Cyberangriffe treffen längst nicht mehr nur Großkonzerne. Kleine und mittlere Unternehmen sind oft bevorzugte Ziele, weil ihre Schutzmaßnahmen weniger ausgereift sind. Ein einziger erfolgreicher Angriff kann Betriebsunterbrechungen, Datenverluste, Reputationsschäden und hohe Wiederherstellungskosten verursachen.

Hinzu kommen gesetzliche Pflichten: Die DSGVO verpflichtet alle Unternehmen zum Schutz personenbezogener Daten, und Verstöße können empfindliche Bußgelder nach sich ziehen. IT-Security ist daher keine optionale Zusatzleistung, sondern eine betriebswirtschaftliche Notwendigkeit.

Bereits einfache Basismaßnahmen wie regelmäßige Updates, starke Passwörter und strukturierte Zugangskontrollen reduzieren das Risiko erheblich.

Phishing bezeichnet den Versuch, Personen durch gefälschte E-Mails, Websites oder Nachrichten zur Preisgabe sensibler Daten zu verleiten, zum Beispiel Passwörter, Kreditkartennummern oder Zugangsdaten zu Unternehmenssystemen. Die Angreifer ahmen dabei vertrauenswürdige Absender wie Banken, Behörden oder interne Kollegen täuschend echt nach.

Schutzmaßnahmen umfassen technische Filter (Spam- und E-Mail-Sicherheitslösungen), aber vor allem regelmäßige Schulungen der Mitarbeiter. Wer lernt, verdächtige Links zu erkennen, Absenderadressen kritisch zu prüfen und im Zweifel telefonisch zu verifizieren, reduziert das Risiko deutlich.

Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz, selbst wenn Zugangsdaten kompromittiert wurden.

Der Mensch ist statistisch gesehen das häufigste Einfallstor für Cyberangriffe. Technische Schutzmaßnahmen allein genügen nicht, wenn Mitarbeiter auf Phishing-Mails hereinfallen, schwache Passwörter verwenden oder sensible Daten unverschlüsselt versenden.

Gezielte Schulungen vermitteln das notwendige Bewusstsein für aktuelle Angriffsmethoden und konkretes Handlungswissen für den Arbeitsalltag. Effektiv sind praxisnahe Formate wie simulierte Phishing-Tests, interaktive Workshops und regelmäßige kurze Auffrischungen.

Schulungen sollten auf verschiedene Rollen im Unternehmen abgestimmt sein, da Führungskräfte, IT-Mitarbeiter und allgemeines Personal unterschiedlichen Risiken ausgesetzt sind.

Ein strukturierter Einstieg beginnt mit einer Bestandsaufnahme: Welche Systeme, Daten und Prozesse sind vorhanden, und wo bestehen die größten Risiken?

Auf dieser Basis werden priorisierte Basismaßnahmen umgesetzt: aktuell gehaltene Betriebssysteme und Software, ein funktionierendes Backup-Konzept mit regelmäßigen Tests, klar geregelte Zugriffsrechte nach dem Prinzip der minimalen Berechtigung sowie ein Virenschutz und eine Firewall.

Ebenso wichtig ist eine Passwortrichtlinie kombiniert mit Zwei-Faktor-Authentifizierung für kritische Systeme. Diese Grundlage schützt vor den häufigsten Angriffsarten und schafft die Basis für weitergehende Sicherheitsmaßnahmen.

NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, die seit Oktober 2024 in nationales Recht umgesetzt werden muss. Sie ersetzt die ursprüngliche NIS-Richtlinie und erweitert den Geltungsbereich erheblich.

Betroffen sind Unternehmen in 18 als kritisch eingestuften Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Die Schwellenwerte liegen bei Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

NIS2 verpflichtet zur Umsetzung konkreter Sicherheitsmaßnahmen, zur Meldung von Sicherheitsvorfällen innerhalb enger Fristen und führt verschärfte Haftungsregelungen für Führungskräfte ein. Unternehmen sollten ihren Betroffenstatus frühzeitig prüfen.

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt fest, wie Unternehmen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln sollen.

