Cybersecurity im Mittelstand: Wie sich Unternehmen vor der neuen Bedrohungslage schützen
Ob Landesverwaltungen, regionale Maschinenbauer oder Steuerkanzleien – die Zahl der Cyberangriffe auf mittelständische Institutionen in Deutschland steigt kontinuierlich. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2024 von einer „anhaltend hohen Gefährdungslage“ sprach, trifft es häufig die Betriebe, die sich nicht ausreichend vorbereitet fühlten.
Dietmar Randtke, Cybersecurity Consultant bei envia TEL, begleitet solche Mittelständler operativ auf ihrem Weg zur digitalen Resilienz gegen Cyberangriffe: „Der Mittelstand unterschätzt das Risiko. Dabei geht es nicht um Millionenbeträge, sondern um einfache Mechanismen, mit denen Kriminelle Gewinn erzielen. Die Schwelle zum Angriff ist niedriger als je zuvor.“ In dem Maße, wie Cyberkriminalität zur Normalität wird, wächst auch der Bedarf für gezielte Verteidigungsstrategien – gerade bei Unternehmen mit begrenztem IT-Budget.
Der Mittelstand im Visier: Warum es keine „zu kleinen“ Ziele mehr gibt
Die Realität ist alarmierend: Kein Unternehmen ist heute zu klein, um angegriffen zu werden. Dennoch hält sich dieser Mythos hartnäckig. „Viele Mittelständler denken, dass sie für Angreifer uninteressant sind – dabei ist genau das der größte Trugschluss“, sagt Dietmar Randtke. Automatisierte Kampagnen wie Phishing oder Ransomware machen keinen Unterschied zwischen Konzern und Kleinstbetrieb. In seiner täglichen Arbeit analysiert Dietmar Randtke Kundennetzwerke auf potenzielle Schwachstellen – sowohl technisch als auch organisatorisch. Dabei zeigt sich: Besonders kleinere Unternehmen sind ein beliebtes Angriffsziel, weil sie oft keine ausreichenden Schutzmaßnahmen etabliert haben. „Angriffe sind nicht mehr das Werk genialer Hacker, sondern Teil eines industriell organisierten Marktes.“ Viele Täter hoffen auf „Quick Wins“ – schon ein Klick von einem ungeschulten Mitarbeiter kann genügen, um Systeme zu kompromittieren und Daten zu erpressen. BITKOM meldete 2024, dass mehr als 73 % erfolgreicher Cybervorfälle im Mittelstand auf menschliches Fehlverhalten zurückzuführen sind.
Ein Beispiel ist „Crime-as-a-Service“ – das Pendant zu „Software-as-a-Service“. Über entsprechende Plattformen können auch technisch wenig versierte Kriminelle Schadsoftware, Zugangsdaten oder Botnetze erwerben. Dadurch sinkt die Schwelle für einen Angriff enorm. Noch perfider: Die Rolle der Künstlichen Intelligenz. Angriffe passieren heute unter Einsatz von Deepfakes, manipulativen Stimmen oder personalisierten Phishing-Mails.
Diese Angriffsmethoden sind im Einsatz
„Es geht nicht um Millionenbeträge, sondern um schnelle Gewinne mit geringem Risiko“, erzählt Dietmar. „Die Angreifer kaufen sich entsprechende Tools, mieten Infrastruktur und greifen automatisiert an. Und das trifft leider zu oft auf unvorbereitete Systeme.“ Die Folgen: Betriebsunterbrechungen, Reputationsverluste, Datenlecks. Diese Beispiele unterstreichen, wie schnell eine IT-Sicherheitslücke existenzbedrohend werden kann.
Zu den häufigsten Angriffsmethoden gehören:
- Ransomware
- Phishing
- Insider-Bedrohungen
- Social Engineering – zunehmend KI-gestützt
„Künstliche Intelligenz spielt eine zentrale Rolle – etwa bei Anrufen, in denen Stimmen von Führungskräften imitiert werden. Ziel ist es, Mitarbeitende zu manipulieren“, sagt Dietmar. Besonders perfide sind sogenannte Deepfake-Anrufe oder Mails, in denen Vorgesetzte scheinbar persönlich Zahlungsanweisungen erteilen oder Zugangsdaten einfordern. Die Angriffe erfolgen zunehmend automatisiert und verteilt. Selbst kleinere Unternehmen geraten dadurch in den Fokus, oft ohne es zu merken.
