IT-Landschaften 2018: : Lagebericht zur Sicherheit (1)

Für die diesjährige <kes>/ Microsoft-Studie haben wir leider nur 99 verwertbare Fragebögen erhalten – damit bleibt die Teilnehmerzahl deutlich unter den vorigen Erhebungen zurück (s. a. Schlussbemerkung auf S. 36). Umso mehr bedanken wir uns für die umfassenden und vertrauensvollen Angaben der Studienteilnehmer sowie die Unterstützung durch Sponsoren und Partner! Erneut stammt rund die Hälfte der ausgewerteten Fragebögen aus kleinen und mittleren Unternehmen (KMU, rund 51 %). 43 % sind Organisationen ab 500 Mitarbeitern zuzuordnen und 6 % haben keine entsprechenden Angaben gemacht (vgl. Abschnitt „Teilnehmer“ ab S. 34).

Wie üblich befasst sich der erste Teil der Auswertung vor allem mit der aktuellen Risikosituation. Einige Kernaussagen lauten zusammengefasst:

• Malware schafft den „Hattrick“: Erstmals landen Viren, Würmer und Trojanische Pferde zum dritten Mal in Folge auf dem ersten Rang der bedeutendsten Gefährdungen – „Irrtum und Nachlässigkeit eigener Mitarbeiter“ holt wieder etwas auf, Hacking normalisiert sich.
• Bei der Einschätzung der verschiedenen Gefahrenbereiche korrespondieren Anpassungen der Stichprobe gut mit aufgetretenen Schäden – Angriffe erhalten jedoch weiterhin mehr Aufmerksamkeit als „Unfälle“, Risiken durch Hard- und Softwareprobleme könnten dadurch noch immer unterbewertet sein.
• Die Malware-Abwehr hat weiterhin einen schweren Stand – die aktuelle Stichprobe zeigte zwar etwas weniger dramatische Indikatoren als diejenige von 2016, belastbare Anzeichen für eine Entwarnung sind jedoch nicht zu erkennen.
• Auch die Einschätzung der Sicherheit eigener Infrastruktur bleibt im Großen und Ganzen auf dem selbstkritischen Niveau von 2016 – Speichermedien erhalten weiterhin die schlechtesten Noten.

Risikosituation

Als Top-Gefährdung, der man die höchste Aufmerksamkeit schenken muss, gilt den Teilnehmern der diesjährigen Studie erneut die Malware (vgl. Tab.1 – „Bedeutung heute“). Damit bleibt diese Kategorie erstmals in der Geschichte der <kes>-Studien dreimal hintereinander auf Rang eins vor dem „Dauerbrenner“ „Irrtum und Nachlässigkeit eigener Mitarbeiter“, auch wenn der historische Vorsprung aus der vorigen Erhebung (2016: +0,48 Prio-Pkt.) wieder deutlich schrumpft und sich dem Abstand von vor vier Jahren annähert (2018: +0,26, 2014: +0,22).

Hintergrund der in der Tabelle genannten Prioritäten ist die Annahme, dass man bei begrenzten Ressourcen für die InformationsSicherheit (ISi) immer Schwerpunkte setzen muss. Früher hatten wir daher die Teilnehmer direkt gebeten, sechs „Prioritätspunkte“ auf die einzelnen Gefahrenklassen zu verteilen und dabei nicht mehr als drei auf einen Bereich zu kumulieren.

Um das Verfahren einfacher und flexibler zu gestalten, fragen wir seit 2008 nach „höchster“, „erhöhter“ oder „normaler / keiner“ Priorität für jeden Bereich – diese Angaben werden dann mit 3/1/0 Punkten bewertet. Im Mittel vergeben die Teilnehmer unserer Studien auf diese Weise zwischen 8 und 9 Punkten, die anschließend für jeden Fragebogen individuell auf sechs Punkte normiert und für die Auswertung gemittelt werden.

