67 % der deutschen KMU wurden letztes Jahr von Cyberangriffen getroffen. Das eigentliche Problem? Die Basics, die sie sperrangelweit offengelassen haben.

Die meisten KMU beschäftigen sich erst dann mit Cybersicherheit, wenn es schon zu spät ist. Das ist nicht weiter überraschend. Es gibt immer etwas Dringenderes, und der Tag ist schon voll, bevor überhaupt jemand fragt, ob die Backups wirklich laufen, ob der alte Server längst ersetzt werden müsste oder ob das Netzwerk über die Jahre gewachsen ist, ohne dass Büro-IT, Produktion, Gastzugänge und externe Fernzugriffe sauber voneinander getrennt wurden.

Die Zahlen sind nicht abstrakt

Der Hiscox Cyber Readiness Report 2025↗ hat ergeben, dass 67 % der deutschen KMU in den vergangenen zwölf Monaten mindestens einen Cyberangriff erlebt haben. Im selben Report steht auch, dass 60 % entweder gar nicht oder nicht ausreichend gegen Cyberrisiken versichert sind.

Das CYBERsicher Lagebild 2025 des BSI↗ erzählt dieselbe Geschichte, nur in anderer Tonlage. Die auf Leak-Seiten veröffentlichten Ransomware-Angriffe auf deutsche Unternehmen haben sich zwischen 2021 und 2024 mehr als vervierfacht. Laut den dort zitierten BKA-Zahlen betrafen mehr als 80 % von 950 ausgewerteten Ransomware-Vorfällen kleine und mittlere Unternehmen.

Deutsche KMU mit mindestens einem Cyberangriff

67%

Hiscox Cyber Readiness Report 2025

Gar nicht oder nicht ausreichend gegen Cyberrisiken versichert

60%

Hiscox Cyber Readiness Report 2025

Ausgewertete Ransomware-Vorfälle mit KMU-Bezug

80%

BKA-Zahlen im BSI-Lagebild

Um es greifbar zu machen: Unsere öffentliche Website hat kürzlich an einem einzigen Tag mehr als 3.000 DoS- und Bot-Angriffe abgefangen. Für uns war das lästig, aber harmlos, weil die Firewall genau das getan hat, was sie tun soll. Legt man denselben automatisierten Druck auf ein Kundenportal, ein Lagersystem, eine Patientendatenbank oder eine Maschinensteuerung, sehen die Folgen sehr schnell ganz anders aus.

Die alte Vorstellung, dass Angreifer nur auf große Konzerne und Behörden gehen, kann man getrost beerdigen. Sie nehmen alles ins Visier, was erreichbar, schwach geschützt, schlecht gewartet oder mit etwas Nützlichem verbunden ist.

Warum sich das Risiko heute anders anfühlt

Vor ein paar Jahren waren viele kleinere IT-Umgebungen noch klein und überschaubar. Irgendwo ein Server, ein paar Arbeitsplätze, E-Mail, gemeinsame Ordner, vielleicht ein VPN, vielleicht ein oder zwei Branchenprogramme, über die alle geschimpft haben und die trotzdem niemand anfassen wollte, weil “wir das schon immer so gemacht haben”.

Für die meisten Unternehmen ist das längst nicht mehr die Realität. Selbst ganz normale KMU hängen heute an einer langen Kette aus Cloud-Diensten, Remote-Zugängen, Mobilgeräten, SaaS-Plattformen, Kundenportalen, Lieferantenportalen, ERP, Lagerverwaltung, APIs, Maschinenschnittstellen und Alt-Integrationen, die einmal für ein ganz bestimmtes Problem gebaut und danach nie wieder angerührt wurden. Jedes zusätzliche System schafft eine weitere Stelle, an der Zugriffe, Berechtigungen, Updates, Verantwortlichkeiten und Wiederherstellung klar, dokumentiert und getestet sein müssen.

Ein gutes Beispiel dafür ist Faxploit↗. Dieser Exploit für Drucker und Faxgeräte hat gezeigt, wie ein Gerät, das die meisten als harmlose Büro-Peripherie ansehen würden, zum Einstiegspunkt werden kann. Ein falsch konfigurierter, ungepatchter Drucker oder ein Faxgerät, das mit Systemen verbunden ist, mit denen es überhaupt nichts zu tun haben sollte, kann einem Angreifer Zugang zu internen Netzwerken, Datenbanken oder Produktionsumgebungen verschaffen, die von dort aus niemals erreichbar sein dürften.

