie Google und Co. in deren
Geschäftsbereiche gar nicht hineinschauen.“Markus Beumer, Vorstand der Commerzbank
„Die industrielle Revolution unserer Zeit ist digital. Wir müssen Technologien wie Cloud-Computing, datengesteuerte Wissenschaft und das Internet der Dinge so fördern, dass wir deren Potenzial voll ausschöpfen.“Andrus Ansip, Kommissar für den digitalen Binnenmarkt und Vizepräsident der Europäischen Kommission
Veränderung der Arbeitsweise
Auswirkungen auf die Gesellschaft
Zunehmende Vernetzung / Industrie 4.0
Neue Anforderungen an die IT-Sicherheit
Digitalisierung ist untrennbar mit IT-Sicherheit verknüpft¹
Fortschreitende Digitalisierung ist mit vielen Chancen verbunden, aber auch mit einer erhöhten
Angreifbarkeit²
3¹ https://www.security-insider.de/it-sicherheit-macht-digitalisierung-erst-moeglich-a-562455/² https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html
>>Am 10. Februar 2016 gegen 9 Uhr laufen in der IT-Abteilung der Klinikungewöhnlich viele Fehlermeldungen ein. Ursache ist ein Verschlüsselungs-Trojaner […].Kurze Zeit später arbeitet die hochmoderne Klinik wie vor 30 Jahren. DieTechniker haben alle Systeme heruntergefahren.<<
HINTERGRUND DER STUDIE: AKTUALITÄT
HINTERGRUND DER STUDIE: AKTUALITÄT
17.36
7.84
8.39
7.21
7.9
6.73
4.3
21.22
11.15
10.45
8.74
7.9
6.73
5.41
0 5 10 15 20 25
Vereinigte Staaten von Amerika
Deutschland
Japan
Vereinigtes Königreich
Frankreich*
Italien*
Australia
2017 Cost of Cyber Crime Study from Accenture and Ponemon Institute¹
FY2017 FY2016
* Keine historischen Daten verfügbar für neu hinzugefügte Länder (n=254); Angaben in Mio. USD
¹ https://www.accenture.com/us-en/event-cybertech-europe-2017?src=SOMS#block-insights-and-innovation
“Digitalisierung ohne IT-Sicherheit
ist wie Bungeejumping ohne Seil!
STUDIENDESIGN UND -INHALTIm Zeitraum zwischen November 2017 und Februar 2018 wurde in Zusammenarbeit mit IT4Work und dem FachgebietWirtschaftsinformatik der TU Darmstadt eine qualitative Studiezur IT-Sicherheit in vornehmlich hessischen mittelständischenUnternehmen durchgeführt.
Dabei wurden Experten (Geschäftsführer bzw. IT-Verantwortliche) aus Unternehmen mit 4 bis 660 Mitarbeiternaus verschiedenen Branchen und mit unterschiedlichenMarktausrichtungen mithilfe von Tiefeninterviews befragt. Durch die qualitative Erhebung wurden die Einschätzungenund Bewertungen von Entscheidungsträgern detailliert erfasstund nachfolgend analysiert, um Empfehlungen abzuleiten.
Anforderungen & Herausforderungen
Hemmnisse & Probleme
Erwartungen Empfehlungen
Status Quo
ÜBERBLICK Unternehmens- und Teilnehmerprofil
UNTERNEHMENSPROFIL
16% Kleinstunternehmen(unter 10)
52% Kleine Unternehmen(zwischen 10 und 49)
24% Mittlere Unternehmen(zwischen 50 und 249)
Dienst- / Sachleistungsunternehmen
23
1
8% Produktion
Größe (Mitarbeiterzahl)
24% Dienstleistung+ Produktion
8% Handel
8% Große Unternehmen(über 250)
1
8
60% Dienstleistung
Branchen gemäß NACE Rev. 2¹
Verarbeitendes Gewerbe
Kunden
76 % B2B
24% B2B und B2C
3 weltweit
3 EU
3 regional
16 Deutschland
21
2
7
11
2
0
2
4
6
8
10
12
C F G J N P
HandelBaugewerbe Information und
Kommunikation
Bildung und
Erziehung
¹ NACE Rev. 2 Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft. Structure an Explanatory Notes. In: eurostat (Hrsg.): Methodologies and Working papers. 9
UNTERNEHMENSPROFIL
Erbringung von wirtschaftl.
Dienstleistungen
18 Anwender 5 Anbieter 2 Hybridformen
10
7 IT-Leiter bzw. CIOs
2 Business Development Verantwortliche
2 Consultants
14 Geschäftsführer
UNTERNEHMENS- UND TEILNEHMERPROFILE
STATUS QUODokumentation des aktuell wahrgenommenen Stands im Bereich IT-Sicherheit in KMU
12
EINSCHÄTZUNG DES STATUS QUOEinschätzung des eigenen Wissensstands - aggregiert
Einschätzung des eigenen Bewusstseins - aggregiert
1 2 3 4 5 6 7
Wie würden Sie Ihr generelles strategisches Wissen im Bereich IT-Sicherheitsrisiken beurteilen, z.B. im Hinblick auf grundsätzlich vorhandene Risiken bzw. potenzielle Angreifer?