Die Zertifizierung durch eine akkreditierte Stelle belegt nach außen hin, dass ein Unternehmen Informationssicherheit nicht ad hoc, sondern strukturiert und auditierbar betreibt. Praktischer Nutzen: Viele öffentliche Auftraggeber und Großunternehmen fordern ISO-27001-Zertifizierung als Vergabevoraussetzung.

Intern schafft die Norm klare Verantwortlichkeiten, reduziert das Risiko von Sicherheitsvorfällen und erleichtert die Einhaltung gesetzlicher Anforderungen wie DSGVO oder NIS2.

Ein ISMS ist ein dokumentiertes Regelwerk aus Richtlinien, Prozessen und Maßnahmen, das den Schutz von Informationen im Unternehmen systematisch sicherstellt. Es umfasst die Definition des Geltungsbereichs, eine strukturierte Risikoanalyse, die Festlegung von Sicherheitszielen sowie konkrete technische und organisatorische Maßnahmen.

Wesentliche Bestandteile sind außerdem klare Verantwortlichkeiten, Schulungskonzepte, ein Vorfallmanagement-Prozess sowie ein internes Audit- und Verbesserungsverfahren. Das ISMS ist kein einmaliges Projekt, sondern ein kontinuierlicher Kreislauf: planen, umsetzen, prüfen, verbessern.

Grundlage für ein zertifizierungsfähiges ISMS nach ISO 27001 ist die lückenlose Dokumentation aller Entscheidungen und Maßnahmen.

Eine Risikoanalyse beginnt mit der Identifikation aller schützenswerten Informationswerte (Assets), also Daten, Systeme, Prozesse und Infrastruktur. Im nächsten Schritt werden für jeden Asset relevante Bedrohungen und Schwachstellen ermittelt.

Daraus ergibt sich eine Risikobewertung: Wie wahrscheinlich ist ein Schadenereignis, und wie hoch wäre der potenzielle Schaden? Auf dieser Basis werden Maßnahmen priorisiert, entweder um das Risiko zu reduzieren, zu transferieren (z.B. Versicherung) oder bewusst zu akzeptieren. Ergebnis ist ein dokumentierter Risikobehandlungsplan.

Risikoanalysen sind keine einmalige Aufgabe, sondern müssen bei wesentlichen Veränderungen im Unternehmen oder in der Bedrohungslage wiederholt werden.

Bei öffentlichen und privaten Ausschreibungen im IT-Bereich werden zunehmend Nachweise zur Informationssicherheit verlangt. Häufige Anforderungen sind eine ISO-27001-Zertifizierung oder ein nachweisbar aufgebautes ISMS, Zertifizierungen nach branchenspezifischen Standards (z.B. TISAX in der Automobilindustrie), DSGVO-konforme Datenverarbeitungsverträge sowie Nachweise über durchgeführte Penetrationstests oder Schwachstellenanalysen.

Darüber hinaus verlangen viele Auftraggeber dokumentierte Notfallpläne, klare Incident-Response-Prozesse und Schulungsnachweise für Mitarbeiter. Unternehmen, die diese Anforderungen frühzeitig erfüllen, verschaffen sich einen messbaren Wettbewerbsvorteil und vermeiden Ausschlüsse aus Vergabeverfahren.

.

Telcon begleitet Unternehmen von der ersten Standortbestimmung bis zur Umsetzung konkreter Compliance-Anforderungen. Das beginnt mit einer Gap-Analyse, die den aktuellen Sicherheitsstatus mit den relevanten gesetzlichen oder normativen Anforderungen abgleicht, etwa DSGVO, NIS2 oder ISO 27001.

Darauf aufbauend werden priorisierte Maßnahmenpläne entwickelt und bei der Umsetzung unterstützt, sei es durch die Erstellung von Richtlinien und Dokumentationen, die Durchführung von Mitarbeiterschulungen oder die Vorbereitung auf externe Audits und Zertifizierungen.

Telcon versteht Compliance nicht als bürokratischen Selbstzweck, sondern als Instrument zur dauerhaften Risikoreduktion und Wettbewerbsfähigkeit.