Die Basics, die überall versagen

Man kann nicht jeden Exploit verhindern. Aber es gibt Dinge, die man proaktiv tun kann und sollte, um die schlimmsten Folgen zu vermeiden. Die meisten Probleme beginnen dann, wenn:

1. Software nicht gepflegt wird, weil sie ja noch läuft

Betriebssysteme, Server und Firmware brauchen weiterhin Patches. Auch selbst entwickelte Software hört nicht in dem Moment auf, Pflege zu brauchen, in dem die erste Rechnung bezahlt ist. Wenn ein System für Ihr Geschäft wichtig ist, braucht es Wartung wie jede andere geschäftskritische Infrastruktur auch.

2. Backups vorhanden sind, aber niemand weiß, ob sie funktionieren

Ein Backup ist erst einmal nur eine Kopie. Recovery ist die Fähigkeit, diese Kopie dann in einen nutzbaren Zustand zurückzuholen, wenn es wirklich darauf ankommt. Wenn seit Monaten oder sogar Jahren niemand einen sinnvollen Restore getestet hat, verlässt sich das Unternehmen eher auf Hoffnung als auf Prozesse.

3. Netzwerke über Jahre wachsen, ohne sauber getrennt zu werden

Wenn Gäste, Büro-Systeme, Produktion, Lieferanten und Fernzugriffe alle zu dicht beieinander liegen, wird aus einem kompromittierten Gerät schnell eine Führung durch den Rest des Unternehmens.

4. Berechtigungen viel zu großzügig vergeben werden

Oft haben Menschen mehr Zugriff, als sie eigentlich brauchen, weil es damals einfacher war, weil niemand einen Ablauf kaputt machen wollte oder weil später niemand mehr aufgeräumt hat. Sobald ein Angreifer einen solchen Account übernimmt, erbt er alle schlechten Entscheidungen, die daran hängen. Zugriffe sollten sich am tatsächlichen Bedarf orientieren und eng begrenzt bleiben.

5. Monitoring minimal ist und Dokumentation praktisch nicht existiert

Minimales Monitoring bedeutet, dass Probleme spät bemerkt werden, manchmal erst dann, wenn der Schaden längst sichtbar ist. Kaum oder gar keine Dokumentation macht aus jedem Vorfall ein Ratespiel. Dann geht Zeit dafür drauf herauszufinden, was womit verbunden ist, welche Zugangsdaten noch funktionieren, wer etwas eingerichtet hat und ob ein System überhaupt noch genutzt wird.

Backups, Netzwerksegmentierung und KI-bezogene Risiken greifen wir in separaten Folgeartikeln noch genauer auf. Für den Moment ist der entscheidende Punkt einfacher: Die meisten Angriffe werden nicht teuer, weil die Angreifer brillant sind. Sie werden teuer, weil sie die Schwachstellen ausnutzen, die man selbst geschaffen hat.

Was Sie diesen Monat tun können, ohne gleich ein Sicherheitsprojekt aus dem ganzen Unternehmen zu machen

Sie müssen nicht alles auf einmal umbauen. Sie müssen prüfen, was Sie haben, die offensichtlichen Risiken erkennen und die Lücken Schritt für Schritt schließen.

1. Updates immer aktiv

Aktivieren Sie automatische Updates, wo das sinnvoll ist. Wo das nicht geht, brauchen Sie einen klaren Prozess für kritische Patches, damit sie nicht liegen bleiben, weil alle dachten, jemand anders kümmert sich darum. Das gilt für:

• Betriebssysteme
• Desktop- und Mobile-Anwendungen
• Individuell oder selbst entwickelte Software, die ein Wartungsbudget und einen sinnvollen Update-Zyklus braucht
• Peripheriegeräte wie Drucker, Faxgeräte und Scanner
• Netzwerkkomponenten, Firewalls und Switches
• SPS, HMIs und andere Industriekomponenten, sofern Updates verfügbar und betrieblich sinnvoll umsetzbar sind

2. MFA ist nicht verhandelbar

Aktivieren Sie es überall dort, wo es längst aktiv sein sollte: E-Mail, Cloud-Plattformen, VPN, Admin-Zugänge, Finanztools, Kundensysteme, Repositories und Hosting. Wenn eine Plattform MFA anbietet und Sie es ausgelassen haben, haben Sie gerade die einfachste Tür im ganzen Gebäude offengelassen.

