Die paradoxe Natur der IT-Sicherheit

Estimated reading time: 5 Minuten

Die meisten IT-Sicherheitsmaßnahmen haben starke Imageprobleme. Sie sind wie gute Bremsen am Auto: Sie werden als selbstverständlich wahrgenommen – bis sie versagen. Kein Geschäftsführer würde sagen: „Wir brauchen keine Bremsen, ich will lieber mehr PS“. Doch bei IT-Sicherheit klingt es oft genau so: „Brauchen wir wirklich ein Security-Audit? Wir hatten doch noch nie ein Problem.“

Dieses und viele ähnliche Aussagen sind nicht selten – und sie sind menschlich. Wir Menschen reagieren auf sichtbare Bedrohungen, auf akute Schmerzen, auf LAUTE Alarmglocken. IT-Sicherheit hingegen wirkt präventiv und leise. Ihr größter Erfolg ist, wenn nichts passiert.

IT-Sicherheit rechnet sich nicht – oder etwa doch?

Sicherheit ist in vielen Unternehmen eine ungeliebte Investition. Kein unmittelbarer ROI, keine glänzenden Quartalszahlen, kein Lob vom Vertrieb. Stattdessen: zusätzliche Prozesse, längere Projektlaufzeiten, nervige Passwortwechsel und gesperrte USB-Ports. Dazu kommen regelmäßige Schulungen, die ohnehin niemand machen möchte.

Aber: Was kostet ein einziger Sicherheitsvorfall? Ein Ransomware-Angriff, der die Produktion für zwei Tage stilllegt? Ein Datenleck, das die Reputation beschädigt und DSGVO-Bußgelder nach sich zieht? Diese Kosten sind nicht nur hoch – sie sind oft existenzbedrohend. Und das ganze dauert oftmals nur wenige Sekunden.

Schäden durch Angriffe in Deutschland 2025

Veröffentlicht von Statista Research Department, 30.09.2025

Die Schadenssumme für die deutsche Wirtschaft steigt weiter und erreichte im Jahr 2025 einen Rekordwert von über 289 Milliarden Euro. Dies ist das Ergebnis einer Umfrage aus dem Jahr 2025 zu Schadenssummen, die aufgrund von Datendiebstahl, Industriespionage oder Sabotage in deutschen Unternehmen angefallen sind. Nach Selbsteinschätzung der befragten Unternehmen im Jahr 2025 entfielen 15,9 Milliarden Euro der hochgerechneten Gesamtschadenssumme in den letzten 12 Monaten auf Kosten für Erpressung mit gestohlenen Daten.

Cyberangriffe auf Unternehmen nehmen zu

Neben privaten Haushalten sind besonders Unternehmen im Visier von Cyberkriminellen. Im Fokus sind besonders kleine und mittlere Unternehmen. Dort können Phishing- oder Ransomware-Attacken existenzbedrohende Auswirkungen haben. Inzwischen lautet die Frage für Unternehmen nicht, ob, sondern wann sie Opfer von Cyberkriminalität werden.

Schadprogramme gefährden Unternehmen

Die Infizierung mit Schadsoftware ist die größte Bedrohung für Unternehmen in der deutschen Wirtschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert täglich eine Vielzahl von neuen Schadsoftware-Varianten. Neue Varianten sind noch nicht als Schadprogramme identifiziert und daher besonders gefährlich.

Quelle: Statista

Als Berater höre ich häufig: „Herr Bues, können Sie das Thema nicht ein bisschen leiser spielen? Wir wollen die Leute nicht verunsichern.“ Doch genau das ist der Punkt: Sicherheit darf nicht bequem sein. Sie muss Reibung erzeugen. Sie muss Prozesse hinterfragen, Privilegien beschneiden, Risiken offenlegen.

Und ja – das erzeugt oftmals Unbehagen. Aber dieses Unbehagen ist ein Zeichen dafür, dass wir auf einem relevanten Thema sitzen. Ein Unternehmen, das seine IT-Sicherheit nicht aktiv weiterentwickelt, überlässt seine Zukunft dem Zufall.

Und Zufall ist keine Strategie.

Warum Mittelstand und kleinere Konzerne besonders gefährdet sind

Große Konzerne haben Security-Abteilungen, externe Red Teams, Notfallpläne und eine professionelle Krisenkommunikation. Der Mittelstand hingegen kämpft oft mit personellen Engpässen, gewachsenen IT-Strukturen und einem Gefühl der trügerischen Sicherheit: „Warum sollten wir ein Ziel sein? Wir sind doch viel zu klein.“

Doch genau diese Unternehmen sind oftmals ein beliebtes Ziel für Angriffe. Automatisierte Angriffsketten, kompromittierte Dienstleister, Phishing durch interne Unachtsamkeit – die Einstiegshürden sind niedrig, die Schäden dafür umso größer. Von der negativen Außenwirkung mal abgesehen.