Business Continuity Management bezeichnet den systematischen Prozess, mit dem Unternehmen sicherstellen, dass kritische Geschäftsprozesse auch bei schwerwiegenden Störungen aufrechterhalten oder schnell wiederhergestellt werden können. Mögliche Auslöser sind Cyberangriffe, Naturkatastrophen, Stromausfälle, Lieferantenausfälle oder der Ausfall von Schlüsselpersonal.

BCM umfasst die Analyse kritischer Prozesse und deren Abhängigkeiten, die Entwicklung von Notfallplänen, die Einrichtung von Ausweichkapazitäten sowie die regelmäßige Übung und Aktualisierung der Pläne.

Ziel ist es, Ausfallzeiten und wirtschaftliche Schäden zu minimieren und die Handlungsfähigkeit des Unternehmens in Krisensituationen zu erhalten.

Die Erstellung eines Notfallplans folgt einem strukturierten Prozess. Zunächst werden im Rahmen einer Business-Impact-Analyse (BIA) die kritischsten Geschäftsprozesse identifiziert und bewertet: Welche Prozesse müssen wie schnell wiederhergestellt sein, damit das Unternehmen handlungsfähig bleibt?

Daraus leiten sich konkrete Wiederherstellungsziele ab (Recovery Time Objective und Recovery Point Objective). Auf dieser Basis werden für jedes kritische Szenario Notfallverfahren dokumentiert, inklusive klarer Zuständigkeiten, Kommunikationswege und Ausweichlösungen.

Der Plan muss verständlich, aktuell gehalten und für die relevanten Personen jederzeit zugänglich sein, auch wenn die primären IT-Systeme nicht verfügbar sind.

Die Aufrechterhaltung kritischer Prozesse im Ernstfall erfordert vorausschauende Planung auf mehreren Ebenen. Technisch bedeutet das redundante Systeme, regelmäßige und getestete Datensicherungen, georedundante Rechenzentren sowie dokumentierte Ausweichverfahren für den Fall, dass primäre Systeme nicht verfügbar sind.

Organisatorisch braucht es klare Rollenverteilungen, stellvertretende Zuständigkeiten und vorbereitete Kommunikationspläne für interne und externe Stakeholder. Entscheidend ist dabei, dass Ausweichlösungen nicht nur existieren, sondern auch funktionieren: Nur regelmäßig getestete und geübte Notfallpläne bieten im Ernstfall tatsächlich Sicherheit.

Die Häufigkeit von Notfallübungen hängt von der Kritikalität der Prozesse und der Risikoexposition des Unternehmens ab. Als Mindeststandard gilt eine vollständige Überprüfung aller Notfallpläne einmal jährlich sowie eine praktische Übung der wichtigsten Szenarien, zum Beispiel ein simulierter Ransomware-Angriff oder der Ausfall eines zentralen Systems.

Backup-Wiederherstellungen sollten mindestens vierteljährlich getestet werden, da viele Unternehmen erst im Ernstfall feststellen, dass ihre Backups unvollständig oder nicht wiederherstellbar sind. Nach wesentlichen Veränderungen in der IT-Infrastruktur oder den Geschäftsprozessen sind außerplanmäßige Tests sinnvoll.

Übungen sollten dokumentiert und ausgewertet werden.

Ausfallsicherheit schützt unmittelbar vor den wirtschaftlichen Folgen von Betriebsunterbrechungen: Umsatzausfall, Vertragsstrafen, Mehrkosten für Notfallbetrieb und Wiederherstellung können je nach Branche und Dauer des Ausfalls existenzbedrohend sein.

Darüber hinaus stärkt nachgewiesene Ausfallsicherheit das Vertrauen von Kunden, Partnern und Versicherern, und ist in vielen Branchen und bei öffentlichen Aufträgen eine explizite Anforderung. Unternehmen mit etabliertem BCM erholen sich nach Störungen nachweislich schneller und erleiden geringere Reputationsschäden.

Langfristig senken gut geplante Kontinuitätsmaßnahmen auch die Versicherungsprämien, da das tatsächliche Risikoprofil des Unternehmens verbessert wird.