IT-Sicherheit als Chefsache: Warum 91 % Sicherheitsempfinden deutschen Unternehmen nicht genügt

Die Digitalisierung hat die Resilienz deutscher Unternehmen auf die Probe gestellt. Während die meisten Führungskräfte ihre Cybersicherheit als gut geregelt und auf einem hohen Niveau einschätzen, belegen aktuelle Studien eine gefährliche Diskrepanz zur Realität.

In der jüngsten Ausgabe der eEvolutionPlus Talkrunde diskutierte Jan Ovelgönne, Marketing- und Partnermanager bei eEvolution, mit Max Danielsmeier von Securepoint, wie diese Sicherheitsillusion entsteht und welche strategischen Maßnahmen der Mittelstand ergreifen muss, um angesichts verschärfter Haftungsrisiken und neuer Bedrohungen durch KI (Künstliche Intelligenz) und hybrides Arbeiten zu bestehen.

Die Cybersecurity Studie 2025 des TÜV-Verband offenbart eine ernüchternde Realität:

91 % der befragten Unternehmen bewerten ihre eigene Cybersicherheit als gut aufgestellt. Trotz dieses hohen subjektiven Sicherheitsempfindens belegt die Studie, dass fast jedes siebte Unternehmen (15 %) in den letzten zwölf Monaten Opfer eines Cyberangriffs wurde. Bei 8 % der Betroffenen kam es sogar zu mehreren Vorfällen innerhalb eines Jahres.

(hier kann man ggf. ein Bild aus der Studie einbinden, z.B. von Seite 5)

Max Danielsmeier von Securepoint identifiziert die Ursache dieser Kluft insbesondere im Klein- und Mittelstand als mangelndes Reifebewusstsein für das Thema IT-Sicherheit: „Viele Organisationen behandeln IT noch als sekundären Prozess, der mitläuft.“ Aber Danielsmeier betont die kritische strategische Bedeutung der IT-Infrastruktur mit einem eindringlichen Statement: „… denn am Ende des Tages macht die IT das Licht aus.“

Diese mangelnde Relevanzzuschreibung ist nicht nur operativ riskant, sondern birgt auch weitreichende rechtliche Konsequenzen. Danielsmeier betonte, dass bei Cybersicherheitsvorfällen klare Prozesse (z. B. die Meldepflicht an das BSI – Bundesamt für Sicherheit in der Informationstechnik – oder den Datenschutzbeauftragten innerhalb von 72 Stunden) vorgeschrieben sind.

Vor allem aber tritt die private Haftung der Führungsperson in Kraft. Diese Haftung besteht unabhängig davon, ob es sich um ein Einzelunternehmen oder eine juristische Person handelt. Da die Geschäftsführung dafür Sorge tragen muss, dass IT-Sicherheit nach dem neuesten Stand gewährleistet ist, sind Unternehmen gefordert, sich mit der Verschärfung der bestehenden Gesetze und den potenziell privaten Konsequenzen auseinanderzusetzen.

Als deutscher Hersteller mit Sitz in Deutschland setzt Securepoint auf ein ganzheitliches, in Deutschland gehostetes Portfolio. Dieses 360°-Portfolio umfasst klassische technische Komponenten wie Firewalls, Antivirus und Backup.

Ein besonderer Fokus liegt jedoch auf dem Awareness-Training (Sensibilisierung der Mitarbeitenden), das den Anwender aktiv in den IT-Sicherheitskreislauf einbindet. Securepoint nutzt KI-generierte Phishing-Mails (täuschend echte Betrugs-E-Mails), die in festgelegten Zyklen ausgesandt werden. Die KI schafft einen regionalen Bezug, um die Mails so nahbar und überzeugend wie möglich zu gestalten. Danielsmeier gibt zu, dass man hier „die Mitarbeitenden schon ein Stück weit aufs Glatteis führen muss, um zu schauen, wie sensibel jemand für das Thema ist“.

Dieses Training zeichnet sich dadurch aus, dass es „on the Job“ oder „on the Fly“ stattfindet, sodass Mitarbeiter nicht für ganztägige Schulungen aus dem Betrieb genommen werden müssen. Bei Fehlverhalten (z. B. dem Klicken auf einen schädlichen Link) werden vollautomatisch passende Lernvideos ausgesteuert, deren Inhalte sich adaptiv nach dem Klickverhalten richten. Dies schließt die Sicherheitslücke, die oft durch ungeschulte oder unaufmerksame Mitarbeiter entsteht.