Auf den Rängen drei bis sechs rangiert dabei die typische „Verfolgergruppe“ der letzten Dekade, die nun wieder enger zusammenrückt. Vor vier Jahren hatte sich das Hacking etwas nach vorne abgesetzt und einen kleinen Vorsprung auch 2016 verteidigt. Nun fiel es wieder in der Beachtung – um –0,11 Prioritätspunkte (Diff. ungerundeter Werte) und damit sogar knapp hinter die Dokumentationsmängel, die ein kleines Plus (+0,05 Prio-Pkt.) verzeichneten. Insgesamt liegt das Hacking damit nahe am Mittelwert der Studien von 2008 bis 2016 (0,60 Prio-Pkt.).

In der zweiten Tabellenhälfte verliert „Sabotage“ zwar zwei Plätze (–0,04 Prio-Pkt.), bleibt aber den jetzt minimal höher eingeordneten Hardwaremängeln sowie „unbeabsichtigten Fehlern von Externen“ dicht auf den Fersen. „Manipulation zum Zweck der Bereicherung“ schließt zu dieser Gruppe auf (+0,09 Prio-Pkt.), bleibt aber auf dem 10. Platz.

Schäden

Bei der Frage, ob die jeweiligen Gefährdungen in den vorausgegangenen zwei Jahren auch „tatsächlich zu mittleren bis größeren Beeinträchtigungen“ geführt haben („Schäden“ in Tab. 1), korrespondieren die drei größten Veränderungen mit den Prioritätsanpassungen der aktuellen Stichprobe.

Die Zahl der Opfer erheblicher Malwareschäden ist um –11 Prozentpunkte zurückgegangen und fast wieder auf den Wert von 2014 gesunken (32 %, 2016: 43 %, 2014: 31 %, 2012: 28 %, 2010: 27 %). Somit landet die Malware im Schadensrang wieder auf Platz 2 hinter „Irrtum und Nachlässigkeit eigener Mitarbeiter“. Der zweitgrößte Rückgang im Vergleich zur vorigen Studie ist beim Hacking zu beobachten (–6%-Pkt., –4 Ränge). Einen Zuwachs gab es in der aktuellen Stichprobe (+3 %-Pkt.) bei „Manipulation zum Zweck der Bereicherung“ (+2 Ränge). Ansonsten entspricht die Rangfolge der Studie von 2016.

Vergleicht man Schadensränge mit der eingeräumten Priorität, zeigt sich das gewohnte Bild, dass „Unfälle“ im Sinne von Mängeln und Defekten von Soft- und Hardware sowie unbeabsichtigten Fehlern von Externen weniger Beachtung finden als Angriffe, die letztlich zu weniger erheblichen Schäden in der Stichprobe geführt haben. Ebenfalls wie üblich sei hier aber auch darauf hingewiesen, dass naturgemäß eine erhöhte Aufmerksamkeit das Auftreten tatsächlicher Schäden durch Angriffe begrenzt haben könnte, sodass nicht automatisch eine Überbewertung zu unterstellen ist.

Der Anteil der Teilnehmer, deren Organisation mindestens einmal von erheblichen Schäden durch menschliches oder technisches Versagen betroffen war („Unfälle“ in Tab. 2) ging erneut leicht zurück (55 %, 2016: 59 %, 2014: 73 %, 2008: 64 %). Die aufsummierte Priorität hat sich nunmehr wieder deutlich angeglichen, betont aber weiterhin die Angriffe, wie das auch in den früheren Jahren mit Malware-Dominanz der Fall war (2,82/2,98 vs. 2016: 2,59/3,21, 2014: 2,54/3,10, 2012: 3,11/2,63, 2010: 2,79/2,78, 2008: 2,68/2,94).

