Cybersicherheit betrifft uns alle - auch kleine und mittlere Unternehmen
Ich schreibe diesen Artikel als Gründer und Inhaber eines kleinen bis mittleren Softwareunternehmens. Bei erminas entwickeln wir Software für die industrielle Digitalisierung. Unsere Lösungen werden von Kunden in produktiven Umgebungen eingesetzt – und das bedeutet Verantwortung. Verantwortung für funktionierende Systeme, für Sicherheit und für Vertrauen.
Wir sind kein großes Unternehmen mit einer eigenen Sicherheitsabteilung. Und das gilt für viele KMU. Dennoch tragen wir die gleiche Verantwortung wie die Großen – gegenüber unseren Kunden, unseren Mitarbeitern und unserer Gesellschaft.
Wie Cybersicherheit im Alltag aussieht
In vielen mittelständischen Unternehmen ist die Sicherheit kein eigenes Team. Sicherheitsprobleme entstehen mitten im Alltag – zwischen Terminen, Kundenanfragen und dem laufenden Betrieb. Meistens ganz unauffällig, bis etwas passiert.
Dann kommt die Schlagzeile. Eine kritische Sicherheitslücke. Jeder fragt sich:
Sind wir betroffen?
Hat dies Auswirkungen auf unsere Kunden?
Haben wir das unter Kontrolle?
Und plötzlich ist alles dringend.
Stress entsteht, wenn es an Strukturen fehlt
Das Patchen ist nicht das Problem – es ist der Weg dorthin.
Welche Softwarekomponente verwenden wir?
Welche Versionen sind betroffen?
Wo genau?
Welche Kunden sind betroffen?
Ist die Lösung bereits in Kraft?
Wurde sie ausgeliefert?
Ohne klare Strukturen wird jeder Sicherheitsverstoß zu einem Stresstest. Anstatt gelassen zu reagieren, geraten Sie in Erklärungsnot – sowohl intern als auch extern. Das führt zu Unsicherheit, vermeidbarem Stress und manchmal sogar zu einem Vertrauensverlust.
Der Cyber Resilience Act: kein Gegner, sondern eine Hilfe
Der Cyber Resilience Act (CRA) bietet einen rechtlichen Rahmen, der Transparenz und Verantwortung verlangt. Für uns ist dies kein Bedrohungsszenario, sondern eine Chance:
Klare Prozesse statt Ad-hoc-Reaktionen
Transparente Informationen für Kunden
Gut begründete Entscheidungen statt Bauchgefühl
Der CRA zwingt niemanden, perfekt zu sein. Aber er verlangt Rückverfolgbarkeit – und die kann erreicht werden mit
guter Teamarbeit und intelligenten Werkzeuge.
In der Praxis bedeutet dies oft die Kombination einiger etablierter Ansätze, anstatt eine umfangreiche Sicherheitsorganisation aufzubauen. Viele Teams verlassen sich auf Security Champions, die das Sicherheitsbewusstsein in die tägliche Arbeit einbinden und als lokale Ansprechpartner fungieren. Regelmäßige Schulungen zum Sicherheitsbewusstsein tragen dazu bei, dass die Risiken und Verantwortlichkeiten im gesamten Unternehmen verstanden werden. Auf struktureller Ebene bieten Frameworks wie das NIST Cybersecurity Framework eine gemeinsame Sprache für die Dokumentation von Entscheidungen, Prozessen und Verantwortlichkeiten – und genau darum geht es bei der Rückverfolgbarkeit im Rahmen der CRA.
Was dies für unsere Arbeit bedeutet - Ein realistisches Szenario aus unserem Alltag
Stellen wir uns vor, dass eine kritische Sicherheitslücke in einer weit verbreiteten Open-Source-Bibliothek entdeckt wird, die auch in unseren Produkten verwendet wird.
In der Vergangenheit hätte dies eine Kettenreaktion ausgelöst: Wer benutzt was? Wo? Welche Version? Wurde das Problem schon behoben? Wer muss informiert werden?
