Die unterschätzte Gefahr: Cybersecurity im Unternehmen

Von Silvia Florentine Rybka | Co-Autor: René Feicks

Es beginnt selten spektakulär.

Kein Alarm, keine Sirene. Vielleicht nur eine Mail, die nicht mehr rausgeht. Ein System, das ungewöhnlich lange lädt. Ein Fahrer, der anruft, weil die Tourdaten fehlen. Und irgendwo im Hintergrund hat sich jemand Zugriff verschafft – leise, geduldig, systematisch.

Was dann folgt, ist kein „IT-Problem“. Es ist ein Stillstand.

Aufträge können nicht mehr disponiert werden, weil die Systeme blockiert sind. Rechnungen bleiben liegen, weil niemand auf die Daten zugreifen kann. Telematik fällt aus, Schnittstellen zu Kundenportalen brechen weg. Und während im Büro noch versucht wird, die Lage zu verstehen, stehen draußen Fahrzeuge – teuer, bereit, aber ohne klare Anweisung.

Der eigentliche Schaden beginnt nicht im Serverraum. Er beginnt im Kopf.

Unsicherheit greift um sich. Wer hat Zugriff? Was ist noch vertrauenswürdig? Kann ich meinem eigenen System noch glauben? In vielen Fällen wird erst in diesem Moment klar, wie stark Prozesse inzwischen voneinander abhängen. Digitalisierung ist effizient – bis sie es nicht mehr ist.

Und genau hier wird es unangenehm realistisch.

Ein gezielter Angriff legt nicht einfach nur Daten lahm. Er verändert sie. Rechnungen werden manipuliert und Fremde IBAN eingetragen. Touren werden verfälscht. Kommunikationsverläufe lassen sich nicht mehr nachvollziehen. Im schlimmsten Fall wird ein Unternehmen handlungsunfähig, ohne dass sofort sichtbar ist, warum.

Parallel dazu läuft die Uhr.

Kunden erwarten Antworten. Vertragliche Verpflichtungen laufen weiter. Und während intern noch analysiert wird, ob ein Backup existiert und ob dieses überhaupt sauber ist, steht bereits die nächste Frage im Raum: Muss das gemeldet werden? Wahrscheinlich ja. Und: Ist der System-Administrator der erste Ansprechpartner im Unternehmen? Hinweis: Er wird nur assistierend tätig sein.

Damit sind wir nicht mehr nur im operativen Problem. Sondern mitten in einer Situation, die schnell existenziell werden kann.

---

Wenn Systeme kippen – typische Angriffsszenarien

Ein Cyberangriff zielt selten nur auf „IT“. Er trifft Abläufe.

Manipulierte Daten statt kompletter Ausfall
Touren, Zeitfenster oder Gewichte werden verändert, ohne dass es sofort auffällt. Die Folge sind Fehlfahrten, Verzögerungen und Vertragsstrafen – bei gleichzeitig scheinbar „funktionierenden“ Systemen.

Blockierte Kommunikation
E-Mails, Dispositionssysteme oder Kundenportale sind nicht erreichbar. Abstimmungen laufen ins Leere, Entscheidungen verzögern sich.

Ausfall von Schnittstellen
Telematik, externe Plattformen oder digitale Übergaben funktionieren nicht mehr. Informationen fehlen genau dort, wo sie benötigt werden.

Bankdaten in Rechnungen werden beim Versenden verändert, so dass die Zahlung nicht bei dem gewünschten Empfänger ankommt.

Ganze Systeme werden verschlüsselt und das Unternehmen erhält Angebote mit Zahlung in Kryptowährung, für eine Dienstleistung zum Wiederherstellen des vorherigen Zustandes.

Stillstand durch Unsicherheit
Nicht der technische Ausfall ist häufig das größte Problem, sondern die Frage, welche Daten noch verlässlich sind.

Wirtschaftliche Folgen
Betriebsunterbrechung, Haftungsrisiken, Reputationsschäden und zunehmender Druck durch Melde- und Dokumentationspflichten können sich sehr schnell aufbauen.

Kernaussage:
Ein Angriff macht ein Unternehmen nicht nur langsamer – er kann es in kurzer Zeit entscheidungsunfähig machen.

---

Mit genau dieser Ausgangslage verschiebt sich der Blick auf ein Thema, das lange als Randthema behandelt wurde: Cybersecurity.