Prognosen damals und heute

Abgesehen von der Malware, die ihre Führung halten, wenn auch nicht ausbauen konnte, und den „unbeabsichtigten Fehlern von Externen“, die tatsächlich einen Rang gutgemacht haben (sowie mit Ausnahme der ewigen letzten Plätze höhere Gewalt und Sonstiges), lagen alle Prognosen von 2016 (vgl. Tab. 1 – „Vorhersage 2016“) bezogen auf die Priorisierung der aktuellen Stichprobe im vielfach beobachteten Sinne falsch: Alle „Unfälle“ wurden nun doch (wieder) höher priorisiert als vorhergesagt, alle „Angriffe“ niedriger. Besonders deutlich war das bei der Sabotage (–3 Ränge unter Prognose) und den Hardware-Mängeln und -Defekten (+3 Ränge) der Fall.

Die aktuell prognostizierten Veränderungen der Gefährdungen (Abb. 1) zeigen das bekannte Grundmuster einer erwarteten Verschärfung besonders von Angriffen – allem voran durch Malware sowie „unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage“ (kurz „Spionage“). Dabei bleiben sie zwar hinter den drastischen Befürchtungen der vorigen Studie zurück, aber dennoch pessimistischer als früher: So landet der Veränderungsindex für Malware noch immer bei +0,73 (2016: +1,02, 2014: +0,37, 2012: +0,56, 2010: +0,53) – der ebenfalls „klassische Angstwert“ zur Spionage liegt aktuell sehr hoch bei +0,59 (2016: +0,49, 2014: +0,28, 2012: +0,34, 2010: +0,46).

Eher ungewöhnlich sind der Peak bei der erwarteten Zunahme von Softwareproblemen (+0,47, 2016: +0,30, 2014: +0,15, 2012/2010: +0,20) sowie das geringe Vertrauen in die zukünftige Fehlersicherheit von Hardware (+0,21, 2016: +0,03, 2014: +0,13, 2012/2010: +0,02).

Der Veränderungs-Index berechnet sich aus den Einzelangaben zu einer erwarteten „sehr starken“ (+/–2) oder starken (+/–1) Zu- beziehungsweise Abnahme (vgl. Abb. 2). Positive Prognosen waren dabei dieses Mal besonders selten und am ehesten noch bei „Irrtum und Nachlässigkeit eigener Mitarbeiter“ zu sehen, wo 12 % ein mehr oder weniger starkes Nachlassen der Bedeutung dieser Gefährdung erwarten. Auch bei den heuer hoch priorisierten Dokumentationsmängeln haben immerhin noch 9 % einen Rückgang prognostiziert.

Kosten und Aufwand von Vorfällen

Die Schätzungen zur Häufigkeit verschiedener Sicherheitsvorfälle oder Fehlalarme sowie zu den damit verbundenen Kosten und Ausfallzeiten variieren regelmäßig sehr stark. In allen Kategorien gibt es mehr oder minder viele „Null“-Schätzungen und die Maximalwerte schnellen teils in enorme Höhen (vgl. Tab. 3). Daher geben wir in dieser Auswertung seit einiger Zeit für die Fallzahlen eine Alternativrechnung an, die sowohl die „Optimisten“ (Nullwerte) als auch die „Pessimisten“ (2–3 schlimmste Einzelangaben) außer Acht lässt. Um angesichts der geringen Teilnehmerzahl dieses Jahres einen Durchschnitt zu erhalten, der weniger durch die Ausreißer beeinflusst wird, wurden bei der Berechnung der mittleren Kosten in Tabelle 3 ebenfalls Null- und Maximalwerte ausgelassen.

Als „bereinigte alternative“ Fallzahlschätzungen ergab die aktuelle Erhebung ein mittleres jährliches Auftreten von 62 Virus-/Wurm-/Trojaner-Infektionen (2016: 59, 2014: 41, 2012: 16, 2010: 40, 2008: 70), 53 Malware-Fehlalarmen (2016: 50, 2014: 22, 2012: 20, 2010: 24, 2008: 40), 22 unbegründeten Warnungen (Hoaxes – 2016: 19, 2014: 14, 2012: 9, 2010: 20, 2008: 20) sowie 19 gezielten Angriffen (2016: 17, 2014: 10, 2012: 13, 2010: 4, 2008: 3).

