Lagebericht zur Informations-Sicherheit (2)
Verlässliche und neutrale Zahlen zur Informations-Sicherheit (ISi) im deutschsprachigen Raum sind selten – konkrete Angaben zu aufgetretenen Schäden und Budgets erst recht. Die Grundlage für die hier vorliegenden Daten haben die Teilnehmer an der diesjährigen /Microsoft-Sicherheitsstudie im Rahmen einer selbstkritischen Bestandsaufnahme durch ihre Arbeit mit dem Studien-Fragebogen gelegt.
Für die diesjährige / Microsoft-Studie haben wir 99 verwertbare Fragebögen erhalten – damit bleibt die Teilnehmerzahl deutlich unter den vorigen Erhebungen zurück (s. a. Schlussbemerkung auf S. 69). Umso mehr bedanken wir uns für die umfassenden und vertrauensvollen Angaben der Studienteilnehmer sowie die Unterstützung durch Sponsoren und Partner! Erneut stammt rund die Hälfte der ausgewerteten Fragebögen aus kleinen und mittleren Unternehmen (KMU, rund 51 %). 43 % sind Organisationen ab 500 Mitarbeitern zuzuordnen und 6 % haben keine entsprechenden Angaben gemacht.
Der zweite Teil der Auswertung behandelt neben Vertraulichkeitsbrüchen vor allem Strategie und Management sowie Kenntnisstand und Weiterbildung zur Informations-Sicherheit (ISi). Einige Kernaussagen lauten zusammengefasst:
- Vertraulichkeitsbrüche sind wieder bei mehr als der Hälfte der Befragten zu beobachten gewesen. Hinsichtlich der Ursachen bleibt Social-Engineering an erster Stelle – Datenlecks und Probleme bei Partnern sowie Verlust und Diebstahl von Systmen und Datenträgern waren seltener anzutreffen.
- Top-Kriterium zur Risikobewertung bleiben „Verstöße gegen Gesetze, Vorschriften und Verträge“ – weiterhin gefolgt von Imageverlust sowie Schäden oder Haftungsansprüchen Dritter
- Die EU-Datenschutzgrundverordnung (DSGVO) erhält höchste Aufmerksamkeit und wird von nahezu allen Studienteilnehmern gekannt und als relevant für die eigene Arbeit angesehen – aber nur gut die Hälfte hat erwartet, dass Systeme und Prozesse ihres Hauses bereits zum Stichtag „compliant“ sein würden.
- Probleme mit mangelndem Sicherheitsbewusstsein der Mitarbeiter bleiben als Hindernis für eine Verbesserung der Informations-Sicherheit auf Rekordniveau – Bewusstsein und Unterstützung durch das Top-Management erhält historisch schlechte Bewertung.
- Nur bei weniger als einem Fünftel der Befragten gab es in den vorausgegangenen zwei Jahren keinerlei Awareness-Trainings oder -Maßnahmen – generell wurde wieder etwas häufiger geschult, wobei der Fokus noch stärker auf internen Aus- und Weiterbildungen lag.
Vertraulichkeitsbrüche
Vertraulichkeitsbrüche bleiben auch in der aktuellen Stichprobe ein Problem: 58 % der Teilnehmer vermuten, dass ihre Organisation in den vorausgegangenen zwei Jahren mindestens einmal von einem Vofall betroffen war, bei dem Unbefugte Zugriff auf schutzwürdige Daten erlangt haben (2016: 49 %, 2014/2012: 53 %, 2010: 54 %, 2008: 53 %). Wie in der vorigen Studie gab rund ein Fünftel an, sicher von mindestens einem solchen Vorfall in diesem Zeitraum zu wissen (20 %, 2016: 21 %, 2014: 27 %, 2012: 32 %, 2010: 30 %, 2008: 26 %).
Bei den vermutlichen oder ermittelten Ursachen von Datenlecks (Tab. 1) stehen Social-Engineering, Phishing und Unachtsamkeit erneut an erster Stelle (+2 %-Pkt.). Missbrauch und Weitergabe durch Berechtigte haben die Befragten dieses Mal etwas häufiger beobachtet (+4 %-Pkt.). Die größten Rückgänge im Vergleich zur Erhebung von 2016 waren bei Verlust und Diebstahl von mobilen Systemen (–7 %-Pkt.) und Speichermedien (–6 %-Pkt.) zu verzeichnen. Datenlecks und Probleme bei Partnern blieben auf dem gesunkenen Niveau der vorigen Studie.
