Kim Icon
76 Prozent aller deutschen Unternehmen wurden laut Bitkom-Studie innerhalb von zwei Jahren Opfer eines Cyberangriffs. Der Schaden: über 200 Milliarden Euro jährlich allein in Deutschland. Und trotzdem investieren die meisten Unternehmen in Werkzeuge von gestern, während Angreifer mit Werkzeugen von morgen operieren. Was wirklich schützt – und was nur gut klingt. Cyberprotection ist entscheidend für die Sicherheit.
Wenn Sie heute die IT-Sicherheitsabteilung eines mittelgroßen deutschen Unternehmens besuchen, werden Sie wahrscheinlich Folgendes vorfinden: eine Firewall der neuesten Generation, ein Antivirusprogramm mit Cloud-Anbindung, vielleicht ein SIEM-System, dazu ein paar Cloud-Sicherheitslösungen, ein EDR-Tool auf den Endpoints und möglicherweise noch ein paar spezialisierte Anwendungen für E-Mail-Sicherheit und Web-Filtering. Alles einwandfrei konfiguriert, alle Lizenzen aktuell.
Und trotzdem: Das Unternehmen wurde vor acht Monaten gehackt. Angreifer saßen 94 Tage im System, bevor jemand es merkte. Wie kann das sein?
Das ist kein Einzelfall. Das Paradox der modernen Cybersecurity lautet: Viele Unternehmen kaufen immer mehr Sicherheitsprodukte – und werden trotzdem immer häufiger erfolgreich angegriffen. Der Grund liegt nicht im Mangel an Technologie, sondern in der falschen Priorisierung und vor allem im Fehlen der Grundlagen.
Wir bei digital-magazin.de haben uns angeschaut, was die aktuelle Forschung sagt und was erfahrene Sicherheitsverantwortliche in der Praxis empfehlen. Das Ergebnis ist überraschend eindeutig: Was wirklich schützt, ist oft weniger spektakulär als die Hochglanzbroschüren der Sicherheitsanbieter vermuten lassen.
Bevor man über fortgeschrittene Sicherheitsmaßnahmen spricht, lohnt ein Blick auf das Fundament. Und hier liegt das eigentliche Problem: Viele Unternehmen haben an der Fassade gebaut, ohne das Fundament zu legen.
Patch-Management: Die meisten erfolgreichen Cyberangriffe nutzen bekannte Schwachstellen aus – also Lücken, für die längst ein Patch existiert. Log4Shell, ProxyLogon, PrintNightmare: In jedem dieser spektakulären Fälle vergingen Monate zwischen der Verfügbarkeit des Patches und der vollständigen Behebung in betroffenen Unternehmen. Konsequentes, zeitnahes Patch-Management ist keine glamouröse Maßnahme – aber sie verhindert einen erheblichen Teil aller Angriffe. Jede Woche, in der ein bekanntes Sicherheitsupdate nicht eingespielt ist, ist eine Woche, in der Angreifer freie Bahn haben.
Backup und Recovery: Ransomware ist heute das häufigste und schädlichste Angriffsszenario für Unternehmen jeder Größe. Die wirksamste Gegenmaßnahme ist nicht, Ransomware zu verhindern – es ist, sie zu überleben. Regelmäßige, getrennt gespeicherte Backups, die nicht vom Hauptnetzwerk erreichbar sind (air-gapped oder immutable), und regelmäßig getestete Recovery-Prozesse sind die Lebensversicherung für den Ernstfall. Backups, die nie getestet wurden, sind keine Backups. Sie sind eine Hoffnung – und Hoffnung ist keine Sicherheitsstrategie.
Asset-Management: Man kann nicht schützen, was man nicht kennt. Erschreckend viele Unternehmen haben keine vollständige, aktuelle Inventarisierung ihrer IT-Systeme. Unbekannte Geräte im Netzwerk, vergessene Server im Keller, ausgemusterte Systeme ohne aktuellen Patchstand, Drucker mit Default-Passwörtern – all das sind potenzielle Einfallstore. Angreifer scannen systematisch nach solchen vernachlässigten Assets. Sie finden sie zuverlässig.
Netzwerksegmentierung: Ein flaches Netzwerk, in dem sich jedes Gerät mit jedem anderen verbinden kann, macht es Angreifern einfach, sich lateral zu bewegen. Wenn ein kompromittierter Drucker eine direkte Verbindung zum ERP-System aufbauen kann, ist das ein strukturelles Problem. Segmentierung begrenzt den Schaden eines erfolgreichen Einbruchs drastisch. Der Angriff mag immer noch passieren – aber er bleibt in einer Zone, statt das gesamte Unternehmen zu infizieren.