(Bitte geben Sie Ihre Einschätzung auch auf einer Skala von 1 bis 7 an (1=überhaupt kein Bewusstsein... 7= sehr großes Bewusstsein))
(Bitte geben Sie Ihre Einschätzung auch auf einer Skala von 1 bis 7 an (1=überhaupt kein Wissen... 7= sehr großes Wissen))
Wie würden Sie generell das Bewusstsein in Ihrem Unternehmen in Bezug auf IT-Sicherheitsrisiken einschätzen, z.B. in Bezug auf Email-Betrug, Schadsoftware-Angriffe oder Attacken auf Ihre Unternehmenswebseite?
“Das Bewusstsein ist zunehmend größer, oder wird gefühlt immer größer.
Das Verständnis – entweder stagniert es, oder es wird geringer.
Weil es natürlich auch immer schwieriger wird für den Kunden zu durchblicken, wo irgendwelche Sicherheitsrisiken am Ende dann lauern.
Geschäftsleiter Anbieterunternehmen
14
…zu anderen KMU
…zu großen Unternehmen
LOW HIGH
LOW HIGHLOW HIGH
LOW HIGH
Einschätzung des eigenen Sicherheitsbewusstsein im Vergleich ….
Einschätzung des Sicherheitsbewusstsein im eigenen Unternehmen….
…Mitarbeiter allgemein
…Geschäftsführung
(Eigen- und Fremdwahrnehmung)
SICHERHEITSBEWUSSTSEIN
“Da muss den Unternehmen klar werden: ‘Der Fisch stinkt immer vom Kopf!‘
Bestimmt wird von oben herab und nicht von unten nach oben. Sie brauchen auch nicht bei der IT Abteilung
anfangen, sondern müssen oben anfangen. Was stimmt da oben nicht?
Berater Anbieterunternehmen
IT-SICHERHEITSBEWUSSTSEIN
Bewusstsein
…auf Mitarbeiterebene noch stark ausbaufähig und abhängig von Persönlichkeit
…wichtiger als tatsächliche Kenntnisse
…auf Geschäftsführerebene unumgänglich
…im Mittelstand fast durchgehend mangelhaft
…in Konzernen durchweg höher als
beim Mittelstand
17
IT-SICHERHEITSVORFÄLLE
Mehr als die Hälfte der Teilnehmer hat schon negative Erfahrungen mit IT-Sicherheitsvorfällen gemacht
…es herrscht immer noch oft die Ansicht „es trifft mich nicht“
Als typische Angreifer(gruppen) bzw. Ereignisquellen wird häufig die organisierte Cyberkriminalität wahrgenommen:
Organisierte Cyberkriminelle
Einzeltäter
Mitarbeiter
Konkurrenten
(böswillige)
ABER
“Sie finden immer wieder Rechner, die nicht gelockt werden, beispielsweise von Leuten, die ihren Arbeitsplatz verlassen. Es kommt immer wieder vor, dass jemand eine
Mail öffnet, den Anhang öffnet – was aufgrund der Technologie, die wir im Einsatz haben, nicht zum
Schaden kommt.
IT-Leiter Anwenderunternehmen
BITKOM Studie¹ zeigt allerdings die zentrale Rolle des Mitarbeiters bei Sicherheitsvorfällen auf
19¹https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf
62
41
21
7
3
7
0 10 20 30 40 50 60 70
aktuelle oder ehemalige Mitarbeiter
Unternehmerisches Umfeld: Wettbewerber, Kunden,Lieferanten, Dienstleister
Hobby-Hacker
Organisierte Kriminalität
Ausländischer Nachrichtendienst
Unbekannte Täter/weiß nicht/ k.A.
Von welchem Täterkreis gingen diese Handlungen in den letzten zwei Jahren aus (in Prozent)?
Basis: Alle befragten Unternehmen, die in den letzten 2 Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren (n=571); Mehrfachnennungen möglich
IT-SICHERHEITSVORFÄLLE: ANGRIFFE UND ANGREIFER
Notwendigkeit für Investitionen in die IT-Sicherheit wird oft gesehen, aber das Tagesgeschäft bleibt erste Priorität (zum Nachteil für IT-Sicherheits-maßnahmen)
20
Fokus momentan eher auf Technologie (und nachfolgend auf Menschen) – aber keine ganzheitliche Betrachtung
Menschen Prozesse
Technologie
• Mitarbeiterschulungen Awareness• Kenntnisse und Qualifikationen• Kompetente Ressourcen
• Hardware• SoftwareABER Umsatzbarkeit nur möglich durch kompetente Menschen, einen Plan und unterstützende Prozesse
• Managementsysteme• Governance Richtlinien• Best Practices• IT Audits
STATUS QUO
HERAUSFORDERUNGENDokumentation der wahrgenommenen An-und Herausforderungen im Bereich IT-Sicherheit in KMU aus Praktikersicht
22
EINSCHÄTZUNG DER HERAUSFORDERUNGEN
RessourcenVerhältnis-mäßigkeit
Bewusstsein
Komplexität
Ressourcenmangel wird am häufigsten von Anwenderunternehmen genannt – insbesondere von Geschäftsführern.
