Cybersecurity-Ratgeber reden häufig von Ideal-Architekturen: Zero Trust, Multi-Factor Authentication überall, Segment-Level-Encryption, regelmäßige Penetrationstests. Das ist alles richtig für Finanzkonzerne mit hunderten Millionen im IT-Budget. Mittelständler mit 100 bis 1.000 Mitarbeitern und Budget im niedrigen sechsstelligen Bereich müssen priorisieren. Dieser Beitrag spricht mit Fachleuten aus IT-Security in mittelständischen Unternehmen über ihre realen Herausforderungen und praktizierten Lösungen. Nicht das Ideal, sondern das Machbare mit größtmöglichem Nutzen.
Die realen Gegenspieler: Externe Bedrohungen und Ressourcenmangel
IT-Sicherheitsverwantwortliche im Mittelstand berichten von einer asymmetrischen Situation. Die Gegenseite, Kriminelle und Staats-Hacker, sind hochprofessionell und gut finanziert. Die Verteidiger sind häufig eine oder zwei Personen, denen parallel auch Infrastruktur-Aufgaben zuliegen. Das ist nicht fair aufgelöst. Daher gilt die erste Regel für realistische Cybersecurity im Mittelstand: Konzentrieren Sie sich auf die wenigen, größten Risiken, nicht auf alle möglichen.
Welche sind die größten Risiken in mittelständischen Betrieben? Ransomware (Verschlüsselung kritischer Daten mit Lösegeldforderung), Datendiebstahl über Social Engineering und Phishing, sowie Ausfälle kritischer Systeme durch technische oder kriminelle Ursachen. Diese drei verdienen 70% der Aufmerksamkeit und des Budgets.
Ransomware-Abwehr: Backup, Segment, Überblick
Ransomware ist das größte operative Risiko im Mittelstand. Ein Betrieb wird gehackt, alle Daten werden verschlüsselt, Kriminelle fordern 100.000 bis eine Million Euro. Ohne Backup ist dieser Betrieb ruiniert. Mit Backup hat er ein operatives Problem, aber kein existenzielles. Deshalb ist das erste Gebot der Ransomware-Abwehr nicht die neueste Firewalls-Technologie, sondern ein technisch isoliertes Backup aller kritischen Systeme.
Was „technisch isoliert“ bedeutet: Das Backup läuft auf anderen Systemen, mit anderen Zugriffsrechten, möglichst offline für den Tag. Wenn die Produktionsumgebung gehackt wird, kann der Hacker das Backup nicht sofort zerstören. Ein Mittelständler berichtete: Sein Backup war im gleichen Netzwerk, mit einem Admin-Account erreichbar. Als die Ransomware eindrang, verschlüsselte sie auch das Backup. Das kostete ihn zwei Wochen Stillegung. Nach einem neuen Backup-Setup mit separaten Zugriffsrechten und täglicher Offline-Kopie auf USB-Laufwerk brauchte eine neue Ransomware-Attacke nur noch zwei Stunden Wiederherstellung.
Das zweite Element ist Netzwerk-Segmentierung. Das Produktionsnetzwerk, das Administratornetzwerk und das Gast-Netzwerk sollten nicht alle verbunden sein. Ein Krimineller, der das Gast-WLAN hackt, sollte nicht unmittelbar auf Kundendatenbanken zugreifen können. Mit Firewalls zwischen den Segmenten ist die laterale Bewegung für Kriminelle aufwändig. Das ist keine perfekte Lösung, aber effektiv.
Das dritte Element ist Security Awareness: Mitarbeiter verstehen, dass ein PDF-Anhang mit dem Namen „Bestellung_aktuell.pdf“ eigentlich ein Trojan-Horse sein könnte. Schulungen und regelmäßige Phishing-Tests reduzieren die Infektionsrate. Ein Versicherungs-Makler trainierte seine Mitarbeiter monatlich in Phishing-Erkennung. Die Infektionsquote sank von 8% der Mitarbeiter auf unter 1% innerhalb eines Jahres.
Social Engineering und Phishing-Resistenz
Kriminelle haben gelernt, dass Technologie gut ist, aber Social Engineering besser. Sie rufen an, geben sich als IT-Supportmitarbeiter aus und fragen nach Passwörtern. Sie senden E-Mails, die aussehen wie von der Geschäftsführung, mit der Bitte, schnell Geld zu überweisen. Diese Attacken scheitern, wenn die Kultur es nicht zulässt.
Erfolgreiche Mittelständler haben Regeln: «Passwörter werden niemals telefonisch abgefragt.» «Große Überweisungen werden immer doppelt abgestimmt, per Telefon mit bereits bekannter Nummer.» «Im Zweifelsfall fragen wir nach.» Diese Regeln klingen einfach, aber sie wurden nur nach Sicherheitsverstößen aufgestellt.
Ein praktisches Tool: Multi-Factor Authentication. Wenn der Kriminelle das Passwort hat, braucht er noch einen zweiten Faktor (z.B. SMS-Code, Authenticator-App). Das ist nervig im Alltag, reduziert aber Account-Übernahmen dramatisch. Im Mittelstand wird MFA häufig selektiv eingesetzt: für Administratoren und für kritische Systeme obligatorisch, für Standard-Nutzer optional aber empfohlen.
Die Rolle von Monitoring und Incident Response
Ein Betrieb kann die beste Sicherheit haben und wird trotzdem gehackt. Die Frage ist dann: Wie schnell wird es erkannt und reagiert? Monitoring ist der unsichtbare Held. Logdateien von Netzwerk, Firewall und Servern müssen kontinuierlich angeschaut werden. Das ist zeitintensiv. Im Mittelstand passiert dies oft mit automatisierten Alerts: Wenn ein Admin-Account sich von einer neuen IP-Adresse anmeldet, benachrichtigung. Wenn ungewöhnlich viel Daten von einem Nutzer heruntergeladen werden, Alert.
Manche Mittelständler outsourcen Monitoring an einen Managed Security Service Provider (MSSP). Ein MSSP hat Spezialisten, die 24/7 auf Alerts reagieren. Das kostet 2.000 bis 5.000 Euro pro Monat, ist aber oft günstiger als eine Vollzeit-Sicherheitsperson, die nicht alles allein schaffen kann.
Incident Response ist die Vorbereitung auf den Fall der Fälle. Ein Plan sollte vorgeben: Wer wird benachrichtigt, wenn ein Sicherheitsproblem auftritt? Wer entscheidet, ob der Geschäftsführer anruft? Wie werden kritische Systeme heruntergefahren, um Schaden zu begrenzen? Ohne Plan passiert unter Stress falsches Zeug. Mit Plan bleibt die Reaktion strukturiert.
Netzwerk-Architektur und Defense in Depth
Die Idee von Defense in Depth ist einfach: Es gibt nicht eine Mauer um die Burg, sondern mehrere. Selbst wenn der Kriminelle die erste durchbricht, gibt es noch Wassergräben, Mauern und Wachen. Im Netzwerk heißt das: Firewall am Rand, dann Intrusion Detection Systems, dann Antivirus auf Endgeräten, dann starke Authentifizierung, dann Segmentierung, dann Monitoring intern.
Im Mittelstand wird das pragmatisch umgesetzt. Eine gute Firewall am Internet-Zugang kostet 3.000 bis 10.000 Euro einmalig und 500 bis 2.000 Euro pro Jahr. Antivirus auf allen PCs kostet 10 bis 50 Euro pro Arbeitsplatz pro Jahr. Zusammen ist das etwa 2 bis 5 Prozent des IT-Budgets, spart aber im Fall eines erfolgreichen Angriffs hundertfach mehr. Mittelständler, die priorisieren, setzen diese Basics vor exotischere Maßnahmen um.
Cloud und On-Premise: Ein Sicherheits-Hybrid
Viele Mittelständler arbeiten mittlerweile hybrid: Microsoft 365 für Office, SAP oder andere ERP in der Cloud, aber kritische Fertigungsdaten bleiben lokal. Das ist sicherheitstechnisch anspruchsvoll, weil die Schnittstellen zwischen Cloud und On-Premise kontrolliert sein müssen. Kriminelle versuchen, über Cloud-Accounts Zugriff auf lokale Systeme zu bekommen und umgekehrt.
Bewährte Praktiken im Hybrid-Setup: Separate Verwaltung, getrennte Administratoren wenn möglich, Netzwerk-Level-Kontrolle der Datentransfers zwischen Cloud und On-Premise, und regelmäßige Zugriffsprüfungen. Ein Betrieb entdeckte, dass sein Cloud-Admin automatisch auf alle lokalen Fileserver zugriff hatte, obwohl das nicht nötig war. Nach Einschränkung der Rechte war die Oberfläche kleiner für Angriffe.
Endgeräte-Sicherheit und Patch-Management
Viele Cyberattacken starten nicht auf dem Server, sondern auf dem Notebook oder PC eines Mitarbeiters. Ein veralteter Browser mit bekannten Schwachstellen ist ein Eingangstor. Das gleiche gilt für Betriebssysteme, die Jahre alt sind und keine Sicherheits-Updates mehr erhalten. Patch-Management ist unglamourös, aber critical.
Im Mittelstand wird dies oft ignoriert, weil Updates zeitaufwändig sind oder temporär Systeme lahm legen. Ein Maschinenbauer berichtete: Seine alten CNC-Maschinen liefen auf Windows XP, das seit 2014 nicht mehr unterstützt wurde. Weil Update-Tests zu viel Zeit brauchten, blieben die Systeme ungepatcht. Nach einer Ransomware-Attacke musste der ganze Maschinenpark erneuert werden. Ein Sicherheitsbudget von 50.000 Euro wäre günstiger gewesen.
Eine praktische Lösung: Automatisierte Patch-Management-Systeme. Viele sind günstig oder kostenlos. Sie aktualisieren nachts automatisch, ohne dass IT-Leute hand anleggen müssen. Der Nachteil: Manchmal bricht ein Update etwas. Daher ist die beste Praxis ein Pilot-System, das erste Updates erhält, und nach einer Woche rollen die Updates auf alle anderen aus.
Sicherheitskultur und kontinuierliches Lernen
Die beste Firewall nützt nichts, wenn die Mitarbeiter Passwörter auf Notizzetteln kleben lassen. Sicherheit ist ein Kulturthema, nicht nur ein technisches. Betriebe mit guter Sicherheitskultur haben niedrigere Incident-Raten. Wie entsteht diese Kultur?
Erstens durch klare Regeln, die nicht abstrakt sind, sondern konkrete Beispiele haben: «Passwörter werden nicht geteilt» ist abstrakt. «Du brauchst dein Passwort. Gib es niemandem, auch nicht der IT, auch nicht der Geschäftsführung» ist konkret. Zweitens durch regelmäßiges Training, nicht einmalig. Einmal-Training wird vergessen. Monatliche fünf-Minuten-Tips bleiben hängen. Drittens durch führt die Geschäftsführung vor. Wenn der Chef Multi-Factor Authentication nutzt, sieht jeder, dass es wichtig ist.
Betriebe mit Sicherheitskultur werden schneller gehackt als andere (weil Kriminelle überall versuchen), aber brechen nicht zusammen, weil sie erkennen und reagieren. Die Reaktion ist trainingiert, nicht chaotisch.
Compliance und Standards
Viele Mittelständler denken, dass Compliance mit Sicherheit das Gleiche ist. Das ist nicht richtig. DSGVO, NIS2, ISO 27001 sind Anforderungen an Dokumentation und Prozesse. Diese sind wichtig, aber nicht ausreichend. Ein Betrieb kann DSGVO-konform sein und immer noch gehackt werden. Gleichzeitig: Wenn der Betrieb ISO 27001 zertifiziert ist, hat er wahrscheinlich grundlegende Sicherheitsmaßnahmen implementiert.