3. Testen Sie die Backups

Nehmen Sie etwas, das wirklich kritisch ist, zum Beispiel ein Netzlaufwerk, eine Datenbank, ein E-Mail-Postfach, eine Anwendung oder einen Server, und führen Sie einen vollständigen Restore von Anfang bis Ende durch. Finden Sie heraus, was funktioniert, was fehlt, wie lange es dauert und wer tatsächlich weiß, was zu tun ist. Dokumentieren Sie den Ablauf Schritt für Schritt, damit die Wiederherstellung nicht an einer einzigen Person hängt, die gerade im Urlaub ist, wenn es ernst wird.

4. Prüfen Sie die Berechtigungen

Schauen Sie sich an, wer worauf Zugriff hat, und seien Sie mit alten Berechtigungen etwas weniger sentimental.

• Entfernen Sie veraltete Accounts.
• Prüfen Sie Zugänge von externen Dienstleistern und Lieferanten und vergeben Sie immer nur das Minimum.
• Trennen Sie normale Benutzerkonten von Admin-Konten.

Wenn jemand nur auf ein System zugreifen muss, sollte diese Person nicht nebenbei Zugriff auf drei weitere haben, nur weil das irgendwann einmal praktisch war. Die Idee ist simpel: Wenn jemand durch eine Tür kommt, sollte er nicht automatisch die Schlüssel für den Rest des Gebäudes in der Hand haben.

5. Segmentieren Sie das Netzwerk

Trennen Sie mindestens Gast-WLAN, Büro-IT und Produktions- oder Betriebssysteme. Danach schauen Sie sich Lieferantenzugänge, Fernwartung, VPN-Tunnel, gemeinsam genutzte Dienste und alte Maschinen an, die nicht den Rest des Netzes erreichen können sollten. Gerade Altsysteme gehören oft in ein eigenes, isoliertes Segment.

Flaches NetzwerkBüro, Gast-WLAN, Produktion und Lieferanten sehen zu viel voneinander.Kompromittiertes Gerät

Firewall- / VLAN-Grenze

Segmentiertes Netzwerk

Gastzugang

Büro-IT

Produktion

Lieferanten-VPN

Altsysteme

Jede Zone hat nur die Wege, die sie wirklich braucht. Bewegung bleibt begrenzt.

Das Ziel ist klare Trennung und Eindämmung. Wenn ein System kompromittiert wird, darf es nicht automatisch den Weg in den Rest des Unternehmens öffnen.

6. Dokumentieren Sie den Ernstfall

Schreiben Sie einen einseitigen Notfallplan. Er muss nicht schön sein, er muss aber die Grundlagen abdecken:

• Wer ist wofür verantwortlich?
• Wer kontaktiert Dienstleister, Kunden, Partner oder Behörden?
• Wer kümmert sich um die Versicherung?
• Wer beantwortet Datenschutzfragen?
• Welche Systeme werden zuerst getrennt?
• Wo liegen die Recovery-Keys und Notfall-Zugangsdaten?

Hoffentlich werden Sie ihn nie brauchen. Aber je besser Sie vorbereitet sind, desto geringer fällt der Schaden im Ernstfall aus.

1. 01PatchenBekannte Lücken schließen, bevor sie der einfachste Einstieg werden.
2. 02Zugriffe begrenzenEingrenzen, was ein übernommener Account erreichen kann.
3. 03SegmentierenVerhindern, dass ein schwaches Gerät zum Netzvorfall wird.
4. 04WiederherstellenRecovery testen, bevor der Ernstfall da ist.
5. 05DokumentierenRaten vermeiden, wenn Zeit teuer ist.

Kurz gesagt

Cybersicherheit wird teuer, wenn Unternehmen sie so lange als Nebenthema behandeln, bis sie mitten in den Betrieb hineinplatzt. Und wenn das passiert, liegt es meistens nicht daran, dass der Angreifer ein Genie war. Meistens liegt es daran, dass die Basics zu lange zu locker gehandhabt wurden.

Die gute Nachricht ist: Diese Basics lassen sich in Ordnung bringen.

• Prüfen Sie, was da ist.
• Verstehen Sie, was womit verbunden ist.
• Prüfen Sie, wer auf welche Systeme Zugriff hat.
• Patchen Sie, was offen liegt.
• Testen Sie, ob Recovery wirklich funktioniert.
• Dokumentieren Sie. Dokumentieren Sie. Dokumentieren Sie.

Sie werden nicht jeden Vorfall verhindern können. Aber Sie können dafür sorgen, dass aus einem Vorfall nichts Katastrophales wird.