Jörg-Uwe, Cyberangriffe sind längst keine Ausnahme mehr. Wenn du auf die letzten zwölf Monate blickst: Welcher Angriff hat dich persönlich am meisten aufgerüttelt und warum?

Die Angriffe auch auf kleinere und mittlere Unternehmen nehmen ständig zu. Ich kann gar nicht sagen, ob oder welcher Angriff mich aufgerüttelt hat. Was mich betroffen macht, ist die immer noch vorhandene Ignoranz der Gefahr. Wenn man mit Unternehmern spricht, wissen eigentlich alle, dass die Gefahr konkret ist. Trotzdem werden wenige aktiv, um sich besser zu schützen und zumindest sicherzustellen, dass ihr Unternehmen einen Angriff überstehen kann.

Viele KMUs denken: „Wir sind zu klein, um interessant zu sein.“ Warum ist genau das der gefährlichste Irrtum?

Weil Angreifer nicht manuell „Ziele aussuchen“, sie automatisieren. Sie scannen breite Angriffsflächen bei den Firmen direkt oder greifen über Zulieferer oder Dienstleister an. Gerade kleinere Firmen sind hier gefährdet, weil oft nicht bekannt ist, welche Sicherheitsmaßnahmen von den Dienstleistern implementiert sind. Nicht die Firmengröße entscheidet, sondern die Erreichbarkeit – und eben oft auch über die Dienstleister.

Du moderierst seit Jahren Fachrunden zur Cybersicherheit. Was hat sich in der Wahrnehmung bei Mittelständlern verändert und wo herrscht immer noch gefährliche Naivität?

Positiv: Der Zusammenhang zwischen Cybervorfällen und Umsatz/Produktion ist angekommen. Kritisch: Viele unterschätzen die Gefahr immer noch. Punkte wie Multifaktor Autorisierungen, Backup-Rücksicherungstests und die Bewertung von Drittrisiken sind nicht überall implementiert. Parallel steigt die Schlagzahl – Ransomware-Vorfälle nehmen weiter zu und nutzen aggressivere Erpressung.

Viele Unternehmen haben kein eigenes Security-Team. Wer sollte die Verantwortung übernehmen und wie lässt sich das in der Praxis umsetzen?

Chefsache. Die Geschäftsführung ist verantwortlich. Das muss sich jeder klar machen. Sie kann eine:n Verantwortliche:n (interim/fractional CISO oder IT-Leitung) benennen. Das ändert an der Verantwortung nichts. Operativ kann ein Managed Service Provider unterstützen, aber die Governance bleibt intern. Ist ein Unternehmen zu klein, um sich einen MSP zu leisten, sollte es zumindest sicherstellen, dass es ein vernünftiges Backup-Konzept gibt, dass auch in der Praxis umgesetzt wird. So hat man eine Chance, einen Angriff zu überstehen, wenn man ihn nicht verhindern kann.

Du sprichst oft von „unternehmerischer Resilienz“. Was bedeutet das konkret im Kontext Cybersecurity und warum ist das Thema Chefsache?

Resilienz heißt: vorbereitet sein, abfedern können und schneller wieder auf Kurs sein. Dazu gehören belastbare Prozesse, finanzielle Luft (Versicherung, Reserven) und Entscheidungsroutinen. Das ist strategisch – und damit Chefsache – weil es Wertschöpfung und Reputation sichert, nicht nur Server.

Man hört oft den Satz: „Unsere IT kümmert sich darum.“ Warum reicht das in der Realität oft nicht aus?

Weil Security quer durchs Unternehmen läuft: Einkaufsverträge, Personalprozesse, Recht, Compliance, Kommunikation. Ohne Policy, Prioritäten und Freigaben aus der Chefetage bleibt die IT bei Symptomen stecken. Das Haupteinfallstor für Cyber-Angriffe sind die Menschen im Unternehmen.

Du begleitest Unternehmen dabei, IT als Wettbewerbsvorteil zu verstehen. Wie kann Cybersecurity tatsächlich zum Vertrauensfaktor und Qualitätsmerkmal werden?

Durch Standards und Transparenz: passende Zertifizierungen wo sinnvoll, nachvollziehbare Prozesse, ehrliche Vorfallkommunikation, belastbare Lieferantensorgfalt. Seine Verträge mit Dienstleistern sollte jedes Unternehmen regelmäßig kritisch durchleuchten.

Wer Sicherheit belegen kann und transparent lebt, gewinnt Audits, Ausschreibungen – und Vertrauen.

Was sind aus deiner Sicht die drei größten Hebel, um die eigene Cyber-Resilienz schnell und wirksam zu verbessern?

1. MFA überall, inkl. Admin- und Drittzugänge.
2. Patch-/Asset-Disziplin: was läuft, wie alt, wie schnell gefixt.
3. Getestete Backups mit dokumentierter Restore-Zeit – nicht nur Vorhandensein, sondern Rücksicherung pro Quartal. Große Ausfälle der letzten Jahre zeigen: Nicht das Backup, sondern der Restore entscheidet über die Wiederherstellung der Betriebsfähigkeit.

Im Panel sitzt mit Patrick Reinert ein Unternehmer, der selbst Opfer eines Angriffs war. Was können andere aus seiner Erfahrung lernen und was hat dich an seiner Geschichte besonders beeindruckt?

Dass Klarheit stärker ist als Kosmetik: Er hat nach dem offen kommuniziert und anschließend seine IT komplett neu aufgestellt. Besonders beeindruckt hat mich seine Konsequenz aus Schmerz Standards zu machen – das ist Führung.

Aus seiner Erfahrung kann jeder erkennen, wie wichtig die gute Vorbereitung ist. Das ist ein ungeliebtes Thema, aber existenziell wichtig.

Was dürfen die Teilnehmenden vom PanelTalk erwarten, was wird anders als die üblichen Cybersecurity Veranstaltungen?

Kein Bullshit-Bingo. Wir verbinden CISO, Unternehmer, Recht & MSP auf einer Bühne, um verschiedene Aspekte darzustellen. Es wird klar, was noch auf uns zukommt und wie wichtig es ist, rechtzeitig ins Handeln zu kommen.

Und zum Schluss: Warum sollte niemand diesen PanelTalk verpassen?

Weil du in 60–90 Minuten von „diffus bedrohlich“ zu „konkret umsetzbar“ kommst – mit klaren Verantwortlichkeiten, schnellen ersten Schritten und ohne Panikmache.

Abschlusswort: „Cybersecurity ist kein Spezialthema für Nerds, sondern die neue betriebliche Gesundheitspflege. Wenn du sie vernachlässigst, riskierst du nicht nur Daten sondern das Vertrauen deiner Kunden. Und genau darüber reden wir am 10. November: konkret, praxisnah und ohne Panikmache.“
Jörg-Uwe Beyer, JUB Unternehmensberatung