In vielen kleineren Unternehmen bestehen – ungeachtet aller Bemühungen – noch immer gravierende Sicherheitsdefizite. Dies belegt die Online-Umfrage IT-Sicherheit in Unternehmen 2007 des Netzwerks Elektronischer Geschäftsverkehr (www.ec-net.de), an der sich bundesweit 275 Unternehmen beteiligten. So werden die Mitarbeiter mit der Sicherheit der IT meist alleine gelassen: Die Hälfte aller Unternehmen schult oder informiert seine Angestellten erst gar nicht zu Sicherheitsfragen. Zudem verfügt die Hälfte der befragten Unternehmen nicht über IT-Notfallpläne, die zum Beispiel bei einem erfolgreichen Virenangriff eingesetzt werden könnten.

Obwohl zahlreiche Studien belegen, dass die meisten IT-Sicherheitsprobleme durch Fehlverhalten von Mitarbeitern entstehen, wird diese Schwachstelle bei vielen Unternehmen übersehen. So informieren beziehungsweise schulen viele kleinere Unternehmen ihre Mitarbeiter nur unzureichend. Jeder zweite Betrieb bezieht die Mitarbeiter gar nicht in die IT-Sicherheitsstrategie mit ein.
Grund für den Schulungsmangel scheint insbesondere ein Informationsdefizit der Unternehmensführung zu sein. So bekundet ein Fünftel der Befragten, sich noch nicht mit dem Thema auseinandergesetzt zu haben. Weitere 15 Prozent geben explizit an, über zu geringes Know-how zu verfügen.

Führt ein Unternehmen Mitarbeiterschulungen durch, so werden diese bei über der Hälfte der Befragten zumindest quartalsweise angeboten. Ein Viertel der Unternehmen schult die eigenen Mitarbeiter sogar mindestens einmal pro Monat zum Thema IT-Sicherheit. Aber lediglich knapp ein Drittel der Unternehmen (30 Prozent) überprüft deren Wissen über IT-Sicherheit. Zwei Drittel (70 Prozent) sehen von einer Wissensüberprüfung ab.

„Kleinere Unternehmen haben in den letzten Jahren versucht, ihre IT-Sicherheit zu erhöhen. Trotzdem bestehen weiterhin in zahlreichen Fällen große Sicherheitslücken. Viele Entscheidungsträger verengen das Thema auf den technischen Aspekt und betrachten es nicht als ganzheitliche Managementaufgabe. Eine erfolgreiche Sicherheitsstrategie benötigt jedoch immer die Unterstützung der Geschäftsführung und muss alle Mitarbeiter einbeziehen“, sagt Andreas Duscha, Wissenschaftlicher Mitarbeiter am ECC Handel.