Wer eine Sicherheitslücke hat, wird früher oder später gefunden
Cyberangriffe treffen längst nicht mehr nur Großkonzerne, sondern zunehmend auch kleine und mittlere Unternehmen. Gleichzeitig steigen die Anforderungen durch Kund:innen sowie Gesetzgebung. Informationssicherheit entwickelt sich damit vom IT-Thema zur zentralen Managementaufgabe.
Ein mittelständisches Unternehmen, rund 120 Mitarbeitende, grundsätzlich solide aufgestellt. Eines Morgens steht die Produktion still, die Systeme sind verschlüsselt, E-Mails und Telefone funktionieren nicht mehr. Im ersten Gespräch sagt der Geschäftsführer einen Satz, der in ähnlicher Form viel zu oft vorkommt: „Wir dachten, wir sind zu klein für sowas.“ Genau hier liegt eines der größten Probleme beim Thema Cybersecurity. Viele Unternehmen gehen davon aus, für Angriffe nicht interessant genug zu sein. In der Realität ist oft das Gegenteil der Fall. Kleine und mittlere Unternehmen sind attraktive Ziele, weil sie seltener strukturiert vorbereitet sind. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nur ein sehr kleiner Teil der KMU wirklich gut auf Cyberangriffe eingestellt.
Angreifer suchen sich nicht die größten Unternehmen aus, sondern die, bei denen sie mit möglichst wenig Aufwand Erfolg haben. Besonders wichtig zu verstehen: Nur die wenigsten Angriffe sind persönlich. Angreifer scannen vielmehr die im Internet erreichbaren Systeme automatisiert nach Schwachstellen. Wer eine Sicherheitslücke hat, wird früher oder später gefunden. Dabei geht es längst nicht mehr nur um IT im engeren Sinne. Es geht um Informationen – unabhängig davon, ob sie digital gespeichert, auf Papier abgelegt oder in den Köpfen von Mitarbeitenden vorhanden sind. Genau deshalb spricht man von Informationssicherheit und nicht nur von IT-Sicherheit. Im Fokus steht damit häufig das, was ein Unternehmen wirklich ausmacht: Geistiges Eigentum, interne Abläufe, Entscheidungswege oder auch gewachsene Kundenbeziehungen. Wer hier Zugriff bekommt oder Prozesse lahmlegt, trifft das Unternehmen im Kern.
ISO-Zertifizierung und NIS-2
Gleichzeitig steigt der Druck von außen. Auftraggeber:innen fordern zunehmend verbindliche Sicherheitsstandards von ihren Lieferanten, während auch der Gesetzgeber den Kreis der von entsprechender Regulatorik betroffenen Unternehmen deutlich erweitert. Neben den bisherigen, klassischen KRITIS-Unternehmen werden mit der NIS-2-Richtlinie viele Unternehmen stärker in die Pflicht genommen, sich systematisch mit Cyberrisiken auseinanderzusetzen. Auch auf politischer Ebene wird das Thema größer gedacht. Die Nationale Wirtschaftsschutzstrategie macht deutlich, dass wirtschaftliche Sicherheit ohne funktionierende Cybersecurity kaum noch denkbar ist.
Ein häufig genutzter Orientierungsrahmen für den Aufbau von Informationssicherheit in Unternehmen ist der Standard ISO/IEC 27001. Diese Norm beschreibt kein starres Maßnahmenpaket, sondern einen systematischen Ansatz, um Informationssicherheit im Unternehmen zu steuern. Im Mittelpunkt stehen dabei die sogenannten Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet, dass Informationen nur von berechtigten Personen eingesehen werden können. Integrität stellt sicher, dass Daten vollständig und unverändert bleiben. Verfügbarkeit wiederum beschreibt, dass Informationen und Systeme dann zur Verfügung stehen, wenn sie benötigt werden. Diese drei Aspekte bilden die Grundlage für die systematische Bewertung von Risiken und die Auswahl geeigneter Schutzmaßnahmen.
Cybersecurity ist Chef:innensache
In der Praxis zeigt sich allerdings ein wiederkehrendes Muster. Viele Unternehmen haben durchaus einzelne Maßnahmen umgesetzt: Beispielsweise ist eine Firewall vorhanden, auf den meisten Systemen läuft ein Virenschutz, vielleicht gab es auch schon erste Sensibilisierungen für Mitarbeitende. Was jedoch häufig fehlt, ist der übergreifende Ansatz. Cybersecurity wird eher als Sammlung von Einzellösungen verstanden – und nicht als das, was es eigentlich sein sollte: ein strukturiertes Managementthema.
Genau hier setzen etablierte Ansätze wie die Norm ISO 27001 an. Sie verlangen keine perfekte technische Sicherheit, sondern vor allem systematisches Vorgehen. Es geht darum, zu verstehen, wo die eigenen Risiken liegen, welche Maßnahmen wirklich relevant sind und wer im Unternehmen Verantwortung trägt. Und es geht darum, das Ganze nicht als einmaliges Projekt zu betrachten, sondern als laufenden Prozess, der sich mit dem Unternehmen weiterentwickelt.
Der Anfang ist machbar
Die gute Nachricht ist: Der Einstieg ist weniger kompliziert, als viele denken. Wer heute beginnt, sollte nicht bei Tools oder komplexen Technologien ansetzen, sondern sich zunächst eine einfache Frage stellen: Was darf in meinem Unternehmen auf keinen Fall ausfallen? Oft sind es wenige zentrale Prozesse oder Systeme, von denen sehr viel abhängt. Darauf aufbauend lässt sich relativ schnell ein realistisches Risikobild entwickeln. Welche Szenarien sind tatsächlich wahrscheinlich, und was wären die Auswirkungen?
Oft reichen für den Anfang schon wenige, gezielte Maßnahmen, um das Sicherheitsniveau deutlich zu erhöhen. Sauber funktionierende und regelmäßig getestete Backups können im Ernstfall den Unterschied machen. Die Absicherung zentraler Zugänge, etwa durch Mehr-Faktor-Authentifizierung, reduziert viele typische Angriffswege erheblich. Und nicht zuletzt spielt der Mensch eine entscheidende Rolle. Mitarbeitende, die ein Grundverständnis für Risiken wie Phishing haben, sind ein wirksamer Schutzfaktor.
Entscheidend ist, dass Verantwortung klar geregelt ist. Cybersecurity funktioniert selten nebenbei. Es braucht jemanden, der das Thema koordiniert, priorisiert und im Blick behält. Unternehmen, die diesen Schritt gehen und beginnen, strukturiert vorzugehen, profitieren schnell. Sie sind nicht nur besser gegen Vorfälle geschützt, sondern können im Ernstfall auch deutlich schneller reagieren. Gleichzeitig lassen sich regulatorische Anforderungen einfacher erfüllen, und das Vertrauen von Kundschaft und Partner:innen wächst.
Cybersecurity ist damit längst kein reines IT-Thema mehr und auch kein Luxus für große Konzerne. Es ist ein zentraler Bestandteil moderner Unternehmensführung. Man muss nicht alles auf einmal perfekt machen. Aber man muss anfangen. Besser heute als morgen.
Martin Weigert ist Auditor, Berater und Trainer für Informationssicherheit. Er begleitet Unternehmen bei der Einführung von ISO 27001 in der Praxis – von der ersten Idee bis zum Audit – und ist Autor des Buchs „Zertifizierung nach ISO/IEC 27001 für Dummies“.