Betriebsrisiken lassen sich in zwei Kategorien einteilen. Jene, die Unternehmer aktiv auf dem Radar haben, und jene, die systematisch unterschätzt werden. IT-Risiken gehören für viele kleine und mittlere Unternehmen noch immer zur zweiten Kategorie. Das ist ein teurer Irrtum und dieser lässt sich anhand konkreter Zahlen und Fallkonstellationen klar belegen.
Dabei ist die Bedrohungslage längst keine abstrakte Größe mehr. Laut aktuellen Erhebungen österreichischer Wirtschaftsschutzorganisationen und europäischer Cybersicherheitsbehörden sind KMU inzwischen die häufigste Zielgruppe von Cyberangriffen. Nicht weil sie die attraktivsten Ziele wären, sondern weil sie im Schnitt die geringsten Schutzmaßnahmen aufweisen. Wer leicht angreifbar ist, wird angegriffen.
Was ein IT-Ausfall ein Unternehmen wirklich kostet
Die direkten Kosten eines IT-Ausfalls sind für die meisten Unternehmer noch halbwegs greifbar. Systemwiederherstellung, externe Notfallunterstützung, Datenverlust, Produktionsausfall. Was dabei regelmäßig unterschätzt wird, sind die indirekten und langfristigen Kosten.
Mitarbeiter, die nicht arbeiten können, kosten trotzdem Geld. Kunden, die während eines Ausfalls niemanden erreichen, wechseln im schlechtesten Fall zur Konkurrenz. Lieferanten, die keine Bestätigungen erhalten, disponieren um. Fristen werden versäumt, Vertragsstrafen fällig. Und das Vertrauen von Geschäftspartnern, das über Jahre aufgebaut wurde, kann durch einen einzigen schlecht kommunizierten Vorfall empfindlichen Schaden nehmen.
Europäische Branchenverbände beziffern die durchschnittlichen Gesamtkosten eines IT-Sicherheitsvorfalls für ein KMU mit zehn bis fünfzig Mitarbeitern auf einen fünfstelligen Betrag und das ist der Durchschnitt. In Branchen mit hoher Systemabhängigkeit oder sensiblen Kundendaten liegt die Schadenssumme regelmäßig deutlich höher. Wer diese Zahlen einmal konkret auf den eigenen Betrieb umlegt, versteht schnell, dass IT-Sicherheit keine Frage des Budgets ist, sondern eine des unternehmerischen Überlebens.
Ransomware: Die teuerste Form des digitalen Betriebsrisikos
Ransomware-Angriffe haben sich in den vergangenen Jahren zur dominierenden Bedrohungsform für Unternehmen entwickelt. Das Funktionsprinzip ist einfach und wirkungsvoll. Angreifer verschaffen sich Zugang zum Unternehmensnetzwerk. Das geschieht häufig über eine Phishing-E-Mail, ein unsicheres Passwort oder eine ungepatchte Sicherheitslücke. Im Anschluss verschlüsseln sie nun sämtliche erreichbaren Daten. Dann folgt die Lösegeldforderung.
Für ein KMU bedeutet das in der Praxis häufig vor allem einen vollständigen Betriebsstillstand. Alle Dateien, alle Datenbanken, alle freigegebenen Laufwerke sind unbrauchbar. Selbst wenn das Unternehmen entscheidet, nicht zu zahlen, was grundsätzlich empfohlen wird, da die Zahlung keine Garantie auf Datenwiederherstellung bietet, dauert die vollständige Wiederherstellung aus Backups in der Regel mehrere Tage bis Wochen.
Entscheidend dabei: Ob Backups vorhanden sind, ob sie aktuell sind und ob sie außerhalb des befallenen Systems gespeichert wurden, ist der zentrale Unterschied zwischen einem kontrollierbaren Vorfall und einer existenzbedrohenden Katastrophe. Beides ist eine Frage der IT-Organisation und damit eine Frage, die sich mit professioneller IT-Betreuung zuverlässig regeln lässt.
NIS2 und die neue Haftungsrealität für Geschäftsführer
Mit der NIS2-Richtlinie, die in Österreich seit Herbst 2024 in Kraft ist, hat sich der regulatorische Rahmen für die IT-Sicherheit österreichischer Unternehmen grundlegend verändert. Betroffen sind nicht mehr nur kritische Infrastrukturen und Großunternehmen. Der Anwendungsbereich wurde erheblich ausgeweitet und erfasst nun auch viele mittlere Unternehmen aus Bereichen wie Produktion, Logistik, Informationstechnologie, Gesundheit und digitale Dienste.
