Cybersicherheit im unternehmen: praktische maßnahmen über passwörter hinaus für mittelstand und familienbetriebe

Die meisten Geschäftsführer und Inhaber, mit denen ich arbeite, sagen beim Thema IT-Sicherheit sinngemäß: „Wir haben sichere Passwörter, Virenscanner und ein Backup – das passt schon.“

Die ehrliche Antwort: In 2025 reicht das nicht mehr. Schon gar nicht für mittelständische Produktionsbetriebe, technische Dienstleister oder Familienunternehmen mit wertvollem Know-how.

Die Angriffe sind professioneller geworden, die Erpressungssummen höher – und die Einstiegshürden für Cyberkriminelle niedriger. Ransomware-as-a-Service, Phishing-Baukästen und KI-generierte Mails machen es heute auch Hobby-Hackern leicht.

Die gute Nachricht: Sie müssen kein Konzern sein, um ein recht robustes Sicherheitsniveau zu erreichen. Aber Sie brauchen einen systematischen Ansatz – und Maßnahmen, die deutlich weitergehen als „Mitarbeiter sollen starke Passwörter nutzen“.

Warum Mittelstand und Familienbetriebe besonders angreifbar sind

Viele Inhaber denken: „Wir sind zu klein, für uns interessiert sich doch keiner.“ In der Praxis sehe ich das Gegenteil:

Ein typisches Muster in meinen Beratungsprojekten:

• Der Betrieb hängt in einer größeren Lieferkette (Automotive, Maschinenbau, Medizintechnik).
• Es gibt wertvolles Know-how: Konstruktionsdaten, Rezepturen, Spezialprozesse.
• IT wurde „nebenbei“ mit aufgebaut, meist historisch gewachsen, wenig dokumentiert.
• Es gibt keinen dedizierten CISO (Chief Information Security Officer), oft nicht einmal einen internen IT-Leiter in Vollzeit.

Genau diese Kombination macht Sie attraktiv als Ziel – und als „Einstiegspunkt“ in die Lieferkette größerer Unternehmen.

Ein Fall aus einem 80-Mann-Familienbetrieb im Maschinenbau (Mandant von mir, Name geändert):

• Angriff über eine gefälschte Mail eines „bekannten“ Lieferanten (tatsächlich sehr gut nachgebaut).
• Mitarbeiter klickt auf den Anhang, Schadsoftware breitet sich unbemerkt aus.
• Vier Wochen später: Verschlüsselung aller Server und PCs, Produktion steht 3 Tage.
• Backups waren vorhanden, aber: teilweise mitverschlüsselt, Recovery dauerte 5 Tage.
• Schaden: ca. 180.000 € direkte Kosten (Dienstleister, Ausfall, Expresslieferungen, Überstunden) – plus Imageschaden.

Keine spektakuläre Hollywood-Hackerattacke. Sondern ein ganz normaler, vermeidbarer Vorfall.

Typische Fehleinschätzungen im Mittelstand

Wenn ich in Workshops die Frage stelle „Wie gut sind Sie auf Cyber-Risiken vorbereitet?“, höre ich häufig:

• „Wir haben doch eine Firewall.“
  Ja – aber ist sie aktuell, richtig konfiguriert, überwacht? Oder wurde sie vor 6 Jahren installiert und seitdem nicht mehr angefasst?
• „Unsere Passwörter sind sicher.“
  Ohne Zwei-Faktor-Authentifizierung (2FA/MFA) sind auch „sichere“ Passwörter heute relativ leicht zu knacken oder abzugreifen.
• „Unser IT-Dienstleister kümmert sich um alles.“
  Viele Systemhäuser sichern Technik, aber nicht Ihre Prozesse, Menschen und Richtlinien. Und: Die Haftung bleibt bei Ihnen.
• „Wir haben ein Backup, alles gut.“
  Backup allein reicht nicht. Entscheidend ist: Wie schnell und zuverlässig sind Sie wieder arbeitsfähig? Haben Sie das getestet?