Bei dieser Frage zeigen sich zudem natürlich deutliche Unterschiede zwischen KMU und großen Unternehmen. Rechnet ein KMU etwa für einen Malware-Angriff im Mittel mit 728 € direkten Kosten, so schlägt dieser bei den „Großen“ mit durchschnittlich knapp 14 Tsd. € zu Buche (bei Auslassung eines Ausreißerwerts). Die Kosten eines Fehlalarms schätzten die KMU der Stichprobe auf durchschnittlich 154 € (Große 1376 €), für einen Hoax kamen sie auf 140 € (Große ca. 5 Tsd. €). Und für einen gezielten Angriff rechneten die KMU im Mittel mit Kosten von 415 € (bei Auslassung eines Ausreißerwerts), die großen Organisationen mit knapp 30 Tsd. €.

Größtes Schadensereignis

Über das größte Schadensereignis der vorausgegangenen zwei Jahre haben 73 Teilnehmer berichtet – 9 davon gaben explizit an, dass es keinen oder keinen nennenswerten Vorfall gegeben habe. Der Löwenanteil der schlimmsten Vorkommnisse ging erneut auf Malware zurück (42 % – nachträglich aus Freitextangaben kategorisiert). Auch dieses Jahr folgen verschiedene Attacken auf Platz zwei (19 %).

13 % gingen auf defekte oder ausgefallene Hardware zurück, 6 % wurden durch Softwareprobleme verursacht. Bei 5 % der größten Schäden lag die Ursache in der Infrastruktur beziehungsweise deren Ausfall begründet. Einbruch/Diebstahl sowie menschliche Irrtümer waren für jeweils 2 % verantwortlich. Ein knappes Zehntel (9 %) entfiel auf sonstige beziehungsweise nicht kategorisierbare Ursachen.

Die mit dem jeweils schlimmsten Ereignis verbundenen direkten Kosten lagen durchschnittlich bei rund 45 Tsd. € (KMU unter 6 Tsd. € / Große 80 Tsd. €) – die Ausfallzeiten über alle betroffenen Systeme summierten sich im Mittel auf etwa 25 Std. (15 Std. / 36 Std.). Die Medianwerte lagen deutlich darunter bei 8 Stunden Ausfallzeit (sowohl KMU als auch Große – 2016: dito) und 3000 € direkten Kosten (1200 € / 10.000 € – 2016: 2000 € – 1000 € / 10.000 €).

Die gezogenen Konsequenzen aus den „schlimmsten Ereignissen“ zeigt Tabelle 4. Hier zeigt sich überwiegend die gewohnte Reihenfolge, wobei die aktuelle Stichprobe deutlich häufiger neue Sicherheitsmechanismen eingerichtet hat (+7 %-Pkt.) als das Teilnehmerfeld von 2016, wodurch dieser Punkt auf den zweiten Rang vorrückt.

Malware

Die aktuelle Stichprobe litt über das gesamte Teilnehmerfeld betrachtet etwas seltener unter Vorfällen mit (Abb. 3) und nennenswerten Schäden durch Malware als die Teilnehmer der Studie von 2016 – aufgrund der kleineren Teilnehmerzahl und weiterer Parameter (s. u.) sollte man hieraus jedoch keinesfalls schon eine Entwarnung ableiten.

Von den aktuell antwortenden Organisationen hatten allerdings insgesamt „nur“ noch zwei Drittel von Malwarevorfällen im Jahr 2017 berichtet (67 %, Studie 2016: 75 %, 2014: 74 %, 2012: 63 %, 2010: 65 %). Wie üblich (und naheliegenderweise), traf es die Großen häufiger, wobei in dieser Teilmenge der Wert im Vergleich zur vorigen Erhebung sogar wieder stieg (90 %, 2016: 83 %, 2014: 89 , 2012: 77 %, 2010: 71 %) – bei den jetzt befragten KMU waren indessen nur noch 43 % generell von Malwarevorfällen betroffen (2016: 67 %, 2014: 58 %, 2012: 53 %, 2010: 58 %).