Was NIS2 für betroffene Unternehmen konkret bedeutet: Es müssen geeignete technische und organisatorische Maßnahmen zur Cybersicherheit nachgewiesen werden. Sicherheitsvorfälle sind innerhalb definierter Fristen an die zuständige Behörde zu melden. Und, das ist der rechtlich brisanteste Aspekt, die Geschäftsführung kann bei nachgewiesener Verletzung der Sorgfaltspflichten persönlich haftbar gemacht werden.
Das ist keine theoretische Konstruktion. Europäische Aufsichtsbehörden haben angekündigt, die Umsetzung von NIS2 aktiv zu überprüfen. Für Geschäftsführer, die bislang das Thema IT-Sicherheit an die EDV-Abteilung delegiert haben, ohne sicherzustellen, dass ausreichende Maßnahmen tatsächlich umgesetzt sind, ergibt sich daraus ein unmittelbarer Handlungsbedarf.
DSGVO-Verstöße durch IT-Versagen: Bußgelder als unterschätztes Kostenrisiko
Neben NIS2 bleibt die Datenschutz-Grundverordnung ein zentrales Compliance-Thema für alle Unternehmen, die personenbezogene Daten verarbeiten. Das tun jedoch praktisch alle. Kundendaten, Mitarbeiterdaten, Lieferantenverträge, Buchführungsunterlagen, überall sind personenbezogene Informationen im Spiel.
Ein IT-Sicherheitsvorfall, bei dem personenbezogene Daten unbefugt zugänglich werden oder verloren gehen, ist meldepflichtig. Die österreichische Datenschutzbehörde kann bei nachgewiesenen Verstößen Bußgelder verhängen, die sich nach Unternehmensgröße und Schwere des Verstoßes bemessen. Für KMU können diese Beträge im schlimmsten Fall in den sechsstelligen Bereich reichen. Hinzu kommen mögliche zivilrechtliche Schadenersatzansprüche betroffener Personen.
Entscheidend für die Haftungsfrage ist dabei, ob das Unternehmen nachweisen kann, dass es dem Stand der Technik entsprechende Schutzmaßnahmen getroffen hat. Regelmäßige Updates, Zugriffskontrollen, verschlüsselte Datenübertragung, sichere Passwortverwaltung, all das sind Maßnahmen, die ein professionell begleitetes IT-System standardmäßig umsetzt, während sie in selbst verwalteten Umgebungen häufig lückenhaft bleiben.
Patch-Management und Updates: Die unterschätzte Grundlage der IT-Sicherheit
Ein erheblicher Teil aller erfolgreichen Cyberangriffe auf Unternehmen nutzt bekannte Sicherheitslücken aus. Also Schwachstellen, für die der Hersteller bereits einen Patch bereitgestellt hat, der aber noch nicht eingespielt wurde. Das bedeutet, dass viele Angriffe vermeidbar wären, wenn Unternehmen ihre Systeme konsequent aktuell halten würden.
In der Praxis scheitert das regelmäßig an Ressourcen und Systematik. Updates werden aufgeschoben, weil gerade kein geeigneter Zeitpunkt ist. Ältere Systeme werden weiter betrieben, weil eine Migration aufwendig erscheint. Sicherheitsupdates für Drittsoftware bleiben liegen, weil niemand den Überblick über alle eingesetzten Anwendungen hat.
Professionelle IT-Betreuung schließt diese Lücke durch strukturiertes Patch-Management. Updates werden zentral überwacht, getestet und eingespielt und das zu Zeiten, die den Betriebsablauf möglichst wenig beeinträchtigen. Systeme, die das Ende ihres Supportzeitraums erreicht haben, werden frühzeitig identifiziert und geplant abgelöst. Das ist keine spektakuläre Maßnahme, aber sie verhindert zuverlässig eine der häufigsten Angriffsvektoren.
Der wirtschaftliche Vergleich: Wartungsvertrag versus Notfallkosten
Die Kostenlogik professioneller IT-Betreuung ist aus unternehmerischer Sicht klar. Ein Managed-Service-Vertrag mit einem IT-Dienstleister für ein KMU mit zehn bis zwanzig Arbeitsplätzen ist natürlich mit monatlichen Kosten verbunden. Diese unterscheiden sich je nach Leistungsumfang und Komplexität der Infrastruktur. Das sind planbare, kalkulierbare Kosten.