Im Mittelstand ist ein pragmatischer Ansatz: Zielgerichtet nur die relevanten Standards implementieren. Ein Betrieb ohne Gesundheitsdaten braucht keine HIPAA. Ein Betrieb ohne Finanzleistungen braucht nicht die strengen PCI-DSS-Anforderungen. Aber DSGVO betrifft fast alle, weil die meisten personengebundene Daten verarbeiten. NIS2, die neue europäische Richtlinie für kritische Infrastrukturen, kommt hinzu und erweitert die Anforderungen für mittelständische Unternehmen in bestimmten Sektoren. Die beste Strategie ist, einen Compliance-Kalender zu erstellen: Welche Standards gelten für mich? Wann sind Audits fällig? Wann muss ich Dokumentation aktualisieren? Mit Struktur wird Compliance managebar, ohne Struktur wird es chaotisch.
FAQ
Frage: Wie viel sollte ein Mittelständler für Cybersecurity ausgeben?
Antwort: Typischerweise 3 bis 7% des IT-Budgets als Faustregel. Für einen Betrieb mit 100.000 Euro IT-Budget sind das 3.000 bis 7.000 Euro pro Jahr. Das reicht für Basis-Maßnahmen: Firewall, Antivirus, Backup, MFA für kritische Systeme.
Frage: Sollten wir einen externen Sicherheitsberater beauftragen?
Antwort: Ein Sicherheits-Audit einmalig ist sinnvoll, um Blindflecken zu erkennen. Danach kontinuierliche Beratung ist optional. Viele Betriebe können mit internen Kenntnissen und Online-Ressourcen die grundlegenden Maßnahmen selbst umsetzen.
Frage: Was ist der erste Schritt, wenn wir gehackt werden?
Antwort: Nicht in Panik geraten. Kritische Systeme herunterfahren, um Schaden zu begrenzen. IT-Sicherheitsperson benachrichtigen, externe Unterstützung aktivieren wenn nötig, und dann systematisch Daten sammeln. Die erste Stunde entscheidet oft, ob es zwei Stunden oder zwei Wochen Ausfallzeit gibt.
Frage: Ist ein Mittelständler ein attraktives Ziel für Kriminelle?
Antwort: Ja, aber aus anderen Gründen als Großkonzerne. Großkonzerne interessieren wegen Datenmengen oder kritischer Infrastruktur. Mittelständler interessieren, weil sie oft weniger verteidigt sind als Konzerne, aber genug wert sind. Ein Ransomware-Angriff auf einen Mittelständler zahlt sich oft aus.
Frage: Wie oft sollten wir Penetrationstests durchführen?
Antwort: Im Minimum einmalig pro Jahr, besser zwei bis vier mal pro Jahr mit unterschiedlichen Schwerpunkten. Nach großen Änderungen sollte ein Test erfolgen. Für Betriebe mit sehr begrenztem Budget genügt ein Test alle zwei Jahre.
Frage: Können wir Cybersecurity outsourcen?
Antwort: Teilweise. Monitoring kann outgesourced werden an einen MSSP. Externe Penetrationstests sind normal. Aber Strategie und Governance sollten intern bleiben, damit der Betrieb selbst weiß, welche Risiken er trägt.
Frage: Welche Mitarbeiter sollten Sicherheitsschulung erhalten?
Antwort: Alle. Aber mit unterschiedlicher Tiefe. Administratoren und IT-Personal brauchen detaillierte technische Schulungen. Allgemeine Mitarbeiter brauchen Phishing-Erkennung und Passwort-Hygiene. Die Geschäftsführung braucht Verständnis für Cyber-Risiken und Business Continuity.
Frage: Was ist ein realistisches Ziel für Cybersecurity im Mittelstand?
Antwort: Nicht null Angriffe, sondern Erkennung und schnelle Reaktion. Der Betrieb sollte gehackt werden und es innerhalb von Stunden merken, nicht Wochen. Das setzt die richtigen Tools, das richtige Wissen und eine vorbereitete Reaktion voraus.
Frage: Wie starten wir mit Cybersecurity, wenn wir bisher wenig investiert haben?
Antwort: Mit den Basics: Backup, Firewall, Antivirus, MFA für Administratoren. Das kostet 5.000 bis 15.000 Euro einmalig und 2.000 bis 5.000 Euro pro Jahr. Danach kontinuierlich erweitern basierend auf einem Sicherheits-Audit und gemessen an realisierten Risiken.
Aktuelle Beiträge
Lesen Sie auch die neuesten Inhalte unserer Partner-Publikationen:
