Das Thema IT hat verschiedene Ausprägungen, von denen Sicherheit nur ein Teilbereich ist. Doch gerade hierbei müssen Unternehmer präzise, aber nicht zu scharfkantig kalkulieren, denn falsche Sparsamkeit kann fatal sein.
Aus Sicht eines stets auf Wirtschaftlichkeit und messbare Ergebnisse blickenden Unternehmers gibt es wohl nur wenige Positionen, die ähnlich schwierig sind wie das Thema IT-Sicherheit. Denn sie beweist ihren Wert oftmals dadurch, dass sie Angriffe schon im Ansatz vereitelt – unsichtbar, unbemerkt und unkalkulierbar.
Umgekehrt kann ein nicht ausreichendes Sicherheitsniveau sich erst bei einem erfolgreichen Angriff zeigen, dann jedoch die Firma wirtschaftlich ruinieren. Doch wie gelingt es Firmenbetreibern, hierbei einen gesunden Mittelweg zu finden, der weder zu viel kostet noch Wirksamkeit vermissen lässt?
Der wichtigste Schritt: IT-Sicherheit realistisch betrachten
Zwei Fakten dazu:
- Gute IT-Sicherheit kann je nach Unternehmen ein sehr kostspieliger Ausgabenpunkt sein. Als Zahl: Einer Canalys-Analyse zufolge wird das globale Ausgabenniveau 2023 im Best Case rund 223 Milliarden US-Dollar betragen. Damit steigt es einmal mehr stark an. 2018 betrug der Best-Case-Wert lediglich gut 36 Milliarden.
- IT-Sicherheit kann faktisch keine messbaren Gewinne erwirtschaften – einmal abgesehen von Fällen, in denen Unternehmen sie in ihre Marketing-Maßnahmen einflechten.
- Die grundsätzliche Ausrichtung des Hauses,
- Grad und Art der Digitalisierung und IT im Unternehmen,
- Bewusstseins- und Fähigkeits-Niveaus der Mitarbeiter,
IT-Sicherheit ist dennoch heutzutage eine unabwendbare Unternehmerpflicht. Sie sollte nicht anders betrachtet werden als die Kosten für Wachleute, Überwachungskameras, anständige Verriegelungssysteme oder andere Ausgabenpositionen, die keinen Gewinn erwirtschaften.
Dazu erneut eine Zahl: 2022 entstand der deutschen Wirtschaft ein Schaden von 203 Milliarden Euro, nur durch Cyber-Attacken. Bei den KMU beträgt die durchschnittliche Schadenssumme fast 100.000 Euro. Für dieselbe Summe bekommt man selbst heute eine ziemlich hohe IT-Sicherheit, die zudem keine Image- und ähnliche Risiken beinhaltet; ungleich zu einem Cyberangriff.
Ergo: Jeder Cent mehr für digitale Sicherheit ist keinesfalls verloren, sondern ein Gewinn, der sich mindestens(!) 1:1 aufrechnen lässt. Nur wer diesen Standpunkt beherzigt, kann eine realistische Budgeterstellung betreiben.
Sorgfältige fachmännische Risikoanalyse betreiben lassen
Das, was Cyber-Kriminelle an einer Firma interessant finden, worauf sie es abgesehen haben und wie sie vorgehen, ist kaum weniger vielfältig als die Anzahl von Unternehmen generell:
spielen hierbei ebenso eine maßgebliche Rolle wie beispielsweise die Betrachtung, auf welche Softwares das Unternehmen setzt oder wie stark es Cloud Computing nutzt.
Unter dieser Prämisse gibt es quasi keine Pauschalantworten, sondern nur Individuallösungen. Was in einem Unternehmen gut funktioniert, kann in einem zweiten Betrieb trotz ähnlicher Größe und Ausrichtung aus unterschiedlichsten Gründen zu wenig sein – oder nicht ganz passend.
Beginnen muss jede Kalkulation daher damit, das eigene Unternehmen gründlich durchleuchten zu lassen. Darauf haben sich andere Firmen spezialisiert, die einen starken Fokus auf IT-Sicherheit aufweisen. Nur mit den Daten einer derartigen Profi-Analyse ist wirklich bekannt, was in Sachen Hacker realistisch droht und was daher – mindestens – unternommen werden muss.
Ein tragfähiges Sicherheits-Fundament aufbauen
Wohl kaum ein Unternehmer käme auf die Idee, eine Alarm- und Überwachungsanlage installieren zu lassen, wenn in den Außentüren immer noch bestenfalls Schließzylinder aus dem Ein-Euro-Shop verbaut sind. Bei der IT-Sicherheit ist es nicht anders:
Ein Großteil aller Angriffe nutzt schlicht und ergreifend eklatante Basislevel-Sicherheitslücken aus. Etwa:
- Unsichere Programme oder Konfigurationen,
- schlechte Passwörter,
- nichtvorhandene oder nicht-heupdatete Virenprogramme oder Firewalls
- oder unkontrollierte Netzwerknutzung.
- Einerseits lassen sich darauf exakt diejenigen Werkzeuge zusammenstellen, die aufgrund des Bedrohungsniveaus des Unternehmens wirklich nötig sind.
- Andererseits lassen Plattformen es zu, nötigenfalls mit wenigen Handgriffen deutlich machtvollere Sicherheitswerkzeuge zu werden, die viel mehr beherrschen.
Wer mit Basiswerkzeugen diese Lücken schließt, der muss einerseits nur sehr geringe Beträge aufwenden. Andererseits bekommt er ein Sicherheitsniveau, das bereits eine überraschend hohe Zahl von Attacken verunmöglicht. Denn nur ein geringer Teil der Hacker sind extrem fähige Cyber-Kriminelle. Die große Masse hingegen versucht sich mit immergleichen simplen Strategien so lange an verschiedenen Firmen, bis ihre Vorgehensweise aufgrund eines niedrigen Sicherheitsniveaus verfängt.
Nach wie vor ist beispielsweise Phishing einer der wichtigsten Angriffsvektoren – und lässt sich bereits durch einfache Werkzeuge eindämmen, die jeden ausgehenden Link analysieren.
Auf skalierbare Plattformen setzen
Ähnlich, wie ein hochwertiger Schließzylinder viele Einbrecher abschreckt, können es schon ständig geupdatete Programme tun. Wenn ein Unternehmen jedoch in den Fokus einer entschlossenen und fähigeren Riege von Cyber-Kriminellen gerät, ist das natürlich zu wenig.
Hier findet sich der Punkt, an dem sich die Unternehmerschaft aufteilt – in solche, die Ausgaben scheuen und solche, die verstehen, wie wichtig es im Notfall sein kann, hierbei nicht (zu) sparsam gewesen zu sein. Clevere Betreiber wählen letztgenannten Weg. Allerdings ist es nicht nötig, mehr Geld als unbedingt nötig auszugeben.
Dazu empfiehlt es sich dringend auf Sicherheitssysteme zu setzen, die durch die Gestaltung als Plattform skalierbar sind:
Nach Möglichkeit sollte eine solche Sicherheitsplattform unabhängig von den unterschiedlichen Herstellern von unternehmerischer IT arbeiten. Nur dann sind diesbezügliche Änderungen möglich, ohne gleich die gesamte Sicherheitsarchitektur auf den Prüfstand stellen zu müssen – oder gar kostspielig zu erneuern.
Zugriff auf jederzeit bereite Experten haben
Wenn eine Alarmanlage einen Einbruch meldet, dann kann nur eine vor Ort vorhandene Security ihn noch unterbinden; wohingegen Polizisten vielfach nur noch ermitteln können. Erneut gibt es viele Parallelen zur IT-Sicherheit und ihren Kosten.
Natürlich wäre es die beste Möglichkeit, eigene Sicherheitsprofis zu beschäftigen, die die Firmensysteme 24/7 überwachen. Bloß: Das ist ebenso die mit Abstand kostspieligste Option. Vom Suchen und Finden entsprechender Fachkräfte ganz zu schweigen.
Die nächstgünstigere, ebenfalls recht wirksame Methode wäre es, diese Dienstleistung ebenfalls outzusourcen; ähnlich wie die Risikoanalyse. Das hat zudem den Vorteil, Profis zu bekommen, die Einblicke in verschiedene Unternehmen und somit Bedrohungsstrukturen und Hacker-Herangehensweisen haben.
