Im Interview: Externer ISB über die wahren Cybersecurity-Herausforderungen im Mittelstand

Cyberangriffe, neue Regularien, steigende Erwartungen von Kunden, Versicherern und Geschäftsführungen: Informationssicherheit ist längst kein IT-Nischenthema mehr. Viele mittelständische Unternehmen merken das spätestens dann, wenn ein Versicherer detaillierte Nachweise fordert oder ein Kunde konkrete Sicherheitsstandards voraussetzt. Wer Informationssicherheit vernachlässigt, riskiert nicht nur Daten, sondern auch Vertrauen und Geschäftserfolg.

Wir haben mit unserem Informationssicherheitsbeauftragten (ISB) gesprochen, der als externer ISB-as-a-Service regelmäßig mittelständische Unternehmen begleitet. Ein Gespräch über die Realität im Alltag und warum Pragmatismus oft wichtiger ist als Perfektion.

Herr N., Sie sind als externer ISB für mehrere mittelständische Unternehmen tätig. Was begegnet Ihnen aktuell am häufigsten?

Kurz gesagt: Überforderung. Nicht aus Desinteresse, sondern aus Komplexität. Die Bedrohungslage nimmt zu, gleichzeitig kommen neue Anforderungen aus Gesetzen und Richtlinien wie NIS2, von Versicherern oder durch Konzernvorgaben. Viele Unternehmen haben das Gefühl, an mehreren Fronten gleichzeitig handeln zu müssen – ohne klare Reihenfolge. Sie wissen: Wir müssen etwas tun – aber nicht, wo anfangen und wie priorisieren. 

NIS2 ist aktuell ein großes Thema. Wie unterstützen Sie Unternehmen konkret bei den Anforderungen aus der Richtlinie?​

NIS2 ist für viele Unternehmen im Mittelstand erst einmal eine große Herausforderung. Die Anforderungen wirken auf den ersten Blick sehr abstrakt und es ist schwer einzuschätzen, wo man anfangen soll. Mein Ansatz ist pragmatisch: Ich schaue mir zunächst an, welche Pflichten wirklich relevant sind, prüfe dann die bestehenden Prozesse und Maßnahmen und identifiziere mögliche Lücken und Schwachstellen. Gemeinsam mit dem Unternehmen priorisieren wir, was sofort angegangen werden muss und wo noch etwas Spielraum ist. Dabei geht es nicht darum, jede Vorschrift 1:1 umzusetzen, sondern Risiken realistisch einzuschätzen und Maßnahmen zu definieren, die auch im Alltag funktionieren. 

Wichtig ist, dass das Management von Anfang an tief eingebunden ist, nicht nur, weil es die Richtlinie verlangt, sondern damit die Maßnahmen tatsächlich gelebt werden. So lässt sich NIS2 sinnvoll in das bestehende Sicherheitsmanagement integrieren, ohne dass es zum reinen Papierprojekt wird.

Wo liegen die größten Schwachstellen im Mittelstand?

Selten in der Technik allein. Klassische Maßnahmen wie Firewalls und Backups sind meist vorhanden. Kritischer sind fehlende Strukturen und Ressourcen. Das Verständnis für Richtlinien ist unvollständig, Analysen und Verbesserungen finden nur unregelmäßig statt. Es fehlt an klaren Rollen und an Personal mit Cybersecurity-Know-how. Oft hängt Informationssicherheit „irgendwo“ zwischen IT, Management und Compliance ohne echten Owner. Genau diese Lücke schließe ich als ISB, als unabhängige Rolle, die die Verantwortung bündelt und das Thema kontinuierlich vorantreibt.

Wie starten Sie typischerweise bei neuen Kunden?

Mit einer sauberen GAP-Analyse. Ich will verstehen: Wo steht das Unternehmen heute? Welche Anforderungen gelten konkret – regulatorisch, vertraglich, durch Versicherer? Und was ist realistisch umsetzbar? Entscheidend ist, Risiken aus der Perspektive des Geschäfts zu bewerten, nicht nur aus Sicht der IT. Erst schaffen wir Transparenz über Handlungsbedarf und Prioritäten, dann entwickeln wir eine belastbare Roadmap und gehen in die zielgerichtete Umsetzung. So wird Sicherheit planbar und kein Bauchgefühl mehr.

Viele Geschäftsführer fürchten Bürokratie. Zu Recht?

Die Sorge ist verständlich aber unbegründet, wenn man es richtig angeht. Richtlinien müssen im Alltag funktionieren, Risikoanalysen sollen Entscheidungen unterstützen, nicht blockieren. Mein Anspruch ist immer: so viel Struktur wie nötig, so wenig Overhead wie möglich. 

Regelmäßige Berichte an das Management wirken auf den ersten Blick vielleicht mühsam, schaffen aber Vertrauen – intern und auch extern, zum Beispiel gegenüber Versicherern oder Aufsichtsgremien. Ein gutes Reporting konzentriert sich auf das Wesentliche: Klarheit. Keine technischen Details, sondern Antworten auf drei zentrale Fragen: Wo stehen wir? Wo liegen die größten Risiken? Was müssen wir als Nächstes tun? Gerade mittelständische Entscheider schätzen das, weil sie konkrete Handlungsempfehlungen bekommen statt abstrakter Normen und theoretischer Vorgaben.

