Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 3 min Lesezeit

BSI-Lagebild: Cyberresilienz bleibt für KMU eine organisatorische Daueraufgabe

Das BSI betont seit Jahren die hohe Bedeutung von Cyberresilienz. Für KMU heißt das: Backups, Patchmanagement, Notfallpläne und Basisschutz müssen praktisch funktionieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
BSI Lagebild zur Cyberresilienz von KMU mit Server, Netzwerk und Cybersecurity Symbolen als Darstellung der dauerhaften organisatorischen Herausforderungen für kleine und mittlere Unternehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht jährlich seinen Lagebericht zur IT-Sicherheit in Deutschland. Der aktuelle BSI-Lagebericht 2025 bestätigt: Die IT-Sicherheitslage bleibt auf angespanntem Niveau. Für kleine und mittlere Unternehmen bedeutet das, Cyberresilienz nicht als abstraktes Compliance-Thema zu verstehen, sondern als konkrete Vorbereitung auf Störungen, die irgendwann eintreten werden.

Kernaussagen des BSI-Lageberichts

Der Bericht wertet die Lage seit 2025 umfangreicher anhand konkreter Messzahlen aus. Über 70 statistische Diagramme und Tabellen dienen als Grundlage, mehr als doppelt so viele wie im Vorjahr. Das BSI beobachtet kontinuierlich Ransomware-Angriffe auf Unternehmen und Kommunen, phishingbasierte Einbruchsversuche, Supply-Chain-Angriffe und gezielte Angriffe auf kritische Infrastrukturen. Die Kernbotschaft ist eindeutig: Es besteht kein Grund zur Entwarnung.

Für KMU ist dabei eine Erkenntnis wichtig: Die meisten Angriffe sind nicht hochkomplex, sondern nutzen bekannte Schwachstellen, fehlende Updates oder unzureichend geschützte Zugänge. Wer die Grundlagen der IT-Sicherheit praktisch umsetzt, reduziert sein Risiko bereits erheblich.

Was Cyberresilienz im KMU bedeutet

Cyberresilienz beschreibt die Fähigkeit eines Unternehmens, IT-Störungen oder Angriffe aufzufangen, die Folgen zu begrenzen und den Betrieb möglichst schnell wiederherzustellen. Im Gegensatz zur reinen Prävention umfasst Resilienz auch die Reaktion auf bereits eingetretene Schäden. Das BSI empfiehlt einen risikobasierten Ansatz, der auf mehreren Säulen aufbaut:

BereichMaßnahmePraxisbezug für KMU
BackupRegelmäßige Sicherungen mit WiederherstellungstestNicht nur Backups erstellen, sondern mindestens quartalsweise eine Restore-Prüfung durchführen
PatchmanagementZentral gesteuerte Updates für Clients, Server und NetzwerkgeräteMonatlicher Patch-Zyklus nach Microsoft-Patchday, zusätzliche Notfall-Patches bei aktiven Angriffen
ZugangsschutzMFA für alle Administratorkonten und Remote-ZugängeMFA-Pflicht für VPN, RDP, Microsoft 365 Admin, Hosting-Panels
NotfallplanDokumentierte Kontaktketten, Eskalationspfade und WiederanlaufpläneNotfallhandbuch nach BSI 200-4, mindestens mit Ansprechpartnern und Prioritäten
AwarenessRegelmäßige Schulungen und Phishing-SimulationenJährliche Sicherheitsschulung, optional mit automatisierter Phishing-Simulation

Praktische Umsetzung Schritt für Schritt

Viele KMU scheitern nicht an fehlenden Lösungen, sondern an fehlender Struktur. Eine schrittweise Umstellung ist realistischer als der Versuch, alles gleichzeitig zu ändern. Folgende Reihenfolge hat sich in der Praxis bewährt:

  1. Inventar erstellen: Welche Systeme, Dienste und Zugänge existieren überhaupt? Wer ist verantwortlich? Ohne Bestandsaufnahme bleibt alles andere zufällig.
  2. Backups prüfen: Existiert eine 3-2-1-Regel (drei Kopien, zwei Medien, eine außer Haus)? Wann wurde zuletzt ein Restore getestet? Ein ungetestetes Backup ist kein Backup.
  3. Patchprozess etablieren: Wer patcht was, wann und wie? Mindestens ein monatlicher Zyklus für Microsoft-Produkte, wöchentlich für WordPress und andere Web-Anwendungen.
  4. MFA erzwingen: Alle Admin-Konten, alle Remote-Zugänge, alle Cloud-Dienste mit administrativen Rechten. Keine Ausnahmen.
  5. Notfallhandbuch schreiben: Kurzes Dokument mit Ansprechpartnern, Eskalationsstufen und den ersten Schritten bei einem Vorfall. Drei Seiten genügen für den Anfang.
  6. Mitarbeiter sensibilisieren: Einmal pro Jahr eine Schulung, zusätzlich Hinweise bei neuen Angriffswellen. Phishing-Simulationen ergänzen das Bewusstsein.

Verbindung zu NIS2 und Compliance

Spätestens mit der NIS2-Umsetzungsverordnung bekommen Cyberresilienz eine rechtliche Dimension. Unternehmen, die unter NIS2 fallen, müssen Nachweise über ihre Sicherheitsmaßnahmen erbringen. Der BSI-Lagebericht liefert dafür eine Orientierung: Wer die darin genannten Grundlagen praktisch umsetzt und dokumentiert, ist auch bei einer NIS2-Prüfung besser aufgestellt. Auch wer nicht direkt unter NIS2 fällt, sollte die Maßnahmen als Best Practice verstehen, denn Versicherungen und Kunden fordern zunehmend Nachweise.

Passende Anleitungen auf S-EDV

  1. IT-Notfallhandbuch nach BSI 200-4 erstellen – Vorlage und Praxisleitfaden für ein Notfallhandbuch im KMU.
  2. Ransomware-Notfallplan: die ersten 60 Minuten – Was in den ersten Minuten nach einem Angriff zu tun ist.
  3. Linux-Server absichern: UFW-Firewall und Fail2ban – Grundlagen für Härtung öffentlich erreichbarer Systeme.

Quellen

  1. BSI: Die Lage der IT-Sicherheit in Deutschland (Lagebericht)
  2. BSI: Informationen für Unternehmen und Organisationen
  3. BSI: NIS2-regulierte Unternehmen
Verwandt

Weiter lesen

Alle Artikel →
Moderne IT News Grafik zum CISA Known Exploited Vulnerabilities Catalog mit Serverinfrastruktur, Cybersecurity Netzwerk und Sicherheitswarnungen für IT Administratoren zur Priorisierung aktiv ausgenutzter Schwachstellen.
18.06.2026 ·4 min

CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt

Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.
NIS2 IT News Grafik: Das BSI erinnert Unternehmen an die abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung für die NIS2 Registrierung. Dargestellt sind Serverinfrastruktur, Cybersicherheit und digitale Netzwerke in moderner Nachrich
18.06.2026 ·3 min

NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung

Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.
IT News Grafik zu einem WordPress Supply Chain Angriff, bei dem kompromittierte ShapePlugin Pro Plugins über offizielle Update Server mit einer Backdoor ausgeliefert werden. Zu sehen sind ein Update Server, Plugin Module, ein Warnsignal und eine Backdoor
17.06.2026 ·4 min

WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert

Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.