|
München (ots) - Warum der Vorfall zeigt, dass Cybersicherheit den gesamten
deutschen Mittelstand betrifft.
Der Cyberangriff auf einen der führenden Nutzfahrzeug-Zulieferer Anfang 2023
zeigt, wie eng Cybersecurity, Produktionssicherheit und unternehmerische
Verantwortung miteinander verknüpft sind - und warum das Thema Cybersicherheit
heute unmittelbar die Geschäftsleitungen mittelständischer Unternehmen betrifft.
Als der Nutzfahrzeug-Zulieferer SAF-HOLLAND Anfang 2023 Opfer eines
Cyberangriffs wurde, kam es an mehreren Standorten zu vorübergehenden
Produktionsunterbrechungen. Das Unternehmen ging seinerzeit von einem Rückstand
von sieben bis vierzehn Tagen aus, dessen Aufarbeitung sich über mehrere Monate
erstrecken könnte. Auch wenn SAF-HOLLAND die Lage schnell stabilisieren und
Lieferrückstände aufholen konnte, verdeutlicht der Vorfall exemplarisch, wie
verwundbar digitalisierte Produktions- und Lieferketten sind - und dass
Cybervorfälle längst kein isoliertes IT-Problem mehr darstellen. Die
Firmengruppe war im Vorfeld bereits gut aufgestellt, doch die generelle
Verwundbarkeit bleibt bestehen: Cyberangriffe können jedes Unternehmen treffen.
"In solch einer Situation ist es entscheidend, schnell Transparenz zu schaffen,
die Lage zu stabilisieren und die Wiederherstellung kritischer Systeme
sicherzustellen", erklärt Ralf Ebert, Group Chief Information Security Officer
(CISO) von SAF-HOLLAND. "Der Vorfall macht deutlich, dass Cyberresilienz längst
kein reines IT-Thema mehr ist, sondern vielmehr die Voraussetzung für die
Liefertreue und Planbarkeit unseres Geschäfts bildet."
SAF-HOLLAND arbeitete in der Folge intensiv daran, Strukturen,
Verantwortlichkeiten und Entscheidungswege weiterzuentwickeln, um Lieferketten
und Produktionsfähigkeit nachhaltig abzusichern. Der Vorfall steht exemplarisch
für eine Entwicklung, die viele mittelständische Industrieunternehmen betrifft:
Digitale Störungen haben unmittelbare Auswirkungen auf Wertschöpfung,
Kundenbeziehungen und wirtschaftliche Stabilität.
NIS2: Die neue Verantwortung der Geschäftsleitungen
Mit dem NIS2-Umsetzungsgesetz, das seit November 2025 wirksam ist, entstehen für
tausende Unternehmen in Deutschland erstmals klar definierte Pflichten im Umgang
mit Cyberrisiken. Die Richtlinie stuft Cybersecurity nicht länger als rein
technische Disziplin ein, sondern verankert sie als zentrale Managementaufgabe -
verbunden mit persönlicher Verantwortung der Geschäftsführung und Vorstände.
Dr. Marco Lück, Gründer des Beratungsunternehmens VIAMA (gegründet 2020),
begleitet seit mehr als 20 Jahren mittelständische Unternehmen bei der Steuerung
von Cyber- und Compliance-Risiken. 2025 wurde er von der Bundesvereinigung
Mittelstand in Deutschland (BVMID) als Top-Experte für NIS2 und Cyber-Resilienz
ausgezeichnet. Zudem ist er Mitglied im Experten- und Kompetenzkreis der BVMID,
der mittelständische Unternehmen bei strategischen Zukunftsthemen unterstützt.
"NIS2 schafft erstmals Klarheit darüber, welche Pflichten künftig in den
Vorstandsetagen liegen", sagt Lück. "Die Frage lautet nicht mehr: Welche
Firewall haben wir? Sondern: Wie treffen wir haftungssichere Entscheidungen, wie
priorisieren wir Risiken und wie stellen wir sicher, dass die Organisation im
Ernstfall steuerbar bleibt? Viele Mittelständler brauchen genau diese
Orientierung."
Künftig müssen Unternehmen unter anderem nachweisen
- dass sie Cyberrisiken systematisch bewerten und priorisieren,
- dass Meldewege und Entscheidungsprozesse klar definiert sind,
- dass Vorfälle binnen 24 Stunden eingeordnet und gemeldet werden,
- und dass die Geschäftsleitung aktiv in das Risikomanagement eingebunden ist.