Heute ist der Prozess strukturierter – dank klarer Prozesse und einem gemeinsamen Verständnis von Verantwortung.
Schritt 1: Übersicht über das SBOM
Unsere Software enthält eine Software Bill of Materials (SBOM) für jede Version. So können wir sofort sehen:
Ob die betroffene Bibliothek überhaupt verwendet wird
In welcher Version
In welchen Produkten
Und: Welche Kundeninstallationen konkret betroffen sind
Dies reduziert den potenziellen Kreis von „alle“ auf „diese fünf Anlagen“. Das schafft Konzentration – und spart wertvolle Zeit.
Schritt 2: Patch-Status prüfen
Die nächste Frage: Gibt es bereits einen Patch? Wenn ja:
Haben wir sie bereits integriert?
Ist es Teil einer Veröffentlichung?
Wurde diese Version bereits an die betroffenen Kunden ausgeliefert?
Auch dies kann nachverfolgt werden – nicht immer automatisch, aber transparent dokumentiert. Und wenn es noch keinen Patch gibt, wissen wir zumindest, wo wir Prioritäten setzen müssen.
Schritt 3: Einbindung des Bedrohungsmodells
Nicht jede Schwachstelle ist in der Praxis automatisch kritisch. Deshalb bewerten wir auch:
Wird die betroffene Funktion überhaupt von uns verwendet?
Ist das System der Außenwelt ausgesetzt?
Kann ein externer Zugriff auf die Schwachstelle überhaupt stattfinden?
Dieses Bedrohungsmodell hilft, Panik zu vermeiden und Prioritäten richtig zu setzen. Es gibt einen Unterschied zwischen etwas, das theoretisch verwundbar ist, und etwas, das praktisch verwundbar ist.
Schritt 4: Kommunizieren Sie mit dem Kunden
Auf dieser Grundlage können wir selbstbewusst kommunizieren – nicht ausweichend, sondern klar:
‚Ihr System verwendet die Bibliothek, aber nicht die betroffene Version – es sind keine Maßnahmen erforderlich.
‚Ja, die Sicherheitslücke betrifft Sie. Wir haben die gepatchte Version intern getestet und werden sie morgen ausliefern.‘
Oder: „Derzeit ist keine Lösung verfügbar, aber Ihr spezielles Nutzungsszenario ist nicht anfällig. Wir beobachten die Situation genau und werden Sie auf dem Laufenden halten.
Diese Gespräche sind ganz anders als früher: Statt Unsicherheit zeigen wir Klarheit. Anstelle von technischen Erklärungen vermitteln wir Sicherheit. Das stärkt das Vertrauen – besonders in kritischen Momenten.
Das ist ein Unterschied. Und das zeigt sich in den Kundenbeziehungen: Das Vertrauen wächst, wenn wir Verantwortung übernehmen und transparent handeln.
Gemeinsam besser reagieren - im CRACoWi-Projekt
Im EU-Projekt CRACoWi entwickeln wir pragmatische Ansätze für genau diesen Zweck. Nicht mit der Erwartung, dass KMUs sofort alles perfekt machen, sondern mit dem Ziel, sie überhaupt erst zum Handeln zu befähigen.
Verantwortung teilen, statt sie abzuwälzen
Gemeinsam lernen
Werkzeuge verwenden, die im täglichen Leben funktionieren
Das entspricht unserer Einstellung: Wir wollen gemeinsam wachsen, fair arbeiten und menschlich bleiben – auch in stressigen Situationen.
Fazit: Cybersicherheit ist Teamarbeit
Sichere Software ist kein Luxus, sondern Teil unserer Verantwortung. Die CRA kann uns dabei helfen, organisierter, ruhiger und transparenter zu arbeiten – ganz ohne Hochglanzstrategien.
Wer heute Strukturen schafft, reduziert den Stress von morgen.