Mangelndes Bewusstsein wird vornehmlich von IT-Leitern und Anbieterunternehmen genannt.
Anwenderunternehmen geben offen zu, – teilweise nach einer Risikoanalyse – dass die Verhältnismäßigkeit von Investitionssummen zu einer Entpriorisierung führt.
Die steigende Komplexität durch stetige Digitalisierungsentwicklungen sowie schwer absehbare Wechselwirkungen von IT-Sicherheitsmaßnahmen wurde von Anwendern und Anbietern gleichermaßen angeführt.
“Und von der deutlich geringeren Marge müssen wir deutlich mehr erklären, deutlich mehr mitdenken, damit das überhaupt irgendwie stabil wird. Die Welt wird auch immer komplexer! […] In der Komplexität geht die Übersicht verloren. Wir haben jahrelang Firewalls aufgebaut und die Netzwerke immer dichter gemacht, immer sicherer gemacht. Dann kam
das erste iPhone und dann wollte der Geschäftsführer, egal wo auf der Welt er ist, ob er im Internetcafé sitzt oder in der Firma
auf seine Daten zugreifen und man musste alles öffnen. Also ein absoluter Widerspruch.
Geschäftsleiter Anbieterunternehmen
Mangel an… Budget, Kapital… Zeit… Personal bzw. externen Dienstleister… Know-How… Durchblick
RessourcenVerhältnismäßig-
keit
Bewusstsein
Externalisierung der Herausforderungen
24
Komplexität
MANGEL AN RESSOURCEN UND KOMPLEXITÄT
“Das ist bei kleinen Unternehmen oftmals eine Ressourcenfrage.
Es ist natürlich auch eine finanzielle Frage. Wenn ich mir ein kleineres Unternehmen mit 30-40 Mitarbeiter vorstelle, dort
kann ich Sicherheitsaspekte wahrscheinlich gar nicht mit eigenem Personal abdecken. Also muss ich mir externe
Ressourcen holen und diese externen Berater kosten Geld. […] Das kann gerade in kleinen Unternehmen ein
Ressourcenproblem sein.IT-Leiter Anwenderunternehmen
Ressourcen
Verhältnis-mäßigkeit
Bewusstsein
Bewusste Entscheidung gegen IT-Sicherheit um jeden Preis- Verhältnismäßigkeit- Kosten-Nutzen bzw. Preis-Leistung-Betrachtung- Relevanz für die individuelle Branche/Situation
26
Akzeptanz bzw. Relativieren der Herausforderungen Komplexität
VERHÄLTNISMÄßIGKEIT BZW. KRITIKALITÄT
“Also es wird relativiert!
Es wird relativiert mit der Wahrscheinlichkeit. >> Alle haben einen Trojaner gehabt, ich scheinbar nicht, also ist meine IT scheinbar gut und wie viele Ausfälle hatten wir in den letzten 2 Jahren? Null! Also was wollen Sie überhaupt von
mir? <<
Geschäftsleiter Anwenderunternehmen
Internalisierung der Herausforderungen
Ressourcen
Kritikalität
Bewusstsein
Mangel an… Bewusstsein für den Wert von IT insgesamt… Bewusstsein für die eigene Anfälligkeit bzw. Bedrohungslage
28
Komplexität
MANGEL AN BEWUSSTSEIN
“Bei unseren Kunden muss ich sagen, da ist das schon manchmal ein hartes Geschäft. Aber da ist einfach
auf Seiten der Geschäftsführung einfach kein Bewusstsein dafür da.
Und dann geht das Tagesgeschäft natürlich vor, damit das Unternehmen am Laufen gehalten wird.
Man sieht nicht, welche Gefahren da auch für die Basisfunktionen da sind.