Wer versteht, wie KI als Insider-Bedrohung in Unternehmen eingesetzt werden kann, erkennt schnell: Selbst ausgefeilte Angriffe setzen oft auf schwache Grundlagen beim Opfer. Wer die Grundlagen hat, reduziert die Angriffsfläche dramatisch.
Das australische Cybersicherheitszentrum ACSC hat auf Basis von Analysen echter Angriffe die sogenannten „Essential Eight“ entwickelt – acht Maßnahmen, die zusammen den Großteil aller Cyberangriffe verhindern. Das CIS (Center for Internet Security) hat seine Top 18 Controls entwickelt. Beide Listen landen beim gleichen Ergebnis: Grundlegende Maßnahmen, konsequent umgesetzt, sind wirksamer als jede einzelne fortgeschrittene Sicherheitstechnologie.
Die Gemeinsamkeiten dieser evidenzbasierten Frameworks:
Das ist keine revolutionäre Erkenntnis. Das wissen viele IT-Verantwortliche. Trotzdem fehlt die konsequente Umsetzung – oft aus Ressourcengründen, manchmal aus fehlendem Management-Support, manchmal schlicht aus der Bequemlichkeit des Status quo.
Das BSI IT-Grundschutz bietet deutschen Unternehmen einen strukturierten Rahmen, der genau diese Grundlagen systematisch abdeckt – kostenfrei und auf die deutschen Verhältnisse zugeschnitten.
Wann sollte ein Unternehmen über die Grundlagen hinausgehen? Die Antwort hängt von drei Faktoren ab: Bedrohungsprofil, Wert der eigenen Daten und regulatorische Anforderungen.
Ein Pharmaunternehmen mit wertvollem Forschungs-Know-how ist ein attraktiveres Ziel für staatliche Akteure als ein lokaler Handwerksbetrieb. Ein kritischer Infrastrukturbetreiber unterliegt gesetzlichen Mindestanforderungen nach dem KRITIS-Dachgesetz. Ein Finanzdienstleister muss BaFin-konforme Sicherheitsstandards nachweisen.
Fortgeschrittene Maßnahmen, die sich für bestimmte Unternehmen lohnen:
Security Operations Center (SOC): Entweder intern oder als Managed Service. Rund-um-die-Uhr-Überwachung mit qualifiziertem Personal, das Alarme einordnen, priorisieren und darauf reagieren kann. Ohne SOC ist Erkennung oft nur Zufall.
Threat Intelligence: Wissen, welche Angreifergruppen in der eigenen Branche aktiv sind und welche Methoden sie aktuell nutzen, ermöglicht proaktive Gegenmaßnahmen. Wer weiß, dass eine bestimmte Gruppe gerade VPN-Schwachstellen in der Fertigung ausnutzt, kann vorausschauend handeln.
Red-Team-Übungen und Penetrationstests: Spezialisierte Sicherheitsfirmen simulieren einen echten Angriff – und zeigen, wie weit sie kommen. Die Ergebnisse sind oft ernüchternd und immer wertvoll. Wer nicht weiß, wo seine Schwächen liegen, kann sie nicht beheben.
Deception Technology: Honeypots und Honeytokens, also falsche Ressourcen, die Angreifer anlocken sollen. Wer einen Honigtopf angreift, verrät seine Anwesenheit und gibt dem Verteidigungsteam wertvolle Zeit zur Reaktion.
Wer verstehen möchte, wie KI-gestützte Sicherheitslösungen die Angriffserkennung verbessern können, findet konkrete Ansätze und Praxisbeispiele aus verschiedenen Branchen.
Kein technisches System kann menschliche Fehler vollständig ausschließen. Phishing funktioniert. Social Engineering funktioniert. Schwache Passwörter existieren trotz aller Richtlinien. Mitarbeitende klicken auf Links, schließen USB-Sticks an und gewähren Zugänge, die sie nicht gewähren sollten. Das ist keine Kritik – das ist menschliche Natur in einer Umgebung, die für Täuschung optimiert wurde.
Security Awareness Training, richtig gemacht, reduziert die Anfälligkeit erheblich. Aber es muss realistisch geplant sein: Das Ziel ist nicht, jeden Mitarbeitenden zur Sicherheitsexpertin zu machen. Das Ziel ist, die Wahrscheinlichkeit eines erfolgreichen Angriffs zu senken und die Melderate für verdächtige Vorfälle zu erhöhen.