Erstmals haben wir im Umfeld von Vertraulichkeitsbrüchen gefragt, ob Betroffene oder Aufsichtsbehörden unterrichtet worden sind, was bei 19 % beziehungsweise 13 % der Befragten der Fall war, oder Vorfälle öffentliche Aufmerksamkeit erregt hatten (ja, bei 11 %). Die Antworten zu diesen und weiteren Konsequenzen von Vertraulichkeitsbrüchen sind in Tabelle 2 aufgeführt.
Mitschuld von Mitarbeitern
Seit unserer Studie von 2014 fragen wir, ob die Teilnehmer bei den Mitarbeitern ihres Hauses eine Mitverantwortung für die Mehrzahl der Datenlecks sehen. Auch in diesem Jahr bejahten das rund vier Fünftel (82 %, 2016: 79 %, 2014: 79 %). Die vermuteten Gründe dafür zeigen die bekannte Reihung: Allem voran seien den Mitarbeitern die Konsequenzen ihres Handelns nicht bewusst (87 %, 2016: 90 %, 2014: 91 %) – 71 % der Teilnehmer sahen ein mangelndes Verständnis der Systeme als ursächlich an, weil Datenschutz- und Sicherheitslösungen schlicht zu kompliziert sind (2016: 78 %, 2014: 73 %). Gut die Hälfte unterstellt zudem eine Unkenntnis von Firmen-Policies (52 %, 2016: 49 %, 2014: 53 %) – der vermutete Vorsatz, dem eigenen Unternehmen schaden zu wollen, landet mit gewohnt großem Abstand auf dem letzten Platz (8 %, 2016: 11 %, 2014: 14 %)
Bezüglich einer beruflichen Nutzung von Filesharing-Diensten, die auf den privaten Gebrauch zugeschnitten sind, zeigen sich kaum Veränderungen zu den vorigen Studien: 10 % der Befragten gaben an, dass dies im eigenen Hause „häufig“ geschehe, 44 % votierten für „selten“ und 47 % sagten „nie“ (2016: 47 %, 2014: 50 %). Wie vor zwei Jahren ist bei 72 % der Befragten eine solche Nutzung verboten. Dabei scheinen diese Verbote in der aktuellen Stichprobe besser zu wirken als bei den damaligen Studienteilnehmern: Während 2016 auch dort, wo ein Verbot in Kraft war, noch 7 % der Teilnehmer von einer „häufigen“ Nutzung ausgingen, waren das dieses Mal nur noch etwa 2 %.
Zum ersten Mal haben wir darüber hinaus gefragt, ob für derart fragwürdige Nutzungen von „Consumer-Clouds“ eine spezielle Sicherheitslösung im Einsatz ist – 44 % sagten „ja“, weitere 23 % gaben an, dass das in Planung sei.
Konzepte / Policies
Bei den Fragen nach schriftlich fixierten Strategien und Maßnahmen liegt die aktuelle Stichprobe ziemlich genau im Mittel der vorausgegangenen Dekade (Studien 2008–2016). Tabelle 3 fasst die Antworten der Teilnehmer zu solchen Vorgaben zusammen. Wie üblich haben wir dabei alternativ auch wieder die Antworten der Befragten mit und ohne ISi-Strategie separat aufgeführt. Da die zweite Gruppe dieses Mal jedoch nur 26 Befragte umfasst, sind in diesem Punkt keine sinnvollen Längsschnittvergleiche mit früheren Studien möglich, da die Angaben einzelner Teilnehmer zu starke Auswirkungen auf die Ergebnisse haben.
Vergleicht man indessen die Antworten der gesamten Stichprobe mit den vorausgegangenen Studien, so zeigen sich klare Zuwächse bei Konzepten und Richtlinien zur Nutzung von Cloud- und Web-Services (60 %, 2016: 50 %, 2014: 41 %, 2012: 26 %, 2010: 14 %) sowie der Nutzung mobiler Endgeräte (77 %, 2016: 68 %, 2014: 71 %, 2012: 63 %, 2010: 69 %). In Sachen Verschlüsselung und Signatur knüpfen die jetzigen Teilnehmer wieder an die Ergebnisse früherer Stichproben an (58 %, 2016: 49 %, 2014: 57 %, 2012: 58 %, 2010: 51 %), wo bei der deutlich höheren Teilnehmerzahl von 2016 ein gewisser Einbruch zu erkennen war.