Auf Leistung statt Kosten achten
Die meisten Unternehmer werden für alle vorgenannten Punkte Vergleiche einholen – ähnlich, wie für jede andere Ausgabe. Doch selbst, wenn es auf dem Papier so wirken mag, als würde sich IT-Sicherheit bei gleicher Leistung nur durch die Preise unterscheiden, so lohnt sich genauestes Hinsehen unbedingt.
Denn im Zweifelsfall sind die Unterschiede groß. Dementsprechend sollten Firmenbetreiber derjenigen Lösung den Vorzug geben, die ihnen die beste Leistung bietet – nicht nur die geringsten Kosten verursacht.
Fazit
In einer Zeit, in der IT-Sicherheit jeden Unternehmer gleichermaßen betrifft, ist es völlig falsch, diesem Thema mit klassischer Kosten-Nutzen-Rechnung zu begegnen. Selbst die simpelste Cyber-Attacke kann problemlos Schäden in sechsstelliger Höhe und mehr verursachen. Einer solchen Bedrohung kann man nur entgegentreten, indem man sich auf sinnvolle Wirksamkeit fokussiert, nicht auf maximale Sparsamkeit.
Themen:
LESEN SIE AUCH
Vier von fünf Unternehmen haben IT-Sicherheitslücken
Der Mittelstand überschätzt die Qualität seiner IT-Sicherheit und unterschätzt die Risiken eines Cyberangriffs. So halten rund 80 Prozent der Entscheider ihr Unternehmen für ausreichend geschützt. Insgesamt erfüllen aber lediglich 22 Prozent grundlegende technische Sicherheitsmaßnahmen komplett.
Mittelstand vernachlässigt fahrlässig den Cyberschutz
Viele mittelständische Handels- und Logistikunternehmen vernachlässigen ihre IT-Sicherheit und werden zum leichten Ziel von Hackern. Fast jede vierte Firma wurde bereits Opfer von Cyberattacken. Jeder zweite angegriffene Betrieb stand daraufhin zeitweise still.
Cyberattacken auf deutsche Wirtschaft mit Rekordschäden
Datenverluste entstehen meist aus Fahrlässigkeit
Datenverluste sind kein bösartiges Schicksal und das Muster erfolgreicher Data Breaches ist bekannt: unzureichend gesicherte Netzwerke dienen als Einfallstor zur leichten Beute der unstrukturierten Datenbestände. Wer diese Missstände nicht behebt, darf sich nicht wundern, das nächste Opfer zu sein.
Vorstände benötigen mehr Cybersecurity-Expertise
Es bedarf der nötigen Sicherheitsexpertise in Vorständen, um die richtigen Fragen zu stellen und die Antworten in eine wirksame Cybersecurity-Strategie einzubinden. Denn je technologieabhängiger Unternehmen werden, desto mehr und unternehmensgefährdende Cyberattacken drohen.
Warum Hacker das mobile Arbeiten so lieben
Mobiles Arbeiten ist die offene Flanke der IT: Sie macht eigentlich sichere Infrastrukturen verwundbar. Um Cyberkriminellen einen Schritt voraus zu sein, sollten Unternehmen die häufigsten Einfallstore für Hacker kennen und diese von Beginn an sichern.
Leitungswasserschäden: INTER testet KI-gestützte Lösung zur Früherkennung
Leitungswasserschäden mit Hilfe von KI rechtzeitig erkennen - das ist das erklärte Ziel einer Kooperation zwischen der INTER und dem Start-Up Enzo. Für ausgewählte INTER-Kunden beginnt eine Testphase.
Elektronische Patientenakte gestartet: Modellregionen testen neues System
Seit Mitte Januar wird die „ePA für alle“ schrittweise eingeführt – zunächst in ausgewählten Regionen. Der GKV-Spitzenverband betont, dass das System ausreichend getestet werden muss.
EU-Kommission hält an FIDA-Verordnung fest – Open Finance bleibt auf der Agenda
Nachdem zunächst Berichte die Runde machten, dass die EU-Kommission ihre Pläne zur Regulierung von Open Finance gestoppt habe, zeigt das finale Arbeitsprogramm nun ein anderes Bild: Die FIDA-Verordnung bleibt auf der politischen Agenda. Branchenverbände begrüßen die Kehrtwende und fordern eine praxisnahe Umsetzung.
LVM: Eine Million Versicherte nutzen Kundenportal
Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025
Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.
Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher
Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.