KMU sind keine „zu kleinen Ziele“
Ransomware trifft Handwerksbetriebe, Steuerkanzleien, Produktionsunternehmen mit 20 Mitarbeitenden – nicht nur DAX-Konzerne. In vielen Fällen reichen einfache Schwachstellen:
- Ein Server, der seit Monaten keine Updates bekommen hat
- Ein Backup, das zwar existiert, aber nie getestet wurde
- Ein gemeinsam genutztes Passwort für kritische Systeme
- Keine Sensibilisierung der Mitarbeitenden
Das sind keine High-End-Hacks. Das sind Versäumnisse im Alltag.
Und die Folgen sind real: Produktionsstillstand, Datenverlust, Vertrauensschaden, im Extremfall Zahlungsunfähigkeit. Wer glaubt, eine Cyberversicherung löse das Problem, hat meist noch keinen echten Vorfall erlebt.
Haftung ist kein theoretisches Risiko
Geschäftsführer sind verpflichtet, für angemessene Schutzmaßnahmen zu sorgen. Das ergibt sich nicht nur aus gesundem Menschenverstand, sondern aus Organisationspflichten und Datenschutzrecht.
Wer personenbezogene Daten verarbeitet – also praktisch jedes Unternehmen – muss geeignete technische und organisatorische Maßnahmen umsetzen. „Wir haben einen IT-Dienstleister“ reicht rechtlich nicht aus.
Delegation entbindet nicht von Verantwortung.
Das bedeutet konkret:
- Sicherheitskonzepte müssen existieren.
- Risiken müssen bewertet werden.
- Maßnahmen müssen überprüft werden.
- Vorfälle müssen meldefähig eingeordnet werden können.
Wer hier nicht weiß, wie der eigene Stand ist, hat ein Governance-Problem – kein IT-Problem.
Der Irrtum vom ausgelagerten Sicherheitsgefühl
Viele KMU haben einen externen IT-Betreuer. Das ist sinnvoll. Problematisch wird es, wenn daraus ein blindes Vertrauen entsteht.
Fragen, die Geschäftsführer beantworten können sollten:
- Wann wurde das letzte Backup erfolgreich getestet?
- Gibt es eine dokumentierte Notfallstrategie?
- Wie lange dauert es realistisch, bis wir nach einem Totalausfall wieder arbeitsfähig sind?
- Wer entscheidet im Ernstfall – und wie?
Wenn diese Fragen nicht klar beantwortet werden können, fehlt Steuerung.
Ein IT-Dienstleister setzt um. Die Zieldefinition und Kontrolle bleiben Aufgabe der Unternehmensleitung.
IT-Sicherheit ist keine Technikfrage, sondern eine Führungsfrage
Technik ist nur ein Teil. Der größere Teil ist Organisation.
- Wer darf worauf zugreifen?
- Wie werden Mitarbeitende geschult?
- Gibt es klare Prozesse bei Verdachtsfällen?
- Ist dokumentiert, was im Ernstfall zu tun ist?
Oft reichen wenige strukturelle Maßnahmen, um das Risiko deutlich zu senken:
- Patchmanagement sauber etablieren
- 3-2-1-Backup-Strategie umsetzen
- Multi-Faktor-Authentifizierung verpflichtend einführen
- Regelmäßige Awareness-Schulungen durchführen
- Klare Verantwortlichkeiten definieren
Das sind keine Millionenprojekte. Das sind Führungsentscheidungen.
Praxisbeispiel
Ein kleines Beratungsunternehmen (knapp 10 Mitarbeitende) ließ seinen IT-Status überprüfen. Ergebnis:
- Server-Updates über ein Jahr nicht durchgeführt
- Backup nur unregelmäßig und manuell durchgeführt
- Keine Multi-Faktor-Authentifizierung
- Keine dokumentierten Prozesse
Der Aufwand zur Behebung war überschaubar: saubere Update-Strategie, Cloud-Backup, MFA, zwei kurze Schulungen.
Kosten: moderat.
Risikoreduktion: erheblich.
Das Problem war nicht fehlende Technik – sondern fehlende Priorisierung.
Strukturierter Einstieg statt Aktionismus
Viele Geschäftsführer wissen, dass Handlungsbedarf besteht. Was fehlt, ist ein klarer Startpunkt.
Ein strukturierter Sicherheitscheck – beispielsweise nach DIN SPEC 27076 – kann helfen, den Ist-Zustand objektiv zu bewerten. Nicht als Zertifizierungsprojekt, sondern als Standortbestimmung.
Wichtig ist dabei weniger das Label, sondern die Klarheit:
- Wo stehen wir wirklich?
- Wo sind die größten Risiken?
- Was hat Priorität?
- Was kann warten?
Ohne diese Transparenz wird IT-Sicherheit entweder verdrängt – oder unkoordiniert angegangen.
Fördermittel sind kein Ersatz für Verantwortung
Programme wie „go-digital“ oder Landesförderungen können Investitionen erleichtern. Das ist sinnvoll.
Aber Förderung ersetzt keine strategische Entscheidung. Sicherheit darf nicht davon abhängen, ob gerade ein Zuschuss verfügbar ist.
Am Ende ist es eine Führungsentscheidung
IT-Sicherheit ist kein Nebenprojekt. Sie betrifft:
- die Fortführung des Betriebs
- die Haftung der Geschäftsführung
- das Vertrauen von Kunden und Partnern
Die zentrale Frage lautet nicht:
„Haben wir eine Firewall?“
Sondern:
„Haben wir unsere Risiken im Griff?“
Wer diese Frage ehrlich beantworten kann, ist bereits einen entscheidenden Schritt weiter.