Neu aufgenommen haben wir in dieser Studie Fragen nach spezifischen Konzepten beziehungsweise Richtlinien für das IncidentManagement, die es bei 59 % der Befragten gibt, sowie für Telearbeit und Home-Office, die fast zwei Drittel der teilnehmenden Organisationen besitzen (65 %). Die 2016 ergänzte Frage nach Konzepten gegen Advanced Persistent Threats (APTs) zeigt mit einem Zuwachs von +2 Prozentpunkten keine nennenswerte Veränderung – dieser Punkt bleibt offenbar weiterhin klares Schlusslicht der Sicherheitsplanung.
Prüfungen
Die Bereitschaft zur Prüfung der fortdauernden Eignung von Konzepten und Richtlinien liegt mit 86 % innerhalb der Angaben vorausgegangener Studien, die von 2010 bis 2016 zwischen 84 % und 91 % schwankten (Ø 88 %) – die Prüfung vorgesehener Maßnahmen auf Einhaltung ist in der aktuellen Stichprobe mit 91 % etwas häufiger als in den vorigen Erhebungen (80– 88 %, Ø 85 %). Die Einschätzung der Übereinstimmung von Theorie und Praxis zeigt organisatorisch mit einer knappen Drei und technisch mit einer „Drei plus“ ein gewohntes Bild.
Die Prüfung der Eignung von Policies erfolgt bei gleich vielen Befragten regelmäßig (43 %, –2 %-Pkt. ggü. 2016/2014) beziehungsweise anlassbezogen (43 %, 2016: 39 %, 2014: 46 %). Die dabei eingesetzten Methoden sind weiterhin vor allem erneute Risiko- (81 %) oder Schwachstellenanalysen (69 %) – 54 % setzen dabei Penetrationstests ein, 42 % Übungen (etwa zu Notfallplänen oder Wiederanlauf). Simulationen und Szenarien bleiben weiter die Ausnahme (15 %).
Im Mittel erfolgten derartige Prüfungen bei den Befragten etwa alle neun Monate – Abbildung 1 zeigt die Verteilung anhand einer nachträglich vorgenommenen Staffelung. Wie üblich haben solche Prüfungen in sehr vielen Fällen zur Aufdeckung von Schwachstellen geführt (75 %, 2016: 68 %, 2014: 77 %, 64 %, 2012: 68 %). Ebenfalls üblich ist, dass längst nicht alle Teilnehmer dabei alle geschäftskritischen Systeme einbeziehen (34 %, 2016: 41 %, 2014: 38 %, 2012: 38 %, 2010: 39 %).
Die Prüfung der Einhaltung von Richtlinien und Maßnahmen erfolgt weiterhin überwiegend anlassbezogen (55 %). Zuständig waren für eine derartige Überwachung vor allem die IT- (59 %) und ISi-Abteilungen (51 %) sowie Datenschützer (40 %) und interne Revision (35 %). Externe Berater und Wirtschaftsprüfer oder die jeweils zuständige Fachabteilung waren jeweils bei etwa einem Viertel der Teilnehmer hieran beteiligt – bei 14 % war dabei die Geschäftsführung aktiv (Mehrfachantworten).
Technisch-organisatorische Hilfsmittel sind beim RichtlinienManagement auch heute nur bei grob der Hälfte der Studienteilnehmer im Einsatz – die umfassende oder teilweise Nutzung von PolicyMonitoring- und -EnforcementSoftware sowie Kennzahlen zeigt Abbildung 2.
Risikobewertung
Bei einem Viertel der Teilnehmer wurden alle Anwendungen und Systeme hinsichtlich ihrer Bedeutung für Geschäftsprozesse und bestehender Risiken klassifiziert – bei 51 % war das zumindest für einzelne Systeme und/oder Anwendungen der Fall. Dabei haben 13 % kein strikt methodisches Vorgehen angewendet – in den anderen Organisationen lagen (wie üblich) standardisierte Verfahren an erster Stelle (67 %), gefolgt von eigenen Verfahren/Software (33 %), spezieller Risikomanagement-Software (11 %) sowie Verfahren von Herstellern oder Beratern (6 %) und sonstigen Methodiken (3 %).
