Warum IT-Sicherheit im schwäbischen Mittelstand längst Chefsache ist – und was hiesige Unternehmen jetzt verstehen müssen, um aktiv zu handeln. Eine Einordnung von Simon Schönauer und Rainer Schmidl.
Montagmorgen, 7.30 Uhr. In der Buchhaltung eines mittelständischen Betriebs irgendwo zwischen Nördlingen und Augsburg ploppt eine E-Mail auf, die nach Alltag aussieht: Tonfall vertraut, scheinbar bekannter Absender, der Betreff harmlos. „Kannst du das bitte schnell anweisen?“ Ein Betrag, keine riesige Summe, die sofort Alarm schlagen würde – eher etwas, das sich zwischen dem ersten Kaffee und dem ersten Telefonat noch rasch erledigen lässt. Die Mail ist gut. Zu gut. Und sie trifft auf das, was in vielen Betrieben längst zur neuen Normalität gehört: Zeitdruck, Routine, zu viele Parallelaufgaben. Es ist genau dieser Moment, in dem IT-Sicherheit nicht als Technikthema beginnt, sondern als Strukturfrage. Wer darf was freigeben? Wer prüft? Gibt es das Vier-Augen-Prinzip tatsächlich – oder nur „eigentlich“?
Dass Angriffe heute nicht mehr die Ausnahme sind, sondern sich fast täglich ereignen, wird meist oft erst sichtbar, wenn etwas nicht mehr funktioniert: wenn Systeme stehen, Daten fehlen, oder Zugänge blockiert sind. Dann erst zeigt sich, welchen Wert Dinge besitzen, die zuvor kaum als Vermögensfaktor wahrgenommen wurden: Passwörter, Zugänge, Prozesslogiken. „Wir erleben inzwischen auch hier in der Region nahezu wöchentlich Vorfälle“, sagt IT-Experte Rainer Schmidl. „Und es trifft längst nicht mehr nur die großen Konzerne. Auch kleinere Unternehmen geraten ins Visier.“
Schmidl und sein Geschäftsführungskollege Simon Schönauer befassen sich seit Jahrzehnten täglich mit genau diesen Szenarien. Mit ihrem Augsburger IT-Beratungsunternehmen Sonntag IT Solutions begleiten sie seit sechseinhalb Jahren gezielt mittelständische Betriebe, soziale Träger und Organisationen in Bayerisch-Schwaben bei Digitalisie- rung, Sicherheitsstrukturen und regulatorischen Anforderungen.
Kaum jemand kennt die typischen Schwachstellen, Missverständnisse und Versäumnisse der regionalen Unternehmensrealität so genau wie sie.
HIDDEN CHAMPIONS UND ANALOGE INSELN
Bayerisch-Schwaben zählt zu den dichtesten Mittelstandsregionen Europas: familiengeführte Unternehmen, Weltmarktführer in Nischen, hochspezialisierte Produktionen. Nach außen präsentieren sie Präzision – nach innen leider nicht immer. Während Maschinenparks digital vernetzt sind und Produkte global gesteuert werden, zeigt sich in Verwaltungsprozessen häufig ein anderes Bild. „Wir treffen auf sehr unterschiedliche Digitalisierungsgrade“, fasst es Geschäftsführer Simon Schönauer zusammen. „Unsere Kunden sind Profis in ihrem Kerngeschäft. In der Digitalisierung häufig nicht.“ Was dann sichtbar wird, wirkt wie ein Relikt und ist doch Gegenwart: Laufmappen. Rechnungen, Investitionsanträge oder Freigaben, die physisch durch Abteilungen wandern, von Schreibtisch zu Schreibtisch, unterschrieben, abgezeichnet, abgelegt. In manchen Betrieben liegt die aktuelle Liquiditätsübersicht nicht in einem System, sondern in einer Mappe, die gerade unterwegs ist. Wer sie benötigt, wartet. Oder sucht.