Was Sicherheitsberatende ändern müssen: Ein Plädoyer für mehr Sichtbarkeit

IT-Sicherheits-Bedrohungen müssen theoretisch erlebbar werden, um reale Auswirkungen besser zu verstehen. Es fehlt überwiegend das Verständnis für Eintrittswahrscheinlichkeit und Schadenauswirkung. Dadurch werden Themen heruntergespielt oder auf die Kosten-Ebene reduziert.

Als guter Einstieg dienen regelmäßige Schwachstellenprüfung der Netzwerke und die Auswertung von System-Logfiles wichtiger Netzwerkkomponenten. Mit diesen Daten lassen sich z.B. die Abhängigkeiten zwischen fehlender Systempflege und der Anzahl ausnutzbarer Schwachstellen besser erklären.  

Wir dürfen IT-Sicherheit nicht weiterhin als stilles Hintergrundrauschen behandeln und möglichst wenig darüber sprechen, weil es unangenehm oder langweilig ist. Wir riskieren dadurch im Worstcase den Totalverlust all unserer Daten.

Es ist Zeit für ein Umdenken:

  • Sicherheit muss als kontinuierlicher Prozess verstanden werden, nicht als einmaliges Projekt. Ein Risiko- und IT-Notfallmanagement sind keine Kür, sonder die Pflicht.
  • Sicherheitsmaßnahmen müssen kommuniziert und erklärt werden, nicht nur technisch implementiert. Mehr Aufmerksamkeit für Informationssicherheit und Datenschutz!
  • Verantwortung für IT-Sicherheit gehört in die Geschäftsführung, nicht nur in die IT-Abteilung. Es müssen Stabsstellen gegründet und Verantwortungsbereiche klar abgegrenzt werden.
  • Mitarbeitende müssen befähigt und eingebunden werden, nicht kontrolliert und bevormundet.

Fazit: IT-Sicherheit is nicht die Bremse, sie ist die Straße.

Wir müssen aufhören, IT-Sicherheit als Hindernis zu sehen. Sie ist die Voraussetzung dafür, dass Innovation, Digitalisierung und Wachstum überhaupt nachhaltig möglich sind. Wer heute in IT-Sicherheit investiert, investiert in die Handlungsfähigkeit von morgen.

Torben Bues

Meine Mission besteht darin, Menschen dabei zu unterstützen, robuste und effektive Sicherheitsmaßnahmen zu implementieren, um sensible Informationen zu schützen. Dabei versuche ich als IT-Deutsch-/ Deutsch-IT-Übersetzer eine Sprache nah bei der Anwender:in zu finden. Das gelingt mir häufig, aber nicht immer. Mit meiner Spezialisierung im Bereich „technischer Datenschutz“ führe ich nicht nur umfassende Audits und Sicherheitsüberprüfungen durch, sondern entwickle auch maßgeschneiderte Lösungen, die den individuellen Bedürfnissen und Anforderungen meiner Kunden gerecht werden. In meiner beruflichen Laufbahn habe ich fundierte Erfahrungen in der Identifizierung und Behebung von Sicherheitslücken gesammelt. Dabei liegt mein Fokus nicht nur auf der Technologie, sondern auch auf den organisatorischen Prozessen, die einen ganzheitlichen Ansatz für Informationssicherheit gewährleisten. Ich bin davon überzeugt, dass die Sicherheit von Unternehmensdaten nicht nur eine technische Angelegenheit ist, sondern eine strategische Priorität, die das gesamte Unternehmen durchdringen sollte. Daher arbeite ich eng mit Führungskräften und Teams zusammen, um ein tiefgreifendes Verständnis für ihre spezifischen Anforderungen zu entwickeln und Lösungen zu implementieren, die nicht nur den rechtlichen Anforderungen entsprechen, sondern auch einen nachhaltigen Schutz vor potenziellen Bedrohungen bieten. In meiner Rolle als Berater ist es meine Verpflichtung, Unternehmen dabei zu unterstützen, ein Sicherheitsniveau zu erreichen, das nicht nur die heutigen, sondern auch zukünftige Herausforderungen berücksichtigt. Durch kontinuierliche Weiterbildung und Anpassung an die sich ständig entwickelnde Bedrohungslandschaft strebe ich danach, meinen Kunden stets die bestmögliche Unterstützung im Bereich der Informationssicherheit zu bieten.