Cybersicherheit: Cyberangriffe treffen den Mittelstand immer häufiger – doch viele Unternehmen sind unzureichend geschützt. Mit klaren Prozessen, technischer Basisabsicherung und gut geschulten Mitarbeitenden lassen sich Risiken deutlich reduzieren und Ausfälle vermeiden.

 Cyberangriffe gehören für kleine und mittlere Unternehmen (KMU) längst zur unternehmerischen Realität. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Trotz rasant steigender Bedrohungslage gelten weniger als zwei Prozent der KMU als wirklich gut vorbereitet. Allein 2025 verzeichnete das BSI 950 angezeigte Ransomware-Angriffe, rund 80 Prozent davon richteten sich gezielt gegen den Mittelstand. Parallel entstehen täglich etwa 119 neue IT-Schwachstellen. Davon bleiben viele unentdeckt, wodurch die digitale Angriffsfläche stetig wächst. „Kleine und mittelständische Unternehmen sind attraktive Ziele“, sagt Damian Steffin, Berater für Datenschutz & IT-Compliance bei Ecovis in Rostock, „und vielfach schlechter geschützt, als sie glauben.“ Im Schnitt erfüllen sie laut BSI nur rund 56 Prozent der grundlegenden Sicherheitsanforderungen.

Wo die Gefahren lauern und was Unternehmen tun können

Cyberkriminelle nutzen verschiedene Angriffswege, etwa Ransomware, Malware, Trojaner, Phishing oder Social Engineering. Besonders häufig verschlüsseln sie zentrale Daten und fordern Lösegeld für die Entschlüsselung. Die Folgen können existenzgefährdend sein: Datenabfluss, Produktionsstillstand, Vertrauensverlust bei Partnern, wirtschaftlicher Schaden über Wochen. „Viele Unternehmen wollen das Minimum machen – bis es sie trifft“, beobachtet Andreas Bachmeier, Unternehmensberater bei Ecovis in Dingolfing. „Dann sind sie deutlich sensibler. Und oft bleibt ein Angriff unbemerkt, inklusive Datenabfluss.“

Wichtig ist deshalb die Kombination aus sicheren Prozessen und technischen Vorkehrungen. Dazu gehören:

• aktueller Virenschutz, sichere Firewall, Multi-Faktor-Authentifizierung (MFA);
• Standards im Umgang mit E-Mails und anderen Kommunikationsmitteln;
• regelmäßige Software- und System-Updates;
• Offline- und Online-Backups;
• verschlüsselte Datenübertragung;
• klare Zugriffsbeschränkungen.

Doch Technik allein reicht nicht. „Mitarbeitende sind das größte Einfallstor“, sagt Bachmeier. Die gute Nachricht: Rund 80 Prozent der Angriffe lassen sich durch regelmäßige Schulungen verhindern, schätzt Unternehmensberater Bachmeier. „Sensibilisieren Sie Ihre Mitarbeitenden. Wiederholte Webinare reichen dafür oft schon aus.“

Warum das Thema wichtiger wird

Während Cybersicherheit im klassischen Mittelstand lange als „notwendiges Übel“ galt, hat sich das Bild gewandelt. „Wer heute Daten besitzt, produziert oder verarbeitet, muss bei diesem Thema gut aufgestellt sein“, sagt Bachmeier. „Das verlangen auch Zulieferer, Kundschaft und Kooperationspartner.“ Unternehmen sind im Vergleich zu früher etwas besser aufgestellt, schätzt Bachmeier. Eine hundertprozentige Lösung gäbe es jedoch nie: „Hacker sind oft monatelang unbemerkt in Systemen unterwegs. Dann hilft selbst ein Backup nichts mehr, weil auch das manipuliert wurde.“

Welche Rolle spielen Dienstleister?

Gerade kleine Firmen finden kaum spezialisierte Fachkräfte, die sie sich leisten können. Externe Dienstleister sind hier oft die pragmatischere Lösung: Sie bringen Expertise, Erfahrung und branchenübergreifendes Know-how mit. „Ein externer Dienstleister kann bei Bedarf auch die Funktion des Datenschutzbeauftragten übernehmen“, erklärt Steffin. Den brauchen Unternehmen spätestens ab 25 Mitarbeitenden, wenn sie personenbezogene Daten verarbeiten.