IT-Leiter Hybridunternehmen
30
(Heidt & Gerlach 2018)
EINSCHÄTZUNG VON HERAUSFORDERUNGENAbgleich mit Stand der Forschung
Heidt, M, and Gerlach, J.P. (2018) The Influence of SME Constraints on Organizational IT Security. In: Proceedings of the Thirty Ninth International Conference on Information Systems, San Francisco 2018
General Constraint
Constraint Aspects
Constraint Manifestation Effects on Organizational IT Security
Weighting per Role and Firm Group MD UF, UPF
IT UF, UPF
MD, other
PF
Limited Resources
Limited Budget
No or limited budget for IT security investments
less expenditure for IT in general and IT security in particular
Limited Time
No or limited time for discussions, information search regarding IT security investments
less expenditure for IT in general and IT security in particular
Limited Knowhow
No or few experienced employees to assess IT security (investments)
negative impact on expenditure regarding IT security
Small Asset Base
Revenue Stream
Cash flow difficulties or irregularities affect IT security investments
hindrance for further IT security investments
Financial Support
Difficulties to obtain financing through institutions or government
no distinct influence on IT security investments
Owner Capital
Firm assets are directly linked to owners personal assets and (IT) investments assessed differently
marginal influence on IT security investments
Low Formalization Level
Budget Planning
No or marginal budget planning for IT and IT security in particular
negative impact on expenditure regarding IT security
Multiple Roles
Multiple roles and responsibilities within one position and non-existent IT department
non-accountability/ no defined authority for IT security issues
Processes Non-existent, undefined or undocumented (organizational, technological) processes
negative impact on expenditure regarding IT security
General Constraint
Constraint Aspects
Constraint Manifestation Effects on Organizational IT Security
Weighting per Role and Firm Group MD UF, UPF
IT UF, UPF
MD, other
PF
Unterschiedliche Wahrnehmung • GF (Anwenderunternehmen) mit Schwerpunktlegung auf Ressourcenmangel• IT (Anwenderunternehmen) mit stärkeren Fokus auf strukturelle Probleme
• GF und IT (Anbieterunternehmen) mit Fokus auf Prozess-/Strukturschwächen und Leadership
“Gier frisst Hirn
– also wenn es super gut läuft, dann kümmert man sich nur um das, wo es sowieso schon gut läuft und ignoriert die Risiken!
IT-Leiter Anbieterunternehmen
HEMMNISSEEinschätzung von Barrieren und Problemen bei KMU in Bezug auf IT-Sicherheitsmaßnahmen (aus Theorie und Praxis)
SME
33
(Hunter et al, 2002; Bharati & Chaudhury 2009; Goucher 2011; Yildirim et al. 2011)
Fewer compliance drivers
Limited budget
Limited time to spend being educated
Little appreciation of risk
Limited interaction• Geographical area• Industry
Capacity to take economic risk andinvest long-term is limited
Ad hoc management practices Social ties important in business dealings
¹1)Hunter, Gordon, M., M. Diochon, D. Pugsley and B. Wright. (2002). Unique Challenges for Small Business Adoption of Information Technology: The Case of Nova Scotia Ten, in Managing Information Technology in Small Business Publishing, Hershey, PA.; ²2) Bharati, P. and Chaudhury, A. (2009), “SMEs and Competitiveness: The Role of Information Systems”, International Journal of E-Business Research, (5) 1, pp. i-ix.; ³3) Goucher, W. (2011), Do SMEs have the right attitude to security? In: Computer Fraud & Security 2011(7),18-20.; 4) Yildirim, E. Y., Akalp, G., Aytac, S., & Bayram, N. (2011). Factors influencing information security management in small-and medium-sized enterprises: A case study from Turkey. International Journal of Information Management, 31(4), 360-365.
IDENTIFIKATION KMU-SPEZIFISCHER BARRIEREN
KMU
KMU im besonderen Spannungsfeld zwischen eigenen Anforderungen und denen von Staat und Markt
34
IDENTIFIKATION KMU-SPEZIFISCHER BARRIEREN
Begrenzte Unterstützung durch Geschäftsführung
Widersprüche in der Unternehmenszielsetzung
Kunden lehnen IT-Sicherheitsmaßnahmen ab, falls diese mit einem zusätzlichen Aufwand verbunden sind oder mit erhöhten Kosten verbunden sind
Anforderungen des Staates zu hoch für Kleinbetriebe
Fehlende staatliche Unterstützung
Neue, teilweise widersprüchliche, Anforderungen von Lieferanten oder Geschäftskunden (erhöhte Frequenz von Audits/ mehr Dokumentationsbedarf)
35
Limited Resources
Small Asset Base
Low Formalization Level
Insularity
Leadership
Competitors Customers Suppliers/Providers
Country Characteristics
Org
aniz
atio
nal C
hara
cter
isti
cs
Focal SME
Micro Environment
Macro Environment
Individual Characteristics
Globalization Pressures
Industry Characteristics
(Heidt & Gerlach 2018)
GENERELLE HEMMNISSE UND BARRIERENKenntnisse: • Kapitulation oder Umgehungsmaßnahmen als Auswirkung von mangelnden
Kenntnissen• fehlendes Wissen und fehlende Kompetenz führen dazu, dass Risikoanalysen
fehlen und Maßnahmen nicht ganzheitlich betrachtet werden
Budget: • Großteil der Anwenderunternehmen stellt Budget nur fallweise zur
Verfügung, dediziertes IT-Budget (und damit IT-Sicherheitsbudget) bleibt Ausnahme
Entscheidungsprozess: • Verhältnismäßigkeit – oft nur rein logisch abgeleitet – als wichtigstes
Entscheidungskriterium für GF• Erfahrung und Bauchgefühl als wichtigstes Entscheidungskriterium für IT-
Maßnahmen
Abgleich mit Stand der Forschung
Heidt, M, and Gerlach, J.P. (2018) The Influence of SME Constraints on Organizational IT Security. In: Proceedings of the Thirty Ninth International Conference on Information Systems, San Francisco 2018
ERWARTUNGEN UND EMPFEHLUNGENHerausarbeiten der Erwartungen und Ableiten von Empfehlungen
“Es gibt vieles, aber vieles ist recht kompliziert. Und da ist dann das Hauptproblem, was ich vorhin gesagt
habe, Zeit. Es ist keine Zeit da,
es ist nicht auf der Prioritätenliste weit genug oben, also beschäftige ich mich eher mit anderen Dingen. Dann habe ich natürlich auch keine Zeit ewig lange Förderanträge zu
lesen und mich da durchzuwühlen durch irgendwelche Antragsformulare.