Awareness, Personal und klare Prozesse
„Die größte Schwachstelle ist fast immer der Mensch“, sagt Dietmar. Eine aktuelle Studie von Fortinet zeigt deutlich, wie eng der Fachkräftemangel mit den Sicherheitsrisiken in Unternehmen verbunden ist. So gaben 87 % der befragten Organisationen an, dass Sicherheitsverletzungen im letzten Jahr auch auf unzureichend qualifiziertes IT-Personal zurückzuführen waren. Das unterstreicht, wie wichtig gut ausgebildete und geschulte Mitarbeitende für die Cyberabwehr sind.
Darüber hinaus betont der Report, dass 56 % der Sicherheitsvorfälle auf mangelndes Sicherheitsbewusstsein innerhalb der gesamten Organisation zurückzuführen sind. Dies verdeutlicht, dass Awareness-Programme nicht nur für die IT-Abteilung, sondern für alle Mitarbeitenden essenziell sind, um Gefahren frühzeitig zu erkennen und zu verhindern. Dietmar erklärt: „Wir sehen häufig, dass Unternehmen moderne Firewallsysteme betreiben – aber niemand die eingehenden Events analysiert.“
Dabei ist der Schaden messbar: Laut IBM verursachen Datenlecks im Schnitt Mehrkosten von über 1,6 Millionen Euro, wenn kein geschultes Personal vorhanden ist, das den Vorfall rechtzeitig erkennt und entschärft. Ein weiteres Problem: Die Zeit. Viele Angriffe passieren am Wochenende. „Der Admin hat Freitag 15 Uhr Feierabend. Dann passiert ein Angriff – und bleibt bis Montag unbemerkt. In dieser Zeit können Angreifer ganze Systeme kompromittieren.“ Auch grundlegende Schutzmaßnahmen wie DMARC – eine DNS-basierte Technik zur Verhinderung gefälschter E-Mails – sind oft nicht implementiert. „Viele wissen nicht einmal, dass es existiert – oder glauben, es reiche aus, den E-Mail-Server zu konfigurieren.“ fügt er hinzu.
Zero Trust und Netzsegmentierung: Vertrauen ist keine Strategie
Ein zentrales Prinzip moderner IT-Sicherheit ist der sogenannte Zero-Trust-Ansatz: Kein Gerät, keine Identität und keine Anwendung darf per se vertrauenswürdig sein – alles muss überprüft und regelmäßig validiert werden. „Zero Trust bedeutet nicht Misstrauen, sondern Kontrolle durch klare Regeln“, so Dietmar. „Es verhindert, dass sich Angreifer im Netzwerk seitlich bewegen können – ein häufiger Schwachpunkt.“
Ein weiterer technischer Schutzmechanismus ist die Segmentierung des Netzwerks. Damit wird verhindert, dass sich Angreifer nach einem ersten Zugriff ungehindert durch das gesamte System bewegen können. „Viele Netzwerke sind flach aufgebaut – ein Zugangspunkt reicht, und schon hat man Zugriff auf alle Systeme“, erklärt Dietmar. „Mit einer guten Segmentierung begrenze ich die Reichweite von Angreifern auf definierte Zonen.“
Im Idealfall können Angreifer nur auf ein Segment zugreifen, das keine kritischen Daten enthält – oder sich darin nicht weiterbewegen, weil sie keine Rechte haben. Würde sich ein Hacker etwa über eine präparierte E-Mail im Personalbereich eines produzierenden Unternehmens Zugang zum Netzwerk verschaffen – etwa durch einen schadhaften Dateianhang in einer Bewerbung – und wäre das Firmennetz nicht segmentiert, könnte er sich ungehindert durch das gesamte System bewegen. Von dort aus ließe sich etwa auf das ERP-System, die Produktionssteuerung und sogar auf sensible Konstruktionsdaten im Entwicklungsbereich zugreifen. Im schlimmsten Fall müssten Maschinen abgeschaltet oder Lieferketten unterbrochen werden – mit massiven wirtschaftlichen und rechtlichen Folgen.
