Cyberangriffe treffen den Mittelstand härter als Konzerne. Nicht weil die Angriffe raffinierter wären, sondern weil die Folgen verheerender sind: Ein Ransomware-Angriff, der die Produktion eine Woche lahmlegt, kann ein mittelständisches Unternehmen an den Rand der Existenz bringen. Ein Datenverlust, der Kundendaten offenlegt, zerstört Vertrauen, das über Jahrzehnte aufgebaut wurde. Und ein Cybervorfall während eines laufenden Verkaufsprozesses kann den gesamten Deal gefährden.
Trotzdem behandeln viele Unternehmer Cybersicherheit als IT-Thema – nicht als Unternehmensrisiko. Das ändert sich spätestens in der Due Diligence: Käufer prüfen die IT-Sicherheit systematisch, und Lücken führen zu Kaufpreisabschlägen oder Deal-Abbrüchen. In der IT-Due-Diligence ist Cybersicherheit kein Nischenthema mehr – sie ist ein Standard-Prüffeld.
Dieser Beitrag zeigt, welche Sicherheitsmaßnahmen Käufer erwarten, wie Sie Ihr Unternehmen pragmatisch und bezahlbar absichern, wie ein Notfallplan aufgebaut sein muss – und warum Cybersicherheit einer der Hebel ist, die das Vertrauen in der Due Diligence stärken.
Was ein Cybervorfall kostet – und was er für den Unternehmenswert bedeutet
Die direkten Kosten eines Cyberangriffs im Mittelstand liegen typischerweise zwischen 50.000 und 500.000 Euro – abhängig von der Dauer des Ausfalls, dem Umfang des Datenverlusts und den Kosten für Wiederherstellung und Forensik.
Aber die indirekten Kosten sind oft höher: Vertrauensverlust bei Kunden, Vertragsstrafen wegen Lieferverzug, Bußgelder wegen DSGVO-Verletzungen, erhöhte Versicherungsprämien und – im Kontext einer Nachfolge – ein massiver Kaufpreisabschlag oder ein gescheiterter Deal.
Die Bewertungslogik: Ein Käufer, der in der Due Diligence fundamentale Sicherheitslücken findet (kein Backup-Konzept, veraltete Systeme, keine Zugriffsrechteverwaltung), sieht nicht nur ein technisches Problem – er sieht ein Managementproblem. Und Managementprobleme drücken den Multiplikator.
Was Käufer in der IT-Due-Diligence zur Cybersicherheit prüfen
| Prüffeld | Was geprüft wird | Typisches Finding (negativ) | Auswirkung |
|---|---|---|---|
| Backup und Recovery | Existiert ein dokumentiertes Backup-Konzept? Werden Backups regelmäßig getestet? Wie schnell kann im Ernstfall wiederhergestellt werden? | Kein regelmäßiger Backup-Test, keine Offline-Kopie, Recovery-Zeiten unklar | Schwerwiegend – potenzieller Deal-Killer |
| Patch-Management | Werden Betriebssysteme und Software zeitnah aktualisiert? Gibt es einen Prozess für Sicherheitsupdates? | Veraltete Systeme (Windows 7/8 noch im Einsatz), kein Patch-Rhythmus | Hohes Risiko, Kaufpreisabschlag |
| Zugriffsrechte | Wer hat Zugriff auf welche Systeme und Daten? Gibt es ein Berechtigungskonzept? Werden ausgeschiedene Mitarbeiter gesperrt? | Jeder hat Zugriff auf alles, keine Sperrung nach Austritt, Admin-Rechte für alle | Compliance-Risiko, DSGVO-Verstoß |
| Netzwerksicherheit | Firewall, Virenschutz, Netzwerksegmentierung, VPN für Remote-Zugriff | Keine aktuelle Firewall, kein Netzwerk-Monitoring, offene Ports | Angriffsfläche, operatives Risiko |
| Phishing- und Social-Engineering-Schutz | Mitarbeiterschulungen, E-Mail-Filterung, Sensibilisierungsmaßnahmen | Keine Schulungen, keine E-Mail-Filterung, hohe Klickrate bei Phishing-Tests | Größte Schwachstelle im Mittelstand |
| Notfallplan | Dokumentierter Incident-Response-Plan, Zuständigkeiten, Kommunikationswege, Kontaktlisten | Kein Plan, keine definierten Zuständigkeiten, keine Übung | Operatives Risiko, mangelnde Krisenresistenz |
| DSGVO-Compliance | Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Löschkonzept, Datenschutzbeauftragter | Kein Verarbeitungsverzeichnis, keine AV-Verträge, kein Löschkonzept | Bußgeldrisiko (bis 4 % des Umsatzes) |
| Cyber-Versicherung | Existiert eine Cyberversicherung? Welche Schäden sind abgedeckt? | Keine Versicherung oder unzureichende Deckung | Transferiertes Risiko fehlt |
Das Fünf-Schichten-Modell für pragmatische Cybersicherheit im Mittelstand
Sie brauchen keine eigene Cybersecurity-Abteilung. Sie brauchen fünf Schichten, die aufeinander aufbauen – jede davon mit überschaubarem Aufwand umsetzbar.
Schicht 1: Menschen (höchste Priorität)
Die größte Schwachstelle in jedem Unternehmen ist nicht die Technik – es sind die Menschen, die sie bedienen. Über 80 Prozent aller erfolgreichen Cyberangriffe beginnen mit Phishing, Social Engineering oder menschlichen Fehlern.
Maßnahmen: Regelmäßige Schulungen zur Erkennung von Phishing-E-Mails – mindestens zweimal pro Jahr, idealerweise mit simulierten Phishing-Tests. Offene Fehlerkultur etablieren: Wer auf einen verdächtigen Link geklickt hat, muss das sofort melden können, ohne Angst vor Konsequenzen. Nur so kann die IT rechtzeitig reagieren. Basiswissen für alle Mitarbeiter: sichere Passwörter, Umgang mit USB-Sticks, Erkennen verdächtiger E-Mails, Verhalten bei Verdacht. Besondere Aufmerksamkeit für Schlüsselpositionen: Geschäftsführung, Buchhaltung und IT haben Zugriff auf die kritischsten Systeme und Daten – sie sind die attraktivsten Ziele für Angreifer.
Aufwand: 2.000–5.000 Euro pro Jahr für Schulungen und Phishing-Simulationen (externe Anbieter wie KnowBe4, SoSafe oder Hornetsecurity).
Schicht 2: Zugriffsschutz
Maßnahmen: Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme – E-Mail, ERP, Bankzugang, VPN. Das ist die wirksamste Einzelmaßnahme mit dem besten Kosten-Nutzen-Verhältnis. Passwort-Manager einführen, um sichere, einzigartige Passwörter für jeden Dienst zu erzwingen. Berechtigungskonzept erstellen: Wer braucht Zugriff auf welche Systeme und Daten? Prinzip der minimalen Berechtigung (Least Privilege). Offboarding-Prozess: Zugriffe ausgeschiedener Mitarbeiter am letzten Arbeitstag sperren – nicht irgendwann.
Aufwand: MFA ist bei den meisten Cloud-Diensten kostenlos. Passwort-Manager: 3–5 Euro pro Nutzer/Monat. Berechtigungskonzept: einmalig 2–4 Tage interner Aufwand.
Schicht 3: Technische Infrastruktur
Maßnahmen: Firewall aktuell halten und konfigurieren (nicht die Standardkonfiguration vom Provider). Virenschutz auf allen Endgeräten – zentral verwaltet, automatisch aktualisiert. Regelmäßiges Patch-Management: Betriebssysteme und Software mindestens monatlich aktualisieren. Kritische Sicherheitsupdates innerhalb von 48 Stunden einspielen. Netzwerksegmentierung: Produktionsnetzwerk, Büronetzwerk und Gäste-WLAN trennen. Ein kompromittiertes Gerät im Gäste-WLAN darf keinen Zugriff auf das Produktionsnetzwerk haben. Verschlüsselung: Laptops und mobile Geräte vollständig verschlüsseln (BitLocker, FileVault). Daten im Transit verschlüsseln (VPN für Remote-Zugriff).