Die Kernfrage für Sie als Geschäftsführung lautet deshalb nicht „Haben wir eine Firewall?“, sondern: „Welche kritischen Prozesse können im Ernstfall wie lange ausfallen – und was kostet uns das?“

Vom Technik-Fokus zum Risiko-Fokus: Was wirklich zählt

Professionelle Cybersicherheit beginnt nicht mit Tools, sondern mit einer klaren Sicht auf Ihre Risiken. Dafür nutze ich mit KMU oft ein sehr einfaches, aber wirksames Raster mit drei Fragen:

1. Welche Prozesse sind geschäftskritisch?

• Auftragsabwicklung
• Produktion / Leistungserbringung
• Finanzbuchhaltung und Zahlungsverkehr
• Kommunikation mit Kunden und Lieferanten
• Konstruktion / Entwicklung

2. Welche IT-Systeme und Daten hängen daran?

• ERP- und Warenwirtschaftssystem
• Produktionsanlagen und Steuerungen
• Mailserver, Fileserver, Cloud-Dienste
• Konstruktionsdaten, CAD, technische Dokumentationen
• Kundendaten, Preislisten, Angebote

3. Was wäre der Schaden bei einem Ausfall oder Datenabfluss?

• Direkte Kosten: Stillstand, Überstunden, Expresskosten, Dienstleister
• Indirekte Kosten: entgangener Umsatz, Vertragsstrafen, gestörte Kundenbeziehungen
• Langfristige Risiken: Know-how-Abfluss, Wettbewerbsnachteile, Reputationsschäden

Allein diese Übersicht erzeugt meist ein völlig anderes Bewusstsein in Geschäftsführung und Bereichsleitern – und eine deutlich höhere Bereitschaft, in sinnvolle Schutzmaßnahmen zu investieren.

Praktische Maßnahmen: Was Sie über Passwörter hinaus tun sollten

Im Folgenden eine pragmatische Auswahl an Maßnahmen, die sich in vielen Mittelstandsprojekten bewährt haben. Kein theoretischer Idealzustand, sondern ein realistischer „Werkzeugkasten“, mit dem Sie innerhalb von 6–12 Monaten ein deutlich besseres Sicherheitsniveau erreichen.

Identitäten und Zugriffe absichern

Die meisten Angriffe nutzen heute gestohlene Zugangsdaten. Deshalb ist das Thema „Identitäten“ der zentrale Hebel.

Minimal-Set, das jedes Unternehmen (ab ca. 10 Mitarbeitern) etablieren sollte:

• Multi-Faktor-Authentifizierung (MFA) überall, wo möglich
  Insbesondere für:
  • E-Mail-Konten
  • Remote-Zugänge (VPN, Remote Desktop)
  • Cloud-Dienste (Microsoft 365, Google Workspace, CRM, DMS etc.)
• Rechte nach dem Prinzip „Need to know“ vergeben
  Mitarbeiter sehen nur die Daten, die sie wirklich brauchen. Keine allgemeinen „Jeder darf alles“-Shares.
• Standard-Accounts abschalten oder hart absichern
  „Admin“, „Administrator“, „Info@…“, „Support@…“ – diese Zugänge sind klassische Einfallstore.
• Klare Onboarding- und Offboarding-Prozesse
  Beim Eintritt: Standard-Checkliste, welche Zugänge ein Mitarbeiter bekommt.
  Beim Austritt: Alle Zugänge zeitnah sperren, Geräte zurück, Weiterleitung der Mails regeln.

Praxis-Tipp aus einem 50-Mann-Betrieb: Die Einführung von MFA an allen kritischen Zugängen hat in Summe ca. 2 IT-Tage gekostet und den Großteil aller „einfachen“ Angriffswege geschlossen – ohne nennenswerte Mehrarbeit für die Nutzer nach der Eingewöhnungsphase.

Backups: Vom „haben wir“ zum „funktioniert garantiert“

Fast jedes Unternehmen behauptet, ein Backup zu haben. Die entscheidende Frage ist: In welchem Zustand sind Sie 48 Stunden nach einem kompletten Ausfall?

Darauf sollten Sie systematisch hinarbeiten:

• 3-2-1-Regel für Backups
  3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, 1 Kopie offline oder immutable (nicht überschreibbar, z. B. in einem gesicherten Cloud-Tresor).
• Regelmäßige Restore-Tests
  Mindestens 1–2 Mal pro Jahr gezielt einen Wiederherstellungstest durchführen:
  • Kann ein kompletter Server wiederhergestellt werden?
  • Wie lange dauert das wirklich?
  • Wer ist verantwortlich, wer dokumentiert das Ergebnis?
• Priorisierung der Systeme
  Nicht alles muss in der gleichen Geschwindigkeit wiederhergestellt werden. Definieren Sie:
  • „Must have“ innerhalb von 24 Stunden (z. B. ERP, Mail, File-Server mit Produktionsdaten)
  • „Nice to have“ innerhalb von 3–5 Tagen (z. B. Archivsysteme, ältere Projektdaten)

In einem Kundenprojekt in der Lebensmittelindustrie haben wir den ersten echten Restore-Test gemacht – Ergebnis: Statt der angenommenen 24 Stunden hätte es 96 Stunden gedauert, bis die Kernsysteme wieder gelaufen wären. Erst mit dieser Zahl auf dem Tisch war die Geschäftsführung bereit, in eine bessere Backup-Infrastruktur zu investieren.

