IT-Sicherheit für KMU: Expertentipps

IT-Sicherheit für KMU: So schützen sich kleine Unternehmen erfolgreich

„Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Zu dieser aktuellen Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gerade kleinen und mittleren Unternehmen sei das Ausmaß der Bedrohungslage oft nicht bewusst, und wenn doch, scheitern sie häufig an der Umsetzung geeigneter Sicherheitsmaßnahmen. Wichtige Gründe dafür: fehlendes Know-how und mangelnde Ressourcen.

Die gute Nachricht ist: Auch kleine Unternehmen mit wenig Personal und Geld können für mehr Cybersicherheit sorgen. Wir haben uns mit dem Experten Christopher Schroer darüber unterhalten,

warum IT-Sicherheit für KMU oft unterschätzt wird,
wie kleine und mittlere Unternehmen ein Sicherheitskonzept erstellen und
welche Gesetze und Normen sie im Bereich Cybersicherheit beachten müssen.

Häufige Bedrohungen: Die größte Gefahr geht von Mitarbeitenden aus

Die Gefahren für die Informationssicherheit von KMU sind vielfältig. Sie reichen von Phishing-Angriffen über Datenlecks und Ransomware (Verschlüsselung mit Lösegelderpressung) bis hin zu gezielten Hackerangriffen. Veraltete Systeme und fehlerhafte Konfigurationen erhöhen das Risiko.

„Die größte Gefahr“, betont jedoch Christopher Schroer „sind die eigenen Mitarbeitenden. Vor allem Mitarbeitende aus der Geschäftsführung, Buchhaltung und Personalabteilung werden zum Einfallstor für Cyberangriffe.“ Geschäftsführer:innen nähmen es mit Sicherheitsregeln oft nicht so genau – obwohl sie es von ihren Mitarbeitenden verlangen – und die E-Mail-Adressen von Buchhaltung und Personalabteilung seien meist öffentlich zugänglich. „Außerdem ist unter deutschen Mittelständlern der Irrglaube weit verbreitet, man wäre zu klein und zu unbedeutend, um in den digitalen Weiten des Internets aufzufallen,“ zitiert Christopher Schroer aus einem 2022 erschienenen Artikel der WirtschaftsWoche. Entsprechend scheuen Unternehmen davor zurück, Geld für Informationssicherheit auszugeben.

Gut zu wissen: Angriffe sind durch den Einsatz künstlicher Intelligenz zunehmend schwer als solche zu erkennen. So ist es heute viel einfacher als früher, täuschend echte Phishing-Mails in verschiedenen Sprachen zu erstellen, Websites zu fälschen oder Stimmen zu imitieren.

Wie KMU die Sicherheit erhöhen

KMU haben in der Regel keine eigene Abteilung für IT-Sicherheit und nur begrenzte finanzielle Mittel zur Verfügung. Trotzdem können sie mit einigen einfachen Maßnahmen die Cyber Security erhöhen, beginnend bei einem maßgeschneiderten Sicherheitskonzept als Grundlage für ein effizientes IT-Sicherheitsmanagement.

Die Basis: Ein (einfaches) IT-Sicherheitskonzept

Ein grundlegendes IT-Sicherheitskonzept für KMU beruht auf den folgenden drei Maßnahmen:

1. Bestandsaufnahme

Als Ausgangspunkt empfiehlt Christopher Schroer eine Analyse des Status quo: „Welche Prozesse haben wir im Unternehmen und welche Anforderungen müssen diese erfüllen, regulatorisch und markteintrittstechnisch?“

2. Risikoanalyse

Im zweiten Schritt sei es wichtig, eine Risikoanalyse für die definierten Prozesse vorzunehmen.

3. Maßnahmen

Ausgehend von der Risikoanalyse können Geschäftsführung und IT-Dienstleister Maßnahmenpläne erstellen, zum Beispiel für eine effiziente Back-up-Strategie.

Standards geben Orientierung

Ein Sicherheitskonzept für KMU muss nicht zertifiziert sein, aber der Blick in einschlägige Regelwerke lohnt sich in jedem Fall. „Es hilft immer, sich an einem offiziellen Standard zu orientieren“, betont Christopher Schroer. „Dieser gibt eine Struktur und eine Methodik vor. Das trägt dazu bei, dass man nichts Wichtiges vergisst.“

Dabei haben KMU je nach Branche und Anforderungen die Wahl, an welchem Standard sie sich orientieren:

BSI IT-Grundschutz: Der BSI IT-Grundschutz ist sehr modular aufgebaut, aber auch komplex. Deshalb eignet er sich vor allem für größere Unternehmen und Behörden.
ISO 27001: Die weltweit anerkannte Norm ISO 27001 bietet sich für alle Unternehmen an, die international tätig sind. Außerdem lässt sie sich gut skalieren. Allerdings sei es auch in diesem Fall für Laien ohne Erfahrung und ohne professionelle Hilfe schwierig, sich zurechtzufinden, schränkt Christopher Schroer ein.
Kleine Standards: Kleinere, nationale Standards wie die VdS 10000 sind oft konkreter greifbar, aber eben nur eingeschränkt anerkannt.

Rollenverteilung und Verantwortlichkeiten bei begrenzten Personalressourcen

Informationssicherheit in Unternehmen verlangt Personen, die sich darum kümmern. Auch hier stehen KMU mehrere Optionen zur Verfügung:

Option 1: Informationssicherheitsbeauftragte in Vollzeit

Idealerweise gibt es eine zentrale Person, die sich um das Thema Informationssicherheit im Unternehmen kümmert. Als qualifizierte:r Informationssicherheitsbeauftragte:r entwickelt sie Informationssicherheitsstrategien und kümmert sich um ihre Durchführung sowie Kontrolle. Das gelingt besonders gut, wenn die Person neben fachlichem Know-how einen umfassenden Überblick über die verschiedenen Bereiche und Prozesse im Unternehmen hat.

