Lukas Ebner
IT-Sicherheit im Mittelstand: Die 10 wichtigsten Management-Entscheidungen

IT-Sicherheit im Mittelstand: Die 10 wichtigsten Management-Entscheidungen

26. April 2026it sicherheit mittelstand beratung

Die falsche Frage lautet meistens: Welche Security-Tools brauchen wir noch?

Die bessere Frage lautet: Was passiert bei euch am Montagmorgen, wenn ein zentraler Prozess plötzlich steht, weil jemand auf die falsche Mail geklickt hat, ein Zugang kompromittiert wurde oder Systeme verschlüsselt sind?

Genau dort beginnt IT-Sicherheit im Mittelstand.

Nicht im Serverraum. Nicht im Einkauf einer neuen Software. Sondern bei Management-Entscheidungen, die festlegen, wer Verantwortung trägt, was zuerst geschützt wird und wie viel Chaos ihr euch im Alltag noch erlaubt.

Das BSI schrieb am 30.10.2025, die IT-Sicherheitslage in Deutschland bleibe weiter auf angespanntem Niveau. Quelle: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Das ist keine Meldung für Großkonzerne allein. Das BSI hält auf seiner KMU-Seite ausdrücklich fest, dass kleine und mittlere Unternehmen zunehmend Ziel von Cyberattacken werden und oft gar nicht gezielt ausgesucht, sondern von automatisierten Angriffen getroffen werden. Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/KMU/KMU_node.html

Wenn du IT-Sicherheit im Mittelstand nur als Aufgabe deiner IT oder deines Dienstleisters behandelst, bist du ziemlich nah an dem Punkt, an dem Schutzmaßnahmen irgendwo existieren, aber niemand wirklich sagen kann, ob der Laden im Ernstfall handlungsfähig bleibt.

Warum IT-Sicherheit im Mittelstand ein Führungsthema ist

Bitkom-Präsident Dr. Ralf Wintergerst sagte am 11.11.2025, Unternehmen müssten Cybersicherheit als Kernaufgabe begreifen. Im selben Statement nennt Bitkom einen Rekordschaden von 202 Milliarden Euro für die deutsche Wirtschaft durch Cyberangriffe. Quelle: https://www.bitkom.org/Presse/Presseinformation/Bitkom-zum-BSI-Lagebericht

Diese Zahl ist nicht einfach nur groß. Sie macht klar, dass das Thema längst im betriebswirtschaftlichen Kern angekommen ist.

Noch deutlicher wird es bei der Bedrohungswahrnehmung. Bitkom schrieb am 07.10.2025, dass 59 Prozent der Unternehmen Cyberangriffe inzwischen für existenzbedrohend halten. Gleichzeitig steigen die Ausgaben für IT-Sicherheit 2025 voraussichtlich auf 11,1 Milliarden Euro, ein Plus von 10,1 Prozent. Quelle: https://www.bitkom.org/Presse/Presseinformation/Deutscher-Markt-IT-Sicherheit-waechst-zweistellig

Mit anderen Worten: Der Markt hat längst verstanden, dass das Thema Geld, Betrieb und Zukunftsfähigkeit betrifft. Nur in vielen Firmen läuft die Steuerung noch so, als sei Security ein Spezialthema für Leute mit Admin-Rechten.

Die 10 wichtigsten Management-Entscheidungen

1. Wer verantwortet das Thema wirklich?

Viele Unternehmen haben jemanden, der sich „mit IT kümmert“. Das ist noch keine Verantwortung.

Verantwortung heißt: Eine Person auf Management-Ebene entscheidet, wie ernst das Thema genommen wird, welche Risiken tragbar sind, welche Maßnahmen Vorrang haben und wie oft der Status überhaupt sichtbar wird.

Wenn IT-Sicherheit nur beim Administrator, beim externen Dienstleister oder bei „macht die IT mit“ landet, passiert fast immer dasselbe: technische Einzelmaßnahmen ohne klare Führungslogik.

2. Welche Geschäftsprozesse müssen zuerst geschützt werden?

Du musst nicht zuerst alles absichern. Du musst zuerst das Richtige absichern.

Das betrifft zum Beispiel Zahlungsfähigkeit, Kundenkommunikation, Produktionssteuerung, Auftragsbearbeitung, Logistik, ERP, Zugriffsverwaltung oder sensible Kundendaten. Wenn du nicht weißt, welche drei bis fünf Prozesse bei einem Vorfall zuerst wieder laufen müssen, fehlt dir die eigentliche Priorisierung.

IT-Sicherheit beginnt deshalb nicht mit einem Maßnahmenkatalog, sondern mit einer ehrlichen Betriebsfrage: Was darf bei uns auf keinen Fall gleichzeitig ausfallen?

3. Ist Security bei euch Restbudget oder Führungsbudget?

Bitkom schreibt, dass Unternehmen 2025 im Schnitt 18 Prozent ihres IT-Budgets für IT-Sicherheit ausgeben, 2022 waren es noch 9 Prozent. Quelle: https://www.bitkom.org/Presse/Presseinformation/Deutscher-Markt-IT-Sicherheit-waechst-zweistellig

Das zeigt ziemlich klar, wie sich die Realität verschoben hat.

