Die digitale Transformation hat kleine und mittlere Unternehmen (KMU) in Deutschland vor neue Herausforderungen gestellt, insbesondere im Bereich der IT-Sicherheit. Um diese Problematik zu verstehen und Lösungsansätze zu entwickeln, beauftragte das Bundesministerium für Wirtschaft und Energie im Jahr 2021 eine Studie mit dem Titel “IT-Dienstleister als Akteure zur Stärkung der IT-Sicherheit bei KMU in Deutschland” [1]. Diese Untersuchung zielte darauf ab, die Rolle externer IT-Dienstleister bei der Verbesserung der Cybersicherheit im deutschen Mittelstand zu analysieren und dabei sowohl die Angebots- als auch die Nachfrageseite zu beleuchten.
Ausgangslage und Zielsetzung der Studie
Der Bericht entstand vor dem Hintergrund, dass KMU aufgrund ihrer begrenzten Größe selten über eigene IT-Abteilungen verfügen und daher regelmäßig auf externe IT-Dienstleister angewiesen sind. Die Studie untersuchte, welche IT-Dienstleistungen KMU angeboten werden, wie die Zusammenarbeit zwischen Dienstleistern und ihren Kunden funktioniert und nach welchen Kriterien KMU ihre IT-Partner auswählen. Besonders im Fokus stand dabei die Frage, wie IT-Dienstleister zur Stärkung der IT-Sicherheit bei KMU beitragen können und welche Hemmnisse einer erfolgreichen Kooperation im Wege stehen.
Zentrale Erkenntnisse des ursprünglichen Berichts
Die Studie identifizierte IT-Dienstleister als entscheidende “Gatekeeper” für die IT-Sicherheit von KMU, da sie häufig die ersten Ansprechpartner sind, wenn es um Informationen zu vertrauenswürdigen Hard- und Softwareprodukten geht. Gleichzeitig deckte die Untersuchung eine problematische Diskrepanz auf: Während KMU oft über unzureichendes Verständnis, begrenzte Zeit und knappe Budgets für IT-Sicherheit verfügen, haben IT-Dienstleister bereits volle Auftragsbücher und zeigen begrenztes Interesse an kleinteiligen Auftragsvolumen mit komplexen Entscheidungsstrukturen. Diese Konstellation führt zu einer wenig kosteneffizienten und qualitativ unzureichenden IT-Sicherheit bei KMU.
Der Bericht betonte bereits damals die Heterogenität des IT-Dienstleistermarktes, der von kleinen lokalen Anbietern bis hin zu großen Systemhäusern reicht und entsprechend unterschiedliche Serviceportfolios und Zielgruppen bedient. Die Studie kam zu dem Schluss, dass die Wahrnehmung der IT-Dienstleister als zentrale Akteure für die KMU-Sicherheit geschärft werden müsse, da sie über einen umfänglichen Überblick über die IT-Sicherheitslage bei ihren Kunden verfügen.
Dramatische Veränderungen seit 2021
Seit der Veröffentlichung des Berichts hat sich die Cybersicherheitslage erheblich verschärft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem aktuellen Lagebericht 2024, dass die Bedrohung im Cyberraum so hoch wie nie zuvor ist [2]. Besonders alarmierend ist die Tatsache, dass rund 60 Prozent der Cyberattacken in Deutschland auf den Mittelstand entfallen, da Angreifer hier meist nur geringe Sicherheitshürden überwinden müssen [4].
Parallel zu dieser verschärften Bedrohungslage haben sich auch die rechtlichen Rahmenbedingungen grundlegend geändert. Das IT-Sicherheitsgesetz 2.0, das im Mai 2021 in Kraft trat, erweiterte die deutsche KRITIS-Regulierung deutlich und führte neue Pflichten für einen größeren Betreiberkreis ein [3]. Mit der bevorstehenden Umsetzung der NIS2-Richtlinie [5] und des Cyber Resilience Act [6] stehen weitere regulatorische Verschärfungen bevor, die auch KMU als Zulieferer größerer Unternehmen betreffen werden.
Die technologische Entwicklung hat ebenfalls neue Herausforderungen geschaffen. Cloud-Security ist zu einem zentralen Thema geworden, da immer mehr KMU ihre IT-Infrastruktur in die Cloud verlagern. Das Internet of Things (IoT) eröffnet neue Angriffsflächen, während gleichzeitig künstliche Intelligenz sowohl als Schutz- als auch als Angriffswerkzeug an Bedeutung gewinnt. Neue Sicherheitskonzepte wie Zero Trust etablieren sich zunehmend, und der Trend zu Managed Security Services verstärkt sich.
