von Maurice Kemmann, Geschäftsführer und Gründer Cosanta GmbH, Teil der plusserver-Gruppe
Die größte Schwachstelle der Cybersicherheit liegt oft im Verborgenen: mangelnde Sichtbarkeit. Die neue TÜV-Studie zeigt, dass viele Unternehmen keinen Überblick über ihre eigene IT-Landschaft haben – dabei wäre genau das die Voraussetzung für Schutz, Resilienz und wirtschaftliche Stabilität.
In vielen deutschen IT-Abteilungen herrscht mehr Unsicherheit als Kontrolle. Eine aktuelle Cybersecurity-Studie des TÜV-Verbands zeigt das Ausmaß: 82 Prozent der befragten Unternehmen haben keinen vollständigen Überblick über ihre IT-Systeme und Anwendungen. Gleichzeitig bewerten 65 Prozent ihre eigene Cybersicherheit als nicht ausreichend. Was auf den ersten Blick wie ein internes Technikproblem wirkt, entpuppt sich bei genauerem Hinsehen als existenzielle Gefahr.
Denn wer nicht weiß, welche Systeme laufen, wo Daten gespeichert sind, und welche Abhängigkeiten bestehen, hat keine Kontrolle über die eigene IT. Durch diese Intransparenz riskieren Entscheider die Handlungsfähigkeit ihrer Unternehmen. Ohne Klarheit über die eigenen Strukturen lassen sich weder Angriffe wirksam abwehren noch im Ernstfall schnell reagieren. Unternehmen setzen damit nicht nur sensible Informationen aufs Spiel, sondern gefährden auch ihre Produktionsfähigkeit, ihre Lieferketten und letztlich ihre unternehmerische Handlungsfreiheit. Gerade im Mittelstand ist das besonders kritisch, da IT zunehmend die Grundlage wirtschaftlicher Stabilität und Wettbewerbsfähigkeit bildet.
KRITIS als strukturelles Vorbild
Ein realistisches Vorbild ist der KRITIS-Sektor. Er arbeitet seit Jahren mit höchsten Sicherheitsstandards. Sie tun das nicht nur aus regulatorischer Notwendigkeit, sondern meist aus Überzeugung. Denn für diese Organisationen bedeutet ein IT-Ausfall einen Versorgungsausfall mit ernsthaften Auswirkungen für Menschen und Infrastrukturen.
Transparenz ist dort keine Option, sondern die Grundlage der gesamten IT-Infrastruktur. Und das nicht nur, weil es gesetzlich gefordert ist, sondern aus Überzeugung. KRITIS-Unternehmen wissen: Ohne vollständige Sicht auf Systeme, Datenflüsse und Abhängigkeiten sind effektive Sicherheit und ein souveräner Betrieb unmöglich. Nur durch Transparenz wird die gesamte IT planbar, überprüfbar und vor allem steuerbar.
Klare Prioritäten statt Einzelmaßnahmen
Wo Intransparenz vorherrscht, steigt zudem das Sicherheitsrisiko. Ohne systematische Bestandsaufnahme lassen sich Risiken weder identifizieren noch priorisieren. Zwar investieren viele mittelständische Unternehmen grundsätzlich in IT-Security, doch oft fehlt eine klare Vorstellung davon, wo konkret angesetzt werden muss.
Drei konkrete Prioritäten sollten im Zentrum jeder Sicherheitsstrategie stehen, denn nur so kann man sich am besten gegen Risiken wappnen. Erstens die systematische Erfassung der gesamten IT-Landschaft, um kritische Systeme und Abhängigkeiten zu identifizieren. Zweitens die klare Definition von Zuständigkeiten, damit im Ernstfall keine wertvolle Zeit durch Kompetenzgerangel verloren geht. Drittens sollten regelmäßige Audits etabliert werden, um Schwachstellen aufzudecken und Verbesserungsprozesse anzustoßen. Diese strukturelle Basis ist unverzichtbar, denn nur darauf aufbauend können operative Maßnahmen wie Monitoring, Zugriffskontrollen, Backups oder Notfallpläne ihre volle Wirkung entfalten. Sicherheit und digitale Souveränität entstehen nicht durch Einzelmaßnahmen, sondern durch eine durchdachte, priorisierte Strategie, die diesen drei Prioritäten folgt.
