Kleine und mittelständische Unternehmen (KMU) sind besonders attraktive Ziele für Cyberkriminelle. Das liegt vor allem daran, dass es ihnen oftmals an personeller Security-Expertise und finanziellen Mitteln fehlt, um eine ausgereifte, solide Cybersicherheit aufzubauen.
Auch für KMU gilt: Es ist keine Frage mehr, ob es zu Cyberangriffen kommt, sondern wann!
(Bild: anaumenko - stock.adobe.com)
Allein im Jahr 2022 waren Studien zufolge etwa 55 Prozent der deutschen Mittelstandsunternehmen von Cyberkriminalität betroffen. EU-weite Regularien wie die NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) und die DORA-Verordnung (Digital Operational Resilience Act) machen zusätzlich deutlich, wie heikel die Situation mittlerweile ist und wie dringend Unternehmen entsprechende Sicherheitsmaßnahmen ergreifen müssen.
Gemäß diesen Regularien können Manager bestimmter Branchen für Sicherheitsverstöße haftbar gemacht werden. Besonders für kleine und mittelständische Unternehmen (KMU), die oftmals weder über genügen IT-Ressourcen noch über eine spezialisierte IT-Abteilung verfügen, wird die IT-Sicherheit damit zu einer enormen Herausforderung.
Aus Sicherheitsgründen haben sich viele Unternehmen lange Zeit gegen die Einführung von Cloud-Diensten entschieden. Für sie war damals das Risiko zu groß, die Kontrolle über ihre Daten zu verlieren oder zum Opfer eines Cyberangriffs auf die Cloud zu werden. Mittlerweile hat sich die Cloud jedoch durchgesetzt. Auch für KMU ist sie eine gute Alternative zum Rechenzentrum oder Eigenbetrieb, was normalerweise massig Ressourcen benötigen würde, über die sie nicht verfügen.
Denn die Cloud bietet ihnen einen sicheren und flexiblen Weg, ihre IT-Infrastruktur zu modernisieren. Allerdings dürfen sie dabei weder Datensicherheit noch Datenschutz aus den Augen verlieren. So ist es EU-Unternehmen zum Beispiel gemäß Schrems II Urteil nicht erlaubt, die Daten ihrer europäischen Kunden in die USA sowie andere Drittländer mit geringeren Sicherheitsstandards zu transferieren. Daher sollten KMU unbedingt sicherstellen, dass ihre Daten ausschließlich innerhalb der Union gespeichert werden. Idealerweise wird dies vertraglich vereinbart.
Kryptografie für zusätzlichen Schutz
Kryptografie ist ein wichtiger Baustein moderner IT-Sicherheitsstrategien; viele Cloud-Anbieter setzen inzwischen eigene Verschlüsselungsmethoden ein. Darüber hinaus können sich Unternehmen zusätzlich absichern, indem sie ihre Daten vor dem Upload in die Cloud selbst mit Technologien verschlüsseln, die unabhängig von den jeweiligen Cloud-Diensten eingesetzt werden können und unter ihrer alleinigen Kontrolle stehen. Allerdings erweisen sich komplexe kryptografische Technologien für KMU wegen der fehlenden Expertise oftmals als Herausforderung. Deshalb schrecken viele von ihnen vor ihrer Implementierung zurück. Mittlerweile bieten zahlreiche Anbieter nutzerfreundliche Kryptografie-Lösungen, die sich mühelos in die bestehende Infrastruktur einbinden lassen, auch als Service an. Eine Datei- und Ordnerverschlüsselung zum Beispiel funktioniert unabhängig vom Speicherort und lässt sich komplett von Anbieterseite aus managen.
Unternehmen, die über kein eigenes Hardware-Sicherheitsmodul (HSM) verfügen, aber nicht auf ihren kryptografischen Dienst verzichten wollen, können es sich über HSM-as-a-Service bereitstellen lassen. Zwar betreibt der jeweilige Anbieter das HSM in einer hochsicheren Umgebung, die Kontrolle verbleibt jedoch beim Unternehmen selbst. KMU haben damit Zugriff auf ein HSM, ohne die Hardware vor Ort installieren und mit eigenen Ressourcen verwalten zu müssen.
Zu einer robusten IT-Sicherheitsstrategie gehört es dazu, sämtliche Geräte im Unternehmensnetzwerk zu verwalten und zu überwachen. Beim klassischen Identity and Access Management (IAM) spielen Accounts und rollenbasierte Zugangsprivilegien die Hauptrolle. Kommt IoT ins Spiel, ergeben sich allerdings zusätzliche sicherheitsrelevante Herausforderungen.
