Security Spotlight: Ist die Angst vor Cyber-Vorfällen berechtigt?

Eine Kolumne von Dennie Spreeuwenberg, Experte für Sicherheitsbewusstsein und CEO von Awaretrain

In der Welt der Cybersicherheit sehe ich oft das gleiche Muster: Unternehmen lesen von aufsehenerregenden Cyberangriffen und denken sofort: „Sind wir die Nächsten?“

Um es klar zu sagen: Diese Art von Bewusstsein ist eine gute Sache. Es ist viel besser, wachsam zu sein, als digitale Risiken herunterzuspielen oder zu ignorieren. Aber allzu oft steht die Angst im Mittelpunkt jeder Sicherheitsdiskussion. Und das ist verständlich: Eine dramatische Schlagzeile bleibt uns mehr im Gedächtnis als ein gut geschriebenes Memo.

Dennoch glaube ich nicht, dass Angstmacherei Unternehmen weiterbringt.

Und ja, ich weiß, wie das klingt, wenn es von jemandem kommt, der ein Cybersicherheitsunternehmen leitet. Aber genau deshalb glaube ich, dass es Zeit für eine andere Stimme in der Branche ist: weniger Angst, mehr Orientierung. Denn seien wir mal ehrlich: Panik hat noch niemanden widerstandsfähiger gemacht.



Nicht jede Bedrohung ist Ihre Bedrohung

Die Schwierigkeit für viele Unternehmen besteht darin, den Hype vom realen Risiko zu trennen. Hier kommt eine gute Risikobewertung ins Spiel, die abstrakte Bedrohungen in greifbare, organisatorische Auswirkungen umwandelt. Sie beginnt mit klaren Fragen:

  • Woher kommt die Bedrohung?
  • Ist sie für Ihren Sektor, Ihre Unternehmensgröße oder die Art der Daten relevant?
  • Was wären die Konsequenzen, wenn sie eintreten würde?
  • Welche Strategien zur Risikominderung können dieses Risiko verringern oder eindämmen?
  • Und welche Risiken sind Sie bereit zu akzeptieren?

Nehmen Sie als Beispiel Ransomware. Bei so vielen Vorfällen, die Schlagzeilen machen, hat man leicht das Gefühl, dass ein Angriff unvermeidlich ist. Aber nur weil die Bedrohung weit verbreitet ist, heißt das nicht, dass Ihr Unternehmen das nächste sein wird.

Das ist jedoch kein Grund, sich zurückzulehnen und zu entspannen. Sie sollten proaktive, vernünftige Schritte zum Schutz Ihres Unternehmens unternehmen, z. B:

  • Erstellen und Testen regelmäßiger Backups
  • Mitarbeiter darin schulen, verdächtige Situationen zu erkennen
  • Bereithalten eines Reaktionsplans für den schlimmsten Fall

Von der Angst zum Bewusstsein

Fühlen Sie sich von Bedrohungen, Risiken und dem Druck, einen kugelsicheren Cybersicherheitsplan zu erstellen, überwältigt? Beginnen Sie mit einer Bestandsaufnahme Ihrer wichtigsten Geschäftsprozesse. Welche Systeme sind für Ihr Unternehmen lebenswichtig? Was würde passieren, wenn sie ausfallen, unzugänglich werden oder manipuliert werden?

Eine Cybersicherheitsstrategie ist keine Einheitslösung. Sie erfordert einen maßgeschneiderten Ansatz.

Für eine Bäckerei gehören die Herstellung und der Verkauf von Brot zu den Kernprozessen. Sie brauchen Zutaten, funktionierende Öfen und ein funktionierendes Kassensystem. Ein Cybervorfall bei ihrem Lieferanten oder ein lokaler Stromausfall könnte ihre Geschäftsfähigkeit ernsthaft beeinträchtigen.

Bei einem großen IT-Unternehmen liegen die Prioritäten anders: Systembetriebszeit, Datenverfügbarkeit und Sicherheit der Kundeninformationen. Hier kann ein vergessener Patch oder ein unaufmerksamer Mitarbeiter zu ernsthaften Schwachstellen führen.

Ein wachsender Bereich der Besorgnis ist das Risiko von Drittanbietern. Wenn bei einem Ihrer Lieferanten eine Sicherheitslücke auftritt, kann dies direkte Auswirkungen auf Ihr Unternehmen haben. Im Rahmen von NIS2 können Sie zwar höhere Sicherheitsstandards von Ihren Zulieferern verlangen, aber ansonsten sind Sie immer noch auf deren Sicherheitsvorkehrungen angewiesen. Schauen Sie sich also Ihre Lieferkette genau an und treffen Sie fundierte Entscheidungen auf der Grundlage des Risikos.

Den Überblick behalten

Nicht nur Bedrohungen und Risiken sind schwer zu durchschauen, auch Tools und Lösungen können verwirrend sein. Versuchen Sie einmal, sich für eine Firewall zu entscheiden: Viele bieten die gleichen Funktionen an, verpackt in schwer zu entzifferndem Fachjargon.

Woher wissen Sie, was das Richtige für Ihr Unternehmen ist?

Deshalb empfehle ich Unternehmen, die keinen internen Sicherheitsbeauftragten haben, die Zusammenarbeit mit einem vertrauenswürdigen Sicherheitsanbieter. Dieser kann Ihnen die wichtigsten Überlegungen erläutern, die verschiedenen Philosophien hinter den Lösungen erklären und Sie bei der Implementierung dessen unterstützen, was tatsächlich zu Ihrem Kontext passt.

Cybersicherheit ist ein Prozess, kein Projekt

Für kleine Unternehmen mag die Planung der Cybersicherheit relativ einfach sein. Für größere oder datenintensivere Organisationen ist sie komplexer, aber noch wichtiger.

Unabhängig von Ihrer Größe ist Cybersicherheit keine einmalige Angelegenheit. Risikobewertungen müssen regelmäßig aktualisiert werden. Neuer Kunde? Ein neuer Lieferant? Neue Technologien oder veränderte Compliance-Anforderungen? Alles Gründe für eine Neubewertung Ihrer Risiken und Strategien zur Risikominderung.

Es gibt noch etwas, das ich oft sehe. Es sind Unternehmen, die denken: „Das wird uns nicht passieren“, oder noch schlimmer: „Wir werden sowieso nie zu 100 % sicher sein, warum sich also die Mühe machen?“

Diese Denkweise ist an sich schon ein Risiko.

Natürlich gibt es keine absolute Sicherheit. Aber darum geht es nicht. Das Ziel besteht darin, große Risiken durch kleine, aber wirksame Maßnahmen zu verringern. Tatsächlich kann man mit nur 20 % des Aufwands oft 80 % des gewünschten Ergebnisses erreichen.

Beginnen Sie mit Maßnahmen wie:

  • Aktivierung der Multi-Faktor-Authentifizierung (MFA)
  • Schulung des Personals im Hinblick auf die Sicherheit
  • Bewertung der Cybersicherheitspraktiken der Lieferanten
  • Erstellen und Testen von Backups
  • Regelmäßige Überprüfung der Zugriffsrechte

Auch bei Awaretrain arbeiten wir ständig an Verbesserungen und Anpassungen. Und ich sehe es als meine Aufgabe an, Organisationen dabei zu helfen, sich zwischen auffälligem Marketing und unverständlichen Grundsatzdokumenten zurechtzufinden.

Lassen wir die Angstmacherei hinter uns. Fangen wir an zu erklären, zuzuhören und mitzudenken. Und das Wichtigste: Lassen Sie uns widerstandsfähige Organisationen aufbauen, die ihre digitalen Risiken verstehen, nicht aus Angst, sondern aus Einsicht.

Foto von Dennie Spreeuwenberg, CEO von Awaretrain und seit 20 Jahren Experte für Security Awareness.

Dennie Spreeuwenberg

Dennie Spreeuwenberg, CEO von Awaretrain, ist seit 2004 Experte auf dem Gebiet Security Awareness. Mit über 20 Jahren Erfahrung ist er leidenschaftlich an Informationssicherheit interessiert und teilt gerne sein Wissen und seine Einblicke in die neuesten Trends und Entwicklungen der Branche.

LinkedIn

Ontdek meer

Blogs & News

1 Dezember 2025

QR-Phishing: die Gefahren – und wie Sie sich davor schützen

Blogs & News

4 Dezember 2025

Webinar: QR- und USB-Phishing mit Awaretrain simulieren

Blogs & News

24 November 2025

5 Tipps für einen starken Einstieg in die Security Awareness
Alle Blogartikel ansehen

Testen Sie unsere Security Awareness Plattform 28 Tage kostenlos

Kostenloses Testkonto
70+

Trainingsmodule

1.000+

Kund:innen weltweit

1 Mio.+

Geschulte Mitarbeitende

Kommen Sie an Bord und bauen Sie mit Awaretrain nachhaltige Security Awareness auf.

Zertifizierungen

Mehr entdecken

Unser Ansatz
Security Awareness Plattform
DSGVO- & Datenschutz-Training
Phishing-Simulation
Kostenlos testen
Preise & Pakete
Cybersicherheitskultur-Check
Kostenlose Poster
Partner werden

Kontakt

+49-6035-970 151
info@awaretrain.de

Awareness on track

© Awaretrain | Alle Rechte vorbehalten
Impressum
Geschäftsbedingungen
Datenschutz