Erneut war das Risikomanagement (RM) der IT bei rund der Hälfte der Teilnehmer (55 %) in ein allgemeines RM des (Gesamt-) Unternehmens eingebunden. Die angelegten Kriterien zur Klassifizierung von Risiken zeigt – ohne Überraschungen – Tabelle 4.
Standards
Die Bekanntheit und Bedeutung verschiedener Kriterienwerke zur Informations-Sicherheit fasst Abbildung 3 zusammen (sortiert nach Bedeutung). Die ISO-27000-Familie liegt dabei erneut an erster Stelle, dicht gefolgt vom IT-Grundschutz, der in Sachen Bekanntheit weiterhin führend bleibt. Darüber hinaus waren wieder nur COBIT und ITIL noch über der Hälfte der Befragten hinlänglich bekannt, wobei COBIT bereits für ebenfalls mehr als 50% der Studienteilnehmer keine praktische Bedeutung besitzt.
Speziellere Normen und Frameworks zu Risikomanagement, Business-Continuity sowie für Zahlungsdienstleistungen und KMU erreichen in der aktuellen Stichprobe Bekanntheitsgrade zwischen 37 % und 47 %. Dabei sind die – erstmals erfragten und noch relativ neuen (Version 1.0 aus 2015) – Cybersecurity-Richtlinien des VdS für KMU (VdS 3473) zwar das Schlusslicht dieser Verfolgergruppe in Sachen Bekanntheit, landen in ihrer praktischen Bedeutung jedoch noch vor dem Data-Security-Standard der Payment-Card-Industry (PCI DSS). Auch bei den teilnehmenden KMU ist die VdS 3473 übrigens nur wenig bekannter (40 % vs. 37 % über das ges. Teilnehmerfeld) und bedeutender (61 % „unwichtig“ vs. 65 %) als im gesamten Teilnehmerfeld.
Auf dem letzten Platz rangiert dieses Mal die IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“, die naturgemäß nur für einen Teil der Befragten eine praktische Bedeutung besitzt. Mit 6 % Bekanntheitsgrad war sie allerdings in der Stichprobe dieser Studie auch deutlich seltener überhaupt jemals ein Thema als bei den Befragten von 2016, von denen immerhin 11 % diese Norm kannten.
Gesetze und Regularien
Von Null auf (nahezu) Hundert ist in Sachen Gesetze und Regularien mit Bezug auf Schutz- und Sicherheitsprobleme die Datenschutzgrundverordnung der EU (DSGVO) „eingeschlagen“ – zumindest bezüglich Bekanntheitsgrad (97 %) und Relevanz (99 %) landete das neue Gesetz noch vor dem Bundesdatenschutzgesetz (BDSG) auf dem ersten Platz (Abb. 4). „Umfassend“ hatten die Bestimmungen der DSGVO aller dings erst 32 % der teilnehmenden Organisationen umgesetzt – 52 % gaben an, dass dies „teilweise“ erfolgt sei, 16 % sagten „gering“ (Abb. 5). Ebenfalls 52 % der Befragten haben erwartet, dass die Prozesse und Systeme ihres Hauses bis zum Stichtag Ende Mai „compliant“ zur DSGVO sein würden.
Im Übrigen entspricht der jeweilige Umsetzungsgrad recht gut der Relevanz der Regularien. Hoch im Kurs standen in der aktuellen Stichprobe die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). Am unteren Ende landeten wie üblich die „Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen“ (VSA) sowie der US-amerikanische SarbanesOxley Act (SOX) und die US Federal Rules of Civil Procedure (FRCP), die auch Regeln zum sogenannten E-Discovery von Informationen umfassen (also Auskunftspflichten zu elektronisch gespeicherten Daten; vgl. 2009# 4).
Die einschlägige deutsche Gesetzgebung wird erneut mit Ausnahme der Strafgesetze zur Computerkriminalität von jeweils mindestens der Hälfte der Befragten als angemessen beurteilt (Tab. 5). Größere Unzufriedenheit zeigt die aktuelle Stichprobe bezüglich der TK-/ Internetüberwachung (+10 %-Pkt. „überzogen“). Und in Sachen Datenschutz (+9 %-Pkt. „überzogen“) gibt es nunmehr ebenfalls wieder einmal einen kleinen Überhang der Kritiker einer Überregulierung – dennoch bleiben aber zwei Drittel der Befragten auch in den Zeiten der DSGVO beim Urteil, dass dies „angemessen“ sei.