Versäumnisse können mit Bußgeldern von bis zu zehn Millionen Euro oder - je nach
Unternehmensgröße - mit erheblichen persönlichen Haftungsrisiken für
Geschäftsleiter verbunden sein.
Was Cyberangriffe im industriellen Umfeld offenlegen
Cyberangriffe auf Industrieunternehmen sind kein Einzelfall. Auch in den Jahren
2024 und 2025 kam es europaweit zu zahlreichen Vorfällen mit teils massiven
wirtschaftlichen Folgen. Ein aktuelles Beispiel ist der Angriff auf Jaguar Land
Rover in Großbritannien, der Berichten zufolge Schäden von rund 222 Millionen
Euro verursachte und die Produktion über einen längeren Zeitraum
beeinträchtigte.
Besonders häufig betroffen sind Bereiche, in denen Produktion, Logistik und
digitale Systeme ineinandergreifen - und in denen Störungen sofort messbare
wirtschaftliche Auswirkungen haben.
Für den deutschen Mittelstand lassen sich daraus drei zentrale Beobachtungen
ableiten:
1. Produktion ist digital - und damit verwundbar.
Schon kurze Unterbrechungen können Lieferzusagen gefährden, Kosten erhöhen und
langfristige Kundenbeziehungen belasten.
2. Cybersecurity ist zu einer betriebswirtschaftlichen Kernfunktion geworden.
"Führungsteams brauchen Klarheit darüber, welche Risiken wirklich
geschäftskritisch sind", betont Lück. "Technik ist selten das eigentliche
Problem - fehlende Strukturen sind es."
3. Geschwindigkeit entscheidet im Ernstfall.
NIS2 verpflichtet Unternehmen zu schnellem, koordiniertem Handeln. Ohne klar
definierte Verantwortlichkeiten entstehen Verzögerungen, die Schäden vergrößern
und Haftungsrisiken erhöhen.
Was Unternehmen jetzt tun sollten
Viele mittelständische Firmen stehen derzeit vor ähnlichen Fragen:
Bin ich betroffen? Wo stehen wir? Und was ist realistisch umsetzbar?
Nach Einschätzung von Dr. Marco Lück lassen sich mit drei Schritten innerhalb
kurzer Zeit Orientierung und Steuerbarkeit schaffen:
1. Betroffenheit prüfen und Reifegrad feststellen
Oft lässt sich bereits innerhalb weniger Tage klären, ob ein Unternehmen unter
NIS2 fällt und welche Risiken priorisiert werden müssen.
2. Verantwortlichkeiten klar festlegen
"Haftung entsteht nicht durch fehlende Technik, sondern durch unklare
Strukturen", so Lück. Klare Rollen entlasten die Geschäftsführung und schaffen
Entscheidungsfähigkeit.
3. Kritische Risiken priorisieren
Im Fokus stehen dabei insbesondere:
- Produktionsfähigkeit
- Lieferketten
- Notfall- und Meldeprozesse
- Transparenz gegenüber Kunden und Behörden
Cyberresilienz wird zum Wettbewerbsfaktor
Der Cyberangriff auf SAF-HOLLAND im Jahr 2023 zeigt rückblickend, dass
Cybervorfälle längst nicht mehr nur IT-Systeme betreffen, sondern die gesamte
Wertschöpfung eines Unternehmens. Für den deutschen Mittelstand wird die
Fähigkeit, digitale Risiken zu erkennen, einzuordnen und schnell zu managen, zu
einer zentralen Voraussetzung wirtschaftlicher Resilienz.
"Cyberresilienz ist heute ein Steuerungsthema", fasst Lück zusammen.
"Unternehmen, die klare Strukturen schaffen und ihre Risiken priorisieren,
schützen nicht nur Daten, sondern vor allem ihre Produktion - und damit ihre
Wettbewerbsfähigkeit."
Pressekontakt:
VIAMA Leadership GmbH
Dr. Marco Lück
Äußere Nürnberger Straße 62
91301 Forchheim
Tel.: +49 9191 3454992
E-Mail: mailto:kontakt@viama.one
https://viama.one
---
BVMID - Bundesvereinigung Mittelstand in Deutschland
Rundfunkplatz 2
80335 München
+49 89 540 35 91-0
mailto:zentrale@bvmid.de
https://bvmid.de
Weiteres Material: http://presseportal.de/pm/172454/6200572
OTS: BVMID - Bundesvereinigung Mittelstand in Deutschland
|
