Gesetzliche Vorgaben für kleine und mittelständische Unternehmen
Die IT- Sicherheitsgesetzgebung richtet sich neben der öffentlichen Hand und den Betreibern kritischer Infrastrukturen insbesondere auch an kleine und mittelständische Unternehmen. Die Einstufung als kleines oder mittelständisches Unternehmen (KMU) in Abgrenzung gegenüber großen Unternehmen findet anhand qualitativer sowie in erster Linie quantitativer Aspekte statt.
Der qualitative Aspekt eines KMUs charakterisiert sich speziell durch den Begriff Eigentümer-Unternehmer, was bedeutet, Eigentum, Haftung und Leitung des Unternehmens liegen in einer Hand bzw. lediglich in den Händen weniger Personen.[1]
KMU sind also dann als wirtschaftlich und rechtlich selbstständige Einheit anzusehen, wenn die wirtschaftliche Existenz des Unternehmens mit der des Unternehmers verbunden ist und dieser auch in der Regel Inhaber der Unternehmensleitung ist oder ausnahmsweise zumindest ein Inhaber mit nur wenigen Personen an der Unternehmungsführung beteiligt ist. Durch selbstständige Entscheidungsfindung gerade unter Ausschluss äußerer Kontrolle stellt die Verantwortungs- und Risikotragung des Unternehmens die Unabhängigkeit als wesentlichstes Merkmal dar, das maßgebend das KMU von Tochtergesellschaften der Großunternehmen abgrenzt. Die Verbundenheit zwischen Unternehmen und Unternehmer zeichnet sich in der Regel auch dadurch aus, dass das Unternehmen die einzige Einnahmequelle für den Unternehmer darstellt und hiervon die wirtschaftliche Entwicklung sowie die dauerhafte Existenz des Unternehmens abhängt.[2]
Für die Abgrenzung nach quantitativen Kriterien, ist die Höhe des Umsatzes bzw. der Bilanzsumme sowie die Beschäftigtenzahl und Eigenständigkeit des Unternehmens maßgeblich.[3] Gemäß der KMU- Definition der Europäischen Kommission zählen alle Unternehmen mit weniger als 250 Mitarbeitern und einem Jahresumsatz von höchstens 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro zu den KMU.[4] Eigenständig soll ein Unternehmen demnach sein, wenn es weder mit einem anderen Unternehmen verbunden oder deren Partner ist.[5]
Gerade für diese Gruppe der Unternehmen ist die IT – Sicherheit ein zunehmend brisantes und zentrales Thema, spielt sie doch in zahlreichen Gebieten, sei es im virtuellen Raum oder bei der Benutzung technischer Apparate, eine bedeutende Rolle. Die Unternehmen sind immer mehr von funktionierenden Infrastrukturen abhängig, welche wiederum sehr anfällig für Datenverluste und Hackerangriffe oder auch Überwachungsmaßnahmen sind. Wichtig ist in erster Linie ein Bewusstsein für die Wichtigkeit der im Unternehmen vorhandenen Daten zu entwickeln und speziell diese zu sichern. Bei den KMU ist vor allem der Schutz der Kundendaten und Patente sowie die Passwortsicherheit insbesondere im Hinblick auf die ansteigende Mobilität der Mitarbeiter (mobile Endgeräte) und die Reichweite der installierten Software zu gewährleisten.[6] Die IT-Sicherheitsgesetzgebung maßregelt zudem die Strafbarkeit der Unternehmen bei Verstößen gegen die gesetzlichen Vorgaben für IT-Sicherheit.
Eine Studie des BSI zeigte, dass zwar etwa zweidrittel der IT-Sicherheitsmaßnahmen umgesetzt wurden, dennoch in vielen Bereichen Nachholbedarf besteht und die immense Gefahr von IT-Sicherheitsrisiken unterschätzt wird.[7]
[1] http://www.bmwi.de/DE/Themen/Mittelstand/Mittelstandspolitik/politik-fuer-den-mittelstand.html.
[2] Lanninger, Prozessmodell zur Auswahl betrieblicher Standardanwendungssoftware für KMU, 2009, S. 43 ff.
[3] http://wirtschaftslexikon.gabler.de/Definition/mittelstand.html.
[4] http://www.foerderdatenbank.de/Foerder-DB/Navigation/Foerderrecherche/suche.html?get=4aa561e46fff16fb87d819d09c769842;views;document&doc=2018.
[5] https://www.kfw.de/Download-Center/F%C3%B6rderprogramme-(Inlandsf%C3%B6rderung)/PDF-Dokumente/6000000196-KMU-Definition.pdf.
[6] http://www.kmu-sicherheit.de/category/sichere-daten/.
[7] https://www.bsi.bund.de/DE/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.html.