Mindestens ein Drittel nannte im Übrigen die Regulierung von E-Business, Risikomanagement und kritischer Infrastruktur noch „unzureichend“ – bei den Strafgesetzen war das erneut fast die Hälfte (47 %).
Hindernisse
Auf Rang eins der schlimmsten Hindernisse für eine Verbesserung der Informations-Sicherheit (Tab. 6) steht erneut fehlendes Bewusstsein bei den Mitarbeitern – 71 % der Befragten haben das moniert, womit fast wieder der Negativrekord der vorigen Studie (72 %) erreicht wurde. Historisch schlecht ist sogar das Ergebnis des weiterhin auf Platz zwei folgenden Problems von zu wenig Bewusstsein und Unterstützung im Top-Management: 62 % der Teilnehmer haben das als drastische Behinderung angesehen – damit wird der vormalige Negativrekord von 1992 um ganze 5 % – Punkte überboten. Auch wenn angesichts der kleinen Stichprobe dieser Studie hier besondere Vorsicht vor Verallgemeinerungen angebracht ist, erscheinen diese Werte doch sehr bedenklich.
Gleiches gilt für den ungewohnt hohen Anteil der Klage über einen Mangel an kompetenten und verfügbaren Mitarbeitern, die heuer auf Rang drei landet. Fehlende finanzielle Mittel steigen ebenfalls wieder in der Beachtung und platzieren sich vor dem Dauerbrenner fehlenden Bewusstseins im mittleren Management, der eine unveränderte Bewertung erfährt.
Dass die Teilnehmer der diesjährigen Studie mehr „schlimmste“ Hindernisse angaben, kann zwar durchaus mit der konkreten Stichprobe zusammenhängen. Allerdings zeigte sich durchaus schon zuvor ein Trend dazu, an dieser Stelle mehr Kreuze zu machen: Während die Befragten der Studien von 2008, 2010 und 2012 im Mittel noch recht beständig 4,7–4,9 Kategorien gewählt hatten, lag dieser Wert 2014 schon bei 5,5 und stieg 2016 auf 5,9 (bei erheblich höherer Teilnehmerzahl) – nunmehr gab es durchschnittlich 6,4 Klagen pro Teilnehmer. Die weitere Entwicklung bleibt zu beobachten.
Uneinheitlich zeigen sich Veränderungen bei der Einschätzung zum ISi-Stellenwert im Top-Management: Zu den schlechten Bewertungen der Chefetage passt ein leicht gestiegener Anteil der Studienteilnehmer, die ihrem Top-Management unterstellen, in der ISi eher ein „lästiges Übel“ zu sehen (40 %, +4 %-Pkt.). Auf der anderen Seite gibt es aber in der aktuellen Stichprobe auch einen höheren Anteil von Teilnehmern, deren Chefs in der Sicherheit einen Mehrwert oder ein vorrangiges Ziel der Informationsverarbeitung sehen (+4 %-Pkt.) – die veränderten Extremwerte gehen somit zulasten des „Mittelfelds“, das eine Gleichrangigkeit von Informationsverarbeitung und -Sicherheit propagiert (Abb. 6).
Kenntnisstand und Weiterbildung
An den ISi-Kentnissen von Managern und Mitarbeitern lässt sich eine schlechtere Bewertung von Bewusstsein und Unterstützung scheinbar aber nicht festmachen. Jedenfalls haben die Studienteilnehmer in dieser Erhebung ihre Kollegen durchweg gleich gut oder etwas besser eingeschätzt als das in der vorigen Studie der Fall war (Abb. 7). Fachleute erhalten erneut eine gute Zwei, Anwender in hochsensitiven Bereichen eine „Drei plus“. Die Top-Manager erreichen sogar haarscharf wieder eine knappe Drei, das mittlere Managament bleibt bei „Drei minus“. Die „größte“ Veränderung ist eine um zwei Zehntel bessere Einschätzung der Kenntnisse von Mitarbeitern in weniger sensitiven Bereichen, die in der aktuellen Stichprobe wieder – wie früher – bei „Drei bis Vier“ landen.
Schulungen waren in der aktuellen Stichprobe allerdings bei internen Mitarbeitern auch wieder häufiger anzutreffen als in den beiden vorausgegangenen Studien – eine Ausnahme bildet die Gruppe der Revisoren und Prüfer, die erneut nur ein Viertel der teilnehmenden Organisationen regelmäßig oder häufig schult. Abbildung 8 zeigt eine genauere Verteilung der Schulungsfrequenzen.
