📌 Das Wichtigste in Kürze:
„Das macht bei uns die IT“ – dieser Satz kostet deutsche Unternehmen jährlich Millionen. Denn 88% aller Datenschutzverletzungen passieren trotz funktionierender IT-Sicherheit.
Warum? Weil die beste Firewall nichts nützt, wenn Ihre Buchhalterin auf den falschen Link klickt.
Die Frage ist nicht OB es passiert. Sondern WANN.
Und wer dann in der Haftung steht? Nicht die IT. Sondern im Ernstfall Sie als Geschäftsführer.
Die unbequeme Wahrheit über IT-Sicherheit
Lassen Sie mich das konkret machen: Ihre IT kann die beste Firewall der Welt installieren. Sie kann Virenscanner auf jedem Rechner einrichten. Sie kann automatische Updates erzwingen und Passwort-Richtlinien durchsetzen. All das ist wichtig und richtig.
Aber Ihre IT kann eines nicht: Verhindern, dass Ihre Mitarbeiterin am Montagmorgen um 7:45 Uhr – noch nicht ganz wach, mit dem Kaffee in der Hand – auf eine E-Mail klickt, die aussieht wie von der Geschäftsführung. Oder dass Ihr Mitarbeiter am Freitagabend um 17:30 Uhr – gestresst, weil er noch zum Kindergarten muss – die Datei öffnet, die angeblich vom Steuerberater kommt.
Das ist der Bereich, in dem 88% aller Datenschutzverletzungen entstehen. Und genau das kann die IT nicht lösen. Weil es kein technisches Problem ist.
Was passiert, wenn „die IT das macht“
Ein konkretes Beispiel aus der Praxis:
📍 Praxisbeispiel: Steuerberatungskanzlei aus Nordrhein-Westfalen
Eine mittelständische Steuerberatungskanzlei mit 45 Mitarbeitern. IT-Sicherheit auf dem neuesten Stand: Managed IT-Dienstleister, regelmäßige Updates, Firewall, moderner Virenschutz, verschlüsselte Backups. „Bei uns macht das die IT“ war der Standard-Satz der Geschäftsführung.
Im November 2025 erhielt die Buchhaltung eine E-Mail: Absender war der vermeintliche DATEV-Support. Betreff: „Wichtig: Sicherheitsupdate erforderlich“. Die E-Mail war perfekt gefälscht – DATEV-Logo, korrekte Formatierung, professioneller Ton.
Die Mitarbeiterin klickte auf den Link. Warum? Weil niemand ihr je erklärt hatte, woran man eine gefälschte DATEV-Mail erkennt. Die IT hatte zwar technische Schutzmaßnahmen installiert, aber die Mitarbeiter nie geschult.
Folge: 14 Tage kompletter Stillstand. Alle Mandantendaten verschlüsselt. Lösegeld-Forderung: 85.000 EUR. Tatsächlicher Schaden inklusive Ausfallzeiten, Datenwiederherstellung und Reputationsverlust: über 200.000 EUR.
Die Geschäftsführerin zu mir im Gespräch: „Wir dachten, die IT kümmert sich um so etwas.“
Die harten Zahlen
| Was wirklich passiert | Quelle |
|---|---|
| 88% der Angriffe auf Web-Anwendungen nutzen gestohlene Zugangsdaten | Verizon DBIR |
| 70% erfolgreicher Cyberattacken beginnen mit Phishing-Mail | GDV |
| 95.000 EUR durchschnittlicher Schaden pro Cyberattacke bei KMU | HDI-Cyberstudie |
| 80% Ransomware-Opfer sind KMUs | BSI |
| 95% der Cybersecurity-Verstöße basieren auf menschlichem Versagen | IBM Security |
Die Zahlen zeigen es deutlich: Das Problem sitzt nicht vor der Firewall. Es sitzt vor dem Bildschirm.
Warum „die IT macht das“ nicht funktioniert
Die IT macht einen hervorragenden Job. Bei dem, wofür sie zuständig ist: Technische Sicherheit. Aber Security Awareness ist keine technische Aufgabe. Es ist eine organisatorische Aufgabe. Eine Führungsaufgabe.
Das IT-Dilemma
Ihre IT (intern oder extern) hat drei Probleme:
1. Keine Zeit
IT-Dienstleister sind mit Wartung, Updates, Support und Projekten ausgelastet. Security Awareness erfordert kontinuierliche Betreuung – monatliche Schulungen, regelmäßige Erinnerungen, individuelle Ansprache. Das passt nicht ins Abrechnungsmodell eines IT-Dienstleisters.
2. Falsche Perspektive
IT-Experten denken in Systemen, nicht in Menschen. Sie erklären, wie Verschlüsselung funktioniert – aber nicht, warum Ihre Sekretärin einen USB-Stick vom Kunden lieber nicht einstecken sollte. Die beste technische Erklärung hilft nicht, wenn der Empfänger sie nicht versteht.