Aufwand: 5.000–20.000 Euro pro Jahr für Managed Security Services (externer IT-Dienstleister, der Firewall, Virenschutz und Patch-Management betreut).
Schicht 4: Backup und Wiederherstellung
Maßnahmen: Die 3-2-1-Regel: Drei Kopien aller kritischen Daten, auf zwei verschiedenen Medien, davon eine Kopie offline oder an einem externen Standort (nicht im selben Gebäude). Regelmäßige Backup-Tests: Mindestens quartalsweise eine Wiederherstellung testen. Ein Backup, das nie getestet wurde, ist kein Backup – es ist eine Hoffnung. Recovery Time Objective (RTO) definieren: Wie schnell müssen Sie nach einem Totalausfall wieder arbeitsfähig sein? 4 Stunden? 24 Stunden? 72 Stunden? Die Antwort bestimmt die Backup-Strategie und die Kosten. Ransomware-Schutz: Offline-Backups sind der einzige zuverlässige Schutz gegen Ransomware, die auch Netzwerkbackups verschlüsselt.
Aufwand: 3.000–10.000 Euro pro Jahr für professionelle Backup-Lösung (Cloud-Backup + lokale Kopie + regelmäßige Tests).
Schicht 5: Compliance und Versicherung
Maßnahmen: DSGVO-Grundlagen umsetzen: Verarbeitungsverzeichnis erstellen, Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen, Löschkonzept definieren, Datenschutzbeauftragten benennen (ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, gesetzlich vorgeschrieben). Cyber-Versicherung abschließen: Deckt typischerweise Betriebsunterbrechung, Forensikkosten, Rechtsberatung, Benachrichtigungskosten und Lösegeldzahlungen ab. Kosten: 1.500–5.000 Euro pro Jahr für Unternehmen mit 20–100 Mitarbeitern. IT-Dokumentation pflegen: Systemlandschaft, Lizenzen, Verträge, Notfallkontakte – alles aktuell und an einem zentralen Ort. Diese Dokumentation brauchen Sie ohnehin für die Due Diligence.
Aufwand: 2.000–8.000 Euro pro Jahr (DSGVO-Beratung + Cyber-Versicherung).
Der Notfallplan: Ihr wichtigstes Dokument im Ernstfall
Ein Notfallplan (Incident Response Plan) ist kein Nice-to-have – er ist ein Pflichtdokument in der Due Diligence und die Lebensversicherung Ihres Unternehmens im Ernstfall.
Was der Notfallplan enthalten muss
| Abschnitt | Inhalt |
|---|---|
| Krisenteam | Wer leitet die Krise? (Name, Stellvertreter, Kontaktdaten). Wer ist IT-Verantwortlicher? Wer ist externer IT-Sicherheitsdienstleister? Wer ist Rechtsanwalt? |
| Erstmaßnahmen | Systeme isolieren (Netzwerk trennen), Beweise sichern (Logs, Screenshots), Backup-Status prüfen, Ausmaß des Angriffs einschätzen |
| Kommunikation intern | Wer informiert die Geschäftsführung? Wer informiert die Mitarbeiter? Was darf kommuniziert werden, was nicht? |
| Kommunikation extern | Wann werden Kunden informiert? Wann die Behörden (BSI, Datenschutzbehörde, Polizei)? Wann die Versicherung? |
| Wiederherstellung | Priorität der Systemwiederherstellung (welche Systeme zuerst?), Backup-Aktivierung, Testlauf vor Produktivnahme |
| Nachbereitung | Ursachenanalyse (Root Cause Analysis), Lessons Learned, Maßnahmenplan zur Vermeidung einer Wiederholung |
Im Ernstfall: Fünf Schritte
1. Ruhe bewahren. Keine vorschnellen Entscheidungen, keine Panikzahlungen bei Ransomware. 2. Krisenteam aktivieren. Den Notfallplan öffnen (der muss offline verfügbar sein – nicht nur digital auf dem Server, der gerade verschlüsselt ist). 3. Systeme isolieren. Betroffene Systeme vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern. 4. Externe Hilfe holen. IT-Forensiker, Rechtsanwalt, Versicherung – in dieser Reihenfolge. 5. Behörden informieren. BSI (Bundesamt für Sicherheit in der Informationstechnik), Datenschutzbehörde (bei DSGVO-relevanten Vorfällen innerhalb von 72 Stunden), Polizei.