Sämtliche Geräte sollten daher entsprechend abgesichert werden, bevor sie auf das Unternehmensnetzwerk zugreifen können. In diesem Fall bieten sich ebenfalls kryptografische Technologien an. Diese ordnen jedem IoT-Gerät einen eindeutigen, fälschungssicheren Schlüssel zu, über den es dem Netzwerk seine Identität bestätigt. KMU müssen auch hier zwangsläufig keine eigenen Ressourcen aufwenden und können stattdessen einen externen Service in Anspruch nehmen. Eine alternative Möglichkeit, um die Identität von IoT-Geräten sicher festzustellen, stellen Public-Key-Infrastrukturen (PKI) zur Verwaltung von Zertifikaten dar. Über Zertifikate lässt sich gewährleisten, dass nur autorisierte Geräte Zugang zum Netzwerk haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vor Phishing und Social Engineering schützen
Neben diesen Sicherheitsmaßnahmen sollten KMU auch Angriffen auf die Schwachstelle „Mensch“ vorbeugen. Social Engineering und Phishing sind besonders beliebte Angriffsmethoden unter Akteuren, die aufgrund ihrer Fortschrittlichkeit immer schwerer zu erkennen sind. Auf der einen Seite helfen regelmäßige Schulungen KMU dabei, ihre Mitarbeitenden für die Gefahren zu sensibilisieren. Auf der anderen Seite sind auch technische Lösungen notwendig, um dieses Schlupfloch zu schließen. So steigert der Einsatz von Multi-Faktor-Authentifizierung (MFA) die Sicherheit – und zwar auch, wenn Angreifer durch Phishing an Zugangsdaten gelangen. Denn diese erweisen sich als wertlos, wenn Akteuren der zusätzliche Authentifizierungsfaktor wie das Smartphone fehlt.
Versehen KMU ihre Dokumente und E-Mails mit einer elektronischen Signatur, können sie sich zudem vor gefälschten digitalen Inhalten schützen. Diese garantiert, dass die Dokumente vom angegebenen Absender stammen, authentisch sind und nicht mehr verändert werden können. Sehr zum Glück von KMU lässt sich diese Technologie relativ einfach in bestehende Prozesse einfügen, ohne die Komplexität der IT-Infrastruktur zu erhöhen.
Auch für KMU gilt: Es ist keine Frage mehr, ob es zu Cyberangriffen kommt, sondern wann. Auf diese Eventualität müssen sie sich vorbereiten und sind dazu angehalten, ihre Sicherheitsstrategie mithilfe innovativer Ansätze zu stärken. Die Cloud, kryptografische Methoden, ein effektives Identitätsmanagement sowie Schulungen und Multi-Faktor-Authentifizierung sind wichtige Elemente, mit denen sie ihre Daten, Systeme und Netzwerke vor Cyberbedrohungen nachhaltig schützen können.
Unternehmen, die weder über die technische Expertise noch das Verständnis für die Gefahren verfügen, können sich an spezialisierte, erfahrene Anbieter wenden. Als vertrauenswürdige Partner ergänzen sie die fehlende Wissensgrundlage, kümmern sich um Implementierung und Betrieb und verhelfen so selbst KMU mit begrenzten Ressourcen zu einem hohen Sicherheitsniveau.
Über den Autor: Nils Gerhardt ist CTO von Utimaco.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4c/c4/4cc400d7618321dafb24471922e450d2/0120775079v2.jpeg "Angesichts der wachsenden Bedrohungslage und der zusätzlichen Anforderungen durch NIS-2 kommen Unternehmen nicht um die Ertüchtigung ihrer Cyberabwehrstrategie herum. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/f8/36f805cd084d5c250c9fb2e5cd4ccd6f/0117510896.jpeg "Das BSI bietet in Zusammenarbeit mit Partnern einen CyberRisikoCheck für KMU. (Bild: Andrii Yalanskyi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/72/3572008a1f6350ab079cf3e2274e6749/0121168450v4.jpeg "Führungskräfte in Konzernen und in KMUs müssen nicht nur die technischen Aspekte der Cybersicherheit verstehen, sondern auch die strategischen Implikationen für ihr Unternehmen erkennen und passende Maßnahmen ergreifen. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/c7/59c7b27ad6fd9fab75d21cd3337cc1d5/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/bc/3dbca93016beecc32edac67ed31f5b80/0123421867v1.jpeg "Heutzutage sind Strategien und technische Lösungskonzepte wichtiger denn je, um eine sichere und vor allem änderungsaffine IT zu schaffen. (Bild: metamorworks - stock.adobe.com)")