In vielen mittelständischen Unternehmen läuft das Thema IT-Sicherheit noch zu sehr unter dem Radar. Es fehlen zum Beispiel klare Rollenverteilungen, die nötige Transparenz sowie definierte Notfallpläne. Es gibt jedoch funktionierende Vorbilder aus dem KRITIS-Bereich und fünf Prinzipien, die sich sofort übernehmen lassen.
In puncto Cybersicherheit navigieren viele mittelständische Unternehmen im Blindflug. Laut einer Deloitte-Studie vom April 2025 fehlen 45 Prozent der befragten Unternehmen einheitliche Standards und konkrete Leitlinien für ihre Sicherheitsstrategie. Trotz wachsender Bedrohungslage mangelt es oft an einem strategischen Kompass und das in zunehmend digitalisierten Geschäftsmodellen. Der Mittelstand steht vor einer doppelten Herausforderung: Einerseits wächst der Druck durch neue Vorgaben wie NIS2 oder DORA, andererseits fehlen intern Zeit, Ressourcen und Fachwissen für eine tragfähige Sicherheitsarchitektur. Umso wichtiger ist es, sich an funktionierenden Vorbildern zu orientieren, statt das Security-Rad neu zu erfinden.
Eine solche Orientierung bietet der KRITIS-Sektor. Dort ist professionelles Sicherheitsmanagement bereits gelebte Praxis. Die Prozesse gehen oft über die gesetzlichen Mindestanforderungen hinaus. Sie sind keine Konzern-Spezifika, sondern vielfach modular übertragbar. Das gilt gerade für mittelständische Unternehmen mit begrenzten Ressourcen.
Diese fünf Prinzipien haben sich in der Praxis von KRITIS-Unternehmen als entscheidend erwiesen und könnten auch im Mittelstand den Unterschied machen:
IT-Sicherheit ist Führungsaufgabe – nicht IT-Aufgabe
Was in jedem Unternehmen Standard sein sollte, ist im KRITIS-Sektor bereits gang und gäbe: IT-Sicherheit ist kein untergeordnetes Thema der IT-Abteilung, sondern fest in die Gesamtstrategie integriert. Es gibt einen guten Grund dafür, denn wenn Ausfälle das Leben gefährden oder staatliche Versorgung beeinträchtigt werden könnte, müssendie Rollen klar verteilt sein. Governance, Verantwortlichkeiten und Budgets sind auf C-Level verankert. Der Mittelstand kann genau hier ansetzen. Laut Deloitte sehen zwar 73 Prozent der Unternehmen IT-Sicherheit als zentrale Aufgabe, doch nur ein kleiner Teil verankert sie operativ im Management. Ein umfassender organisatorischer Umbau ist dafür oft gar nicht nötig: Es reicht, Verantwortung sichtbar darzustellen, Entscheidungswege zu klären und das Thema ins Reporting zu holen. Ganz wie es KRITIS-Betriebe vormachen.
Monitoring ist mehr als eine Alarmglocke – es ist Business Intelligence
KRITIS-Unternehmen verlassen sich nicht mehr auf einfache Schwellenwert-Warnsysteme, sondern auf intelligentes Monitoring mit Korrelationen, Heuristiken und Anomalieerkennung. Dieses Monitoring ist nicht reaktiv, sondern lernend. Es beobachtet, klassifiziert und bewertet kontinuierlich. Sie setzen automatisierte Systeme ein, die kontinuierlich große Mengen an Log- und Netzwerkdaten auswerten. Laut Deloitte sind im Mittelstand hingegen nur 26 Prozent der Unternehmen in der Lage, verdächtige Aktivitäten zeitnah zu erkennen. Erprobte Monitoring-Konzepte aus dem KRITIS-Bereich lassen sich modular übernehmen und bieten Mittelständlern Sichtbarkeit.
Partnerschaftliche Sicherheit: Dienstleister sind keine Lieferanten
In der KRITIS-Welt haben externe Sicherheitsanbieter einen festen Platz in der Sicherheitsarchitektur – als Sparringspartner, Systemarchitekten und Krisenmanager. Dieses partnerschaftliche Modell ist auch für den Mittelstand essenziell. Statt reiner Produktlieferung unterstützen viele Dienstleister Unternehmen ganzheitlich: von der Architekturplanung über die Auswahl und Integration bis hin zu Betrieb und Weiterentwicklung. Solche Kooperationen eröffnen nicht nur Zugang zu aktuellem Know-how, sondern entlasten interne Ressourcen gezielt und fördern eine strategische Weiterentwicklung der Sicherheitsorganisation. Ein entscheidender Vorteil, gerade angesichts des Fachkräftemangels.
SOC ist kein Luxus, sondern Rückgrat moderner Sicherheitsarchitektur
Viele Unternehmen assoziieren ein Security-Operations-Center (SOC) mit Komplexität und hohen Kosten. Im KRITIS-Bereich ist das SOC – intern oder als Managed-Service – hingegen bereits etabliert. Es bildet das Rückgrat für Frühwarnung, Ereignisanalyse und orchestrierte Reaktion auf Angriffe. Nicht die Größe, sondern die Wirksamkeit zählt. Bewährte Dienstleistungsmodelle machen SOCs auch für kleinere Unternehmen realisierbar und erschwinglich.
Notfallpläne dürfen nicht nur auf dem Papier funktionieren
Unternehmen in der KRITIS-Kategorie verfügen im Ernstfall über klare Notfallpläne, die regelmäßig getestet, trainiert und aktualisiert werden. Diese Pläne definieren Recovery-Ziele (RTO/RPO), Eskalationswege, Rollen und Replikationsmechanismen. Durch praxisnahe Übungen und regelmäßige Audits wird sichergestellt, dass das Notfallmanagement gelebte Praxis wird. Ein IT-Ausfall betrifft schließlich auch andere Bereiche wie Logistik, Kommunikation, Personal und Kunden.
Fazit: Vom Nachzügler zum Vorreiter
KRITIS-Unternehmen zeigen, wie IT-Sicherheit als strategisches Fundament funktioniert: mit klaren Zuständigkeiten, durchdachten Prozessen und starken Partnern. Der Mittelstand muss nicht bei null beginnen. Wer bewährte Methoden übernimmt und anpasst, kann Sicherheitsdruck in Zukunftsfähigkeit umwandeln.
Von Maurice Kemmann, Geschäftsführer und Gründer von Cosanta, Teil der Plusserver-Gruppe