Die in Tabelle 7 dargestellte Nutzung verschiedener Ausbildungsmethoden entspricht in etwa den zurückhaltenden Werten der vorigen Studie, wobei Online-Trainings-Anwendungen und Tools noch einmal seltener „häufig“ eingesetzt wurden (–8 %-Pkt.). Interne Veranstaltungen nach klassischer Manier bleiben daher mit vergrößertem Abstand die meistgenutzte Option in den befragten Organisationen.
Die Einschätzung der Bedeutung beziehungsweise Aussagekraft von Berufszertifikaten bleibt ebenfalls in etwa gleich: Herstellerspezifische Zertifikate finden erneut etwa ein Viertel der Teilnehmer „unwichtig“ (25 %, 2016: 24 %) und sogar nur noch 15 % „sehr wichtig“ (2016: 20 %). Höher im Kurs stehen herstellerunabhängige Zertifikate, die 45 % „sehr wichtig“ (2016: 43 %) und 14 % „unwichtig“ finden (2016: 16 %). Die verbleibenden Anteile der Studienteilnehmer votierten jeweils für „weniger wichtig“.
Awareness
Auch bei den Fragen zum Thema Awareness, die nun zum zweiten Mal Teil der Studie waren, zeigte sich in der aktuellen Stichprobe eine größere Bereitschaft für Trainings. Eine entsprechende Maßnahme hatten in den vorausgegangenen zwei Jahren 45 % der befragten Organisationen häufig oder regelmäßig durchgeführt (+14 %-Pkt.) – 36 % schulten gelegentlich oder zu speziellen Anlässen (2016: 34 %). Nur bei 19 % gab es hierzu im erfragten Zeitraum überhaupt keine Schulung (2016: 35 %).
Ausrichter solcher Schulungen waren weiterhin vor allem interne Kräfte (Mehrfachnennungen): bei 78 % Mitarbeiter der eigenen IT- oder ISi-Abteilung, bei 15 % auch Kollegen aus anderen Abteilungen. Externe waren bei gut einem Drittel im Einsatz (36 %) – spezielle Tools, Templates oder Anleitungen wurden bei 28 % genutzt.
Im Mittel liefert die höhere Bereitschaft, entsprechende Maß nahmen vorzusehen, zwar auch etwas bessere Ergebnisse beim Anteil der Belegschaft, den die Studienteilnehmer hinsichtlich Datenschutz und -sicherheit für ausreichend geschult ansehen: Der Durchschnitt lag nun bei 49 % (2016: 42 %), der Median aller Angaben bei 50 %, in den Teilgruppen der KMU bei 70 %, bei großen Organisationen ab 500 Mitarbeitern bei 20 % (2016: 30 %, KMU: 50 % / „Große“ 30 %).
Betrachtet man jedoch die gestaffelten Angaben des als „fit“ angesehenen Anteils der Kollegen, zeigt sich weiterhin eine starke Streuung (Abb. 9). Und auch dieses Mal hat fast die Hälfte der Teilnehmer keine allzu große Zuversicht bezüglich der Verbreitung von Wissen zu Datenschutz und Informations-Sicherheit: Denn auch dieses Mal schätzen 48 % weniger als die Hälfte der Mitarbeiter im eigenen Haus als ausreichend geschult ein (2016: 52 %).
Wie immer gilt: Unsere Studie ist nicht repräsentativ – weder für bestimmte Branchen noch für die gesamte Wirtschaft im deutschsprachigen Raum. Durch die von uns erreichten Zielgruppen dürfte sich die erfasste Stichprobe eher überdurchschnittlich intensiv mit der Informations-Sicherheit (ISi) auseinandersetzen. Aufgrund der dieses Mal recht geringen Teilnehmerzahl sind zudem erhöhte Schwankungen möglich. Um möglicherweise verwirrende Angaben durch Bruchteile möglichst weitgehend zu vermeiden, haben wir in der Regel auch bei kleineren Antwortzahlen zu konkreten Fragen eine Prozentuierung vorgenommen. Unter Tabellen und Grafiken ist die jeweilige Basis explizit angegeben – Studienteilnehmer finden zudem in der vollständigen tabellarischen Auswertung bei jeder Teilfrage die konkreten Antwortzahlen.