Welche Rolle spielt das Topmanagement in Ihren Projekten?

Eine zentrale. Security ist Führungsaufgabe. Ich sehe mich als Sparringspartner der Geschäftsführung: neutral, unabhängig, aber klar in der Sache und immer mit Blick auf das Machbare. Gerade in mittelständischen Unternehmensgruppen zeigt sich, wie wichtig ein einheitlicher Rahmen ist, der Struktur schafft ohne die Eigenheiten der einzelnen Gesellschaften zu übergehen. 

Aus eigener Erfahrung als Teil der Possehl Group wissen wir, wie unterschiedlich aufgestellte Gesellschaften innerhalb einer Holding funktionieren und welche Herausforderungen das mit sich bringt. Viele der Konzepte, die wir heute bei Kunden einsetzen, haben sich zuvor in Projekten innerhalb der Gruppe bewährt. Diese Praxisnähe hilft uns, die Geschäftsführung dort abzuholen, wo sie in der Realität steht, mit umsetzbaren Lösungen.

Wie reagieren Mitarbeitende auf einen externen ISB?

Überraschend positiv. Ich bringe Erfahrung aus vielen Organisationen mit, bin nicht Teil interner Politik und werde oft als Moderator wahrgenommen. Wichtig ist, auf Augenhöhe zu kommunizieren und praxisnah zu bleiben. Sensibilisierung funktioniert nur, wenn sie realistisch ist, nicht mit erhobenem Zeigefinger.

Was unterscheidet einen guten ISB-as-a-Service von einer klassischen Beratung?

Kontinuität. Ich komme nicht mit einer PowerPoint und bin wieder weg. Ich begleite Unternehmen dauerhaft, überprüfe Fortschritte, passe Prioritäten an neue Anforderungen an und halte das Thema im Tagesgeschäft präsent. Und ich arbeite nicht allein: Hinter mir steht ein Team aus Spezialisten. Von technischer Security bis zur strategischen Steuerung. Für den Mittelstand ist das ein großer Vorteil: breite Expertise, ohne sie selbst dauerhaft vorhalten zu müssen oder ständig neue Dienstleister zu koordinieren.

Zum Abschluss: Ihr wichtigster Rat an IT- und Geschäftsentscheider?

Warten Sie nicht auf den perfekten Moment. Viele zögern, weil sie glauben, erst alles vollständig und perfekt aufsetzen zu müssen. Das ist einer der häufigsten Fehler. In der Praxis reicht es, sauber zu starten: Zuständigkeiten klären, Risiken ehrlich bewerten und dann Schritt für Schritt besser werden. Cybersecurity ist kein Projekt mit Enddatum, sondern ein Prozess, der mit dem Unternehmen mitwächst. Wer das akzeptiert und regelmäßig dranbleibt, trifft bessere Entscheidungen – und reduziert langfristig Stress und Unsicherheit.​

Worauf es in der Praxis wirklich ankommt

Das Gespräch zeigt deutlich: Die größten Herausforderungen in der Cybersecurity des Mittelstands liegen heute weniger in fehlender Technik als in fehlender Struktur, mangelnder Transparenz, klarer Priorisierung und eindeutiger Verantwortung. 
Hier bewährt sich die Einbindung eines externen Informationssicherheitsbeauftragten. Nicht als Kontrolleur oder Theoretiker, sondern als jemand, der Ordnung ins Thema bringt, Risiken verständlich macht und Übersetzung leistet – zwischen IT, Management, Versicherern und Regulatorik.

Ein guter ISB denkt nicht in Normkapiteln, sondern in Entscheidungen: Was ist wirklich kritisch? Was muss jetzt passieren? Was kann bewusst warten? Er sorgt dafür, dass Informationssicherheit kein reaktives Krisenthema bleibt, sondern ein laufender, steuerbarer Prozess wird. Mit klaren Zuständigkeiten und Maßnahmen, die im Alltag auch funktionieren.

Gerade für mittelständische Unternehmen ist das entscheidend. Sie brauchen keine maximalistische Security-Strategie, sondern Pragmatismus und Verlässlichkeit. Ein externer ISB, der regelmäßig begleitet und Zugriff auf breites Expertenwissen hat, kann genau diese Lücke schließen und wird damit für IT und Geschäftsführung gleichermaßen zum verlässlichen Sparringspartner.

Mehr Informationen zum ISB-as-a-Service   

Wenn Sie nicht wissen, wo Sie starten sollen.

In unserem Webinar „Ihr Security-Status im Check“ erhalten Sie einen praxisnahen Überblick über unterschiedliche Cybersecurity-Assessments. Wir teilen erprobte Ansätze aus dem Mittelstand, für den Mittelstand – und zeigen, wie Sie Ihre Sicherheitsstrategie effizient und zielgerichtet weiterentwickeln können.