Konsequenterweise berichtete denn auch die Mehrheit dieser KMU von einer abnehmenden Tendenz der Vorfälle: Nur 38 % der (wie angemerkt, allerdings recht kleinen) Teilmenge haben 2017 mehr Vorfälle mit Malware registriert als im Jahr zuvor. Anders sah das bei den „Großen“ aus, wo 82 % von einer weiteren Verschärfung der Lage sprachen. Über das gesamte Feld der mit Malwarevorfällen konfrontierten Teilnehmer zeigt sich daher noch immer eine überwiegende Zunahme der Vorfälle (Abb. 4), was ja auch mit den Fallzahlschätzungen (s. o.) der Studienteilnehmer korrespondiert.

Bei der Frage nach mindestens einem mittleren bis größeren Schaden durch Malware in den vorausgegangenen zwei Jahren differierten die Angaben ebenfalls deutlich: Während 50 % der großen Organisationen hier mit Ja antworteten, waren es bei den KMU dieses Mal nur 18 % (32 % im Mittel aller Teilnehmer).

Der Faktor „Mensch“ spielt bei alldem weiterhin eine wesentliche Rolle: Fast vier Fünftel der Befragten gaben an, dass ein nennenswerter Teil der beobachteten Vorfälle durch abweichendes Nutzerverhalten hätte vermieden werden können (79 %, 2016: 85 %, 2014: 69 %, 2012: 67 %).

Die Verteilung der von Malware-Infektionen befallenen Systeme bei betroffenen Organisationen zeigt ebenfalls keine großen Veränderungen (Abb. 5). In der aktuellen Erhebung waren Server etwas seltener „häufig“ betroffen (–2 %-Pkt.), Desktop-PCs/Clients (+6 %-Pkt.) und Notebooks (+4 %-Pkt.) etwas öfter – an der generellen Bedeutung für Malwareinfektionen änderte das jedoch kaum etwas.

Bei den Einfallstoren für digitale Schädlinge (Tab. 5) konnte die E-Mail ihren fragwürdigen Spitzenplatz auf hohem Niveau noch etwas ausbauen: Erneut gab mehr als die Hälfte der Befragten als „häufigen“ Infektionsweg für Malware-Vorfälle E-Mails an (53 %, +1 %-Pkt.), infektionsfrei blieb dieser Kanal nur noch bei 5 % der Befragten (–2 %-Pkt.). Obwohl einige „Nicht-Internet“-Quellen bei den Teilnehmern bis zu 5 Prozentpunkte weniger „häufig“ für Probleme gesorgt haben, bleibt die generelle Rangfolge unverändert.

Sicherheitslage

Die aktuelle Stichprobe wiederholt viele der selbstkritischen Einschätzungen zur Sicherheit verschiedener Infrastrukturkomponenten im eigenen Haus (vgl. Abb. 6). Um eine Drittelnote besser als 2016 schnitten dieses Mal jedoch die Notebooks ab, die nunmehr quasi gleichauf mit stationären Clients/PCs bei einer „Drei plus“ landen. Auch Smartphones/
Tablets haben die jetzigen Studienteilnehmer deutlich besser bewertet als das in früheren Erhebungen der Fall war – mit einer knappen „Drei“ verlassen sie die Schlussposition.

Dennoch hat über ein Drittel der Teilnehmer hier Sicherheitsbedenken, die keine befriedigende Bewertung zulassen. Ähnliches gilt für Telearbeitsplätze sowie die Prozess-, Automations- und Leittechnik, die von dieser Stichprobe deutlich schlechter bewertet wurde als 2016 (–9 %-Pkt „sehr gut/gut“, +6 %-Pkt. „ausreichend/nicht ausreichend“ – allerdings haben nur wenige Teilnehmer hierzu Angaben gemacht).

Die „rote Laterne“ verbleibt bei den Speichermedien, deren Sicherheit erneut über die Hälfte der Teilnehmer in ihrem Hause als nicht oder gerade einmal ausreichend einschätzen – mit 34 % (+3 %-Pkt.) vergab sogar mehr als ein Drittel die schlechteste Note „nicht ausreichend“.

