Mittelstand: KRITIS-Prinzipien als Inspiration für strukturierte IT-Sicherheit

Derweil noch viele mittelständische Unternehmen auf der Suche nach der passenden IT-Sicherheitsstrategie sind, wird das Umfeld offenkundig immer komplexer – neue Regulierungen wie z.B. NIS-2 oder DORA erhöhen den Druck, nicht nur auf große KRITIS-Betreiber

[datensicherheit.de, 06.08.2025] Derweil noch viele mittelständische Unternehmen auf der Suche nach der passenden IT-Sicherheitsstrategie sind, wird das Umfeld offenkundig immer komplexer: Neue Regulierungen wie NIS-2 oder DORA erhöhten den Druck – gleichzeitig fehlten intern häufig die nötigen Ressourcen, Strukturen oder klaren Zuständigkeiten. Im Ergebnis bleibe die IT-Sicherheit Stückwerk – und dies in zunehmend digitalisierten Geschäftsmodellen. Maurice Kemmann, Geschäftsführer der Cosanta GmbH, Teil der plusserver-Gruppe, betont in seiner aktuellen Stellungnahme, dass es dabei funktionierende Vorbilder gebe. Unternehmen aus dem KRITIS-Sektor seien seit Jahren dazu verpflichtet, hohe Sicherheitsstandards umzusetzen: Dies umfasse klare Rollen, durchdachte Prozesse und ein gelebtes Notfallmanagement. Fünf dieser Prinzipien lassen sich demnach direkt auf mittelständische Strukturen übertragen – und zwar ganz ohne Konzernbudgets.

KRITIS-Betriebe als funktionierende Vorbilder für IT-Sicherheit – auch für den Mittelstand

In vielen mittelständischen Unternehmen läuft IT-Sicherheit noch zu sehr unter dem Radar

Kemmann führt aus: „In vielen mittelständischen Unternehmen läuft das Thema IT-Sicherheit noch zu sehr unter dem Radar. Es fehlen zum Beispiel klare Rollenverteilungen, die nötige Transparenz sowie definierte Notfallpläne. Es gibt jedoch funktionierende Vorbilder aus dem KRITIS-Bereich und fünf Prinzipien, die sich sofort übernehmen lassen.“

• In puncto Cybersicherheit navigierten viele mittelständische Unternehmen im „Blindflug“. Laut einer Deloitte-Studie vom April 2025 fehlten 45 Prozent der befragten Unternehmen einheitliche Standards und konkrete Leitlinien für ihre Sicherheitsstrategie. Trotz wachsender Bedrohungslage mangele es oft an einem strategischen Kompass – und das in zunehmend digitalisierten Geschäftsmodellen.

Der Mittelstand stehe vor einer doppelten Herausforderung: „Einerseits wächst der Druck durch neue Vorgaben wie NIS-2 oder DORA, andererseits fehlen intern Zeit, Ressourcen und Fachwissen für eine tragfähige Sicherheitsarchitektur.“ Umso wichtiger sei es, sich an funktionierenden Vorbildern zu orientieren, statt das „Security-Rad“ neu zu erfinden.

5 entscheidende Prinzipien für IT-Sicherheit in der Praxis von KRITIS-Unternehmen als Vorbild

Eine solche Orientierung biete der KRITIS-Sektor. „Dort ist professionelles Sicherheitsmanagement bereits gelebte Praxis“, unterstreicht Kemmann. Die Prozesse gingen oft über die gesetzlichen Mindestanforderungen hinaus.

• Sie seien keine Konzern-Spezifika, sondern vielfach modular übertragbar. „Das gilt gerade für mittelständische Unternehmen mit begrenzten Ressourcen.“

Nachfolgend ausgeführte fünf Prinzipien haben sich laut Kemmann in der Praxis von KRITIS-Unternehmen als entscheidend erwiesen und könnten auch im Mittelstand den Unterschied in IT-Sicherheitsfragen machen:

1. KRITIS-Prinzip: IT-Sicherheit keine IT-, sondern Führungsaufgabe!

Was in jedem Unternehmen Standard sein sollte, sei im KRITIS-Sektor bereits gang und gäbe: IT-Sicherheit sei kein untergeordnetes Thema der IT-Abteilung, sondern fest in die Gesamtstrategie integriert. Es gebe einen guten Grund dafür, „denn wenn Ausfälle das Leben gefährden oder staatliche Versorgung beeinträchtigt werden könnte, müssendie Rollen klar verteilt sein“.