Interne Datenschutzbeauftragte kennen Abläufe, Systeme und Mitarbeitende. Gleichzeitig besteht die Gefahr von Rollenkonflikten. „Externe Fachkräfte sind fachlich oft breiter aufgestellt, weil sie nicht nebenbei, sondern ausschließlich Datenschutz und IT-Sicherheit betreuen“, sagt Steffin. „Und sie können neutral auftreten – auch als vermeintlicher Spielverderber.“ Dazu kommt: Prävention ist fast immer günstiger als der wirtschaftliche Schaden eines erfolgreichen Angriffs. Und externe Anbieter bringen häufig hochspezialisierte Notfallteams mit, die im Ernstfall dafür sorgen, dass Unternehmen schnell wieder arbeitsfähig sind

Warum Notfallübungen Pflicht sind

Ein Notfallplan reicht nur, wenn er immer wieder geübt wird. „Unternehmen sollten regelmäßig durchspielen, was im Ernstfall passiert“, rät Steffin. „Nur so sehen sie, ob die Abläufe funktionieren oder ob sie nachbessern müssen.“ Hilfreich ist auch die IT-Notfallkarte des BSI, die auf einer Seite die wichtigsten Maßnahmen, Kontakte und ersten Schritte bündelt. Sie sollte nach Einschätzung von IT-Security- Experte Steffin auf jedem Arbeitsplatzgriff bereit liegen.

Cyberversicherung: Ergänzung, aber kein Ersatz

Im Schadensfall spielen vor allem schnelle Wiederherstellung der Daten und Systeme und ein minimaler Arbeitsausfall eine Rolle. „Bei einem Angriff entstehen häufig die größten Kosten durch Produktionsstillstand und Wiederaufbau, nicht durch das Lösegeld“, sagt Bachmeier. Cyberversicherungen können sinnvoll sein, um sich gegen ein Restrisiko zu wappnen. Eine gute Police kommt mit Notfallteams, Forensikern, Krisenkommunikation und technischer Soforthilfe. Aber sie ersetzt keinesfalls eine solide IT- und Sicherheitsinfrastruktur. „Versicherer prüfen oft sehr kritisch. Ohne angemessene Schutzmaßnahmen gibt es keine Deckung“, mahnt Ecovis-Experte Bachmeier.

Warum sich Prävention immer auszahlt

Dennoch: Mit verhältnismäßig einfachen und kosteneffizienten Maßnahmen – Mitarbeiterschulungen, technischen Mindeststandards, funktionierenden Backups und regelmäßig getesteten Notfallplänen – können Unternehmerinnen und Unternehmer ihre Betriebe deutlich sicherer aufstellen. Externe Dienstleister und Datenschutzbeauftragte helfen, Lücken zu erkennen und zu schließen. Der Aufwand lohnt sich, da sind sich die Ecovis-Experten einig. „Die Frage ist schließlich nicht, ob Sie angegriffen werden, sondern nur wann“, sagt Steffin.

GUT ZU WISSEN: Die wichtigsten Begriffe

Malware: Sammelbegriff für schadhafte Software, die heimlich in Computer eingeschleust wird, etwa Viren, Würmer, Trojaner.

Trojaner: Eine Form der Malware: Getarnt als harmlose Datei oder E-Mail- Anhang, öffnet sie im Hintergrund Zugänge für Hacker.

Ransomware: Spezielle Malware, die Daten oder ganze Systeme verschlüsselt und Lösegeld für die Entschlüsselung verlangt.

Social Engineering: Manipulation von Personen, um sie dazu zu bringen, Sicherheitsregeln zu umgehen, zum Beispiel durch Phishing-Mails, gefälschte Identitäten, Telefonbetrug.

CHECKLISTE: Erste Schritte im Ernstfall

Die kompakte Notfallkarte des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt auf einer Seite, was bei einem Cybervorfall zu tun ist – von Ansprechpartnern über Sofortmaßnahmen bis zur Systemtrennung. Sie sollte in jedem Betrieb griff bereit liegen:

• IT-Notfallkarte „Verhalten bei IT Notfällen“ des BSI

So stellen Sie Ihre IT sicher auf

1. Erst Check – dann handeln: Ein Audit oder Sicherheits-Check wie der CyberRisikoCheck des BSI zeigt, wo Ihr Betrieb steht.
2. Maßnahmen priorisieren: Updates, Backups, Firewall, Multi-Faktor-Authentifizierung, Zugriffsbeschränkungen.
3. Regelmäßige Trainings: Mitarbeitende kontinuierlich schulen und sensibilisieren.
4. Notfallpläne entwickeln und testen: Was zu tun ist, wenn ein Angriff erfolgt.
5. Externe Hilfe ins Boot holen: IT-Dienstleister oder Datenschutzberater, je nach Größe und Kompetenz im Haus.
6. Cyberversicherung abschließen: Optional als Ergänzung, nicht als Ersatz.