IT-Resilienz - was ist das eigentlich? Als IT-Resilienz bezeichnet man die Fähigkeit der IT(-Infrastruktur), auf Störungen (wie z.B. Cyberangriffe, technische Ausfälle, Katastrophen) zu reagieren und trotz dieser zu funktionieren bzw. schnellstmöglich zu einem stabilen, funktionierenden Zustand zurückzukehren.
Warum ist IT-Resilienz so wichtig? Während die Wahrscheinlichkeit für technische Ausfälle bei geeigneter Wartung und gutem Betrieb nicht signifikant steigt, hat sich die Bedrohungslage für die Wirtschaft der DACH-Region in den vergangenen Jahren massiv verschärft. Gründe dafür sind:
- Vermehrte Naturkatastrophen durch den Klimawandel (fragt mal in Stolberg oder im Ahrtal nach, wie das Hochwasser bei der Digitalisierung geholfen hat)
- Kommerzialisierung der Cyberangriffe
- Hybride Kriegsführung
Doch warum kümmert man sich im Mittelstand so wenig um das Thema Resilienz?
Meine These: das Schadenspotenzial und die Eintrittswahrscheinlichkeit werden auf Entscheiderebene grundlegend unterschätzt. Frei nach dem Motto: "Wir sind so klein, wir fliegen unter dem Radar!" Aber das ist falsch! Das BSI schreibt hierzu im Lagebericht der IT-Sicherheit in Deutschland 2025.
"[...]Flächendeckende Resilienz der kleinen und mittleren Unternehmen (KMU) in Deutschland bleibt eine große Herausforderung. Vielen mangelt es nicht nur an Wissen und Fähigkeiten zur IT-Sicherheit, sondern bereits an der grundlegenden Einsicht, dass sie sehr wohl ein lohnendes Ziel für Cyberangriffe darstellen. Hintergrund dürfte eine grundlegende Fehleinschätzung der Bedrohungs- und Gefährdungslage sein: Für cyberkriminelle Angreifer sind weder Umsatz noch Branche ausschlaggebende Kriterien der Zielauswahl, sondern der Aufwand für den Angriff muss in einem günstigen Verhältnis zum erwarteten Nutzen stehen. Und dieser Aufwand steigt, je besser potenzielle Ziele geschützt sind. Angreifer suchen daher gezielt nach den verwundbarsten Angriffsflächen, denn auch Angriffe gerade auf kleine und Kleinstunternehmen lohnen sich, wenn der Aufwand vergleichsweise gering ist. Ziel für alle KMU muss es also sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. [...] "
Im Klartext: ein großes Unternehmen muss immer auf dem absoluten Toplevel der IT-Security spielen, um es dem Angreifer so schwer zu machen, dass sich der Angriff trotz großer Beute nicht lohnt. Ein KMU könnte hingegen auf einen gut etablierten, preiswerten Sicherheitsstandard zurückgreifen und damit das Aufwands-Nutzen-Verhältnis so verschieben, dass es für Angreifer unattraktiv wird. Und trotzdem wird selbst das nicht getan!
Das ist grob fahrlässig, denn laut aktuellen Studien finden rund 80% der erfolgreichen Cyberangriffe auf kleine und mittlere Unternehmen statt. Der gesamte volkswirtschaftliche Schaden durch Cyberangriffe wird auf rund 280 Milliarden EUR beziffert. Das entspricht 6,6% des BIP(!!!).
Was ist also dieses "Bare Minimum", das vom mittelständischen Rückgrat der DACH-Wirtschaft versäumt wird? E-Mail-Security gehört mit Sicherheit dazu, stellt aber nur eine von mehreren Säulen der IT-Security und IT-Resilienz dar. Welche Elemente für ein KMU zu einer soliden Resilienz-Strategie gehören, werde ich in einem nachfolgenden Artikel beschreiben. Und BTW: in der zweiten Hälfte des Januar '26 startet die dritte Episode unseres Podcasts "Cloud. Aber sicher!" mit dem Thema IT-Resilienz. Hört mal rein!
IT-Resilienz ist auch Thema in unserem Podcast „Cloud – aber sicher!“. Jetzt reinhören!
Wie sehr ihr das Thema IT-Resilienz im Mittelstand? Kennt ihr auch solche Beispiele? Oder ist aus eurer Sicht im KMU Segment alles in Ordnung? Ich freue mich auf eine angeregte Diskussion!
.png)
