Jede Woche höre ich von einem Unternehmen, das von einer Cyberattacke lahmgelegt wurde. Server verschlüsselt, Daten futsch, Kunden warten. Und jedes Mal dieselbe Ausrede: „Damit haben wir nicht gerechnet.“ Tja – aber vorbereitet war man auch nicht.
Hier die wichtigsten Punkte, damit das nicht so schnell passiert:
1. Cybersecurity beginnt mit Strategie
Wer Cyberrisiken ernst nimmt, braucht eine klare Strategie. Welche Systeme sind kritisch? Welches Unternehmen in der Lieferkette ist für mich kritisch? Bin ich selbst als Teil einer Lieferkette ein kritisches Element für meine Kunden? Wie lange halten wir einen Ausfall aus? Wer übernimmt im Notfall welche Rolle? Das sind Fragen, die nicht erst nach einem Angriff geklärt werden sollten.
2. Die Lieferkette ist nur so stark wie ihr schwächstes Glied
Oft reicht ein Angriff auf ein kleineres Partnerunternehmen – und die eigene Produktion steht. Wer solche Abhängigkeiten kennt und Alternativen plant, ist besser geschützt.
3. Zusammenarbeit mit Lieferanten ist kein Nice-to-have
Offene Kommunikation mit Partnern über deren Sicherheitsstandards ist essenziell. Nur wenn alle an einem Strang ziehen, funktioniert der Schutz der Lieferkette.
4. Ohne klare Regeln läuft nichts
Eine gute Strategie bringt nichts, wenn sie nicht gelebt wird. Klare Richtlinien und Verhaltensregeln sorgen dafür, dass Sicherheit im Alltag mitgedacht wird – technisch, organisatorisch und menschlich.
5. Was nicht messbar ist, kann man nicht verbessern
Führende Unternehmen nutzen einfache Kennzahlen, um Fortschritte sichtbar zu machen – etwa Schulungsquoten oder wie schnell Sicherheitsupdates eingespielt werden. Das schafft Transparenz.
6. Business Continuity heißt: handlungsfähig bleiben
Ein Brand kann Teile der Produktion lahmlegen – ein Cyberangriff genauso. Deshalb braucht es Pläne, wie der Betrieb trotz IT-Ausfall weitergehen kann. Mit Alternativen, mit klaren Abläufen – im Zweifel sogar ohne Computer.
7. Notfallpläne enden nicht am Werkszaun
Auch übergreifend muss klar sein: Wer wird wann informiert? Welche Schritte folgen? Unternehmen, die solche Pläne mit ihren Partnern abstimmen und regelmäßig testen, handeln im Ernstfall nicht kopflos.
8. Notfälle übt man – sonst klappt es im Ernstfall nicht
Notfallpläne müssen geübt werden. Wie beim Feueralarm. Unternehmen, die regelmäßig Cybersecurity-Simulationen durchführen, reagieren schneller, sicherer und koordiniert. Und genau darum geht es.
9. Moderne IT senkt das Risiko
Komplexe Alt-Systeme sind schwer zu sichern. Wer seine IT modernisiert, gewinnt Übersicht, reduziert Angriffsflächen und kann Sicherheitskonzepte wie „Zero Trust“ besser umsetzen.
10. Zugriffsrechte müssen klar geregelt sein
Wer darf auf was zugreifen – und warum? Diese Frage muss jederzeit beantwortbar sein. Auch Maschinen und Systeme brauchen eigene Identitäten mit begrenzten Rechten.
11. Admin-Zugänge besonders absichern
Angreifer zielen auf Konten mit vielen Rechten. Diese müssen besonders geschützt und überwacht werden – inklusive Protokollierung aller Aktivitäten. Nur so lässt sich im Ernstfall schnell nachvollziehen, was passiert ist.
12. Der Mensch bleibt entscheidend Ein falscher Klick kann reichen. Wer seine Mitarbeitenden regelmäßig schult, verringert das Risiko deutlich. Cyberkriminelle nutzen Stress und Unsicherheit – Schulung hilft, genau da gegenzusteuern.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.