Wenn ich heute mit Geschäftsführern aus dem Mittelstand spreche, höre ich zwei Sätze besonders oft: „Wir sind doch für Hacker gar nicht interessant“ – und ein paar Monate später: „Bernd, wir hätten das Thema früher ernster nehmen müssen.“
Zwischen diesen beiden Sätzen liegen häufig verschlüsselte Server, tagelange Produktionsstopps und nervöse Anrufe von B2B-Kunden, die sich fragen, ob ihre Daten noch sicher sind.
Cybersecurity ist längst kein reines IT-Thema mehr. Sie entscheidet darüber, ob Ihre digitalen B2B-Prozesse funktionieren – und ob Ihre Lieferkette im Ernstfall stehen bleibt oder weiterläuft. Genau darum geht es in diesem Praxisleitfaden.
Warum Cybersecurity im Mittelstand jetzt Chefsache ist
Der deutsche Mittelstand rückt immer stärker in den Fokus professioneller Angreifer. Nicht, weil er die spannendste Marke ist, sondern weil er oft die verwundbarste ist – und gleichzeitig tief in kritischen Lieferketten steckt.
Drei Entwicklungen verschärfen die Lage:
- Digitalisierte B2B-Prozesse: EDI-Verbindungen, Portale, APIs – je vernetzter Sie sind, desto mehr potenzielle Einfallstore.
- Abhängigkeit von Lieferketten: Ein gehackter Zulieferer kann Ihre Produktion ebenso lahmlegen wie ein Brand im Lager.
- Regulatorischer Druck: NIS2, KRITIS-Erweiterungen, Anforderungen großer OEMs – Informationssicherheit wird zunehmend vertragspflichtig.
Ein Produktionsleiter sagte mir neulich: „Früher haben wir über Just-in-time-Lieferung gesprochen, heute über Just-in-time-Angriffe.“ Überspitzt, aber nicht falsch: Angreifer suchen genau die Stelle, an der ein Ausfall maximal wehtut – und dort setzen sie an.
Vom IT-Projekt zur Geschäftsfrage: Was eigentlich geschützt werden muss
Bevor Sie technische Lösungen einkaufen, braucht es eine einfache, geschäftsorientierte Klarheit: Was ist in Ihrem Unternehmen wirklich kritisch?
Stellen Sie sich dabei drei Fragen:
- Ohne welche Systeme steht die Wertschöpfung innerhalb von 24 Stunden still? (z. B. ERP, Produktionsleitsysteme, B2B-Portale)
- Welche Daten würden Ihren Kunden oder Ihrem Ruf massiv schaden, wenn sie geleakt würden? (z. B. Konstruktionsdaten, Preiskonditionen, personenbezogene Daten)
- Wo kommunizieren Sie digital mit Kunden und Lieferanten, und welche Schnittstellen sind dabei im Spiel? (z. B. EDI, APIs, gemeinsame Plattformen)
Cybersecurity im Mittelstand heißt nicht: alles auf Militärniveau absichern. Es heißt: die geschäftskritischen Teile
Typische Angriffswege in digitalen B2B-Prozessen
Wenn in Projekten etwas passiert ist, sah der Einstieg in 80 % der Fälle so aus:
- Phishing & Business Email Compromise: Ein gefälschtes E-Mail-Konto eines Geschäftspartners, manipulierte Zahlungsdaten, ausgeleitete Angebote.
- Gestohlene Zugangsdaten: Schwache oder mehrfach verwendete Passwörter für Kundenportale, Remote-Zugänge oder Admin-Konten.
- Unsichere Schnittstellen: Ungepatchte EDI-Gateways, offen ins Internet gestellte APIs, schlecht abgesicherte Remote-Wartungszugänge von Dienstleistern.
- Infizierte Lieferanten: Schadsoftware kommt nicht frontal auf Sie zu, sondern „reist mit“ über Dateien, Updates oder gemeinsame Plattformen.
Ein IT-Leiter eines Maschinenbauers erzählte mir, wie ein langjähriger Zulieferer über ein kompromittiertes E-Mail-Konto ZIP-Dateien schickte – angeblich aktualisierte Spezifikationen. Ein Mitarbeiter öffnete die Datei, der Trojaner gelangte ins Netz, und der Rest ist ein teurer Punkt in der Jahresbilanz.
Die Lehre: Die verwundbarste Stelle ist selten Ihre „High-End-IT“, sondern der Alltag Ihrer Mitarbeiter und der
Bevor wir in spezielle B2B-Prozesse und Lieferketten einsteigen, braucht es ein Mindestfundament. Sonst bauen Sie ein Hochhaus auf Sand. Drei Prinzipien sind im Mittelstand besonders wirksam: Ich habe mehrfach Unternehmen erlebt, die viel Geld in „Next-Gen-Security“ gesteckt haben – und dann stellte sich heraus, dass der Exchange-Server seit drei Jahren kein Update gesehen hatte. Der Angreifer hatte leichtes Spiel. Schauen wir uns an, wo in typischen B2B-Prozessen die größten Risiken liegen – und wie Sie sie mit vernünftigem Aufwand reduzieren. In vielen mittelständischen Unternehmen wachsen Zugänge „organisch“: Ein neuer Kunde, ein neues Portal, ein neuer Dienstleister – und überall entstehen Benutzerkonten. Drei konkrete Maßnahmen machen hier schnell einen Unterschied: Ein Vertriebsleiter sagte mir einmal: „Wir haben Ex-Mitarbeiter entdeckt, die sich noch in unser Partnerportal einloggen konnten – zwei Jahre nach ihrem Ausscheiden.“ Genau das wollen Sie vermeiden. Die meisten B2B-Beziehungen laufen immer noch über drei Kanäle: E-Mail, Portale und Dateiübertragung. Jeder davon bietet Chancen für Angreifer – und Ansatzpunkte für Sie. Ein Zulieferer der Automobilindustrie berichtete mir, wie ein OEM plötzlich verlangte, dass alle Dateien mit Konstruktionsdaten nur noch über eine verschlüsselte Plattform ausgetauscht werden dürfen. Wer das technisch und organisatorisch nicht schnell umsetzen konnte, stand auf der Kippe als Lieferant. Automatisierte Datenflüsse sind das Rückgrat effizienter B2B-Prozesse – und ein attraktives Ziel für Angreifer, weil sie direkten Zugriff auf Bestellungen, Rechnungen oder Produktionsdaten ermöglichen. Schauen Sie auf drei Punkte: In einem Projekt konnten wir über simple Plausibilitätsprüfungen verhindern, dass manipulierte Bestellungen im sechsstelligen Bereich automatisch in das ERP eingespielt wurden. Der Angreifer hatte zwar Zugang, aber seine Daten passten nicht ins Muster – das rettete dem Unternehmen viel Geld und Nerven. Cybersecurity in der Lieferkette heißt: Nicht nur auf die eigene Festung schauen, sondern auch auf die Häuser der Nachbarn – vor allem, wenn zwischen Ihnen Datenkanäle bestehen oder Sie kritisch voneinander abhängen. Dabei geht es nicht darum, jeden kleinen Zulieferer wie ein Großkonzern zu auditieren. Es geht darum, Risikoklassen zu definieren und angemessene Anforderungen zu stellen. Ein pragmatischer Ansatz, den ich oft empfehle: Für jede Klasse definieren Sie Mindestanforderungen an Informationssicherheit – abgestimmt auf die Realität Ihrer Branche. Cybersecurity gehört in die Lieferantenbeziehung – nicht als Misstrauensvotum, sondern als gemeinsames Qualitätsmerkmal. Viele OEMs machen das bereits sehr konsequent. Praktisch heißt das: In einem Produktionsunternehmen, das ich begleitete, war ein IT-Dienstleister für das komplette ERP zuständig – inklusive Hosting. Als dieser einen Ransomware-Angriff hatte, fehlte zunächst ein gemeinsamer Notfallplan. Die Folge: Tage voller Chaos, obwohl die technischen Backups vorhanden waren. Es scheiterte an Zuständigkeiten und Kommunikation. Auch mit guten Maßnahmen bleibt ein Restrisiko. Entscheidend ist dann, ob Sie in einem Vorfall in Panik verfallen – oder in einen vorbereiteten Modus wechseln können. Für mittelständische Unternehmen reichen meist schlanke, aber klare Strukturen: Ich habe selten erlebt, dass Unternehmen Kunden durch einen Cybervorfall verlieren. Ich habe aber erlebt, dass sie Kunden durch schlechte, späte oder intransparente Kommunikation verlieren. In vielen Präsentationen steht der Satz „Der Mensch ist das größte Sicherheitsrisiko“. Ich halte ihn für gefährlich – er führt dazu, dass Mitarbeiter entweder als Problem gesehen werden oder sich selbst nicht verantwortlich fühlen. Besser ist der Blick: Ihre Mitarbeiter sind Ihr größter Sicherheitsfaktor, wenn Sie sie befähigen. Was wirkt in der Praxis? In einem Unternehmen, das viel mit Konstruktionsdaten arbeitet, meldete eine Mitarbeiterin eine auffällige E-Mail, die von einem vermeintlichen OEM-Kontakt kam. Es war tatsächlich ein Angriff – und sie hat mit ihrer Aufmerksamkeit einen großen Schaden verhindert. Sie wurde intern gelobt – und das Signal war deutlich: „Aufpassen lohnt sich.“ Wenn Sie bis hierhin gelesen haben, fragen Sie sich vielleicht: Wo fange ich an, ohne mein Tagesgeschäft zu überrollen? Ein Ansatz, der sich im Mittelstand bewährt hat: Cybersecurity im Mittelstand ist kein Sprint-Projekt, sondern eine Daueraufgabe – aber sie muss kein Fass ohne Boden sein. Wer die Themen klug priorisiert, spart sich viele teure Überraschungen. Am Ende geht es um eine einfache Frage: Wenn morgen ein Partner gehackt wird – oder Sie selbst ins Visier geraten – ist Ihr Unternehmen dann ein Spielball der Ereignisse oder ein verlässlicher, handlungsfähiger Akteur in seiner B2B-Welt? Die gute Nachricht: Mit einem klaren Blick auf Ihre digitalen Prozesse, einigen konsequenten Entscheidungen auf Geschäftsführungsebene und pragmatischen Maßnahmen in IT und Fachbereichen können Sie die Antwort auf diese Frage aktiv gestalten – statt sie dem Zufall oder den Angreifern zu überlassen.Grundprinzipien: Ohne diese Basics wird es teuer
Rollen und Berechtigungen so vergeben, dass niemand mehr Zugriff hat, als er für seine Aufgaben benötigt – auch nicht „aus Bequemlichkeit“.
Alle extern erreichbaren Systeme (E-Mail, VPN, Portale, Remote-Zugänge) sollten zwingend MFA nutzen. Ja, es nervt manchmal. Aber es verhindert sehr viele Vorfälle.
Nicht nur Windows-Server, sondern auch: Router, Firewalls, EDI-Gateways, Webshops, Produktions-PCs. Viele Angriffe nutzen bekannte, seit Jahren ungepatchte Schwachstellen.Digitale B2B-Prozesse sicher gestalten – pragmatisch, nicht paranoid
Zugänge und Identitäten: Wer darf eigentlich was?
Wo möglich, Zugänge über ein zentrales Verzeichnis (z. B. Azure AD) verwalten. Externe Zugriffe (Kunden, Partner) klar trennen von internen Identitäten.
Checklisten dafür, welche Zugänge beim Eintritt und Austritt von Mitarbeitern erstellt bzw. gelöscht werden müssen – inklusive B2B-Portale und Tools.
Einmal pro Jahr (mindestens) mit Fachbereichen durchgehen: Wer hat Zugriff auf was, und ist das noch nötig? Besonders bei Kunden- und Lieferantendaten.Sichere Kommunikation: E-Mail, Portale, Dateien
Technische Grundlagen wie SPF, DKIM und DMARC sollten sauber konfiguriert sein, um Spoofing zu erschweren. Ergänzend: Schulungen zu Phishing (mit realistischen Beispielen aus Ihrer Branche) und klare Prozesse, wie Zahlungsänderungen oder ungewöhnliche Anfragen zu verifizieren sind (z. B. Rückruf über bekannte Telefonnummer).
Nur verschlüsselte Verbindungen (HTTPS), konsequente Nutzung von MFA, starke Passwortrichtlinien und Sitzungs-Timeouts. Und: Regelmäßige Penetrationstests oder Schwachstellenscans – besonders, wenn das Portal kundenseitig sichtbar ist.
Anstelle von Dateien per E-Mail-Anhang für sensible Daten lieber sichere Transfer-Lösungen nutzen (z. B. Managed File Transfer, verschlüsselte Plattformen). Und bitte: Keine USB-Sticks „zur Not“ in der Produktion herumreichen.Schnittstellen und Automatisierung: EDI, APIs & Co. absichern
Systeme nicht „direkt ins Internet hängen“, sondern über Firewalls, VPNs oder Reverse Proxies absichern. Standard-Zugänge und -Passwörter entfernen, Logs aktiv auswerten, nicht nur „mitschreiben“.
Produktionsnetze (OT) von Office- und Verwaltungsnetzen trennen. Ein kompromittiertes Büro-Notebook sollte nicht ohne Weiteres in die SPS-Steuerung gelangen können.
Automatisierte Eingangsprüfungen für EDI-Nachrichten und API-Calls: Stimmen Formate, Wertebereiche, Absender? Was offensichtlich nicht passt, wird abgelehnt oder manuell geprüft.Lieferketten resilient machen: Vom schwächsten Glied her denken
Lieferanten nach Cyber-Risiko klassifizieren
Zulieferer, ohne die Ihre Produktion/Leistung innerhalb weniger Tage stillsteht, oder die tief in Ihre Systeme eingebunden sind (z. B. Remote-Wartung, Hosting, Cloud-Services).
Wichtige, aber austauschbare Lieferanten oder solche mit Zugriff auf nicht-kritische, aber sensible Daten (z. B. Marketing-Agenturen mit Kundendaten).
Lieferanten ohne Systemzugriff und ohne kritische Abhängigkeit (z. B. Büromaterial, Catering).Verträge, Anforderungen und gemeinsame Standards
Anforderungen an den Umgang mit Daten, Meldepflichten bei Sicherheitsvorfällen, Mindeststandards (z. B. ISO 27001, TISAX oder eigene Richtlinien) – abgestimmt auf die Risikoklasse.
Ein strukturierter Fragenkatalog für kritische Lieferanten, ergänzt um vorhandene Zertifizierungen, Auditberichte oder Penetrationstests.
Vorher klären: Was passiert, wenn bei einem kritischen Lieferanten etwas passiert? Wer informiert wen? Wie schnell? Welche Übergangslösungen gibt es?Vom Incident zur Krisenbewältigung: Wenn es doch passiert
Wer entscheidet was? Welche Systeme werden im Zweifel sofort getrennt? Wie wird dokumentiert? Welche externen Partner (z. B. Forensiker, Rechtsanwälte, PR) werden eingebunden?
Aktuelle Liste mit technischen und geschäftlichen Ansprechpartnern auf beiden Seiten. Im Ernstfall zählt jede Stunde, um Ausbreitungen zu verhindern.
Mitarbeiter müssen wissen, was sie tun (und nicht tun) sollen. Geschäftspartner müssen informiert werden, bevor Gerüchte entstehen. Ehrlichkeit zahlt sich aus – auch wenn es kurzfristig unangenehm ist.Menschen als Sicherheitsfaktor – nicht als „größte Schwachstelle“
Keine stundenlangen Frontalvorträge, sondern 15–30-minütige, praxisnahe Einheiten mit Beispielen aus dem eigenen Alltag.
Nicht, um „Denunzierung“ zu betreiben, sondern um gemeinsam zu lernen. Wer auf etwas hereinfällt, bekommt Hilfe, keine Standpauke.
Wer vermutet, auf einen Link geklickt oder etwas Verdächtiges geöffnet zu haben, muss sich trauen, sofort Bescheid zu geben – ohne Angst vor Sanktionen.Pragmatischer Fahrplan: Wie Sie das Thema jetzt anpacken
Welche drei bis fünf digitalen B2B-Prozesse sind für Umsatz, Produktion oder Kundenbeziehung am wichtigsten? (z. B. Bestellabwicklung mit Top-Kunden, Remote-Wartung, Lieferanten-EDI).
Was passiert, wenn dieser Prozess 3 Tage ausfällt – oder Daten daraus öffentlich werden? Wie wahrscheinlich ist das auf Basis Ihrer aktuellen Schutzmaßnahmen?
Aus diesem Artikel werden das erfahrungsgemäß Dinge sein wie: MFA einführen, E-Mail-Sicherheit verbessern, Berechtigungen ordnen, kritische Lieferanten klassifizieren, Incident-Plan erstellen.
Wer kümmert sich um welche Maßnahme? Nicht alles ist „IT“. Vieles betrifft auch Einkauf, Vertrieb, Produktion und Geschäftsführung.
Lieber ein Jahr lang jeden Monat eine wirksame Maßnahme sauber umsetzen, als ein riesiges Konzept schreiben, das dann in der Schublade verschwindet.