Teilnehmer

Bezogen auf das gesamte Teilnehmerfeld wurde über die Hälfte der eingegangenen Fragebögen (51 %) durch Angehörige einer IT-Sicherheits-Abteilung ausgefüllt (ISi-Admins, -Beauftragte und -Verantwortliche bzw. CISO/CSO) – bei den großen Unternehmen („Große“) waren es sogar 74 %, bei Organisationen unter 500 Mitarbeitern (KMU) immerhin noch 31 %. Jeder achte Fragebogen kam von einem RZ-/IT-Leiter (10 %) oder CIO (2 %). Weitere größere Ausfüllergruppen bei den KMU waren allgemeine IT-Mitarbeiter (19 %), Berater (13 %) sowie Geschäftsführer (10 %). Bei den „Großen“ kamen 7 % der Antworten aus der Revision. Tabelle 6 fasst die Funktionsbezeichnungen der Ausfüller im gesamten Teilnehmerfeld zusammen.

Tabelle 7 zeigt hingegen den Anteil der teilnehmenden Organisationen, in denen es bestimmte Funktionsträger gibt. Dabei besitzt heuer ein großer Teil der Stichprobe einen expliziten ISi-Verantwortlichen / CISO (69 % vs. 2016: 54 %, 2014: 62 %, 2012: 57 %). Da man vermuten könnte, dass solche Organisationen bei knappen Ressourcen bereitwilliger an unserer Studie teilgenommen haben könnten, lässt sich durch die stark abweichende Größe der Stichprobe gegenüber den früheren Erhebungen hieraus jedoch noch keine Steigerung bei der Einrichtung solcher Posten folgern.

Abbildung 7 zeigt die Nationalität des Hauptsitzes der befragten Unternehmen und Behörden, ihre Branchenzugehörigkeit ist in Tabelle 8 erfasst. Eine Staffelung der Unternehmens-/Organisationsgrößen der Studienteilnehmer ist Abbildung 8 zu entnehmen – 51 % sind KMU zuzuordnen, 43 % den „Großen“. Weitere 6 % haben zur Organisationsgröße keine Angaben gemacht.

Die „durchschnittliche Organisation“, die an dieser Studie teilgenommen hat, beschäftigt 5645 Mitarbeiter, davon 131 in der IT, der 9 ISi-Spezialisten zur Verfügung stehen. Beim mittleren Großunternehmen dieser Stichprobe waren es 12 030 Mitarbeiter mit 221 in der IT – für die Informations-Sicherheit stehen dort 7 Spezialisten bereit.

Die teilnehmenden KMU haben im Mittel 153 Mitarbeiter, davon 53 in der IT inklusive sogar 12 ISi-Spezialisten. Diese Zahlen werden aber stark von drei Beratungshäusern mit einer enorm großen Zahl von ISi-Experten beeinflusst. Unter Auslassung dieser Teilnehmer zeigt sich ein „durchschnittliches KMU“ mit 150 Beschäftigten, von denen 48 in einer IT-Abteilung arbeiten – inklusive 3 ISi-Spezialisten.

Infrastruktur

Die gemittelte IT-Landschaft des „Durchschnittsunternehmens“ dieser Studie umfasst – bei Auslassung eines stark dezentral ausgerichteten Ausreißerwerts – 1 Mainframe (KMU 0 / Große 2), 685 Server (49 / 1435), 2560 Clients/PCs (81 / 5341) und 131 Heim-Telearbeitsplätze (22 / 259). Hinzu kommen 993 Notebooks (66 / 2034), 653 Smartphones und Tablets (70 / 1306) sowie 1269 Voice-over-IP- (VoIP)-Systeme (64 / 2659). Vernetzt sind die Teilnehmer-Organisationen im Mittel – nach Ausschluss eines weiteren Ausreißerwerts – über 105 Wide-Area-Networks (58 / 162 – jeweils inkl. VPNs und Mietnetzen), 676 LAN-/PC-Netze (9 / 1528) sowie 30 Wireless LANs (7 / 59).