Dem gegenüber stehen die Kosten eines einzigen größeren IT-Vorfalls. Notfalldienstleister, die außerhalb der regulären Arbeitszeit und unter Zeitdruck agieren, berechnen deutlich höhere Stundensätze. Datenwiederherstellung aus beschädigten Systemen ist aufwendig und teuer. Eine Systemneukonfiguration kostet Zeit und während dieser Zeit läuft der Betrieb eingeschränkt oder gar nicht.
Wer diese Zahlen einmal konkret gegenüberstellt, kommt regelmäßig zu einem klaren Ergebnis. Ein Wartungsvertrag mit einem seriösen IT-Dienstleister amortisiert sich bereits, wenn er einen einzigen mittelschweren Vorfall pro Jahr verhindert. Tut er das, und eine professionelle Betreuung schafft das in aller Regel, ist die Investition aus betriebswirtschaftlicher Sicht eindeutig positiv.
Worauf es bei der Wahl eines IT-Dienstleisters ankommt
Nicht jeder IT-Dienstleister ist für jedes Unternehmen gleich geeignet. Bei der Auswahl sollten Unternehmen auf einige wesentliche Kriterien achten. Reaktionszeiten und Verfügbarkeit sind das wichtigste operative Kriterium. Im Notfall zählt jede Stunde und ein Dienstleister ohne definierte Service Level Agreements bietet im Ernstfall keine verlässliche Grundlage.
Ebenso wichtig ist das Leistungsspektrum. Netzwerkinfrastruktur, Endgerätemanagement, Cloud-Dienste, Backup-Systeme, Cybersecurity und Compliance-Beratung sollten entweder direkt abgedeckt oder über ein verlässliches Partnernetzwerk verfügbar sein. Ein Dienstleister, der nur Teilbereiche abdeckt, hinterlässt Lücken, die im Schadensfall teuer werden.
Schließlich spielt Branchenkenntnis eine Rolle. Ein IT-Dienstleister, der die typischen Anforderungen und Systeme der jeweiligen Branche kennt, kann effizienter beraten und reagieren als ein Generalanbieter ohne spezifische Erfahrung. Für österreichische KMU, die ihre IT-Infrastruktur in professionelle Hände geben möchten, bietet eine externe IT-Betreuung für KMU den entscheidenden Vorteil. Das gebündelte Know-how eines Spezialistenteams zu planbaren Kosten, ohne den Aufwand und das Risiko einer rein internen Lösung.
IT-Sicherheit ist Chefsache
Die wichtigste Erkenntnis aus all diesen Überlegungen lautet nun, dass die IT-Sicherheit keine technische Frage ist, die an die EDV-Abteilung delegiert werden kann. Sie ist eine unternehmerische Frage, die auf Geschäftsführungsebene verantwortet werden muss.
NIS2 macht das inzwischen rechtlich verbindlich. Aber auch abseits regulatorischer Anforderungen gilt: Wer ein Unternehmen führt, das auf funktionierende IT-Systeme angewiesen ist, und das ist heute praktisch jedes Unternehmen, trägt die Verantwortung dafür, dass diese Systeme zuverlässig geschützt sind.
Professionelle IT-Betreuung ist dabei kein Luxus und keine Maßnahme, die auf bessere Zeiten verschoben werden sollte. Sie ist eine betriebliche Grundvoraussetzung und eine Investition, die sich im Ernstfall um ein Vielfaches auszahlt.
Wichtiger Hinweis: Die Inhalte dieses Magazins dienen ausschließlich Informations- und Unterhaltungszwecken und besitzen keinen Beratercharakter. Die bereitgestellten Informationen waren zum Zeitpunkt der Veröffentlichung aktuell. Eine Garantie für Vollständigkeit, Aktualität und Richtigkeit wird nicht übernommen, jegliche Haftung im Zusammenhang mit der Nutzung dieser Inhalte ist ausgeschlossen. Diese Inhalte ersetzen keine professionelle juristische, medizinische oder finanzielle Beratung. Bei spezifischen Fragen oder besonderen Umständen sollte stets ein entsprechender Fachexperte hinzugezogen werden. Texte können mithilfe von KI-Systemen erstellt oder unterstützt worden sein.