Wer Security heute immer noch wie einen Restposten behandelt, spart meist an den falschen Stellen: an sauberer Struktur, an Wiederanlauf-Fähigkeit, an Tests, an Schulung und an externer Unterstützung dort, wo intern die Erfahrung fehlt.

4. Werden alle geschult oder nur die üblichen Verdächtigen?

Bitkom nennt einen unangenehmen Punkt: 79 Prozent der Unternehmen schulen Beschäftigte regelmäßig zu IT-Sicherheitsfragen, aber nur 24 Prozent schulen wirklich alle Beschäftigten. 20 Prozent verzichten komplett darauf. Quelle: https://www.bitkom.org/Presse/Presseinformation/Bitkom-zum-BSI-Lagebericht

Das ist einer dieser Sätze, bei denen man merkt, wie oft Unternehmen an ihrer eigenen Realität vorbeiplanen.

Die meisten Vorfälle laufen nicht durch hochkomplexe Zero-Day-Szenarien an. Sie laufen durch Phishing, schlechte Passworthygiene, unklare Meldewege, geteilte Zugänge, blinde Freigaben oder hektische Improvisation.

Wenn Schulung nur „für die Kritischen“ gedacht ist, bleibt der Rest der Organisation Angriffsfläche.

5. Habt ihr Notfallmanagement oder behauptet ihr es nur?

Bitkom sagt auch: 39 Prozent der Unternehmen haben noch immer kein Notfallmanagement für Datendiebstahl, Sabotage oder ähnliche Vorfälle. Quelle: https://www.bitkom.org/Presse/Presseinformation/Bitkom-zum-BSI-Lagebericht

Das ist ziemlich viel.

Ein belastbarer Notfallplan ist kein PDF, das irgendwo liegt. Er beantwortet ein paar sehr unromantische Fragen:

  • Wer entscheidet im Ernstfall?
  • Wer kommuniziert intern und extern?
  • Welche Systeme werden zuerst isoliert?
  • Welche Prozesse müssen zuerst wieder laufen?
  • Wer ruft wen an, wenn der Normalbetrieb gerade nicht mehr existiert?

Wenn diese Fragen nur im Kopf einzelner Leute beantwortet sind, gibt es kein Notfallmanagement. Dann gibt es Hoffnung.

6. Wie ernst nehmt ihr Backups und Wiederanlauf?

Das BSI schreibt zu Ransomware am 15.07.2025, dass Dienstleistungen und Geschäftsprozesse bei einem Angriff nicht mehr zur Verfügung stehen können und die IT des Betroffenen zum Erliegen kommen kann. Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html

Das ist der Punkt, an dem Backup aufhört, ein IT-Detail zu sein.

Für die Geschäftsführung geht es nicht nur um die Frage, ob irgendwo Daten gesichert werden. Es geht um Wiederanlauf: wie schnell, in welcher Reihenfolge und mit welchem Betriebsminimum.

Ein Backup, das nie getestet wurde, ist eher ein Beruhigungsmittel als eine Maßnahme.

7. Wie viel Systemchaos toleriert ihr noch?

Viele Sicherheitsprobleme sehen auf dem Papier technisch aus, sind in Wahrheit aber Führungsfolgen.

Zu viele Tools, Schatten-IT, private Ablagen, unklare Freigaben, geteilte Konten, historisch gewachsene Sonderlösungen. Alles davon erweitert die Angriffsfläche und erschwert Reaktion.

Je unübersichtlicher deine Systemlandschaft, desto schwerer wird nicht nur Schutz, sondern auch Verantwortung. Dann weiß irgendwann niemand mehr, welche Daten wo liegen, welche Zugänge noch aktiv sind und welcher Prozess an welchem Provisorium hängt.

8. Wann holt ihr externe Beratung dazu?

Externe IT-Sicherheitsberatung ist nicht erst sinnvoll, wenn schon etwas passiert ist.

Sie wird dann sinnvoll, wenn intern niemand mehr sauber priorisieren kann. Also dann, wenn zwar einzelne Maßnahmen laufen, aber die Reihenfolge, Zuständigkeit und Management-Übersetzung fehlen.

Gute Beratung im Mittelstand verkauft dir nicht zuerst ein Framework. Sie hilft dir, Fragen sauber zu beantworten:

  • Wo ist das tatsächliche Betriebsrisiko?
  • Welche Maßnahmen bringen in welcher Reihenfolge am meisten?
  • Was muss intern geführt werden, was kann extern gestützt werden?
  • Welche Mindeststruktur braucht ihr, bevor ihr über Reifegradmodelle redet?

9. Wie weit soll Formalisierung gehen, zum Beispiel Richtung ISO 27001?

Das Sekundär-Keyword in diesem Ticket heißt nicht ohne Grund iso 27001 einfuehrung kmu.

Trotzdem ist ISO 27001 nicht automatisch der erste sinnvolle Schritt.

