Thought Leadership
Cyberangriffe auf den Mittelstand werden professioneller, gezielter und schwerer erkennbar.
Christian Gorecki, Mitglied der Geschäftsleitung bei WIRmachenDRUCK, erklärt, warum Identitäten, Cloud-Dienste und legitime Tools zunehmend zum Einfallstor werden und weshalb Unternehmen mit mehr Security-Software allein ihre Widerstandsfähigkeit nicht erhöhen.
1. Welche konkreten Angriffsmuster sehen Sie aktuell im Mittelstand und wo hat sich die Bedrohungslage operativ am stärksten verschoben?
Die Bedrohungslage hat sich vor allem in zwei Dimensionen verändert: Professionalisierung und Industrialisierung. Angriffe sind heute weniger opportunistisch, sondern hochgradig organisiert – oft arbeitsteilig über „as-a-Service“-Modelle wie Ransomware-as-a-Service oder Initial Access Broker.
Im Mittelstand sehen wir aktuell besonders häufig folgende Angriffsmuster:
– Identity-basierte Angriffe (Credential Theft, MFA-Bypass, Session Hijacking)
– Phishing 2.0 – stark personalisiert, teilweise KI-generiert und schwer erkennbar
– Supply-Chain-Angriffe, z. B. über Dienstleister oder Software-Updates
– Ransomware mit doppelter Erpressung (Datenexfiltration + Verschlüsselung)
Die größte operative Verschiebung ist: Angreifer gehen nicht mehr primär über klassische Schwachstellen in Infrastruktur, sondern über Identitäten, SaaS und legitime Tools („Living off the Land“). Das macht viele Angriffe schwerer erkennbar, weil sie sich wie normales Nutzerverhalten tarnen.
2. Wo investieren Unternehmen sichtbar und wo entstehen dadurch neue blinde Flecken in Architektur oder Betrieb?
Viele Unternehmen investieren stark in Tools – insbesondere in EDR/XDR, SIEM und Perimeter-Security. Das ist grundsätzlich sinnvoll, führt aber zu drei typischen blinden Flecken:
1) Identity & Access Management (IAM) wird oft unterschätzt oder nur fragmentiert umgesetzt
2) SaaS- und Cloud-Visibility ist lückenhaft – insbesondere Schatten-IT und Fehlkonfigurationen
3) Operationalisierung: Tools sind vorhanden, aber nicht sauber integriert oder personell betreut
Ein häufiger Effekt ist „Tool Sprawl“: Viele Lösungen, aber keine durchgängige Architektur oder klare Verantwortlichkeiten. Dadurch entstehen neue Risiken, z. B. durch falsch konfigurierte Security-Tools oder fehlende Reaktionsprozesse.
Der größte blinde Fleck ist oft nicht Technologie, sondern die fehlende Verzahnung von Detection und Response.
3. An welchen Stellen scheitern Security-Initiativen heute konkret in der Umsetzung, trotz vorhandener Budgets und Tools?
Die größte Herausforderung sind eindeutig Menschen und Prozesse, nicht Technologie.
Typische Scheiterpunkte:
– Fachkräftemangel und fehlende Security-Expertise in der Breite
– Unklare Verantwortlichkeiten zwischen IT, Security und Fachbereichen
– Zu komplexe Prozesse, die im Alltag nicht gelebt werden
– Fehlende Priorisierung durch das Management, trotz Budget
Viele Organisationen haben die Tools, aber nicht die Fähigkeit, daraus wirksame Sicherheitsprozesse abzuleiten. Security scheitert oft daran, dass sie nicht ausreichend in operative Abläufe integriert ist.
4. Wie lässt sich Security messbar als Business Enabler positionieren, jenseits von Compliance und Risikovermeidung?
Security wird dann akzeptiert, wenn sie Geschwindigkeit ermöglicht statt verlangsamt.
Erfolgsfaktoren:
– Security by Design statt nachgelagerter Prüfungen
– Automatisierung (z. B. in CI/CD-Pipelines, Identity-Prozessen)
– Klare, businessnahe KPIs, z. B.: Time-to-Detect / Time-to-Respond, Reduktion von Angriffsflächen, Verfügbarkeit kritischer Systeme
Security kann als Business Enabler positioniert werden, wenn sie z.B.:
– schnellere Markteinführung ermöglicht (durch standardisierte, sichere Plattformen)
– Kundentrust erhöht (z. B. bei datengetriebenen Geschäftsmodellen)
– Lieferkettenfähigkeit sicherstellt (Security als Wettbewerbsvorteil)
Wichtig ist, Security nicht als Kontrollinstanz, sondern als Service-Funktion zu etablieren.
5. Welche konkreten Auswirkungen erwarten Sie durch europäische Initiativen (z. B. NIS2, digitale Souveränität) auf die Security-Strategien im Mittelstand?
Europa wird eine deutlich stärkere Rolle als regulatorischer und strategischer Taktgeber einnehmen.
Initiativen wie NIS2 führen zu:
– höherem Mindest-Sicherheitsniveau im Mittelstand
– klareren Governance-Strukturen (z. B. Verantwortung auf Geschäftsführungsebene)
– mehr Reporting- und Nachweispflichten
Digitale Souveränität wird dazu führen, dass:
– Cloud- und Lieferketten stärker hinterfragt werden
– europäische Anbieter an Bedeutung gewinnen
– Datenhaltung und -kontrolle strategischer werden
Für den Mittelstand bedeutet das: Security wird von einem IT-Thema zu einem unternehmensweiten Steuerungsthema.
6. Welche drei Maßnahmen sollten Unternehmen kurzfristig priorisieren, um ihr Sicherheitsniveau signifikant zu erhöhen?
1.) Angriffsfläche reduzieren:
– Asset-Transparenz schaffen
– Patch- und Vulnerability-Management priorisieren
– Unnötige Zugänge und Systeme konsequent abbauen
2.) Identity Security stärken:
– MFA flächendeckend und phishing-resistent
– Least-Privilege konsequent umsetzen
– Monitoring von Anomalien bei Logins
3.) Detection & Response professionalisieren
Klare Incident-Response-Prozesse
24/7 Monitoring (intern oder extern)
Regelmäßige Übungen (Tabletop, Red Teaming)
7. Welche Security-Themen werden in den nächsten 12–24 Monaten überschätzt und welche unterschätzt?
Überschätzt:
– Reine Tool-Investitionen ohne organisatorische Reife
– „AI als Silver Bullet“ in der Security
– Vollständige Prävention als realistisches Ziel
Unterschätzt:
– Application Security bzw. SSDLC, wenn nicht Techniker verschiedene Vibe Coding Ansätze nutzen
– Resilienz (z. B. Backup-Strategien, Wiederanlaufzeiten)
– Menschlicher Faktor, insbesondere Social Engineering
Die nächsten Jahre werden weniger von neuen Technologien geprägt sein, sondern davon, wie gut Unternehmen bestehende Sicherheitsmaßnahmen konsequent und integriert umsetzen.
