Laut einer repräsentativen Befragung des Bundesministeriums für Wirtschaft und Energie (BMWi) aus dem Jahr 2020 waren über 40 Prozent der deutschen Unternehmen ab zehn Beschäftigten innerhalb eines Jahres mindestens einmal Opfer eines Cyberangriffs. Am weitesten verbreitet waren dabei Phishing (22 %) und Angriffe mit Malware, insbesondere Ransomware (13 %), Spyware (11 %) und sonstige Schadsoftware (21 %) (Quelle: Regula Heinzelmann, IT Sicherheitskonzept für KMU).
Einmal mit dem passenden Sicherheitsstandard aufgesetzt, wird der digitale Arbeitsplatz meist schnell zum Gamechanger für KMUs, wenn es darum geht, die Produktivität, Mitarbeiterzufriedenheit und Sicherheit zu steigern. Ein Blick in die IT-Abteilungen mittelständischer und großer Unternehmen offenbart jedoch: Mittelständler hinken bei der Ausgestaltung ihrer IT-Arbeitsplatzumgebung und der damit verbundenen Sicherheitsvorkehrungen oft deutlich hinterher.
Security: Großunternehmen vs. KMU
Großunternehmen verfügen in aller Regel über umfassende Sicherheitsvorkehrungen und ein etabliertes Informationssicherheitsmanagementsystem (ISMS); häufig wird sogar ein dediziertes Security Operation Center (SOC) betrieben oder als Service von einem spezialisierten Dienstleister eingekauft. In kleinen und mittelständischen Unternehmen hingegen bleibt ein aktives Sicherheitsmanagement weiterhin der Ausnahmefall. Zwar messen rund zwei Drittel der KMU dem Thema IT-Sicherheit eine hohe Bedeutung bei; allerdings geben nach Angaben des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste nur ca. 20 Prozent an, bereits eine entsprechende IT-Sicherheitsanalyse durchgeführt zu haben.
Lesetipp: ISO/IE 27701 - Mehr Datenschutz für ISMS
Während der Professionalisierungsgrad großer Unternehmen im Hinblick auf IT-Strategie, Prozesse, Enterprise Architecture Management (EAM), IT-Organisation und Support sowie Risikomanagement und Business Continuity meist sehr ausgereift ist, sind diese Aspekte im Mittelstand bis heute oft nur rudimentär vorhanden. Gleiches gilt auch für "Self Service" Funktionen, über die die Mitarbeiter standardisierte Services selbst anfordern können.
Vergleicht man die IT-Budgetplanung mittelständischer und großer Unternehmen, so werden auch hier die Unterschiede deutlich: Eine umfassende Budgetplanung und bewusste, strategische Budgetentscheidungen - inklusive Investitionen in Marktanalysen und externe Beratung - nach dem Vorbild großer Unternehmen sind im Mittelstand klar die Ausnahme. Aufgrund ihres insgesamt geringen IT-Budgets sind KMU als Kunden für größere IT-Provider wenig interessant. Dies führt dazu, dass in der Regel ein breites Spektrum an IT-Leistungen durch einzelne Dienstleister oder Personen erbracht wird, was wiederum das IT-Management und die Weiterentwicklung der IT-Umgebung erheblich erschwert. Ein aktives Ausschreibungs- und Providermanagement wie in Großunternehmen sucht man hier meist vergebens. Das hängt auch damit zusammen, dass Personalkosten im Mittelstand einen kritischen Kostenfaktor darstellen und die benötigten personellen Ressourcen für ein gezieltes Ausschreibungs- und Providermanagement nicht vorgehalten werden können.
Arbeitsplatz der Zukunft: Sicher und effizient
Die Etablierung einer standardisierten digitalen Arbeitsplatzumgebung kann für KMU ein wichtiger Schlüssel sein, um die eingangs aufgezeigten Lücken zu den Großunternehmen zu schließen. Der digitale Arbeitsplatz umfasst weit mehr als nur die physische Ausstattung und bildet für die Mitarbeiter die entscheidende Schnittstelle, um ihre Fähigkeiten für das Unternehmen einzubringen. Er bietet eine hohe Flexibilität beim Wechsel der Arbeitsumgebung (z. B. Shared-Desk-Modell im Büro, Remote-Arbeit im Home-Office) und gewährleistet in jedem dieser Szenarien ein sicheres Arbeitsumfeld - sowohl aus Mitarbeiter- als auch aus Unternehmenssicht. Er schafft nicht nur die technischen Rahmenbedingungen für ein sicheres Arbeiten, sondern trägt durch Awareness-Schulungen und Sicherheitsrichtlinien auch dazu bei, das Risikobewusstsein der Mitarbeiter zu schärfen und Sicherheitsrisiken im Arbeitsalltag zu minimieren. Alle Richtlinien und Dokumentationen werden dabei zentral und einfach auffindbar per Intranet bereitgestellt.
Lesetipp: Security Awareness - Social-Engineering-Angriffe erkennen und verhindern
Der Funktionsumfang des digitalen Arbeitsplatzes der Zukunft ist rollenbasiert. Das bedeutet, dass sich sowohl die Geräteausstattung als auch die verfügbaren Funktionen, Anwendungen und Apps je nach Einsatzgebiet und Anforderungsprofil des Mitarbeiters (z. B. Backoffice, Finanzbuchhaltung, Consulting, Vertrieb & Marketing, Produktion) unterscheiden, um eine optimale Arbeitsfähigkeit und Effizienz der einzelnen Funktionsbereiche sicherzustellen.