Gerade in Bayerisch-Schwaben entsteht daraus ein bemerkenswerter Kontrast. Unternehmen, die technologisch weltweit Maßstäbe setzen, steuern interne Verwaltungsprozesse weiterhin über Papierwege. „Wir sehen Betriebe, die sechsstellige Beträge über solche Laufmappen freigeben“, berichtet Simon Schönauer. „Ein Unternehmen ist noch nicht digital, wenn diese Mappe als PDF per E-Mail weitergeschickt wird.“ Denn das Format ändert nichts am Prinzip, wenn die Logik linear, personengebunden und intransparent bleibt. Wer hat was freigegeben? Wer wartet? Wo entsteht Verzögerung? Solche Strukturen sind nicht nur langsam – sie verhindern auch die notwendige Übersicht. Daten entstehen, aber sie sind nicht auswertbar. Und genau dort beginnt das Risiko: Wenn Unternehmen nicht erkennen, welche Informationen sie besitzen, wo diese liegen und wer darauf zugreift, lassen sich schwer Effizienz und Sicherheit zuverlässig herstellen.
DER IRRTUM: VOM TOOL ZUM DIGITALEN UNTERNEHMEN
Eine der größten Fehleinschätzungen im Mittelstand lautet: Digitalisierung gleich Softwareeinführung. „ Wir kaufen ein Tool, dann ist unser Problem gelöst – das ist ein Irrglaube in vielen Unternehmen“, erklärt Simon Schönauer. „Wenn ein Prozess schlecht angelegt ist und man ihn digitalisiert, wird er nicht besser.“ Was fehlt, ist das, was Berater „End-to-End-Denken“ nennen: der Blick auf die gesamte Wertschöpfungskette – vom ersten Kundenkontakt bis zur Abrechnung, vom Einkauf bis zur Archivierung. In der Praxis entstehen stattdessen Insellösungen: hier ein Rechnungstool, dort eine Excel-Liste, dazwischen E-Mails. Schattenprozesse entstehen und das Wissen bleibt personengebunden. Und genau dort öffnen sich Sicherheitslücken. Denn wer nicht weiß, wo Daten entstehen, wer sie verändert, wer Zugriff hat und wer nicht, kann sie auch nicht schützen. Parallel dazu verändert sich die technische Umsetzung von Digitalisierung. Viele Unternehmen gehen davon aus, dass komplexe Geschäfts- prozesse nur durch individuell programmierte Software abbildbar sind. Tatsächlich arbeiten heute auch große Organisationen mit sogenannten Low-Code-Plattformen – Baukastensystemen, mit denen Anwendungen schnell modelliert und angepasst werden können. „Die Grenze liegt nicht in der Technologie, sondern im Prozessverständnis“, betont Schönauer. Richtig eingesetzt, lassen sich mit den Tools auch umfangreiche End-to-End-Prozesse abbilden – schneller und flexibler als klassische Individualentwick- lung. Digitalisierung wird damit weniger zur Programmier- als zur Organisationsaufgabe.
WENN DATEN PLÖTZLICH WERT BEKOMMEN
„Unternehmen unterschätzen oft, welchen Wert ihre Daten haben“, erklärt IT-Experte Schönauer. „Bis sie weg sind.“ Erst dann wird sichtbar, dass Digitalisierung kein Komfortthema, sondern ein Resilienzthema ist. Produktionsplanung, Lieferketten, Kundenkontakte, Verträge – alles hängt an Datenstrukturen, die im Alltag unsichtbar bleiben und zugleich angreifbar sind. Hacker arbeiten heute längst automatisiert, skalierbar und KI-gestützt. Sie suchen nicht gezielt einzelne Großunternehmen, sondern durchforsten systematisch den gesamten Wirtschaftsraum nach Schwachstellen wie schwachen Passwörtern, fehlenden Mehrfaktor-Authentifizierungen, offenen Zugängen. „Die Unternehmensgröße spielt kaum eine Rolle“, ergänzt Rainer Schmidl. „Wenn die Hürde niedrig ist, kommt man hinein.“
ANGRIFF IM ALLTAG
Oft beginnt es unspektakulär: täuschend echte Phishing-Mails, Stimmen, die per KI imitiert werden, Nachrichten, die interne Kommunikationsstile kopieren. Selbst IT-Unternehmen erleben solche Angriffe regelmäßig. „Wenn wir neue Mitarbeitende öffentlich vorstellen, erhalten sie innerhalb weniger Stunden Phishing-Mails im Namen der Geschäftsführung“, berichtet Simon Schönauer. Die Methode dahinter: Social Engineering. Nicht die Technik wird angegriffen, sondern der Mensch. Vertrauen, Hierarchie und Arbeit unter Zeitdruck. Schutz entsteht deshalb weniger durch Firewalls als durch Strukturen: Rückfragen erlauben, Freigaben trennen, das Vier-Augen-Prinzip etablieren und Auffälligkeiten prüfen. „Sensibilisierung ist der wichtigste Faktor“, betont Schmidl im Gespräch mit der edition:schwaben. Wie konsequent solche Prinzipien umgesetzt werden können, zeigt ein Blick auf die eigene Arbeitsumgebung von Sonntag IT Solutions: Sämtliche Systeme und Arbeitsplätze sind cloudbasiert organisiert; lokale Datenbestände existieren bewusst nicht. Zugriffe erfolgen ausschließlich über mehrstufige Authentifizierungsverfahren, ergänzt durch zentral verwaltete, komplex generierte Passwörter und verbindliche Richtlinien für deren Zusammensetzung und Erneuerung. Firmeneigene Notebooks und Handys lassen sich im Verlustfall aus der Ferne sperren oder löschen.