Cybersecurity-Reifegrad: Wo steht Ihr Unternehmen?
| Stufe | Beschreibung | DD-Bewertung |
|---|---|---|
| Stufe 1: Ungeschützt | Kein Backup-Test, kein Patch-Management, keine MFA, keine Schulungen, kein Notfallplan | ❌ Deal-Killer oder massiver Abschlag |
| Stufe 2: Basis | Antivirus und Firewall vorhanden, gelegentliche Backups, aber kein Test, keine MFA, kein Notfallplan | ⚠️ Erhebliches Risiko, Käufer verlangt Investitionsplan |
| Stufe 3: Solide | MFA aktiv, regelmäßiges Patching, getestete Backups, Notfallplan dokumentiert, jährliche Schulungen | ✅ Standard, den Käufer erwarten |
| Stufe 4: Professionell | Alles aus Stufe 3 + Managed Security Services, Cyber-Versicherung, DSGVO-Compliance, regelmäßige Penetrationstests | ✅✅ Premium-Signal, stärkt das Vertrauen |
Der 12-Monats-Fahrplan: Von Stufe 1 zu Stufe 3
| Monat | Maßnahme | Schicht | Aufwand (Richtwert) |
|---|---|---|---|
| 1 | IT-Bestandsaufnahme: Systeme, Lizenzen, Zugriffsrechte, Backup-Status dokumentieren | Alle | 2–3 Tage intern |
| 1–2 | MFA für alle kritischen Systeme aktivieren | 2 | 1–2 Tage intern |
| 2–3 | Backup-Konzept nach 3-2-1-Regel aufsetzen, ersten Restore-Test durchführen | 4 | 3.000–8.000 € |
| 3–4 | Patch-Management-Prozess einführen (monatlich + kritische Updates innerhalb 48h) | 3 | 1 Tag/Monat |
| 4–5 | Berechtigungskonzept erstellen, Zugriffsrechte bereinigen, Offboarding-Prozess definieren | 2 | 2–4 Tage intern |
| 5–6 | Erste Mitarbeiterschulung + Phishing-Simulation | 1 | 2.000–4.000 € |
| 6–7 | Notfallplan erstellen und mit Krisenteam besprechen | 4 | 2–3 Tage intern |
| 7–9 | DSGVO-Grundlagen: Verarbeitungsverzeichnis, AV-Verträge, Löschkonzept | 5 | 3.000–6.000 € (externer Berater) |
| 9–10 | Cyber-Versicherung abschließen | 5 | 1.500–5.000 €/Jahr |
| 10–12 | Zweite Schulung, zweiter Backup-Test, Dokumentation vervollständigen | 1, 4 | 2.000–3.000 € |
Gesamtinvestition im ersten Jahr: 15.000–30.000 Euro (ohne neue Hardware). Danach: 8.000–15.000 Euro jährlich für laufende Wartung, Schulungen und Versicherung.
Return on Investment: Nicht in direktem Ertrag, sondern in vermiedenen Schäden (50.000–500.000 Euro pro Vorfall) und in der Stärkung der Verhandlungsposition beim Verkauf (Käufer sieht professionelle IT-Governance, kein Sicherheits-Nachholbedarf als Kaufpreisabzug).