Mitarbeiter als Sicherheitsfaktor – nicht nur als Risiko

Über 80 % der erfolgreichen Angriffe starten laut Studien mit menschlichen Fehlern: Phishing-Mails, unbedachte Weitergabe von Informationen, Nutzung privater Geräte.

Der Reflex vieler IT-Verantwortlicher: „Wir brauchen mehr Verbote und Richtlinien.“ Meine Empfehlung: weniger Verbote, mehr verständliche Regeln plus praktische Übung.

Was sich in der Praxis bewährt:

• Kurze, regelmäßige Awareness-Trainings (30–45 Minuten)
  2–4 Mal pro Jahr für alle Mitarbeiter. Inhalte:
  • Wie erkenne ich typische Phishing-Mails?
  • Was tue ich, wenn ich mir unsicher bin?
  • Was sind „rote Flaggen“ bei Telefonanrufen (Social Engineering)?

  Keine PowerPoint-Schlacht, sondern Beispiele aus dem eigenen Unternehmen oder der Branche.

• Simulierte Phishing-Kampagnen
  Keine Bloßstellung, sondern Lerninstrument. Ziel: Sensibilität erhöhen, nicht „Fehlertäter“ jagen.
• Einfacher Meldeweg bei Verdachtsfällen
  Zum Beispiel eine zentrale Mailadresse („security@…“ oder „verdachtsfall@…“) oder ein Knopf im Mailprogramm („Phishing melden“).
  Wichtig: Positiv kommunizieren, wenn jemand meldet – nicht meckern, wenn es ein Fehlalarm ist.
• IT-Regeln in Klartext statt in Juristendeutsch
  Kurze, verständliche Leitlinien auf 2–3 Seiten, z. B.:
  • Was ist privat erlaubt, was nicht?
  • Wie gehe ich mit Daten auf Reisen um (Laptop, USB, Cloud)?
  • Wie sichere ich mobile Geräte (Handy, Tablet)?

Technische Basis absichern – das Pflichtprogramm

Ohne solide technische Basis laufen alle organisatorischen Maßnahmen ins Leere. Für die meisten KMU reicht ein „vernünftig gemachtes“ Grundniveau aus.

Dazu gehören insbesondere:

• Zentrales Patch-Management
  Updates für Betriebssysteme, Anwendungen und Firmware werden:
  • zentral geplant und gesteuert,
  • zeitnah eingespielt,
  • im Notfall (kritische Sicherheitslücken) priorisiert behandelt.

  „Wir updaten, wenn wir dazu kommen“ ist heute schlicht zu wenig.

• Professioneller Endpoint-Schutz
  Moderne Lösungen gehen deutlich weiter als ein klassischer Virenscanner:
  • Verhaltensanalyse
  • Blockieren verdächtiger Aktivitäten
  • Zentrale Übersicht über alle Geräte

  Wichtig: Alle Geräte im Blick haben – auch Notebooks, Homeoffice-PCs und mobile Devices.

• Netzwerk segmentieren
  Produktionsnetz, Office-IT und Gast-WLAN gehören sauber getrennt. Ein infizierter Mitarbeiter-PC sollte nicht direkt auf Maschinensteuerungen oder sensible Server zugreifen können.
• Sichere Remote-Zugänge
  VPN nur mit MFA, alte Fernwartungslösungen ohne Authentifizierung konsequent abschalten oder absichern. Externe Dienstleister (z. B. Maschinenhersteller) nur über definierte, protokollierte Zugangskanäle.

Rollen, Verantwortlichkeiten und einfache Governance

Cybersicherheit ist Chefsache – aber keine One-Man-Show des Geschäftsführers. Erfolgreiche Mittelständler regeln das Thema mit klaren Rollen und einfachen Strukturen.

Ein pragmatisches Modell, das ab ca. 30 Mitarbeitern gut funktioniert:

• Geschäftsführung
  Setzt Ziele und Budgets, priorisiert Risiken, trifft strategische Entscheidungen (z. B. Versicherungen, Outsourcing, Investitionshöhe).
• Informationssicherheits-Beauftragter (intern oder extern)
  Koordiniert alle Maßnahmen, führt Risikoanalyse durch, erstellt und pflegt Richtlinien. Muss nicht Vollzeit sein – in vielen KMU reicht eine definierte Rolle mit 10–20 % Zeitanteil.
• IT-Verantwortlicher / Systemhaus
  Setzt technische Maßnahmen um, überwacht Systeme, meldet Auffälligkeiten. Wichtig: Klare Leistungsvereinbarungen (SLAs) und dokumentierte Zuständigkeiten.
• Fachbereiche
  Benennen „Key User“, die Prozesse kennen und mithelfen, Risiken und Abhängigkeiten zu identifizieren (z. B. Vertrieb, Produktion, Einkauf).

