“Bei uns ist doch nichts zu holen.” Diesen Satz höre ich regelmäßig, wenn ich mit Geschäftsführern kleiner und mittlerer Unternehmen über IT-Sicherheit spreche. Und genau dieser Gedanke macht sie zu perfekten Opfern.
Lassen Sie mich mit fünf hartnäckigen Irrtümern aufräumen, die ich in über 20 Jahren IT-Erfahrung immer wieder angetroffen habe – und die Unternehmen teuer zu stehen kommen können.
Irrtum 1: “Wir sind zu klein für Hacker”
Die Realität: Cyberkriminelle denken nicht in Unternehmensgrößen – sie denken in Angriffsvektoren. Ein automatisierter Scan interessiert sich nicht dafür, ob Sie 10 oder 10.000 Mitarbeiter haben. Er sucht nach offenen Türen.
Gerade kleine Unternehmen sind attraktiv, weil sie häufig:
- Keine dedizierte IT-Sicherheitsabteilung haben
- Veraltete Systeme im Einsatz halten
- Mitarbeiter nicht regelmäßig schulen
- Backup-Strategien vernachlässigen
Tipp: Automatisierte Angriffe treffen den Bäcker genauso wie den Großkonzern. Der Unterschied: Der Konzern hat ein Security-Team, das um 3 Uhr morgens reagiert.
Irrtum 2: “Wir haben eine Firewall, das reicht”
Die Realität: Eine Firewall ist wie eine Eingangstür – wichtig, aber nutzlos, wenn jemand durchs Fenster kommt. Moderne Angriffe nutzen:
- Phishing-Mails an Mitarbeiter (die Firewall sieht nur: “Ah, eine E-Mail, die darf rein”)
- Social Engineering (Anruf: “Hier ist die IT-Abteilung, ich brauche Ihr Passwort”)
- Kompromittierte Websites (selbst seriöse Seiten können gehackt werden)
- USB-Sticks auf dem Firmenparkplatz (“Oh, was ist das denn?")
Tipp: IT-Sicherheit ist wie ein Schweizer Käse – jede Schicht hat Löcher, aber die Löcher sollten sich nicht überlagern.
Irrtum 3: “Unsere Mitarbeiter würden nie auf Phishing reinfallen”
Die Realität: Doch. Werden sie. Ich habe erlebt, wie der CEO eines mittelständischen Unternehmens auf einen Fake-Link geklickt hat – obwohl er zwei Wochen vorher eine Schulung bekommen hatte.
Menschen sind keine Maschinen. Wir machen Fehler, besonders wenn:
- Wir unter Zeitdruck stehen
- Die E-Mail “vom Chef” zu kommen scheint
- Es um vermeintlich wichtige Themen geht (Gehalt, Kündigung, Steuer)
Tipp: Schulungen sind gut. Regelmäßige Phishing-Tests sind besser. Technische Maßnahmen, die Fehler abfangen, sind am besten.
Irrtum 4: “Ein Backup haben wir ja”
Die Realität: Ein Backup zu haben ist großartig. Aber können Sie mir sagen:
- Wann wurde es zuletzt getestet?
- Wie lange dauert eine komplette Wiederherstellung?
- Ist das Backup verschlüsselt und offline gespeichert?
- Wer hat Zugriff auf das Backup-System?
Ich habe Unternehmen erlebt, deren “Backup” sich als korrupte Dateien auf einer Festplatte im selben Serverraum entpuppte. Oder deren Cloud-Backup vom Angreifer mitgelöscht wurde, weil die Zugangsdaten im Browser gespeichert waren.
Tipp: Die 3-2-1-Regel: 3 Kopien, auf 2 verschiedenen Medien, 1 davon außer Haus. Und: Testen, testen, testen.
Irrtum 5: “Das passiert doch nur den anderen”
Die Realität: Laut BSI wurde 2024 jedes dritte deutsche Unternehmen Opfer eines erfolgreichen Cyberangriffs. Die Dunkelziffer ist vermutlich höher – nicht jeder gibt gerne zu, gehackt worden zu sein.
Die durchschnittlichen Kosten eines Ransomware-Angriffs für ein KMU:
- Lösegeldforderung: 50.000 - 200.000 EUR
- Betriebsausfall: oft höher als das Lösegeld
- Wiederaufbau der Systeme: 20.000 - 100.000 EUR
- Reputationsschaden: unbezahlbar
Tipp: Fragen Sie sich nicht “ob”, sondern “wann” – und bereiten Sie sich entsprechend vor.
Was können Sie jetzt tun?
- Bestandsaufnahme machen: Was haben Sie an IT? Was ist wie geschützt? Wo sind die Lücken?
- Prioritäten setzen: Nicht alles auf einmal, aber das Wichtigste zuerst (Backups, Patches, Mitarbeiterschulungen)
- Budget einplanen: IT-Sicherheit kostet Geld. Aber deutlich weniger als ein erfolgreicher Angriff.
- Experten hinzuziehen: Nicht jeder braucht einen Full-Time CISO – aber jeder braucht jemanden, der sich auskennt.
Sie möchten wissen, wie es um Ihre IT-Sicherheit steht? Ein ehrlicher Blick von außen hilft oft mehr als man denkt. Sprechen Sie mich an – das erste Gespräch kostet nichts außer etwas Zeit.