Zum Inhalt springen

Informationssicherheit

IT-Sicherheit für Unternehmen

Auch KMU geraten ins Visier von Cyberkriminellen. Schützen Sie Ihr Unternehmen mit unseren Tipps für IT-Sicherheit.

Technikerin mit Helm prüft Serverkomponenten in einem Rechenzentrum.

Inhaltsverzeichnis

Beratungs- und Buchungshotline

Der Jahresanfang ist der ideale Zeitpunkt, um den Blick nach vorn zu richten und Ihre nächsten Weiterbildungen bewusst einzuplanen. Sichern Sie sich jetzt Ihre Seminarplätze für Führungskräfte, Mitarbeitende oder ganze Teams – schnell, unkompliziert und direkt.

Hotline anrufen
23. April 2026

IT-Sicherheit für Unternehmen – so schützen sich Betriebe vor Cyberkriminalität

Ein Schaden von rund 290 Milliarden Euro entstand der deutschen Wirtschaft 2025 durch Diebstahl von IT‑Ausrüstung und Daten, Spionage und Sabotage. Das ist über doppelt so viel wie in den Jahren 2018/2019. Dabei ist es eine Illusion, dass nur die „großen Firmen“ zum Ziel von Cyberkriminalität werden. Im Gegenteil: 87 Prozent aller Unternehmen waren betroffen. Für die Zukunft erwarten die meisten eine weitere Zunahme von Cyberangriffen.

Auch Thomas Kuhn von der Kuhn-Informatik GmbH, Sicherheitsbeauftragter/CISO, IT-Sicherheitsprofi und Trainer bei TÜV NORD, beobachtet einen deutlichen Wandel in Art und Qualität der Attacken: „Vor 30 Jahren gab es vor allem Hacker, die sich selbst und anderen lediglich beweisen wollten, dass sie in IT-Systeme eindringen können. Inzwischen ist eine organisierte Kriminalität herangewachsen, die das Ziel hat, Unternehmen zu erpressen und/oder zu schädigen.“ 

Nicht jedes Unternehmen hat die Mittel, ein umfassendes IT-Sicherheitsmanagementsystem zu realisieren. Trotzdem sind auch KMU keineswegs machtlos. Denn schon mit wenig Aufwand und einem guten Plan lassen sich Schutzmaßnahmen realisieren, die im Ernstfall das Schlimmste verhindern. Hier gehen wir darauf ein, welche das sind, was Unternehmen bei der Umsetzung beachten sollten und warum es nicht um absolute Sicherheit geht.

Die häufigsten Attacken auf IT-Systeme und ihre Folgen

„Eine der Hauptbedrohungen im Bereich Cyberkriminalität sind derzeit Identitätsdiebstahl und Ransomware-Attacken“, stellt Thomas Kuhn fest. Dabei werden Unternehmen erpresst, indem zum Beispiel Daten verschlüsselt werden oder mit ihrer Veröffentlichung gedroht wird. Manchmal gelingt es Angreifer:innen auch, die zentralen Verzeichnisdienste (Active Directory bzw. Entra ID) zu übernehmen und so maximale Kontrolle über das Unternehmen auszuüben. Daneben häufen sich in den letzten Jahren zum Beispiel Spyware-Attacken oder Malware-Angriffe, die Schwachstellen ausnutzen (Zero Day Exploits). Einen Sonderfall stellt die absichtliche Sabotage oder versehentliche Nichtbeachtung von Vorgaben durch Mitarbeitende dar.

Der Schaden, der durch Cyberangriffe entsteht, kann immens sein. Dabei stehe der unmittelbare finanzielle Schaden, zum Beispiel durch ein Lösegeld, nicht im Vordergrund, betont Thomas Kuhn. Gravierender sei in der Regel der Produktionsausfall bzw. der Stillstand von Geschäftsprozessen. „Bei einer Active-Directory-Übernahme müssen die Unternehmen mit über einem Monat Unterbrechung rechnen.“

Das bedeute schon für große Unternehmen hohe Verluste. Kleinere Betriebe bekämen unter Umständen existenzielle und längerfristige Liquiditätsprobleme. Hinzu kommen unter Umständen ein gravierender Imageschaden und Strafen beim Diebstahl persönlicher Daten.