Die Infrastruktur ist so angelegt, dass selbst bei einem Sicherheitsvorfall nur isolierte Teilbereiche betroffen wären und die Arbeitsfähigkeit jederzeit aus redundanten Cloud-Backups wiederhergestellt werden kann. „Als wir die Sonntag IT Solutions gegründet haben, haben wir unsere Umgebung so gebaut, wie wir sie unseren Kunden empfehlen“, beschreibt Rainer Schmidl den Ansatz. Viele Unternehmen gehen davon aus, dass ihre Daten sicher sind, solange sie physisch in europäischen Rechenzentren gespeichert werden. Tatsächlich entscheidet jedoch nicht nur der Speicherort, sondern vor allem die Zugriffsebene der genutzten Software. Liegen Anwendungen und Nutzerverwaltung bei großen US-Cloudanbietern, kann der Zugang im Extremfall zentral gesteuert oder eingeschränkt werden – unabhängig davon, wo die Daten gespeichert sind. „Die Abhängigkeit von internationalen Plattformen ist heute enorm“, ordnet Schmidl es ein. Politische Spannungen, Sanktionen oder Vertragskonflikte könnten theoretisch ausreichen, um Dienste kurzfristig per Mausklick zu blockieren. Für Unternehmen bedeutet das: Digitale Infrastruktur ist längst nicht mehr nur eine IT-Frage, sondern auch eine Frage von Kontrolle und Souveränität über die eigenen Geschäftsprozesse.
DIE NEUE REALITÄT: ANGRIFFE ALS DAUERZUSTAND
Die entscheidende Veränderung der letzten Jahre ist hierbei nicht die Technik, sondern die Frequenz. Cyberangriffe gehören inzwischen zum Betriebsrisiko. Täter bleiben oft monatelang un- bemerkt im firmeneigenen System, analysieren dabei gezielt die Abläufe, das Kommunikationsmuster der Angestellten und lernen so die Zahlungswege kennen. „Wenn dann ein Angriff erfolgt, ist er vorbereitet“, so Schmidl. „Dann ist meist alles betroffen.“ Backups helfen nur, wenn sie sauber getrennt sind. Wer hingegen unbemerkt bereits kompromittierte Daten sichert,spielt somit den Angreifern in die Hände. Und wird nach der ersten Zahlung in manchen Fällen bereits direkt am nächsten Tag wieder zur Kasse gebeten. Für Unternehmen bedeutet das: Sie müssen in die Prävention investieren, wenn sie sich von Hackern – im schlimmsten Fall – nicht zu immer neuen Zahlungen drängen lassen wollen.
REGULIERUNG ALS WECKRUF UND DRUCK AUS DER LIEFERKETTE
Mit der europäischen Richtlinie NIS-2 rückt IT-Sicherheit endgültig aus der technischen Nische in die Unternehmensverantwortung. Die Vorgaben verpflichten deutlich mehr mittelständische Betriebe, Risiken systematisch zu erfassen, Schutzmaßnahmen zu dokumentieren und Sicherheitsvorfälle fristgerecht zu melden. Für viele Unternehmen in der Region ist bereits die erste Frage anspruchsvoll: Fallen wir überhaupt darunter? „Die Betroffenheit hängt von Branche, Größe und Rolle in der Lieferkette ab“, erklärt Rainer Schmidl.
Pia Hart (Text) und Daniel Biskup (Fotos)
Die Leseprobe war zu kurz?