• „,Governance‘, Verantwortlichkeiten und Budgets sind auf C-Level verankert.“ Der Mittelstand könne genau dort ansetzen. Laut Deloitte sähen zwar 73 Prozent der Unternehmen IT-Sicherheit als zentrale Aufgabe, doch nur ein kleiner Teil verankere sie operativ im Management.

Ein umfassender organisatorischer Umbau sei dafür oft gar nicht nötig: „Es reicht, Verantwortung sichtbar darzustellen, Entscheidungswege zu klären und das Thema ins Reporting zu holen. Ganz wie es KRITIS-Betriebe vormachen.“

2. KRITIS-Prinzip: Monitoring mehr als eine Alarmglocke – nämlich „Business Intelligence“!

KRITIS-Unternehmen verließen sich nicht mehr auf einfache Schwellenwert-Warnsysteme, sondern auf intelligentes Monitoring mit Korrelationen, Heuristiken und Anomalieerkennung.

• „Dieses Monitoring ist nicht reaktiv, sondern lernend. Es beobachtet, klassifiziert und bewertet kontinuierlich. Sie setzen automatisierte Systeme ein, die kontinuierlich große Mengen an Log- und Netzwerkdaten auswerten.“

Laut Deloitte seien im Mittelstand hingegen nur 26 Prozent der Unternehmen in der Lage, verdächtige Aktivitäten zeitnah zu erkennen. Erprobte Monitoring-Konzepte aus dem KRITIS-Bereich ließen sich modular übernehmen und böten auch Mittelständlern Sichtbarkeit.

3. KRITIS-Prinzip: Partnerschaftliche Sicherheit bindet Dienstleister ein!

In der KRITIS-Welt hätten externe Sicherheitsanbieter einen festen Platz in der Sicherheitsarchitektur – als Sparringspartner, Systemarchitekten und Krisenmanager. Dieses partnerschaftliche Modell sei auch für den Mittelstand essenziell.

• Statt reiner Produktlieferung unterstützten viele Dienstleister Unternehmen ganzheitlich – von der Architekturplanung über die Auswahl und Integration bis hin zu Betrieb und Weiterentwicklung.

„Solche Kooperationen eröffnen nicht nur Zugang zu aktuellem Know-how, sondern entlasten interne Ressourcen gezielt und fördern eine strategische Weiterentwicklung der Sicherheitsorganisation.“ Ein entscheidender Vorteil – gerade angesichts des Fachkräftemangels.

4. KRITIS-Prinzip: SOC Rückgrat moderner Sicherheitsarchitektur!

Viele Unternehmen assoziierten ein „Security Operations Center“ (SOC) mit Komplexität und hohen Kosten. Im KRITIS-Bereich sei das SOC – intern oder als „Managed Service“ – hingegen bereits etabliert.

• Es bilde das Rückgrat für Frühwarnung, Ereignisanalyse und orchestrierte Reaktion auf Angriffe.

Nicht die Größe, sondern die Wirksamkeit zähle. Bewährte Dienstleistungsmodelle machten SOCs auch für kleinere Unternehmen realisierbar und erschwinglich.

5. KRITIS-Prinzip: Notfallpläne als gelebte Betriebspraxis!

„Unternehmen in der KRITIS-Kategorie verfügen im Ernstfall über klare Notfallpläne, die regelmäßig getestet, trainiert und aktualisiert werden.“

• Solche Pläne definierten „Recovery“-Ziele (RTO/RPO), Eskalationswege, Rollen und Replikationsmechanismen. Durch praxisnahe Übungen und regelmäßige Audits werde sichergestellt, „dass das Notfallmanagement gelebte Praxis wird“.

Ein IT-Ausfall betreffe schließlich auch andere Bereiche – wie Logistik, Kommunikation, Personal und Kunden.

Vom IT-Nachzügler zum -Vorreiter in Sicherheitsfragen

KRITIS-Unternehmen zeigten, wie IT-Sicherheit als strategisches Fundament funktioniert:

• mit klaren Zuständigkeiten, durchdachten Prozessen und starken Partnern.

Der Mittelstand müsse nicht bei null beginnen. „Wer bewährte Methoden übernimmt und anpasst, kann Sicherheitsdruck in Zukunftsfähigkeit umwandeln“, gibt Kemmann abschließend zu bedenken.

Weitere Informationen zum Thema:

Cosanta
Über Cosanta – Ihr Managed Security Service Provider

Deloitte, Research, 15.04.2025
Cybersecurity im Mittelstand / Steigende Cyber-Bedrohung, erhöhtes Risikobewusstsein, verbleibende Lücken: Die Einschätzungen deutscher Mittelständler

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen