Datenschutz ist nicht Sicherheit, und Sicherheit ist nicht Panikmache. Sechs nüchterne Punkte zu Backups, Zwei-Faktor, Phishing und der neuen Regulierung NIS-2 - für den Mittelstand.
Ein Betrieb, der gehackt wird, hat selten ein technisches Problem. Er hat ein menschliches.
Sicherheit ist im Mittelstand das Thema, das jeder ernst nimmt und niemand systematisch angeht - bis es einmal passiert. Diese Seite ist der Versuch, das Wichtigste in sechs Punkten zu sagen, ohne Angst zu schüren und ohne zu beschönigen.
Wer DSGVO-konform arbeitet, hat eine Sache erledigt: Er hat geregelt, wie er mit personenbezogenen Daten umgeht. Das ist wichtig - aber es schützt nicht vor jemand, der gewaltsam in deine Systeme will.
Ein Beispiel: Du kannst eine perfekte Datenschutzerklärung haben und gleichzeitig deine Buchhaltung auf einem unbewachten Rechner mit Standardpasswort betreiben. Datenschutz und Sicherheit überlappen sich, aber sie sind nicht dasselbe. Sicherheit fängt da an, wo der Datenschutz aufhört: bei der konkreten Frage, wer reinkommt, wer Daten löschen oder verändern kann, was im Notfall passiert.
In der öffentlichen Wahrnehmung sind Hacks immer hochtechnisch - finstere Programmierer, schwarze Bildschirme, blinkende Codes. In der Realität ist es fast immer einfacher: Jemand klickt auf einen Link in einer Mail.
Die häufigsten Angriffe heute heißen Phishing (gefälschte Mails, die zur Eingabe von Passwörtern verleiten), CEO-Fraud (gefälschte Mails vom Chef, die Überweisungen anordnen), und Ransomware (ein Verschlüsselungsprogramm gelangt über eine geöffnete Anlage in dein System und sperrt deine Daten). Alle drei nutzen Menschen, nicht Technik. Die wirksamste Sicherheitsmaßnahme im Mittelstand ist deshalb keine teure Firewall, sondern regelmäßige, einfache Aufklärung deines Teams.
Wenn dein System morgen verschlüsselt wird, ist nicht der Schaden am System das Problem. Das Problem sind deine Daten. Und Daten sind nur dann sicher, wenn sie irgendwo anders auch liegen.
Die Faustregel heißt 3-2-1: Drei Kopien deiner wichtigen Daten, auf zwei verschiedenen Medien, davon eine an einem anderen Ort. In der Praxis heißt das oft: Die Daten liegen auf deinem Server, eine Kopie im Cloud-Backup, eine Kopie auf einer externen Festplatte, die nicht ständig angeschlossen ist. Wer das hat, kann einen Verschlüsselungs- angriff überstehen. Wer nur die laufende Kopie hat, verliert alles - oder zahlt Lösegeld. Und wer keine getestete Wiederherstellung hat, weiß im Ernstfall nicht, ob das Backup tatsächlich funktioniert. Test-Wiederherstellungen sind so wichtig wie das Backup selbst.
Zwei-Faktor heißt: Nicht nur das Passwort entscheidet, sondern zusätzlich etwas, das du in der Hand hast - meistens dein Handy mit einer Bestätigungs-App oder einem zugesendeten Code. Das mag lästig wirken. Aber es ist die wirksamste Einzelmaßnahme, die du in deinem Betrieb einführen kannst.
Konkret: Selbst wenn ein Mitarbeiter sein Passwort verrät - sei es durch Phishing, sei es durch Unachtsamkeit - kommt niemand ohne sein Handy in dein System. Das schließt 99 Prozent der automatischen Angriffe aus. Für alle wichtigen Zugänge - E-Mail, Buchhaltung, Cloud-Speicher, Software-Login - sollte Zwei-Faktor heute Standard sein. Es ist nicht extra Sicherheit für Paranoide, sondern Grundausstattung wie ein Sicherheitsschloss an der Eingangstür.
Seit 2024 gilt die europäische NIS-2-Richtlinie - sie verpflichtet viele Mittelständler erstmals zu konkreten Sicherheitsmaßnahmen. Wer in einem als wichtig eingestuften Sektor tätig ist - das umfasst zum Beispiel Lebensmittelproduktion, Maschinenbau, IT-Dienstleister, Logistik und vieles mehr - muss bestimmte Standards einhalten.
Konkret heißt das: Risiken müssen dokumentiert werden, Sicherheitsvorfälle gemeldet, ein Notfallplan vorhanden sein. Die Geschäftsführung haftet persönlich für Versäumnisse. Wer in diese Kategorie fällt und sich noch nicht damit beschäftigt hat, sollte das nicht aufschieben. Ein Erstgespräch mit einem spezialisierten Berater oder dem BSI (Bundesamt für Sicherheit in der Informationstechnik) klärt schnell, ob du betroffen bist - und wenn ja, mit welcher Dringlichkeit.
Die DSGVO regelt, wie du mit Daten umgehst. NIS-2 regelt, wie du dein System absicherst, damit niemand Daten klauen oder Prozesse stören kann. Beide ergänzen sich, aber sie haben unterschiedliche Aufsichtsbehörden und unterschiedliche Bußgeldsysteme.
Ein wichtiger Unterschied: Bei der DSGVO geht es um personenbezogene Daten. NIS-2 betrifft alle Daten und Prozesse, die für deinen Geschäftsbetrieb wesentlich sind - inklusive Produktions-Steuerung, Lager, Kommunikation. Wer DSGVO-konform ist, ist nicht automatisch NIS-2-konform.
Sicherheit kann man nicht hinterher draufsetzen, ohne dass es teuer und brüchig wird. Sie ist Teil der Bauweise. Wir bauen unsere Software mit fünf Selbstverständlichkeiten:
Verschlüsselte Verbindungen für jeden Datenfluss. Trennung zwischen Benutzerrollen - niemand sieht oder verändert, was ihn nichts angeht. Logging - jede wichtige Aktion ist nachvollziehbar, ohne dass jemand spioniert. Zwei-Faktor von Anfang an, nicht als Nachrüstung. Automatische Backups mit regelmäßiger Wiederherstellungs-Prüfung.
Das macht unsere Software nicht hochsicher im Sinne von Bundesbehörden - aber so gut, wie es ein guter Mittelständler braucht. Und vor allem: Wir reden mit dir darüber, was möglich ist, was sinnvoll ist und was übertrieben wäre. Sicherheit ist immer Abwägung. Niemand braucht alles.
Sicherheit ist nicht ein Produkt, das man kauft. Sie ist ein Verhalten, das man pflegt.
Die teuerste Firewall hilft nichts, wenn deine Mitarbeiter auf Phishing-Links klicken. Die besten Schulungen helfen nichts, wenn deine Backups nicht funktionieren. Und das beste Backup hilft nichts, wenn du es nie getestet hast. Cybersicherheit ist ein laufender Prozess - kein einmaliger Kauf. Wir helfen dir, diesen Prozess so leicht zu machen, wie er sein darf.
Wie wir grundsätzlich mit deinen Daten umgehen, steht unter Wie wir Datenschutz handhaben. Was nach dem Bau ansteht und wie sich Sicherheitsupdates in die Pflege einreihen, steht unter Wartung und Weiterentwicklung. Was die EU mit dem AI Act für Mittelständler regelt, steht unter EU AI Act für KMU.