IT Sicherheit für Unternehmen beginnt ganz oben: Die Risikoabwägung als strategisches Fundament

IT-Sicherheit ist Chefsache. Zwar kümmern sich Geschäftsführer:innen in der Regel nicht selbst um die Installation von Sicherheitsmechanismen oder das Monitoring, aber sie müssen die Entscheidung treffen, wie viel ihr Unternehmen in das Thema Cyberbedrohungen investiert und wie viel Risiko eingegangen werden darf. Dafür ist eine Risikoanalyse bzw. Risikoabschätzung erforderlich, die in einer klare Cybersicherheitsstrategie mündet.

Speziell bei kleinen Unternehmen spielen auch die Ressourcen eine zentrale Rolle. „Beispielsweise kosten ein ständiges Sicherheitsmonitoring, aktuelle Patchstände und Backup-/Restoremaßnahmen Zeit und Geld“, betont Thomas Kuhn. „Denn in diesen Fällen brauchen Sie eine oder mehrere Personen, die jeden (auch noch so kleinen) Verdachtsfall überprüfen und Sicherheitsmaßnahmen umsetzen. Deshalb konzentrieren sich die meisten kleinen Unternehmen eher auf einen reaktiven Schutz und vernachlässigen diesen Mehraufwand.“

Doch selbst wenn wenig Geld und personelle Ressourcen vorhanden sind, sollten Unternehmen auf einige Maßnahmen keinesfalls verzichten.

Grafik zeigt drei Schritte zum Schutz vor Cyber-Kriminalität: Vorsorge, Abwehr und Datensicherung.

Die wichtigsten Cyber-Security-Maßnahmen in Unternehmen

Für Thomas Kuhn besteht ein guter Grundschutz aus drei Bestandteilen:

  1. Zuerst sei es notwendig, jemanden im Unternehmen zu finden, der sich des Themas IT-Sicherheit annimmt. In kleinen Unternehmen sei das in der Regel eine Teilzeitaufgabe. Für umso wichtiger hält es Thomas Kuhn, dass diese Person Maßnahmen priorisiere. An vorderster Stelle sollte immer stehen, sich Antworten auf folgende Frage zu überlegen: Was mache ich, wenn es zu leichten oder schweren Sicherheitsvorfällen und Cyberbedrohungen kommt? Welches Sicherheitsprotokoll tritt bei Cyberbedrohungen in Kraft? Wen informiere ich, welche Dienstleister binde ich ein und wie gehe ich bei der Abwehr vor? Dann könnten Verantwortliche mit anderen Mitarbeitenden für den Ernstfall üben.
  2. Für Unternehmen jeder Größe ein Muss sei eine Kombination aus Perimeterschutz (Firewall) und Endgeräteschutz (Endpoint Protection), also einer Lösung, die beispielsweise Geräte wie Laptops, Desktop-PCs sowie Serversysteme überwacht und gegen Attacken abschirmt. Eine Firewall allein reiche nicht aus zum Schutz der IT-Infrastruktur.
  3. Schließlich sollten sich Unternehmen um Backup und Restore kümmern, damit Daten bei einem Angriff wiederhergestellt werden könnten. Entscheidend sei, dass es sich nicht einfach um ein operatives Backup handle, mit dem Daten nach versehentlichem Löschen wiederhergestellt werden können, sondern um eines, dass offline und off-site geschützt verfügbar sei. Nur dann bestünden gute Chancen, dass es Cyberkriminelle nicht einfach übernehmen beziehungsweise versuchen, sich vor Ort Zugänge zu verschaffen.

Als eine Orientierung für KMU, die kein IT-Sicherheitsmanagementsystem einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder den BSI-IT-Grundschutz, und hier speziell die Anforderungen für eine Basisabsicherung.

Cybersicherheit ist Chefsache: NIS-2 im Fokus

Wusstet ihr, dass in den letzten 12 Monaten 8 von 10 Unternehmen in Deutschland von Datendiebstahl, Spionage oder Sabotage betroffen waren? In wenigen Tagen tritt die Umsetzung der NIS-2-Richtlinie der EU in Deutschland in Kraft. Das bedeutet, dass Großunternehmen, vor allem solche, die zur Kritischen Infrastruktur gehören, strengere Auflagen in Sachen Cybersecurity erfüllen müssen. Aber auch als KMU solltet ihr euch spätestens jetzt besser aufstellen, denn nicht nur Großkonzerne sind von Cyberangriffen betroffen. Dabei können durch Produktionsstillstände und Leistungsausfall immense finanzielle Schäden entstehen. In dieser Folge von Wissen kompakt, dem Podcast der TÜV NORD Akademie, dreht sich alles um die neue NIS-2 Richtlinie und ihre Auswirkungen auf die Cybersicherheit von Unternehmen. Leslie und Max sprechen hierzu mit dem renommierten Rechtsanwalt Alexander Forssman, der auf IT- und Internetrecht sowie Cybersecurity spezialisiert ist. Gemeinsam beleuchten sie die Herausforderungen, die auf Unternehmen zukommen, und was Führungskräfte jetzt wissen und tun müssen, um die neuen Vorgaben zu erfüllen.

Jetzt anhören!

Wichtig: Egal ob IT-Sicherheitsbeauftragte:r in Teil- oder Vollzeit, Geschäftsführer:innen sind verantwortlich dafür, dass die jeweilige Person die erforderlichen Kompetenzen und Möglichkeiten der Gestaltung für ihre Aufgaben hat. Kurse können helfen, sie zu erwerben oder zu vertiefen. Außerdem stellen geeignete Tools eine wertvolle Unterstützung dar. Allerdings sei ihre Auswahl erst der zweite Schritt, betont Thomas Kuhn. „Ins eigene Personal zu investieren sowie eine geeignete Sicherheitsmanagementmethode für das Unternehmen zu finden und dann erst gezielt Tools oder Dienstleister:innen rauszusuchen, ist günstiger und zielgerichteter, als gleich zu Produkten von der Stange zu greifen.“

TÜV NORD – Ihr Partner für berufliche Weiterbildung
Mit flexiblen Formaten und fundierter Expertise machen wir Sie fit für die Herausforderungen der Zukunft – ob im Seminarraum, online oder bei Ihnen vor Ort. Zum Seminarshop
Informationsmanagement
Webinar
Die NIS-2-Richtlinie für Manager und Geschäftsleitung
Überblick über Pflichten und Verantwortung
4 Stunden
13 Termine
Informationsmanagement
Webinar
Präsenzseminar
Chief Information Security Officer – CISO (TÜV)
Manager Informationssicherheit
4 Tage
5 Termine
Informationsmanagement
Webinar
Webinar: KI-Tools rund um Cybersecurity, NIS-2 und CRA
KI in der IT-Sicherheit: Vom Werkzeugkasten zur täglichen Entlastung
1 Tag
2 Termine

Die Hürde sollte groß genug sein

Die schlechte Nachricht: Egal wie viel Mühe sich Unternehmen mit IT-Sicherheit geben, Angreifer:innen mit ausreichenden Ressourcen und dem erforderlichen Know-how überwinden auch ausgefeilte Sicherheitsmaßnahmen. 

Die gute Nachricht: Vor allem für KMU geht es nicht darum, unüberwindbare Mauern gegen Cyberbedrohungen und -angriffe zu errichten. Thomas Kuhn vergleicht dies gerne mit dem berühmten Schlossknacker, der auf die Frage nach dem Schloss an seiner eigenen Wohnung antwortete: „Ich habe auf jeden Fall ein Schloss, das besser ist als das meines Nachbarn.“ So sei es auch im IT-Sicherheitsmanagement. Ziel sei es hier, eine Hürde zu errichten, die hoch genug ausfällt, um Angreifer:innen abzuschrecken sowie ausreichend zu beschäftigen und damit ein möglichst hohes Maß an Informationssicherheit zu gewährleisten. Das funktioniert auch mit begrenzten Mitteln.

FAQ: Häufige Fragen zu IT-Sicherheit für Unternehmen

IT-Sicherheit ist die Lebensversicherung moderner Betriebe. Da Geschäftsprozesse heute fast vollständig digital ablaufen, schützen Sicherheitsmaßnahmen das Unternehmen vor: Existenzbedrohenden Ausfällen, Datenverlust und Spionage, Reputationsschäden und rechtlichen Konsequenzen.

Nein, eine absolute, 100%ige Sicherheit gibt es in der Informationstechnologie nicht. Da sich Angriffsmethoden ständig weiterentwickeln und der Faktor Mensch nie vollständig kontrollierbar ist, bleibt immer ein Restrisiko.

Das Ziel der IT-Sicherheit für Unternehmen ist es daher nicht, unbesiegbar zu sein, sondern:

  • Die Hürden für Angreifer so hoch wie möglich zu legen (Prävention).
  • Angriffe frühzeitig zu erkennen (Detektion).
  • Im Ernstfall schnell und strukturiert zu reagieren, um Schäden zu begrenzen (Reaktion & Recovery).

Die Qualität Ihrer IT-Sicherheit lässt sich nicht an einem einzelnen Tool festmachen, sondern an der Beantwortung zentraler Fragen: 

  • Sichtbarkeit: Wissen Sie genau, welche Geräte und Software in Ihrem Netzwerk aktiv sind?
  • Reaktionsfähigkeit: Existiert ein erprobtes Sicherheitsprotokoll für den Ernstfall - und sind Verantworten klar geregelt (z.B. durch einen Security Incident Manager)?
  • Aktualität: Werden Sicherheitsupdates (Patches) sofort und automatisiert eingespielt?
  • Mitarbeiter-Sensibilisierung: Erkennen Ihre Angestellten Phishing-Versuche zuverlässig?
  • Backup-Sicherheit: Können Sie Ihre Daten garantiert offline wiederherstellen? 

Tipp: Eine professionelle Standortbestimmung durch ein Audit oder einen Cyber-Security-Check hilft dabei, blinde Flecken in Ihrer Cybersicherheitsstrategie aufzudecken und Prioritäten richtig zu setzen. Für eine wirksame Verankerung auf Management-Ebene empfehlen sich zudem eine Schulung zur NIS-2-Richtlinie für Manager und Geschäftsleitung sowie zur strukturierten Bewertung und Priorisierung von Risiken die IT-Risikomanagement Schulung.

Seminarsuche

In wenigen Schritten zur passenden Weiterbildung

Bereit für den nächsten Karriereschritt? Wir bieten Ihnen praxisnahes Wissen und wertvolle Impulse!

Weitere Artikel lesen

Zwei IT-Fachkräfte prüfen mit Laptop und Klemmbrett Server in einem Rechenzentrum.
Informationssicherheit

NIS2-Richtlinie: Übersicht

Wer ist von NIS2 betroffen? Lesen Sie hier mehr zu den wichtigsten Änderungen in der Richtlinie sowie neuen Risiken und Bedrohungen.
Mehr über NIS2-Richtlinie: Übersicht
IT-Spezialist arbeitet mit Laptop in einem modernen, blau beleuchteten Serverraum.
Informationssicherheit

IT-Grundschutz-Kompendium des BSI

Die Grundlagen des modernisierten IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik stellen wir Ihnen hier vor.
Mehr über das IT-Grundschutz-Kompendium des BSI
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
Informationssicherheit

IT-Notfallmanagement nach BSI und ISO

Ein IT-Notfallplan kann über das Überleben eines Unternehmens entscheiden. Wie Sie sich gut auf Krisen vorbereiten, lesen Sie hier.
Mehr über das IT-Notfallmanagement nach BSI und ISO
IT-Spezialist arbeitet mit Laptop im Serverraum und prüft Netzwerksysteme
Informationssicherheit

Aufgaben in der Informationssicherheit

Relevante Rollen und Aufgaben der Informationssicherheit für Ihr Unternehmen.
Mehr über Rollen und Aufgaben in der Informationssicherheit
Generiertes Bild neuronaler Netze als Symbol für die Wissensvermittlung im Blog "Wissen kompakt" des TÜV NORD.
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de