Was bislang häufig als technische Frage verstanden wurde, wird zunehmend zu einer unternehmerischen Pflicht. Nicht, weil es modern klingt, sondern weil die Abhängigkeiten real sind – und weil Ausfälle nicht mehr isoliert bleiben.

Gerade in der Schwerlast- und Kranbranche wirkt Digitalisierung oft unspektakulär, solange sie funktioniert. Disposition, Kommunikation, Dokumentation, Projektabstimmung, Telematik, externe Portale und kaufmännische Prozesse greifen längst ineinander. Fällt eines davon aus oder wird manipuliert, bleibt der Schaden nicht am Bildschirm. Er läuft mit hinaus auf die Straße, auf die Baustelle, in die Werkstatt und in die Kundenbeziehung.

An dieser Stelle kommt die europäische Regulierung ins Spiel.

---

NIS2 – kurz erklärt

Neben dem BDSG, der DSGVO und weiteren Rechtsgrundlagen Ist die NIS2-Richtlinie eine EU-Richtlinie zur Stärkung der Cybersicherheit in Unternehmen und Organisationen. Sie verpflichtet betroffene Einrichtungen dazu, Risiken systematisch zu betrachten, geeignete technische und organisatorische Maßnahmen zu treffen und erhebliche Sicherheitsvorfälle zu melden.

Haftung – ein unterschätzter Punkt
Haften muss immer die Unternehmensleitung, denn viele diese Punkte lassen sich nicht verantwortlich delegieren, um sich selbst zu entlasten. Das ist ureigenste Angelegenheit der Geschäftsführung.

Für wen gilt das allgemein?
Grundsätzlich richtet sich speziell NIS2 an Unternehmen ab etwa 50 Mitarbeitenden oder rund 10 Mio. Euro Jahresumsatz, sowie an Betreiber kritischer oder wichtiger Dienstleistungen, etwa in den Bereichen Energie, Verkehr, Infrastruktur oder Logistik. Auch Unternehmen, die Teil relevanter Lieferketten sind, geraten zunehmend in den Anwendungsbereich. Durch die vielen anderen Regelungen sind im Grunde trifft es dann auch kleine Unternehmen.

Was bedeutet das für Schwerlast und Krane?
Nicht jedes Schwerlast- oder Kranunternehmen fällt automatisch unmittelbar unter NIS2. Aber viele Betriebe arbeiten in Liefer- und Leistungsketten, in denen Cybersecurity-Anforderungen faktisch weitergereicht werden. Das betrifft insbesondere Unternehmen, die für Infrastrukturprojekte, Energieprojekte, Industrieanlagen oder andere sensible Vorhaben tätig sind.

Viele Unternehmen fallen nicht unmittelbar unter die Richtlinie, werden aber faktisch eingebunden – etwa als Dienstleister für Infrastrukturprojekte oder als Transportpartner für sensible Güter oder anderen gesetzliche Reglungen.

In der Praxis werden Anforderungen häufig über Auftraggeber weitergegeben. Erwartet werden nachvollziehbare Sicherheitsstandards, dokumentierte Prozesse und klare Zuständigkeiten.

Kernaussage:
NIS2 ist kein isoliertes IT-Thema, sondern betrifft die gesamte Organisation und die Fähigkeit, auch unter Störung arbeitsfähig zu bleiben.

Öffentlich nachlesbar:
Offizieller Richtlinientext der EU:
NIS2-Richtlinie bei EUR-Lex

Erste praktische Einschätzung für Unternehmen in Deutschland:
BSI: NIS-2-Betroffenheitsprüfung

Kernaussage:
NIS2 ist kein isoliertes IT-Thema. Es berührt die gesamte Organisation und die Frage, wie belastbar ein Unternehmen unter Störung tatsächlich ist.

---

Für viele Betriebe liegt die eigentliche Herausforderung deshalb nicht darin, eine Richtlinie juristisch nachzuerzählen. Die eigentliche Herausforderung liegt darin, die eigene Verwundbarkeit realistisch einzuschätzen.

Denn die entscheidende Frage lautet nicht nur, ob ein Unternehmen formal betroffen ist. Die entscheidende Frage lautet, wie stabil die eigenen Abläufe tatsächlich sind, wenn Systeme nicht mehr wie gewohnt funktionieren.