Die hybride Arbeitswelt, in der Homeoffice ein bleibender Bestandteil ist, erfordert flexible und skalierbare Sicherheitslösungen. Securepoint nutzt hierfür den klassischen VPN-Tunnel (Virtual Private Network), setzt aber auf das moderne WireGuard-Protokoll (leistungsfähige VPN-Technologie) und vereinfachte Konfigurationen.

Als Alleinstellungsmerkmal betont Max Danielsmeier das Lizenzierungsmodell: „Es existiert kein starres Client-Modell, stattdessen können so viele VPN-Tunnel genutzt werden, bis die Hardware ihre Kapazitätsgrenzen erreicht. Die angegebenen Nutzerzahlen dienen lediglich als Richtgrößen für die Geräteempfehlung und stellen keine strikte Limitierung dar.“

Zusätzlich bietet das Mobile Device Management (MDM – Verwaltung mobiler Endgeräte) die Möglichkeit, mobile Geräte umfassend zu sichern. Dies ist entscheidend, um die Zugriffe zu limitieren und eine strikte Trennung von beruflichen und privaten Daten zu gewährleisten. Auch der BYOD (Bring Your Own Device) Ansatz, private Geräte dienstlich zu nutzen, wird unterstützt, indem berufliche und private Bereiche als separate Container getrennt verwaltet werden können. Das Management ist dabei „Zero Touch“ möglich, was bedeutet, dass die Kontrolle über die Geräte aus der Ferne erfolgen kann, ohne dass jedes Gerät physisch in die Hand genommen werden muss.

Der Blick nach vorn: Datensouveränität und Künstliche Intelligenz 

Max Danielsmeier thematisierte zwei strategische Herausforderungen der kommenden Jahre: 

Datensouveränität und Abhängigkeit von Cloud-Anbietern: Die starke Abhängigkeit von großen Cloud-Anbietern, die oft auf anderen Kontinenten angesiedelt sind, führt zu einer Abhängigkeit von willkürlichen politischen Entscheidungen. Danielsmeier sieht hier die Notwendigkeit, sich verstärkt mit nationalen oder europäischen Lösungen zu befassen, um die Kontrolle über die eigenen Daten nicht zu verlieren. 

Künstliche Intelligenz: Obwohl KI bereits positiv in Lösungen wie dem Awareness-Training eingesetzt wird, treibt das Thema die Branche um, da die potenziellen negativen und positiven Entwicklungen in der Zukunft noch unklar sind. 

Unabhängig von komplexen Systemintegrationen empfiehlt Danielsmeier drei Sofortmaßnahmen, die jeder Entscheider prüfen und umsetzen sollte, um die Sicherheitslage zu verbessern: 

Georedundantes Backup: Dies ist die einfachste, nicht-technische Sicherheitsmaßnahme. Das Backup sollte an verschiedenen, geografisch getrennten Speicherorten in deutschen Rechenzentren erfolgen, um maximale Sicherheit zu gewährleisten. Es ist leicht implementierbar und für jeden machbar. 

IT-Bestandsaufnahme und Dokumentation (Ist-Analyse): Eine objektive Nachhaltung der gesamten IT-Infrastruktur – von der Netzwerktechnik über die Serververbindungen bis zum Softwarestatus – ist unerlässlich. Dies sichert die Nachvollziehbarkeit, insbesondere bei einem Wechsel in der IT-Verantwortung. 

Implementierung einer dedizierten Firewall: Danielsmeier betonte, dass eine professionelle Firewall sich technisch gravierend von integrierten Plug-and-Play-Lösungen unterscheidet. Eine dedizierte Appliance bietet erweiterte Funktionen wie die SSL Interception (Aufbrechen verschlüsselter Verbindungen), erweiterte VPN-Protokolle (WireGuard) und feiner granulierte Paketfilterfunktionen. Die Umsetzung sei zudem einfacher als oft angenommen, so Danielsmeier. 

Die Kombination aus strategischer Bewusstseinsbildung, der Absicherung der hybriden Arbeitsumgebung und der konsequenten Umsetzung grundlegender, aber hochwirksamer technischer Maßnahmen ist der Schlüssel, um die gefährliche Kluft zwischen gefühlter und tatsächlicher Cybersicherheit im Mittelstand zu schließen. Securepoint bietet dabei als Hersteller den Vorteil der Greifbarkeit und des deutschsprachigen Supports, auch am Wochenende, was die Zusammenarbeit mit Partnern stärkt.

Weiterführende Links 

Aufzeichnung der Talkrunde ansehen: https://www.youtube.com/watch?v=yK5RP9p2B2E 

Unsere IT-Lösungen für den Mittelstand:
https://www.eevolution.de/produkte/it-services/ 

Mehr zu Securepoint-Firewall:
https://www.eevolution.de/produkte/it-services/managed-firewall/