Gerade in Verbindung mit einem Zero-Trust-Ansatz ist Segmentierung ein wirksames Mittel, um Cybervorfälle einzudämmen. Auch organisatorisch brauche es klare Prozesse. Zugriffsrechte müssen regelmäßig überprüft, Mitarbeitende geschult und Notfallpläne etabliert werden. „Viele Unternehmen haben keinen echten Incident-Response-Plan – und verlieren im Ernstfall wertvolle Zeit.“ Ein Incident-Response-Plan ist ein Notfallplan für IT-Sicherheitsvorfälle. Er legt genau fest, was zu tun ist, wenn ein Cyberangriff entdeckt wird – zum Beispiel wer informiert wird, wie betroffene Systeme isoliert werden und wie man den Schaden begrenzt. Ziel ist es, schnell und strukturiert zu reagieren, um Ausfälle, Datenverlust und Folgeschäden zu minimieren. Ohne so einen Plan verlieren Unternehmen im Ernstfall wertvolle Zeit – und das kann teuer werden. Genau solche technischen und organisatorischen Schutzmaßnahmen – von Zero Trust über Netzsegmentierung bis hin zu klaren Notfallplänen – sind nicht mehr nur eine Frage der unternehmerischen Vorsorge, sondern werden zunehmend gesetzlich verpflichtend geregelt.
Politischer Lagebericht: NIS2 in Deutschland
Die EU‑Richtlinie NIS2 war am 18. Oktober 2024 in nationales Recht umzusetzen. In Deutschland wurde der Termin nicht eingehalten – unter anderem wegen vorgezogener Neuwahlen im Februar 2025 sowie des geltenden parlamentarischen Diskontinuitätsprinzips.
Anstatt einer abgeleiteten Gesetzgebung bedarf es nun eines Neustarts im Gesetzgebungsverfahren: Das zuvor vorliegende Umsetzungsgesetz (NIS2UmsuCG) verfiel. Nun legte das Innenministerium einen neuen Gesetzesentwurf vor. Die EU-Kommission hat bereits zwei Vertragsverletzungsverfahren eingeleitet – erstmals im November 2024, gefolgt von einer zweiten Mahnstufe. Aktuell rechnet man mit einem Inkrafttreten im Jahr 2025.
Was bedeutet das für Unternehmen?
- Auch wenn das Gesetz noch nicht verabschiedet ist, handelt es sich um eine kaum abwendbare regulatorische Realität.
- Frustrierend ist die Verzögerung, aber sie bietet die Chance: Wer sich bereits jetzt vorbereitet, kann Zeitdruck vermeiden und Ressourcen planen.
- Unternehmen müssen analysieren, ob sie als „wesentliche“ oder „wichtige“ Einrichtung unter die Richtlinie fallen, und ihre Prozesse entsprechend ausrichten.
Cyberkriminalität ist kein Thema für Spezialisten, sondern für jede Unternehmensführung. Mittelständische Unternehmen sind Pflichtziele, die Angriffe werden intelligenter, die Prozesse automatisierter – und die regulatorischen Anforderungen steigen.
Zitate aus dem Interview fassen es zusammen:
„Cybersicherheit ist wie Brandschutz. Man hofft, sie nie zu brauchen – aber wenn doch, entscheidet sie über das Überleben des Unternehmens.“ „Der Mittelstand unterschätzt das Risiko … die Schwelle zum Angriff ist niedriger als je zuvor.“ Der Blick auf NIS2 zeigt: Das Gesetz kommt – und es wird weitreichende Folgen haben. Deutschland hinkt aktuell hinterher – doch wer sich frühzeitig positioniert, gewinnt Zeit und Planungssicherheit. envia TEL bietet Unternehmen die notwendige Expertise, um diesen Wandel strukturiert und sicher zu gestalten – technisch wie strategisch.