Geschäftsführer Anbieterunternehmen
38
Inhalte des
Angebots
Anbieter des
AngebotsArt und
Weise der Bereit-stellung
ERWARTUNGSHALTUNG: UNTERSTÜTZUNGSANGEBOTE
Zwei Perspektiven: Es gibt ausreichend Angebote, die aber unbürokratischer werden müssen…
…oder es sind nicht ausreichend Angebote bekannt, die speziell auf die Bedarfe von KMUs ausgelegt sind
Konkret gewünschte Unterstützungsangebote
Checklisten-Einfach-Konkret-Sprache entspricht den Empfängern
Vertrauen essentiell-Staatliche Behörden wie BSI-Öffentliche Einrichtungen (z.B. IHK)-Branchenverbände-Hochschulen
Informationsbereitstellung-Direkt über Newsletter- Indirekt über Multiplikatoren (z.B. Steuerberater, Rechtsanwälte)-Branchenverbände oder andere Netzwerke (Roundtables, IT-Treffs)
“Das ist eine digitale Welt. Ich kann die nicht mehr trennen, die ist mittlerweile voll verwoben.
Insofern: natürlich muss sich das alles anpassen, und natürlich ist das auch ein Lernprozess. […].
Und jede Technologie wird immer Lücken aufweisen. […]. Natürlich müssen wir da drauf achten, dass die
Sicherheitsstandards sich mit anpassen, und dass da nicht irgendwann jemand damit Quatsch macht. Aber da ist
dann wieder die große Frage, wer das machen soll…Geschäftsführer Anwenderunternehmen
IT- und Informationssicherheitsverhalten als Lernprozess bzw. über Motivation verstehen
40
Kompetenz/ Kompetenzerleben
Autonomie/ Selbstbestimmung
Soziale Eingebundenheit
Psychologische Grundbedürfnisse
Menschen möchten etwas bewirken und sich in ihren Handlungen als wirksam und
kompetent erleben.„Effektivität im Umgang mit der Umwelt“
Menschen möchten das Gefühl haben, das eigene Handeln selbst bestimmen zu
können. „Kontrolle über das eigene Leben“
Menschen möchten mit anderen verbunden sein und akzeptiert und anerkannt werden.
„Existenz bedeutsamer/enger Beziehungen mit anderen“
¹ Ryan, R. M., & Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American psychologist, 55(1), 68.² Deci, E. L., & Ryan, R. M. (2002). Overview of self-determination theory: An organismic dialectical perspective. Handbook of self-determination research, 3-33.
Je mehr diese grundlegenden Bedürfnisse befriedigt sind, desto selbstbestimmter ist der Mensch
Kompetenz unterstützen und „zugestehen“ Handlungsfreiräume einräumen Aktivität zur sozialen Einbindung
Stel
lsch
raub
en
EMPFEHLUNGEN AUS DER THEORIE: SELBSTBESTIMMUNGSTHEORIE¹²
Extrinsische MotivationIntrinsische Motivation Amotivation
Selbst-bestimmung
Kompetenz Soziale Eingebundenheit
Psychologische Grundbedürfnisse
41¹ Gagné, M., & Deci, E. L. (2005). Self‐determination theory and work motivation. Journal of Organizational behavior, 26(4), 331-362.perspective. Handbook of self-determination research, 3-33.
Motivationstyp
Intrinsische Motivation
Integrierte Regulierung
Identifizierte Regulierung
Externe RegulierungEingepflanzte Regulierung
Amotivation
Interesse und Freude an der Aufgabe
Übereinstimmung von Zielen, Werten und
Regeln
Wichtigkeit von Zielen, Werten und Regeln
Selbstwert abhängig von Leistung, Ego-Beteiligung
Abhängig von Belohnung und
Bestrafung
Abwesenheit von Absicht
Spektrum der Selbst-
bestimmungIntrinsisch-autonome Motivation
Fehlende Motivation
Regulierung
Autonome Motivation
Mäßig autonome Motivation
Mäßig kontrollierte Motivation
Kontrollierte Motivation
Formen der autonomen Motivation Motivation durch gesetzliche Regulierung (z.B. DSGVO)
EMPFEHLUNGEN AUS DER THEORIE: MOTIVATION STÄRKEN(Gagné & Deci 2005)
Empfehlungen durch Anbieterunternehmen- Einsatz von standardisierten Lösungen kann Entscheidungen
erleichtern und geringere Investitionssummen erfordern- IT- und Informationssicherheitsverhalten als kontinuierlichen
Lern- und Aufklärungsprozess verstehen und leben- Trennung von IT-Sicherheits- und Datenschutzbeauftragten
Empfehlungen durch Anwenderunternehmen- Nutzung diverser Informationsquellen (insbesondere
persönliches Netzwerk und einschlägige Presse) sowie besonderes Augenmerk auf branchenspezifische
Erwartungswerte- IT-Sicherheit als Alleinstellungsmerkmal und potentiellen
Wettbewerbsfaktor verstehen
Übergreifende Empfehlungen- Gesamtgesellschaftlich muss ein Umdenken bezüglich des Umgangs mit Daten stattfinden- Netzwerke, insbesondere branchenspezifische, sollten als Erfolgsfaktor genutzt werden
- Formalisierte Prozesse (Dokumentation, Policies, etc.) können erfolgsversprechend für die Bewusstseinsverankerung sein- Inanspruchnahme von externem Knowhow bei mangelnden internen Ressourcen (insb. Zeit und Personal) ist essentiell
42
ABLEITUNG VON EMPFEHLUNGEN
“USP ist definitiv das Thema Digitalisierung und zwar in der Zusammenarbeit von Kunden und [Unternehmen].
Das ist ein großes Thema. Da sind viele Kollegen, die nicht mal daran gedacht haben, was
man damit alles machen kann. Das ist ein USP nach außen hin.
Ein inneres USP ist die Digitalisierung der eigenen Unternehmung selbst.
Geschäftsführer Anwenderunternehmen
POSTHOC ANALYSE Dokumentation zusätzlicher Erkenntnisse
1 2 3
EU-DSGVO Infrastruktur Google, Facebook, und Co.
„Sind wir mal auch ganz ehrlich, was Google, Whatsappund Facebook jeden Tag an Daten klauen, wieso machtda keiner was? Die EU entscheidet was, das jetztUnternehmer sich absichern müssen, dass sie nichtgehackt werden […] Das ist doch in meinen Augen einno-go! Da müsste der Datenschutz sagen "Facebookalles gut, Google alles gut, sie können die Suchbegriffespeichern. Aber ansonsten alle Daten und Kontakterunterziehen? NEIN!" – GeschäftsführerAnwenderunternehmen
45
„Ganz zu Beginn scheiterten die Projekte einfachdaran, dass wir hier nur DSL6000 hatten(lachend). Dann haben wir vor zwei Jahren50.000 Euro in die Hand genommen und unseine Glasfaserleitung legen lassen.“ –Geschäfts- und IT-LeiterHybridunternehmen
„Datenschutzgrundverordnung ist im Augenblick ganz aktuelletwas, das im Raum rumschwirrt,[…].“ – GeschäftsführerAnbieterunternehmen
¹ http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC ² https://www.akamai.com/de/de/multimedia/documents/state-of-the-internet/q1-2017-state-of-the-internet-connectivity-executive-summary.pdf ³ https://www.gruenderszene.de/allgemein/eprivacy-datenschutz-wirtschaft
WAS BESCHÄFTIGT KMU?
Studie der CARMAO GmbH (IT-Security-Beratung):(Juli 2017, n=329 Geschäftsführer/Vorstände, Unternehmen über 20 Mio. Euro Jahresumsatz)
Bis wann werden alle Maßnahmen für die EU-DSGVO abgeschlossen?
2019 oder später bis Ende 2018 bis Mai 2018 bis Ende 2017 bereits realisiert44
35
28
32
41
38
21
0 10 20 30 40 50
zu spät gestartet
Aufwand unterschätzt
hat keine hohe strategischeAusrichtung
andere Investitionsprioritäten
fehlende fachliche Ressourcen
Defizite in den BDSG-Anforderungen
weitere
Sofern es Verzögerungen bei der Umsetzunggibt: Was sind die hauptsächlichen Gründe dafür?