Option 2: Informationssicherheitsbeauftragte in Teilzeit

Bei begrenzten Ressourcen bietet es sich an, dass sich ein:e Mitarbeiter:in in Teilzeit um das Thema IT-Sicherheit kümmert. Zwei Voraussetzungen sind dann laut Christopher Schroer entscheidend dafür, dass dieses Konzept aufgeht:

Die Geschäftsführung unterstützt die betreffende Person bei ihren Aufgaben.
Die Arbeitszeit ist klar eingeteilt, sodass sich Tagesgeschäft und Informationssicherheit nicht in die Quere kommen.

Wichtig: Egal ob in Voll- oder Teilzeit, Informationssicherheitsbeauftragte können ihre Funktion nur erfüllen, wenn sie sich über aktuelle Bedrohungen für die IT-Sicherheit und geeignete Gegenmaßnahmen auf dem Laufenden halten. Regelmäßige Weiterbildungen sind deshalb unumgänglich. Zusätzliche Mitarbeiterschulungen tragen dazu bei, verhängnisvolle Fehler zu vermeiden und das Sicherheitsniveau im Unternehmen zu steigern.

Vor allem bei Zertifizierungen wichtig: Externe Unterstützung

Zusätzlich zu Verantwortlichen in den eigenen Reihen können KMU auf externe Berater:innen zurückgreifen, zum Beispiel wenn sie eine Zertifizierung benötigen. Allerdings reicht eine punktuelle Beratung dann oft nicht aus. Gerade bei einer Erstzertifizierung hat Christopher Schroer die Erfahrung gemacht, dass langfristige Unterstützung notwendig und sinnvoll ist.

Zentrale Gesetze, Normen und Verordnungen im Bereich IT-Sicherheit

Auch der Gesetzgeber verlangt von Unternehmen, dass sie ihre IT-Sicherheit stärken. Relevant für KMU sind vor allem die folgenden Regelwerke:

NIS2 und NIS2-Umsetzungsgesetz:

Die NIS2-Richtlinie verpflichtet Unternehmen aus verschiedenen Branchen und schon ab 50 Mitarbeitenden dazu, umfangreiche Schutzmaßnahmen zu ergreifen, angefangen bei einer Risikoanalyse über Business Continuity und Sicherheit in der Lieferkette bis hin zur Multi-Faktor-Authentifizierung.

CER-Richtlinie:

Die CER-Richtlinie ist eine EU-Richtlinie zur Stärkung der Resilienz kritischer Infrastrukturen. Die meisten KMU fallen nicht direkt unter die Richtlinie, da sie nicht als „kritische Einrichtungen“ gelten. Aber KMU, die Zulieferer oder Dienstleister für kritische Infrastrukturen sind, können mittelbar betroffen sein – z. B. durch Anforderungen zur Risikobewertung, Sicherheitsmaßnahmen oder Notfallpläne, die ihre Kunden verlangen. In Deutschland wird die Richtlinie durch das KRITIS-Dachgesetz umgesetzt.

DORA-Verordnung:

DORA ist eine EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor, gilt seit dem 17. Januar 2025 und betrifft Banken, Versicherungen, Zahlungsdienstleister sowie IT-Dienstleister, die für diese Institute tätig sind.

Hinzu kommen marktregulierende Anforderungen. Lieferanten in der Autoindustrie müssen zum Beispiel nachweisen, dass ihre Informationssicherheit den Anforderungen des TISAX-Standards entspricht.

Wer von diesen Vorgaben betroffen ist, hat einige gute Gründe mehr, sich eingehend mit dem Thema Informationssicherheit auseinanderzusetzen.

Einfache Maßnahmen machen einen großen Unterschied

Informationssicherheit muss kein Großprojekt sein. Auch mit begrenzten Ressourcen können kleine und mittlere Unternehmen viel erreichen – vorausgesetzt, sie erkennen die Relevanz des Themas und handeln strukturiert. Ein einfaches Sicherheitskonzept, klar geregelte Verantwortlichkeiten und die Orientierung an bestehenden Standards bilden dabei das Fundament.

Wer zusätzlich externe Expertise nutzt und gesetzliche Anforderungen im Blick behält, schützt nicht nur seine Daten, sondern auch das Vertrauen von Kund:innen und Geschäftspartner:innen. Denn eines ist sicher: Informationssicherheit ist längst kein „nice to have“ mehr – sondern ein Muss für zukunftsfähige Unternehmen.

two businessmen having discussion in office — Seminar | Webinar

Information Security Officer - ISO (TÜV)

Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen und buchen Sie Ihre Weiterbildung online!

Zu den Veranstaltungen

NIS-2-Richtlinie für Manager und Geschäftsleitung

Die NIS-2-Richtlinie sieht erweiterte Pflichten für Unternehmen und deren Management in puncto Informationssicherheit vor. Informieren Sie sich rechtzeitig!

Zum Webinar

Informationssicherheit / ISMS Wissensupdate

Ziel des Webinars ist es, Ihnen einen aktuellen Überblick über geänderte und neue Anforderungen an die Informationssicherheit zu geben. Buchen Sie Ihre Veranstaltung jetzt bequem online!