3. Keine Reichweite
Die IT erreicht Ihre Mitarbeiter nur, wenn etwas nicht funktioniert. Aber Security Awareness braucht kontinuierliche Präsenz – jeden Monat, jede Woche, bei jedem E-Mail-Eingang. Die IT kann das nicht leisten. Und soll es auch nicht.
Die unbequeme Wahrheit
Selbst wenn Ihre IT regelmäßig auf Sicherheit hinweist: Wer nimmt eine „IT-Rundmail zu Phishing“ ernst, wenn gleichzeitig 47 andere E-Mails im Postfach warten? Wer liest eine „Sicherheitsrichtlinie“ der IT, wenn sie 23 Seiten lang ist und aussieht wie ein Handbuch?
Die Wirkung einer einmaligen IT-Security-Schulung? Nach wissenschaftlichen Studien bereits nach 4-6 Wochen drastisch reduziert. Nach 3 Monaten ist die Klickrate auf Phishing-Mails wieder auf dem Ausgangsniveau.
Das ist nicht die Schuld der IT. Es ist einfach nicht ihre Kernaufgabe.
Was wirklich funktioniert
Security Awareness ist keine IT-Aufgabe. Es ist eine Unternehmensaufgabe. Und zwar Chefsache.
Nicht, weil Sie als Geschäftsführer jetzt selbst IT-Experte werden müssen. Sondern weil es um etwas geht, das nur Sie regeln können: Die Unternehmenskultur. Die Prioritäten. Die klare Ansage, dass Sicherheit nicht „nice to have“ ist, sondern Business-kritisch.
Was brauchen Ihre Mitarbeiter wirklich?
Nicht noch eine 23-seitige Sicherheitsrichtlinie. Nicht noch eine technische Erklärung, wie Ransomware funktioniert. Nicht noch einen Vortrag über ISO-Zertifizierungen.
Ihre Mitarbeiter brauchen drei Dinge:
1. Verständnis
Warum ist das wichtig? Was kann passieren? Nicht abstrakt („Cyberkriminalität nimmt zu“), sondern konkret („Wenn Sie auf diesen Link klicken, können wir 14 Tage nicht arbeiten“).
2. Handlungskompetenz
Was genau soll ich tun? Nicht „seien Sie vorsichtig bei E-Mails“, sondern „wenn der Absender Sie um dringende Überweisung bittet, rufen Sie zurück – immer“.
3. Kontinuität
Einmal im Jahr reicht nicht. Jeden Monat 10 Minuten – das bleibt hängen. Das wird zur Routine. Das wird Teil der Unternehmenskultur.
Und genau das kann die IT nicht leisten. Das müssen Sie als Unternehmen organisieren.
Häufige Fragen
Aber unsere IT macht doch schon regelmäßig Updates und Schulungen?
Reicht nicht eine jährliche Pflichtschulung?
Was kostet das denn?
Wie viel Zeit muss ich investieren?
Warum kann das nicht einfach die IT übernehmen?
Ist das nicht übertrieben für ein kleines Unternehmen?
Was Sie jetzt konkret tun können
Hier ist mein Vorschlag: Investieren Sie 30 Minuten Ihrer Zeit in ein kostenloses unverbindliches Einführungsgespräch.
Im Gespräch klären wir:
1. Ihre aktuelle Situation
Wo stehen Sie heute? Was macht Ihre IT bereits? Was funktioniert, was nicht? Welche Branchen-spezifischen Risiken gibt es?
2. Ihr konkretes Risiko
Welche Angriffsvektoren sind in Ihrer Branche typisch? Wo sind Ihre größten Schwachstellen? Was würde ein Ausfall für Ihr Unternehmen bedeuten?
3. Ihr individueller Fahrplan
Nicht irgendein Standard-Konzept. Sondern: Was brauchen SIE? Was passt zu IHREM Unternehmen? Was können IHRE Mitarbeiter umsetzen? Wie integrieren Sie das in Ihren Arbeitsalltag?
→ Jetzt kostenloses Beratungsgespräch vereinbaren
Das Versprechen
Am Ende des Gesprächs haben Sie Klarheit. Entweder Sie wissen genau, was zu tun ist. Oder Sie wissen, dass Sie (noch) nichts tun müssen. Beides ist ein Gewinn.
Niemand verkauft Ihnen etwas, was Sie nicht brauchen. Kein Verkaufsdruck. Nur ehrliche Einschätzung Ihrer Situation.
Sie investieren 30 Minuten. Sie gewinnen Klarheit über eines der größten Risiken Ihres Unternehmens.
Das ist doch ein guter Deal, oder?
Zusammenfassung
„Das macht bei uns die IT“ ist der teuerste Satz in deutschen KMUs. Weil 88% aller Datenschutzverletzungen nicht durch technische Lücken entstehen, sondern durch Menschen. Die IT kann Systeme schützen. Aber Menschen sensibilisieren? Das ist Ihre Aufgabe als Geschäftsführer.
Die gute Nachricht: Sie müssen das Rad nicht neu erfinden. Es gibt bewährte, praxiserprobte Lösungen. Der erste Schritt ist ein ehrliches Gespräch über Ihre Situation.
Weitere Beiträge zum Thema: