IT-Security – Entscheidungen richtig vorbereiten

Teil 1 von 2

IT-Security-Entscheidungen gehören heute zu den schwierigsten – und gleichzeitig folgenreichsten – Aufgaben von Geschäftsführungen und IT-Leitungen. Denn anders als bei klassischen IT-Investitionen geht es nicht nur um Effizienz oder Kostenoptimierung, sondern um die grundsätzliche Fähigkeit eines Unternehmens, handlungsfähig zu bleiben. Produktionsausfälle, Datenverlust oder regulatorische Verstöße sind längst keine theoretischen Risiken mehr, sondern reale Geschäftsrisiken.

Gerade im deutschen Mittelstand und in größeren Unternehmen ab etwa 250 Mitarbeitenden zeigt sich dabei ein wiederkehrendes Muster: Entscheidungen werden häufig unter Druck getroffen – ausgelöst durch Vorfälle, Audits oder neue regulatorische Anforderungen. Was dann fehlt, ist eine strukturierte Vorbereitung. Und genau hier entstehen die meisten Fehlentscheidungen.

Dieser Artikel zeigt, wie Sie IT-Security-Entscheidungen so vorbereiten, dass sie langfristig tragfähig sind – technisch, organisatorisch und wirtschaftlich.

Viele Unternehmen behandeln IT-Security noch immer als rein technische Disziplin. Das ist nachvollziehbar, aber nicht mehr zeitgemäß. Spätestens mit der Umsetzung von NIS-2 in Deutschland hat sich die Perspektive verschoben: IT-Sicherheit ist zur Managementaufgabe geworden.

Das hat zwei zentrale Gründe:

1. Die Auswirkungen von Sicherheitsvorfällen betreffen heute das gesamte Unternehmen. Ein erfolgreicher Angriff führt nicht nur zu IT-Problemen, sondern zu Produktionsstillstand, Umsatzausfällen und Vertrauensverlust bei Kunden und Partnern.
2. Die regulatorischen Anforderungen steigen. Unternehmen müssen nicht nur angemessene Sicherheitsmaßnahmen umsetzen, sondern diese auch nachweisen können. Entscheidungen im Bereich IT-Security sind damit automatisch auch rechtliche und betriebswirtschaftliche Entscheidungen.

Die Konsequenz daraus ist klar: Wer IT-Security entscheidet, muss sie auch verstehen – zumindest auf strategischer Ebene.

Ein klassischer Einstieg in IT-Security-Projekte lautet:

„Wir brauchen eine neue Firewall.“
Oder: „Wir müssen ein SOC aufbauen.“

Das Problem daran: Diese Aussagen sind bereits Lösungen – aber es wurde noch gar nicht sauber definiert, welches Problem eigentlich gelöst werden soll. Eine fundierte Entscheidung beginnt deshalb immer mit einem Schritt, der oft übersprungen wird: der Bedarfsbestimmung.

Die wichtigste Frage am Anfang lautet nicht „Welche Technologie brauchen wir?“, sondern: Was ist für unser Unternehmen kritisch?

Das klingt trivial, ist in der Praxis aber anspruchsvoll. Denn in Unternehmen ab 250 Mitarbeitenden existieren zahlreiche Abhängigkeiten:

• Geschäftsprozesse (z. B. Produktion, Vertrieb, Logistik)
• Systeme (ERP, CRM, E-Mail, Cloud-Dienste)
• Daten (Kundendaten, Finanzdaten, geistiges Eigentum)
• externe Partner und Lieferketten

Eine sinnvolle Herangehensweise ist, IT-Security entlang der Geschäftsprozesse zu denken. Fragen Sie sich:

• Welche Prozesse müssen zwingend funktionieren, damit das Unternehmen weiterläuft?
• Welche Systeme sind dafür notwendig?
• Was passiert, wenn diese Systeme ausfallen oder manipuliert werden?

Das Ergebnis ist kein perfektes Sicherheitskonzept, sondern ein priorisiertes Zielbild. Und genau das ist entscheidend: IT-Security bedeutet nicht, alles gleichzeitig zu schützen, sondern die richtigen Dinge zuerst.

Auf Basis der Priorisierung folgt die Analyse des Ist-Zustands. Hier zeigt sich häufig ein ernüchterndes Bild: Viele Unternehmen verfügen bereits über zahlreiche Sicherheitslösungen – diese sind jedoch nicht integriert, nicht vollständig konfiguriert oder werden nicht aktiv betrieben.

Typische Schwachstellen sind:

• unvollständiges Patch-Management
• fehlende Mehr-Faktor-Authentifizierung
• unzureichende Backup-Strategien
• unklare Berechtigungsstrukturen

Securepoint spricht in diesem Zusammenhang bewusst von „Cyberhygiene“ – also grundlegenden Maßnahmen, die in jedem Unternehmen umgesetzt sein sollten. Dazu gehören regelmäßige Updates, sauberes Passwortmanagement und funktionierende Datensicherungen.

Der Punkt ist wichtig: Bevor Sie über neue Lösungen nachdenken, sollten Sie sicherstellen, dass die Grundlagen funktionieren.

Ein oft unterschätzter Faktor in IT-Security-Entscheidungen sind die eigenen Ressourcen. Viele Strategien scheitern nicht an der Technik, sondern an der Umsetzung. Der Grund ist einfach: IT-Security ist kein einmaliges Projekt, sondern ein dauerhafter Betriebszustand.

Das bedeutet konkret:

• Systeme müssen überwacht werden
• Vorfälle müssen analysiert werden
• Updates müssen eingespielt werden
• Prozesse müssen regelmäßig überprüft werden

Die entscheidende Frage lautet daher: Können wir das intern leisten – dauerhaft und zuverlässig?

Dabei geht es nicht nur um die Anzahl der Mitarbeitenden, sondern um:

• Fachwissen (z. B. Incident Response, Forensik)
• Verfügbarkeit (24/7 vs. Bürozeiten)
• Prozessreife (klare Abläufe im Ernstfall)

Viele Unternehmen kommen hier zu dem Ergebnis, dass ein vollständig interner Betrieb nicht realistisch ist. In solchen Fällen sind Managed Services oder externe Partner keine Notlösung, sondern eine strategisch sinnvolle Entscheidung.

Die Auswahl eines IT-Security-Dienstleisters gehört zu den kritischsten Entscheidungen im gesamten Prozess. Gleichzeitig wird sie häufig zu oberflächlich getroffen.

Ein zentraler Denkfehler besteht darin, den Dienstleister primär nach Technologie oder Preis zu bewerten. Entscheidend ist jedoch etwas anderes: Wie gut passt der Dienstleister zu Ihrem Betriebsmodell?

Dabei sollten Sie zwischen zwei Dingen unterscheiden:

• Arbeit auslagern (z. B. Monitoring, Betrieb)
• Verantwortung auslagern (was rechtlich oft gar nicht möglich ist)

Gerade im Kontext der DSGVO bleibt die Verantwortung in der Regel beim Unternehmen. Das bedeutet: Sie müssen sicherstellen, dass Ihr Dienstleister die Anforderungen erfüllt – und das auch nachweisen kann.

Ein weiterer zentraler Aspekt ist die Frage nach dem Finanzierungsmodell. Klassisch wird hier zwischen Kauf (CapEx) und Miete bzw. Service (OpEx) unterschieden. In der Praxis ist diese Entscheidung jedoch komplexer. Denn es geht nicht nur um Kosten, sondern um Flexibilität und Risiko. Beim Kauf investieren Unternehmen einmalig in Hardware und Lizenzen. Das bietet Kontrolle, erfordert aber auch eigene Betriebsressourcen und langfristige Planung.

Service-Modelle hingegen bieten:

• geringere Einstiegskosten
• höhere Flexibilität
• planbare laufende Kosten

Securepoint zeigt diesen Ansatz beispielsweise mit „Firewall as a Service“, bei dem Sicherheitslösungen als monatlich kündbarer Service bereitgestellt werden. Der Vorteil liegt auf der Hand: Unternehmen können schneller reagieren und müssen weniger Kapital binden. Der Nachteil: Es entsteht eine stärkere Abhängigkeit vom Anbieter. Die richtige Entscheidung hängt daher weniger vom Preis ab als von der strategischen Ausrichtung des Unternehmens.

Ein häufiger Fehler in der Entscheidungsfindung ist die Betrachtung von Kosten isoliert nach Anschaffung oder Lizenz. Eine realistische Bewertung muss den sogenannten Total Cost of Ownership (TCO) berücksichtigen.

Dazu gehören:

• Investitionskosten
• laufende Betriebskosten
• Personalkosten
• Schulungsaufwand
• Kosten im Schadensfall

Gerade letzterer Punkt wird oft unterschätzt. Sicherheitsvorfälle verursachen nicht nur direkte Kosten, sondern auch indirekte Schäden wie Reputationsverlust oder Vertragsstrafen. Eine fundierte Entscheidung berücksichtigt daher immer auch das Risiko – nicht nur den Preis.

IT-Security-Entscheidungen sind immer auch rechtliche Entscheidungen. Das gilt insbesondere in Deutschland und im DACH-Raum, wo regulatorische Anforderungen kontinuierlich zunehmen.

Zu den wichtigsten Rahmenbedingungen gehören:

• NIS-2 (IT-Sicherheitsanforderungen und Meldepflichten)
• DSGVO (Datenschutz)
• branchenspezifische Vorgaben
• Compliance-Anforderungen (z. B. GoBD)

Diese Vorgaben beeinflussen nicht nur die Auswahl von Technologien, sondern auch die Vertragsgestaltung, etwaige Dokumentationspflichten und Anforderungen von Nachweisen.

Ein Beispiel: Cloud-Dienste müssen häufig bestimmte Sicherheitsstandards erfüllen. Das BSI definiert mit dem C5-Katalog einen Rahmen, der Mindestanforderungen an Cloud-Sicherheit beschreibt.

Für Unternehmen bedeutet das: IT-Security kann nicht isoliert entschieden werden. Sie muss immer im Kontext von Compliance betrachtet werden.

Am Ende läuft alles auf eine zentrale Erkenntnis hinaus: IT-Security ist kein einzelnes Produkt, das man einmal einführt und damit das Thema abhakt, sondern ein ganzheitliches System. Dieses System setzt sich aus mehreren ineinandergreifenden Komponenten zusammen – aus der eingesetzten Technologie, klar definierten Prozessen, den Menschen, die diese Prozesse umsetzen, sowie einer übergeordneten Governance, die Verantwortung, Regeln und Ziele festlegt. Eine Entscheidung im Bereich IT-Security ist nur dann wirklich tragfähig, wenn sie all diese Dimensionen berücksichtigt. Sobald einer dieser Bausteine fehlt oder vernachlässigt wird, entstehen Lücken – und genau diese Schwachstellen werden in der Praxis gezielt ausgenutzt.

Die Qualität einer IT-Security-Entscheidung zeigt sich nicht im Moment der Auswahl, sondern in der Vorbereitung.

Wenn Sie:

• Ihre kritischen Geschäftsprozesse kennen
• Ihren tatsächlichen Bedarf definiert haben
• Ihre internen Kapazitäten realistisch einschätzen
• Dienstleister strukturiert bewerten
• finanzielle und rechtliche Aspekte berücksichtigen

… dann treffen Sie keine isolierte IT-Entscheidung, sondern eine fundierte unternehmerische Entscheidung.

Und genau das ist der Unterschied zwischen reaktiver Sicherheit und strategischer IT-Security.

Im zweiten Teil dieses Artikels geht es darum, was nach der Entscheidung entscheidend ist: Betrieb, Organisation und kontinuierliche Verbesserung.