Auch ohne ISO-27001-Zertifizierung können Sie so ein funktionierendes, auditierbares Sicherheits-Management aufbauen – in einer Sprache, die jeder im Unternehmen versteht.

Notfallplan: Was tun, wenn es trotzdem passiert?

Die unangenehme Wahrheit: 100%ige Sicherheit gibt es nicht. Entscheidend ist deshalb, wie schnell und kontrolliert Sie im Ernstfall reagieren.

Ein Notfallplan für Cybervorfälle sollte – in verständlicher Sprache – mindestens folgende Punkte enthalten:

• Alarmierungskette
  Wer informiert wen, in welcher Reihenfolge? (IT, Geschäftsführung, Datenschutz, externe Dienstleister)
• Erste Sofortmaßnahmen
  Beispiele:
  • Betroffene Systeme vom Netz trennen
  • Passwörter zurücksetzen
  • Logfiles sichern
• Kommunikation nach innen und außen
  Wer spricht mit:
  • Mitarbeitern?
  • Kunden und Lieferanten?
  • Behörden (z. B. Datenschutzbehörde, Polizei)?
  • Presse (falls nötig)?
• Entscheidung zur Wiederaufnahme des Betriebs
  Wer gibt Systeme wieder frei? Nach welchen Kriterien?

Ein Mandant von mir (IT-Dienstleister, 25 Mitarbeiter) hatte nach einem Ransomware-Vorfall innerhalb von 48 Stunden wieder 80 % seiner Leistungsfähigkeit erreicht – nicht, weil die Technik perfekter war als anderswo, sondern weil Rollen, Abläufe und Kommunikationswege vorher klar definiert waren.

Checkliste: Wo stehen Sie heute?

Zum Abschluss ein kompakter Selbstcheck für Sie als Geschäftsführung oder Bereichsleiter. Gehen Sie die Punkte ehrlich durch und markieren Sie, wo Sie Handlungsbedarf sehen:

• Identitäten & Zugriffe
  • MFA ist für E-Mail, Remote-Zugänge und zentrale Cloud-Dienste aktiviert.
  • Es gibt klare Prozesse für Ein- und Austritt von Mitarbeitern (Zugangserteilung und -entzug).
  • Rechte werden nach „Need to know“ vergeben, nicht pauschal.
• Backups & Wiederanlauf
  • Wir erfüllen die 3-2-1-Regel bei kritischen Daten.
  • Wir haben in den letzten 12 Monaten einen echten Restore-Test durchgeführt.
  • Wir wissen, welche Systeme innerhalb von 24 Stunden wieder laufen müssen.
• Mitarbeiter & Awareness
  • Alle Mitarbeiter erhalten mindestens 1–2 Mal pro Jahr praxisnahe Sicherheitstrainings.
  • Es gibt einen klaren, bekannten Meldeweg für Verdachtsfälle.
  • IT-Regeln sind kurz, verständlich und werden gelebt – nicht nur unterschrieben.
• Technische Basis
  • Patch-Management erfolgt zentral und regelmäßig.
  • Wir nutzen einen modernen Endpoint-Schutz mit zentralem Monitoring.
  • Office-IT, Produktion und Gäste-WLAN sind im Netzwerk sauber getrennt.
  • Remote-Zugänge (inkl. Dienstleister-Fernwartung) sind abgesichert und dokumentiert.
• Organisation & Notfallvorsorge
  • Es gibt eine klar benannte Verantwortlichkeit für Informationssicherheit.
  • Ein Notfallplan für Cybervorfälle ist erstellt, verteilt und mindestens einmal im Jahr geübt.
  • Rollen und Entscheidungswege im Ernstfall sind klar definiert.

Wenn Sie bei mehreren Punkten ehrlicherweise mit „Nein“ oder „Unsicher“ antworten, haben Sie keinen Grund zur Panik – aber einen klaren Auftrag: Machen Sie Cybersicherheit zu einem Geschäftsführungsthema mit konkreten Zielen, Prioritäten und Maßnahmen.

Sie müssen kein IT-Experte werden. Aber Sie müssen die richtigen Fragen stellen, Verantwortlichkeiten definieren und den Fortschritt regelmäßig überprüfen. Passwörter gehören dabei zur Basis – doch entscheidend für die Zukunftsfähigkeit Ihres Unternehmens sind die Prozesse, Menschen und Entscheidungen dahinter.