Anhaltende Relevanz der ursprünglichen Erkenntnisse
Trotz aller Veränderungen bleiben die Kernaussagen des Berichts aktuell. KMU sind nach wie vor in hohem Maße auf externe IT-Dienstleister angewiesen, da sie weiterhin selten über eigene IT-Sicherheitsexperten verfügen. Die Gatekeeper-Funktion der IT-Dienstleister hat sich sogar noch verstärkt, da die Komplexität der Bedrohungslandschaft kontinuierlich zunimmt. Das Bewusstsein für IT-Sicherheit stagniert trotz zunehmender Bedrohungen seit Jahren auf einem unzureichenden Niveau [2]. Die von der ursprünglichen Studie identifizierte Diskrepanz zwischen KMU-Bedürfnissen und Dienstleister-Angeboten besteht weiterhin und hat sich teilweise sogar verschärft.
Besonders deutlich wird dies bei der Budgetallokation: Aktuelle Branchenanalysen für das Jahr 2024 zeigen, dass deutsche Unternehmen im Median etwa 18,1 Prozent ihres gesamten IT-Budgets in Cybersicherheit investieren. Bei kleinen und mittelständischen Unternehmen (KMU) liegt dieser Anteil bei rund 8,8 Prozent des IT-Budgets, während Großunternehmen etwa 13,6 Prozent für IT-Sicherheit vorsehen. Der Bericht betont zudem, dass trotz der wachsenden Bedrohungslage viele Unternehmen weiterhin nicht ausreichend in Cybersicherheit investieren und grundlegende Schutzmaßnahmen oft vernachlässigen [6].
Notwendige Aktualisierungen und Ergänzungen
Eine zeitgemäße Version des Berichts müsste einige Anpassungen und Ergänzungen vornehmen. Die drastisch veränderte Bedrohungslandschaft mit dem massiven Anstieg von Ransomware-Attacken und der Professionalisierung der Cyberkriminalität müsste umfassend berücksichtigt werden [2, 4]. Die neuen rechtlichen Anforderungen durch das IT-Sicherheitsgesetz 2.0 [3], die kommende NIS2-Umsetzung [5] und den Cyber Resilience Act [6] erfordern eine völlig neue Bewertung der Compliance-Anforderungen für KMU und ihre IT-Dienstleister.
Technologische Entwicklungen wie Cloud-First-Strategien, Zero Trust-Architekturen und der Einsatz von KI in der Cybersicherheit müssten als neue Servicefelder für IT-Dienstleister detailliert analysiert werden. Der Trend zu Managed Security Services und Security-as-a-Service-Modellen hat das traditionelle Dienstleistungsportfolio grundlegend verändert und erfordert eine neue Kategorisierung der Anbieter. Besonders relevant ist auch die Integration von Security Awareness-Programmen, die laut Experten die Erfolgsquote von Phishing-Angriffen um bis zu 70 Prozent reduzieren können [2, 4].
Die COVID-19-Pandemie hat die Digitalisierung massiv beschleunigt und neue Sicherheitsherausforderungen durch Home Office und hybride Arbeitsmodelle geschaffen, die ebenfalls zusätzlich betrachtet werden müssten [1]. Gleichzeitig hat sich der Fachkräftemangel im IT-Sicherheitsbereich weiter verschärft, was die Abhängigkeit von externen Dienstleistern noch verstärkt hat.
Fazit und Ausblick
Der ursprüngliche Bericht von 2021 lieferte wichtige Grundlagenerkenntnisse über die Rolle von IT-Dienstleistern bei der Stärkung der KMU-Sicherheit, die in ihren Kernaussagen auch heute noch Gültigkeit besitzen. Die dramatischen Veränderungen der letzten Jahre in Bezug auf Bedrohungen, Technologien und rechtliche Anforderungen machen jedoch eine umfassende Aktualisierung dringend erforderlich. Besonders die verstärkte Fokussierung auf Managed Security Services, die Integration neuer Technologien wie KI und Zero Trust sowie die Berücksichtigung der veränderten Arbeitsmodelle nach der Pandemie sind zentrale Aspekte, die eine moderne Neufassung der Studie prägen sollten. Nur durch eine kontinuierliche Anpassung an die sich rasch wandelnde Cybersicherheitslandschaft können IT-Dienstleister ihre entscheidende Gatekeeper-Funktion für die Sicherheit des deutschen Mittelstands erfolgreich wahrnehmen.
Referenzen
[3] BSI – IT-Sicherheitsgesetz 2.0
[4] 2024 Report on the State of the Cybersecurity in the Union | ENISA
[6] BSI – Cyber Resilience Act
[7] Cyberangriffe kosten 1,06 Millionen Dollar pro Unternehmen
Be First to Comment