Für manche KMU ist eine formale Einführung absolut richtig, etwa weil Kundenanforderungen, Lieferketten, Auditpflichten oder Marktposition das verlangen. Für andere Firmen ist eine vorschnelle Zertifizierungslogik eher Ablenkung, solange Verantwortungen, Inventar, Zugriffe, Backups, Notfallroutinen und Schulung operativ noch wackeln.

Die Management-Entscheidung lautet also nicht: Machen wir ISO ja oder nein?

Sie lautet: Sind wir schon so weit, dass Formalisierung uns wirklich stärker macht, oder würden wir gerade nur schöne Ordnung über operative Lücken legen?

10. Ist IT-Sicherheit Teil eurer Führungsroutine?

Das ist der Punkt, an dem viele Firmen scheitern, obwohl sie vorher schon Geld ausgegeben haben.

IT-Sicherheit muss in eine Regelroutine. Nicht als Panikprojekt, sondern als wiederkehrender Management-Termin. Dazu gehören zum Beispiel offene Vorfälle, Schulungsstand, Berechtigungsprüfung, kritische Lieferanten, Backup-Tests, offene Risiken und die Frage, was sich seit dem letzten Review verändert hat.

Wenn das Thema nur dann hochkommt, wenn etwas schiefgeht, ist es nicht gesteuert. Dann ist es reaktiv.

Woran du merkst, dass du nicht noch ein Tool, sondern bessere Entscheidungen brauchst

Ein paar Warnzeichen sind ziemlich klar:

  • niemand kann dir in drei Minuten sagen, welche Prozesse zuerst wiederhergestellt werden müssten
  • Schulungen gibt es nur für einzelne Rollen oder gar nicht
  • Zugriffe werden selten aufgeräumt
  • Backups existieren, aber niemand testet ernsthaft den Wiederanlauf
  • Security hängt an einem Dienstleister, ohne dass intern jemand sauber führen kann
  • ISO 27001 wird als Prestigeprojekt diskutiert, obwohl die Grundlagen im Alltag noch wackeln

Wenn du dich in mehreren Punkten wiedererkennst, fehlt dir wahrscheinlich nicht zuerst Technologie. Dir fehlt ein sauber geführtes Sicherheitsniveau.

FAQ

Braucht ein kleines Unternehmen wirklich IT-Sicherheitsberatung?

Nicht jedes kleine Unternehmen braucht sofort ein großes Beratungsprojekt. Aber viele KMU brauchen jemanden, der Prioritäten, Risiken und Maßnahmen sauber sortiert. Spätestens wenn das Thema nur noch aus Einzellösungen besteht, wird externe Unterstützung sinnvoll.

Wann lohnt sich ISO 27001 für ein KMU?

Dann, wenn Kunden, Branche oder Lieferkette es verlangen und die operativen Grundlagen bereits belastbar sind. Wer damit zu früh startet, dokumentiert oft nur Lücken in hübscherer Form.

Was ist der erste sinnvolle Schritt, wenn bisher wenig Struktur da ist?

Nicht direkt das nächste Tool kaufen. Erst klären, wer verantwortlich ist, welche Prozesse kritisch sind, welche Zugriffe und Systeme wirklich existieren und wie ein Wiederanlauf im Ernstfall aussehen müsste.

Fazit

IT-Sicherheit im Mittelstand ist selten an einem fehlenden Produkt gescheitert. Eher an zu vielen offenen Entscheidungen.

Wer Verantwortung, Prioritäten, Schulung, Notfallfähigkeit und Systemdisziplin nicht sauber führt, baut Sicherheitsmaßnahmen auf wackligen Boden.

Genau deshalb ist gute IT-Sicherheit im Mittelstand zuerst eine Management-Leistung. Beratung wird dann wertvoll, wenn sie aus diffusem Aktionismus eine belastbare Reihenfolge macht.

Über Lukas

Lukas Ebner arbeitet seit rund 15 Jahren an der Schnittstelle aus Führung, Prozessen, IT und operativer Umsetzung. Er hat mit eins+null selbst ein Unternehmen aufgebaut, skaliert und 2022 verkauft. Heute begleitet er Geschäftsführer dabei, Systeme, Rollen und Verantwortungen so aufzustellen, dass der Betrieb nicht an Einzelpersonen oder stillen Provisorien hängt.

Wenn du herausfinden willst, welche Sicherheitsentscheidungen bei euch gerade offen sind, kannst du ein Erstgespräch buchen. Ohne Panikfolie. Mit einem ehrlichen Blick auf Betriebsrisiko, Zuständigkeit und Umsetzungsreihenfolge.

Bereit für den nächsten Schritt?

Erstgespräch vereinbaren
← Alle Artikel

Leadtime Publishing · Leadmagnet

(Un)verzichtbar — der Unternehmer-Roman.

90 Tage Mittelstand. Ein Geschäftsführer, der lernt, nicht mehr der Engpass zu sein. Als eBook, PDF und Audiobook kostenlos.

Kostenlos lesen & hörenWorum es geht →
(Un)verzichtbar – Buchmockup