Cybersecurity beginnt deshalb nicht mit einer Firewall und endet auch nicht mit einem Passwortwechsel. Sie beginnt mit Transparenz: Welche Prozesse sind kritisch? Wo bestehen Abhängigkeiten? Welche externen Partner sind eingebunden? Wer entscheidet im Ernstfall? Wer spricht mit Kunden? Wer prüft, welche Daten noch belastbar sind?

---

René Feicks: ERGÄNZUNG AUS DER PRAXIS

Ein Aspekt bleibt in diesem Zusammenhang oft unbeachtet: die tatsächliche Wirksamkeit bestehender Cyberversicherungen.

Viele Unternehmen verfügen heute über eine entsprechende Police.
Die entscheidende Frage ist jedoch nicht, ob Versicherungsschutz besteht – sondern ob dieser im Ernstfall auch trägt.

Cyberversicherungen sind regelmäßig an konkrete technische und organisatorische Anforderungen gebunden. Dazu gehören unter anderem:

– aktuelle Softwarestände und zeitnahe Sicherheitsupdates
– definierte Zugriffs- und Authentifizierungsverfahren
– strukturierte Backup- und Wiederherstellungskonzepte
– nachvollziehbare IT-Dokumentation

Werden diese Voraussetzungen nicht erfüllt oder lassen sie sich im Schadenfall nicht nachweisen, kann dies unmittelbare Auswirkungen auf den Leistungsanspruch haben – bis hin zur vollständigen Leistungsfreiheit.

Auffällig ist, dass diese Anforderungen zwar fester Bestandteil der Verträge sind, in der Praxis jedoch nur selten aktiv als laufende Verpflichtung thematisiert werden. Was als technische Obliegenheit vereinbart ist, findet sich häufig erst im Kleingedruckten wieder – nicht aber im laufenden Austausch.
Gerade dadurch entsteht in vielen Unternehmen ein trügerisches Sicherheitsgefühl:

Die Police existiert – die tatsächlichen Voraussetzungen bleiben unklar.

Kernaussage:
Eine Cyberversicherung entfaltet ihren Wert erst dann, wenn ihre Voraussetzungen im Alltag auch tatsächlich eingehalten werden.

---

Diese Fragen wirken theoretisch – bis sie es nicht mehr sind.

Und genau an diesem Punkt entscheidet sich, ob ein Unternehmen vorbereitet ist oder überrascht wird.

Wer sich mit solchen Fragen näher beschäftigt, landet zwangsläufig auch bei der organisatorischen Seite der Digitalisierung. Genau darum ging es bereits in dem Beitrag „ChatGPT im Unternehmen: Warum die Business-Lizenz organisatorische Fragen nicht ersetzt“. Dort stand die Frage im Mittelpunkt, wie digitale Werkzeuge im Unternehmensalltag geregelt und dokumentiert werden müssen. Im Kern führt diese Linie direkt hierher: zur Belastbarkeit von Prozessen, Zuständigkeiten und digitalen Strukturen insgesamt.

Am Ende bleibt deshalb eine einfache, aber unbequeme Frage:

Wie lange kann ein Unternehmen – Ihr Unternehmen – arbeiten, wenn plötzlich nichts mehr geht?

---

Erfahrungen aus der Praxis: Versicherung und Cyberrisiken

René Feicks ist geschäftsführender Gesellschafter der Deutsche Gesellschaft für Versicherungsoptimierung und begleitet Unternehmen bei Fragen der Risikoabsicherung.

Seine Perspektive ergänzt die technische und organisatorische Sicht um einen entscheidenden Aspekt: die finanziellen Auswirkungen eines Ausfalls.Im Mittelpunkt stehen dabei nicht nur klassische Cyberangriffe, sondern auch deren Konsequenzen für den laufenden Geschäftsbetrieb – etwa Betriebsunterbrechungen, Haftungsfragen oder Liquiditätsrisiken.

Gerade in Branchen mit komplexen Projektabläufen, wie Schwerlasttransport, Kranarbeiten und Projektlogistik, können bereits kurze Störungen erhebliche wirtschaftliche Folgen haben. Absicherungskonzepte greifen hier nur dann, wenn Prozesse, Verantwortlichkeiten und Risikobewertung sauber aufgesetzt sind.

Weitere Informationen zur Organisation:
Deutsche Gesellschaft für Versicherungsoptimierung

Kernaussage:
Cybersecurity endet nicht bei der Technik – sie wirkt immer auch auf die wirtschaftliche Stabilität eines Unternehmens.

---