Mehrfachnennungen möglich
46
EU-DATENSCHUTZGRUNDVERORDNUNG
4 5 6
Cyberinsurances Rolle der IHK Mündigkeit der Bürger
„Also wenn man als Verbraucher zum Beispiel sagt "Ich erwartevon dem oder dem Unternehmen, dem Klinikum oder so, wenn ihrmeine Daten aufbewahrt, dann erwarte ich auch, dass meineDaten nicht irgendwie aus Versehen sonst wo landen." Und dannkann man auch gewisse Anforderungen stellen und die aucheventuell.. also im Wahlprogramm kann man ja aufnehmen, dassman Daten sicher aufbewahrt... [..] Naja, wenn die Menschenimmer mehr und mehr Wert auf ihre Daten legen, dann reagierendie Unternehmen ja auch darauf.“ – VertriebsleiterAnwenderunternehmen
„Die IHK hat mehr als genug Angebote an ihre Mitgliederzu solchen Themen, die auch nichts zusätzlich kosten. Einkaufmännischer Geschäftsführer, der gerade seine PCeinschalten kann, der hat nicht das Empfinden, was er inRichtung IT-Sicherheit tun kann. Aber der fragt auch beiThemen um den Feuerschutz bei seinem Bauamt nach. Alsokönnte er da auch wunderbar nachfragen. Das ist für michkeine Entschuldigung.“ – IT-LeiterAnwenderunternehmen
„Am Ende sind wir immer noch Menschen und dieInformatiker können nicht alles technisch abfangen, weil derAdministrator im Prinzip dann auch eine Sicherheitslückehat und man weiß nicht, welche Mitarbeiter man auch hatund im Prinzip gibt es auch das interne Risiko, was immermitzuführen ist und da sollte man sich immer versicherndagegen. Wenn es denn eine Versicherung gibt.“ – IT-Leiter Anwenderunternehmen
47¹ Bildquelle: flickr² Bildquelle: IHK.de³ Bildquelle: pixabay
DOKUMENTATION ZUSÄTZLICHER ERKENNTNISSE
7 8 9
IT-Strategietypen Vertrauen Begrifflichkeiten
48¹ Bildquelle: pixabay² Bildquelle: pixabay³ Bildquelle: pixabay
„Also IT Sicherheit ist an und für sich eine technischeUmsetzung der Informationssicherheit. […] das istübrigens auch die offizielle Definition. Das ist das wasman auch tatsächlich in den ganzen Definitionen sieht.Wir haben auf dem Information Sicherheit Markt eingroßes Problem: und zwar denkt jeder, dass er damitmischen kann. Und das, obwohl er es auch nichtkennt.“ – Berater Anbieterunternehmen
Erkenntnisse aus der Forschung:Miles and Snow Types of Strategy Großteil der KMU eher reaktiv oder verteidigend
Wissen Sie, wenn Sie jetzt mit ihrem Auto zurAutowerkstatt gehen, dann sagt der Ihnen "Hör mal zu, dumusst eine Ölfilterinspektion machen, aber deinKühlerschlauch leckt ein bisschen und den sollten wir maltauschen!" Dann tuen Sie das im Vertrauen und sagen,„das machen wir“ und gucken nicht vorher, ob da vielleichtder Kühlerschlauch gewechselt werden muss oder fehlt dairgendwas. Sondern Sie gehen dahin und sagen "machen".Und genau so ist es bei Leuten, die keine Ahnung von IThaben. Die wissen, dass man es braucht zum Arbeiten,aber irgendwo ist da auch mal Schluss! – GeschäftsleiterAnwenderunternehmen
DOKUMENTATION ZUSÄTZLICHER ERKENNTNISSE
49¹ Miles R. & Snow C. (1978) Organizational Strategy, Structure, and Process. McGraw-Hill: New York.² Desarbo, W. S. et al. (2005): Revisiting the Miles and Snow Strategic Framework: Uncovering Interrelationships between Strategic Types, Capabilities, Environmental Uncertainty, and Firm Performance. In : Strategic Management Journal (26), 47-74.