Betrachtet man die Zahl der Endgeräte (ohne VoIP-Systeme) für jede einzelne befragte Organisation, so liegt der Durchschnitt bei 6103 (KMU 240 / Große 12 525). Der mittlere Anteil mobiler Endpoints betrug über das gesamte Teilnehmerfeld 48 % (KMU 56 % / Große 40 %).

Budgets

Wie in unseren Erhebungen üblich, hat nur etwa ein Drittel der Teilnehmer konkrete Zahlen zu Umsatz (27 Befragte) oder Bilanzsummen (6 Befragte) seines Hauses genannt – weitere 27 Befragte gaben an, dass entsprechende Kenngrößen für ihre Organisation nicht relevant seien, da es sich dabei um eine Behörde oder Ähnliches handele. Der genannte Umsatz betrug im Mittel circa 1,36 Mrd. e (KMU 30 Mio. e / Große 3,6 Mrd. e) – die durchschnittliche angegebene Bilanzsumme belief sich auf rund 44,5 Mrd. e (KMU 28 Mrd. e / Große 47,8 Mrd. e). Für eine gestaffelte Darstellung siehe Abbildung 9.

Der Anteil der Teilnehmer, die Angaben zu verfügbaren Finanzmitteln für die IT und Informations-Sicherheit gemacht haben, lag mit 30 von 99 ebenfalls im üblichen Rahmen. Gleichermaßen üblich ist dabei, dass nur ein Sechstel davon auf ermittelte Zahlen zurückgreifen konnten (5/99, 2016: 15/82) – in diesem Fall allerdings sowohl für das IT-Budget als auch den ISi-Anteil daran. Drei dieser fünf „Glücklichen“ gehörten dabei zu einer Behörde oder sonstigen Organisation der öffentlichen Hand.

Die „durchschnittliche Teilnehmer-Organisation“ verfügte 2017 auf Basis dieser 30 Angaben über ein IT-Budget – inklusive Personalkosten – von knapp 19,3 Mio. € (KMU 597 Tsd. € / Große 31,7 Mio. €).

Die Spannbreite des jeweiligen Anteils der Informations-Sicherheit am IT-Budget zeigen die Boxplots der Abbildungen 10 und 11. Das rechnerische Mittel lag bei 9,46 % (KMU 13,6 % / Große 6,34 %), der Median bei 10 % (13,3 % / 4,5 %).

Absolute ISi-Budgets ließen sich aus 27 Fragebögen errechnen, die sowohl Angaben zum IT-Budget als auch zum Anteil der Informations-Sicherheit enthielten. Hieraus ergibt sich eine durchschnittliche finanzielle Ausstattung der „mittleren Organisation“ in der Stichprobe von rund 1 Mio. € (KMU 92 Tsd. € / Große 1,7 Mio. €). Eine gestaffelte Auswertung dieser Ergebnisse zeigt Abbildung 12.

Wie immer gilt: Unsere Studie ist nicht repräsentativ – weder für bestimmte Branchen noch für die gesamte Wirtschaft im deutschsprachigen Raum. Durch die von uns erreichten Zielgruppen dürfte sich die erfasste Stichprobe eher überdurchschnittlich intensiv mit der Informations-Sicherheit (ISi) auseinandersetzen. Aufgrund der dieses Mal sehr geringen Teilnehmerzahl sind zudem erhöhte Schwankungen möglich. Um möglicherweise verwirrende Angaben durch Bruchteile möglichst weitgehend zu vermeiden, haben wir in der Regel auch bei kleineren Antwortzahlen zu konkreten Fragen eine Prozentuierung vorgenommen. Unter Tabellen und Grafiken ist die jeweilige Basis explizit angegeben – Studienteilnehmer finden zudem in der vollständigen tabellarischen Auswertung bei jeder Teilfrage die konkreten Antwortzahlen.