iTeam-Geschäftsführertagung Security im Mittelstand: Wie findet man den geeigneten Dienstleister?

Autor: Sylvia Lösel

Für kleine Unternehmen bedeutet der Digitalisierungsschub oft Überforderung. Hilfe können Systemhäuser bieten. Auf der iTeam-Geschäftsführertagung diskutierten diese eine Studie zur Stellung der Dienstleister im KMU-Umfeld kontrovers.

Firmen zum Thema

Auf der Suche nach dem passenden Dienstleister tun sich gerade Kleinunternehmen schwer. Eine Studie beleuchtet, wie das besser werden könnte.
Auf der Suche nach dem passenden Dienstleister tun sich gerade Kleinunternehmen schwer. Eine Studie beleuchtet, wie das besser werden könnte.
(Bild: frank peters – stock.adobe.com)

Auf der iTeam-Geschäftsführertagung war das Thema Security ein großer Bestandteil des Abends. Denn nach einer kurzen Ansprache von Geschäftsführer Frank Röbers beherrschte eine Studie des Bundesministeriums für Wirtschaft und Energie die Runde. Mitautor Christian Köhler, Geschäftsführender Gesellschafter bei NKMG, erläuterte die Hintergründe und Ergebnisse der Untersuchung „IT-Dienstleister als Akteure zur Stärkung der IT-Sicherheit bei KMU in Deutschland“.

Auf Hilfe angewiesen

Kleine und mittlere Unternehmen (KMU) spielen eine zentrale Rolle für die Wirtschaftskraft Deutschlands. Die Digitalisierung von Management- und Produktionsprozessen hat Auswirkungen auf die Unternehmenssicherheit dieser Klientel. Aufgrund ihrer Größe verfügen kleine Unternehmen aber selten über eigene IT-Abteilungen, geschweige denn über tiefgehendes IT-Knowhow. Sie sind damit also zumeist auf die Hilfe externer IT-Dienstleister angewiesen. Diese sind häufig die ersten Ansprechpartner, wenn die Unternehmen sich mit Fragen der IT-Sicherheit auseinandersetzen müssen. Die Studie des Bundesministeriums für Wirtschaft und Energie (BMWi) sollte folgende Fragestellungen beantworten:

  • Wie ist die Gruppe der IT-Dienstleister zu definieren?
  • Welche IT-Dienstleistungen werden den KMU angeboten?
  • Wie arbeiten IT-Dienstleister und ihre Kunden zusammen?
  • Wie finden KMU geeignete IT-Dienstleister, und nach welchen Kriterien wählen sie diese aus?

Nicht überraschend sind die Ergebnisse: Viele KMU kennen weder ihr Risikoprofil noch ihre Bedrohungslage. Sie unterschätzen somit häufig das Risiko, Opfer eines Angriffs zu werden. Dazu kommt, dass viele Kleinunternehmen im Ernstfall nicht wissen, an wen sie sich wenden können, um Hilfe zu erhalten. Denn im Gegensatz zu Einbrüchen in der analogen Welt ist der digitale Schaden für KMU nicht immer und nicht unmittelbar ersichtlich. Die Macher der Studie schlagen als Lösung den Aufbau einer bundesweiten Notfall-Hotline für IT-Vorfälle mit zentraler Erreichbarkeit zur Vermittlung an regionale Ansprechstellen vor.

Wie kommen kleine Unternehmen an Fördergelder?

Das Nicht-Wissen in den mittelständischen Betrieben gilt oft auch in Hinsicht auf staatliche Förderprogramme zur IT-Sicherheit. Für viele KMU ist der Suchaufwand dafür, gepaart mit einer adäquaten Bedarfsanalyse, zu hoch, so das Ergebnis der Studie. Eine zentrale Anlaufstelle für Förderprogramme, die die Unternehmen informiert und entsprechend vermittelt, aber auch den IT-Dienstleistern für ihre KMU-Kunden zur Verfügung steht, würde die Transparenz der Förderlandschaft erhöhen und Transaktionskosten senken, folgern die Autoren. Die erst kürzlich geschaffene „Transferstelle IT-Sicherheit im Mittelstand“ (TISiM) kann an dieser Stelle Abhilfe schaffen. Dies können aber auch IT-Dienstleister, die sich bereits mit Fördermaßnahmen auskennen.

Es gilt, bei Projekten genau zu wissen, was förderfähig ist und was eben nicht.