Partnerschaft und intelligente Strukturen
Zudem zeigt sich im KRITIS-Bereich, dass zuverlässige Netzwerke im doppelten Sinn entscheidend sind. Einerseits bezogen auf die technische Komponente, andererseits auf externe Dienstleister, die als strategische Partner fungieren. Externe Dienstleister werden dort nicht als reine Produktlieferanten betrachtet, sondern als strategische Partner. Sie wirken an Architekturentscheidungen mit, unterstützen bei der Umsetzung und stehen auch im Krisenfall bereit. Dieses Modell stärkt nicht nur die Reaktionsfähigkeit, sondern entlastet auch die internen Ressourcen – ein entscheidender Vorteil, insbesondere angesichts des branchenübergreifenden Fachkräftemangels.
Ein weiterer Aspekt ist das Thema Monitoring. Während in vielen Unternehmen noch immer schwellwertbasierte Warnsysteme dominieren, setzen kritische Infrastrukturen auf lernende Systeme, die mit Korrelationen, Heuristiken und Anomalieerkennung arbeiten. Auch hier gilt: Die Technologien sind nahezu überall vorhanden und viele Ansätze lassen sich modular sowie ressourcenschonend in bestehende IT-Landschaften integrieren.
Nicht minder relevant ist das Security Operations Center (SOC), das im KRITIS-Umfeld längst etabliert ist – entweder als interne Lösung oder als Managed Service. In einem SOC überwachen und analysieren IT-Sicherheitsexpertinnen und -experten rund um die Uhr Sicherheitsereignisse und reagieren entsprechend. Es bildet das Rückgrat einer Sicherheitsstrategie, die nicht nur Angriffe erkennt, sondern auch eine koordinierte Reaktion ermöglicht. Für den Mittelstand bietet sich hier eine pragmatische Lösung an: SOC-as-a-Service-Modelle ermöglichen ein hohes Sicherheitsniveau bei klar kalkulierbaren Kosten.
Und schließlich sind Notfallpläne im KRITIS-Bereich keine Theorie, sondern gelebter Alltag. Sie werden regelmäßig geübt, optimiert und an neue Bedrohungsszenarien angepasst. Dabei geht es nicht nur um IT-Parameter wie Recovery-Zeiten und Backup-Pfade, sondern auch um klare Rollenverteilungen, Eskalationsstufen und Kommunikationsketten. Dieses Maß an Vorbereitung verhindert im Ernstfall das Chaos.
Vom Blindflug zur strategischen Stärke
Die TÜV-Studie benennt die Schwachstellen, und KRITIS-Unternehmen zeigen mögliche Wege aus der Unsicherheit. Wer Transparenz über seine IT schafft, Verantwortung klar im Management verankert, auf intelligente Überwachung setzt und gezielt externe Expertise einbindet, legt eine tragfähige Grundlage für mehr digitale Kontrolle. Das reduziert nicht nur Risiken und hilft, regulatorische Anforderungen zu erfüllen, sondern stärkt auch die Widerstandsfähigkeit der IT-Infrastruktur.
Gleichzeitig gilt: Digitale Souveränität geht über Cybersicherheit hinaus. Ein Security Operations Center schützt vor Angriffen, aber nicht vor politischem Zugriff auf Daten oder fehlenden Software-Updates aus dem Ausland. Wirkliche digitale Unabhängigkeit erfordert daher zusätzlich strukturelle, rechtliche und technologische Weichenstellungen. Nur in diesem Zusammenspiel wird Cybersicherheit zu einer strategischen Stärke und zu einem Element einer resilienten, souveränen Unternehmenszukunft.
Über den Autor:
Maurice Kemmann hat über 30 Jahre Erfahrung in der IT-Sicherheit und 2022 Cosanta gegründet. Mit einem eigenen Security Operation Center (SOC) spezialisierte sich das Unternehmen auf die Sicherheitsbedürfnisse von KRITIS-Unternehmen. Durch ein neues Joint Venture mit plusserver sind diese Leistungen nun auch für den Mittelstand verfügbar und entsprechen den Anforderungen der NIS2-Richtlinie.
Weitere Artikel zum Schwerpunkt „Security“