Eine unterschätzte Maßnahme: einfache, klare Kommunikationsregeln für ungewöhnliche Anfragen. Wenn eine E-Mail einen Zugang zu sensiblen Systemen anfordert – egal scheinbar von wem – sollte es einen definierten, einfachen Prozess geben: kurzer Telefonanruf zur Verifikation, nichts weiter. Das ist keine Unfreundlichkeit gegenüber dem vermeintlichen Absender. Es ist Sicherheitskultur.
Entscheidend ist auch die Fehlerkultur: Wer in einer Organisation arbeitet, in der Fehler sanktioniert werden, meldet seinen Klick auf den falschen Link nicht. Lieber hofft man, dass nichts passiert ist. Das ist menschlich verständlich und sicherheitstechnisch katastrophal. Unternehmen, die eine offene Meldekultur etablieren, erfahren von Sicherheitsvorfällen früher – und können entsprechend früher reagieren.
Das ENISA-Programm zu Cybersecurity Education bietet kostenloses Lernmaterial für Organisationen, die ihre Belegschaft sensibilisieren wollen – auf verschiedenen Schwierigkeitsstufen und für unterschiedliche Zielgruppen.
Ein Einwand, den man häufig hört: „Wir haben nicht das Budget für Cybersecurity.“ Das ist ein verständliches Argument – und gleichzeitig oft eine Wahrnehmungsfrage. Die meisten der wirksamsten Grundmaßnahmen kosten wenig oder nichts, außer Zeit und Disziplin.
Patch-Management ist keine Frage des Budgets, sondern der Prozesse. Asset-Inventarisierung kann mit kostenlosen Tools wie Nmap beginnen. Netzwerksegmentierung ist oft in vorhandener Hardware bereits möglich, nur nicht aktiviert. Backup-Strategien lassen sich mit Open-Source-Tools und günstigen Cloud-Speichern umsetzen.
Was tatsächlich Geld kostet: ein SOC, spezialisierte Sicherheitssoftware, externe Pentests und professionelles Training. Hier gilt die unangenehme Wahrheit: Wer jetzt nicht in Prävention investiert, investiert in Zukunft garantiert in Reaktion – und Reaktion ist immer teurer. Ein Ransomware-Angriff mit mehrwöchigem Betriebsausfall, Lösegeldzahlung und anschließender Systemrehabilitierung kostet typischerweise das Hundert- bis Tausendfache der Präventionsmaßnahmen.
Der ROI von Cybersecurity lässt sich schwer in einem traditionellen Sinne ausrechnen – man zeigt ja vor allem, was nicht passiert ist. Aber der umgekehrte Blick hilft: Was würde ein erfolgreicher Angriff kosten? Diese Zahl gegen die Investition in Prävention stellen – und die Entscheidung ist oft klarer als gedacht.
Cyberprotection ist kein Produkt, das man kauft und dann abhaken kann. Es ist ein kontinuierlicher Prozess, der technische Maßnahmen, menschliche Kompetenz und organisatorische Strukturen zusammenbringt. Der häufigste Fehler: auf das nächste Wundermittel warten, statt die Grundlagen konsequent umzusetzen.
Beginnen Sie mit einem ehrlichen Assessment: Was haben wir? Was fehlt? Welche Risiken sind für uns am kritischsten? Dann Prioritäten setzen und schrittweise umsetzen. Das ist weniger aufregend als der Kauf einer KI-basierten Quantensicherheitslösung mit buzzword-reichen Folien. Aber es schützt tatsächlich. Und am Ende ist das das, was zählt.
Wie Sie sich gegen die spezifischen Angriffsmethoden von heute wappnen, erfahren Sie, wenn Sie mehr über das grundlegende Sicherheitsdenken im Kontext der Digitalisierung lesen – denn der erste Schritt ist immer das Verstehen, nicht das Kaufen. Technologie ist Mittel zum Zweck. Der Zweck ist: das Unternehmen schützen, Vertrauen erhalten, Schäden begrenzen. Wer das immer vor Augen hat, trifft bessere Entscheidungen als jemand, der dem nächsten Marketing-Trend folgt.
Die gute Nachricht zum Schluss: Cybersecurity ist lösbar. Sie erfordert kein Superhelden-Team und kein unbegrenztes Budget. Sie erfordert Prioritäten, Konsequenz und die Bereitschaft, unbequeme Wahrheiten über den eigenen Sicherheitsstatus anzuerkennen. Wer das hat, ist deutlich besser aufgestellt als die Mehrzahl der Unternehmen in Deutschland.