Pascal Schmelzle, IT-Sachverständiger bei Sigma IT

Pascal Schmelzle, IT-Sachverständiger bei Sigma IT
Pascal Schmelzle, IT-Sachverständiger bei Sigma IT
(Bild: SigmaIT)

Einer davon ist Sigma IT aus Ludwigsburg. Deren Sachverständiger Pascal Schmelzle ist Fachmann, für das Förderprogramm Go Digital und versteht die Aufregung vieler nicht, die bei derartigen Programmen über zu viel Bürokratie und Aufwand klagen: „Ja, man muss sich damit beschäftigen. Und es gilt, bei Projekten genau zu wissen, was förderfähig ist und was eben nicht. Genauso muss dann die Zielsetzung formuliert werden.“ Dann, so schmunzelt Schmelzle, scheitert das Ganze auch nicht. Wenn man beispielsweise eine Firewall bei einem Kunden aufsetzt, ist diese nicht förderfähig. Die Erstellung eines Sicherheitskonzepts sei es aber sehr wohl. Sigma IT ist für Security und Geschäftsprozesse bei diesem Förderprogramm zertifiziert und kann dementsprechend die Gelder für Kundenprojekte abrufen, beschreibt Schmelzle.

Roland Kaltefleiter, Gründer und Vorstand von NetUse
Roland Kaltefleiter, Gründer und Vorstand von NetUse
(Bild: NetUse)

Eine etwas andere Sicht auf die Dinge hat Roland Kaltefleiter vom Kieler Systemhaus NetUse, das sich Netzwerken und Security in allen Ausprägungen verschrieben hat. „Sind Förderprogramme regional aufgehängt, beispielsweise bei den IHKs, dann geht die Abwicklung meist geschmeidig“, berichtet er aus seinem Erfahrungsschatz. „Denn dort habe ich lokale Ansprechpartner, die mich und auch unsere Kundenklientel hier kennen.“ Je zentraler die Fördergeber aufgestellt sind, desto schwieriger werde es. Doch er schränkt auch ein: „Wenn es um große Projekte geht, ist die Regionalität weniger ausschlaggebend.“

Awareness-Schulung als Voraussetzung für Fördergelder?

Doch die Studie beleuchtet auch die Ursachen für IT-Sicherheitsvorfälle. Viele lassen sich laut den Autoren durch IT-Sicherheitsschulungen, Trainings und regelmäßige Auffrischungskurse vermeiden. Die Bündelung vorhandener Awareness-Plattformen durch staatliche Stellen könne Suchkosten verringern und zu mehr Akzeptanz bei KMU führen, so eine Schlussfolgerung der Studienmacher. Denkbar sei auch eine verpflichtende Beratung in IT-Sicherheitsfragen bei Inanspruchnahme von Förderprogrammen zur Digitalisierung.

Anbieterverzeichnisse mit definierten Qualitätskriterien würden zu mehr Transparenz und zu einem verbesserten Matching zwischen IT-Dienstleistern und KMU führen, ist eine weitere Erkenntnis. Und da sowohl IT-Dienstleister als auch KMU in Verbänden und Netzwerken Mitglied seien, gelte es, diese Strukturen zu nutzen.

Das Fazit

Den IT-Dienstleistern kommt eine „Gatekeeper“-Funktion zu, da sie oftmals der erste Ansprechpartner für KMU sind, wenn es um Informationen zu vertrauenswürdigen Soft-und Hardwareprodukten sowie Servicedienstleistungen geht. Dieser Umstand müsse sowohl den IT-Dienstleistern als auch den KMU deutlicher vermittelt werden, finden die Studienmacher. Während es den KMU häufig an Verständnis, Zeit und Budget fehle, sich mit IT-Sicherheit intensiver auseinanderzusetzen, hätten IT-Dienstleister oftmals schon volle Auftragsbücher und ein eingeschränktes Interesse an kleinteiligen Auftragsvolumen, komplizierten Entscheidungsstrukturen und einem hohen Aufwand für individuelle Leistungen, die selten skalierbar sind. Diese Diskrepanz führe dann zu einer wenig kosteneffizienten und qualitativ unzureichenden IT-Sicherheit bei KMU durch IT-Dienstleister, so das Fazit der Studie. Deshalb müsse „die Wahrnehmung der Rolle der IT-Dienstleister als Gatekeeper für die IT-Sicherheit bei KMU geschärft werden. Zugleich müssen KMU dabei unterstützt werden, IT-Dienstleister auf Fördermöglichkeiten aufmerksam zu machen, um somit einen Teil der Kosten decken und die Auftragsvergabe attraktiver gestalten zu können.“

(ID:47377951)

Über den Autor

 Sylvia Lösel

Sylvia Lösel

Chefredakteurin