Effizienz lautet auch mit Blick auf die Support- und Richtlinienstrukturen das oberste Gebot: Dreh- und Angelpunkt der digitalen Arbeitsplatzumgebung ist ein zentraler Service Desk, der mittels eines Ticketsystems erreichbar ist und als Single Point of Contact (SPOC) für alle Anfragen und Fehlermeldungen der User fungiert. Durch standardisierte Prozesse gewährleistet der Service Desk einen schnellen, hochqualitativen Support, ein effizientes On- und Offboarding neuer bzw. ausscheidender Mitarbeiter und eine zügige Bereitstellung von Neugeräten bei Verlust oder Defekt. Standard-Services können vom Mitarbeiter sogar eigenständig per Self Service angefordert werden. Gleichzeitig bietet der digitale Arbeitsplatz der Zukunft auch umfassende Bring Your Own Device (BYOD) Möglichkeiten für User, die auch im Business-Kontext auf ihrem privaten Endgerät arbeiten möchten.
Angebot an Commodity Services wächst
Leider fällt es der internen IT von KMU oft schwer, all diese Aspekte in der nötigen Qualität zu adressierenund die IT-Sicherheit auf dem Niveau großer Unternehmen zu gewährleisten. So wächst auch das Angebot an Services, die automatisiert einen umfassenden Schutz vor Bedrohungen gewährleisten. KMUs können so von einem hohen Schutzniveau profitieren, ohne selbst ausgeprägtes Fachwissen vorhalten zu müssen. Beispiele dafür sind "XDR Services" von einigen Herstellern, die eine lückenlosere Überwachung unter Einbezug mehrerer Datenquellen ermöglichen.
Lesetipp: XDR - Was ist Extended Detection and Response?
Die Dienste können als Service konfiguriert werden; einige Hersteller ermöglichen auch die Einbindung eines Expertenteams zur Schadensbegrenzung für den Fall, dass doch ein Angriff erfolgreich sein sollte.
Der Bezug des digitalen Arbeitsplatzes mit allen oben aufgeführten Leistungen als "Commodity Service" bietet darüber hinaus für das Unternehmen und die Mitarbeiter weitere deutliche Vorteile: Die Einführung des digitalen Arbeitsplatzes durch einen externen Provider lässt sich in der Regel innerhalb kurzer Zeit umsetzen und bei Bedarf zu jedem Zeitpunkt schnell und unkompliziert skalieren, sodass auch kurzfristige Wachstumsphasen und veränderte Rahmenbedingungen flexibel abgebildet werden können. Gleichzeitig wird durch den Einsatz von State of the Art Technik eine hohe Ausfallsicherheit der digitalen Arbeitsplatzumgebung sichergestellt. Klare Zuständigkeiten und die Delegation der Verantwortung an einen Provider reduzieren den Management-Aufwand seitens des Auftraggebers und können Freiräume zur Konzentration auf das eigene Kerngeschäft eröffnen.
Staatliche Fördermittel für die Digitalisierung
Auch wenn der dafür verfügbare Budgetrahmen in KMU häufig den limitierenden Faktor darstellt, lässt sich der digitale Arbeitsplatz mit kontrollierbarem Kosteneinsatz in mittelständischen Unternehmen etablieren. Was in diesem Zusammenhang vielen IT-Verantwortlichen in mittelständischen Unternehmen nicht bekannt ist: Der Staat bietet Fördermittel zur Steigerung der IT-Sicherheit von KMUs, die in der Regel nach Beantragung auch schnell bewilligt werden. Dazu wurden unter anderem die folgenden bundesweiten Förderprogramme aufgesetzt:
Go Digital: Gefördert wird die Planung von Digitalisierungs-Projekten und die Erstellung von Anträgen für Fördermittel durch autorisierte Beratungsunternehmen. BMWi - Förderprogramm "go-digital"
Digital Jetzt: Ziel der Förderung sind Digitalisierungsprojekte zur Optimierung der Geschäftsabläufe, Steigerung der IT-Sicherheit und Befähigung der Mitarbeiter, die Digitalisierung der Unternehmen voranzutreiben. Dabei werden bis zu 50% des Investitionsvolumens übernommen. BMWi - "Digital Jetzt"- Neue Förderung für die Digitalisierung des Mittelstands
Die geförderten Leistungen des "Go Digital" Programms können eingesetzt werden, um die Anträge für die "Digital Jetzt" Förderung zu stellen. In Bayern ist das beispielsweise der Digitalbonus Bayern Digitalbonus.Bayern | Förderprogramm, der zwei Programme beinhaltet:
über den Digitalbonus Standard gibt es Zuschüsse bis zu 10.000,- € für Digitalisierungsprojekte mit einem besonderen Schwerpunkt auf IT-Sicherheit.
über den Digitalbonus Plus werden für Projekte mit einem hohen Innovationsgehalt Zuschüsse bis zu 50.000,- € vergeben.
Die gewährten Zuschüsse in den aufgeführten Programmen müssen nicht rückerstattet werden. (bw)