• Ignorieren von Entwicklungen und Trends außerhalb ihres Marktes
• Suchen von Stabilität• Insbesondere bei Unternehmen mit
wettbewerbsfähigen Preisen und High-Quality Produkten Hohe horizontale Differenzierung, zentralisierte Kontrolle, formale Kommunikationshierarchie
Prospektor
Prospector
Verteidiger
Defender
Analysierer
Analyzer
Reagierender
Reactor
(Miles and Snow, 1978; Desarbo et al. 2005)
• Versuchen Elemente von Defenders und Prospectors zu vereinen
• Ziel ist Minimierung des Risikos und Maximierung der „opportunities“
• Übernahme von erfolgreichen Ideen von Prospectors, Marktbearbeitung wie Defenders Flexibilität und Stabilität bei höherer Effizienz als Prospectors
• Ziel sind neue Produkte und Markt-erweiterungsmöglichkeiten
• Erfolg abhängig von Entwicklungen, Umweltfaktoren, Trends und Events
• (strukturelle) Flexibilität besonders wichtig Flache formale Differenzierung, dezentrale Kontrolle, laterale und vertikale Kommunikation
• Keine „richtige“ Strategie bzw. bei fehlender oder fehlerhafter Umsetzung der anderen drei Strategietypen
• Festhalten an der bisherigen Strategie trotz Änderungen der Umweltbedingungen (entweder durch fehlende Einsicht oder bei ausbleibender Änderung der Strategieführung
STRATEGIETYPEN – AUS DER FORSCHUNG
EXECUTIVE SUMMARY Zusammenfassung der Ergebnisse
• Kaum ein KMU hat ein dediziertes IT- oder IT-Sicherheitsbudget
• Formalisierte Prozesse fehlen mehrheitlich – aber nur die gemeinsame Betrachtung von Mensch, Technologie und Prozess ist erfolgsversprechend
• Die Perspektive „Unternehmer als Einzelkämpfer“ wirkt sich negativ auf das Verständnis und die Umsetzung von IT-Sicherheit aus
• „Kontrolle“ und „Schmerz“, d.h. gesetzliche Bestimmungen inklusive Kontrollen und eigener Schaden durch einen Angriff oder eine Klage, werden als Hauptmotivatoren für Investitionen gesehen
• Mangelnde Ressourcen werden von KMU als größte Herausforderung gesehen
EXECUTIVE SUMMARY• KMU sehen sich mehrheitlich schlechter aufgestellt als große Unternehmen
50
DANKE FÜR IHRE UNTERSTÜTZUNG!
Margareta Heidt, M.Sc.Wissenschaftliche
Mitarbeiterin am Lehrstuhl Wirtschaftsinformatik
Prof. Dr. Peter BuxmannInhaber Lehrstuhl
Wirtschaftsinformatik |Leiter HIGHEST
53
Durchgeführt vonFachgebiet Wirtschaftsinformatik |
Software & Digital BusinessTechnische Universität Darmstadt
S1|02 242Hochschulstraße 164289 Darmstadt
Kontakt:[email protected]
54
Im Auftrag von
55
(1) https://www.security-insider.de/it-sicherheit-macht-digitalisierung-erst-moeglich-a-562455/(2) https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html(3) https://www.accenture.com/us-en/event-cybertech-europe-2017?src=SOMS#block-insights-and-innovation(4) https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf(5) http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC(6) https://www.akamai.com/de/de/multimedia/documents/state-of-the-internet/q1-2017-state-of-the-internet-connectivity-executive-summary.pdf(7) https://www.gruenderszene.de/allgemein/eprivacy-datenschutz-wirtschaft(8) https://www.computerwoche.de/i/detail/artikel/3330971/1/2684271/EL_mediaN10074/(9) https://insider.zurich.co.uk/industry-spotlight/3-smes-aware-government-schemes/
QUELLEN – INTERNET
56
(1) NACE Rev. 2 Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft. Structure an Explanatory Notes. In: eurostat (Hrsg.): Methodologies and Working papers.(2) Hunter, Gordon, M., M. Diochon, D. Pugsley and B. Wright. (2002). Unique Challenges for Small Business Adoption of Information Technology: The Case of Nova Scotia Ten, in Managing Information Technology in Small Business Publishing, Hershey, PA.; (3) Bharati, P. and Chaudhury, A. (2009), “SMEs and Competitiveness: The Role of Information Systems”, International Journal of E-Business Research, (5) 1, pp. i-ix.; (4) Goucher, W. (2011), Do SMEs have the right attitude to security? In: Computer Fraud & Security 2011(7),18-20.; 4) Yildirim, E. Y., Akalp, G., Aytac, S., & Bayram, N. (2011). Factors influencing information security management in small-and medium-sized enterprises: A case study from Turkey. International Journal of Information Management, 31(4), 360-365.(5) Ryan, R. M., & Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American psychologist, 55(1), 68.(6) Deci, E. L., & Ryan, R. M. (2002). Overview of self-determination theory: An organismic dialectical perspective. Handbook of self-determination research, 3-33.(7) Gagné, M., & Deci, E. L. (2005). Self‐determination theory and work motivation. Journal of Organizational behavior, 26(4), 331-362.perspective. Handbook of self-determination research, 3-33.(8) Miles R. & Snow C. (1978) Organizational Strategy, Structure, and Process. McGraw-Hill: New York.(9) Desarbo, W. S. et al. (2005): Revisiting the Miles and Snow Strategic Framework: Uncovering Interrelationships between Strategic Types, Capabilities, Environmental Uncertainty, and Firm Performance. In : Strategic Management Journal (26), 47-74.
QUELLEN – LITERATUR
57
(1) Bildquelle: flickr(2) Bildquelle: Pixabay(3) Bildquelle: IHK.de(4) Bildquelle: Pixabay
QUELLEN – BILDMATERIAL