Studie

23.12.2021

Kurzstudie "Vertrauen in Datenverarbeitung"

Autoren: Annette Hillebrand, Pirmin Puhl, Jana Stuck, Saskja Schäfer

Siegel und Zertifikate vermindern IT-Risiken. Sie zeigen, dass zum Prüfungszeitpunkt die Prüfkriterien erfüllt waren.

Mit einem Siegel oder Zertifikat können Unternehmen das Vertrauen von Kunden in ihre Produkte und Dienstleistungen stärken. Es bestätigt, dass die Organisation ein angemessenes IT-Sicherheitsniveau erreicht hat. Ein Unternehmen kann sich damit am Markt von Wettbewerbern abheben.

Allerdings stehen Gütezeichen, die mit aufwändigen und kostenintensiven Zertifizierungen erlangt werden, neben Gütezeichen mit auf den ersten Blick nicht erkennbarer Aussagekraft. Ohne eigene Recherche ist es oft nicht möglich zu beurteilen, ob das Siegel oder Zertifikat den Ansprüchen eines KMU genügt.

Im Rahmen unserer Studie wurden 49 Siegel und Zertifizierungen identifiziert, die für KMU potenziell relevant sind. Alle stammen aus dem Bereich Informationssicherheit. Außerdem wurden alternative Qualitätsinfrastrukturen wie GAIA-X oder Siegel für Rechenzentren sowie erfolgreiche Beispiele aus anderen Sektoren wie das Fair-Trade-Siegel untersucht.

Die meisten Siegel und Zertifizierungen beziehen sich auf spezifische Teilbereiche der Informationssicherheit (Anwendungsbereiche oder Produktkategorien). Eine einfache Einteilung in „sichere“ bzw. „unsichere“ Produkte, Dienstleistungen oder Unternehmen ist kaum sinnvoll.

Es fallen sehr unterschiedliche direkte und indirekte Kosten bei der Zertifizierung an, die auf die Kunden der zertifizierten Produkte und Dienstleistungen übertragen werden. In der Regel zahlt das antragstellende KMU die Zertifizierung, so dass Interessenskonflikte entstehen können.

KMU als Nachfrager sind oftmals nicht bereit, Kosten für mehr IT-Sicherheit zu tragen. Es werden eher die kurzfristigen Kosten als der langfristige Nutzen für eigene interne Prozesse, Marketing oder Kundenakquise gesehen. Siegel und Zertifikate finden daher kaum breite Akzeptanz in KMU.