Informations-
sicherheit in schnell wachsenden KMU

Schnell wachsende Organisationen stehen vor einer doppelten Herausforderung: Sie skalieren, bauen Strukturen, Prozesse und Teams auf und müssen gleichzeitig ein angemessenes Niveau an Informationssicherheit etablieren. Cyber-Bedrohungen nehmen zu, regulatorische Anforderungen und Kundenerwartungen steigen.

KMU verfügen dabei über deutlich weniger Ressourcen als große Unternehmen. In kleinen Teams sind Prinzipien wie Rollentrennung nur eingeschränkt umsetzbar. Neue Tools werden eingeführt, bevor Sicherheitsanforderungen geklärt sind. Gleichzeitig steigt das Risiko von inoffiziell eingeführten Tools und Schatten-IT, da Mitarbeitende arbeitsfähig bleiben müssen.

In diesem Umfeld stößt ein perfektionistischer Ansatz schnell an Grenzen. Sicherheitsmaßnahmen, die nicht zur Realität passen, werden umgangen und sind damit wirkungslos. Zu viele oder falsche Kontrollen verlangsamen Prozesse und gefährden in dynamischen Organisationen die Wettbewerbsfähigkeit.

Viele Organisationen reagieren mit Richtlinien und top-down Vorgaben, oft getrieben von einer nahezu blinden Orientierung an Standards wie ISO 2700X. Das Ergebnis sind gut dokumentierte, aber nicht gelebten Kontrollen. Compliance schafft Nachweise, aber nicht automatisch Sicherheit. Entscheidend ist jedoch nicht die Vollständigkeit von Maßnahmen, sondern ihre Wirksamkeit im Businessalltag.

Grundlegende Anforderungen aus DSGVO, NIS2 oder dem Cyber Resilience Act, müssen bei Anwendbarkeit umgesetzt werden. Der Weg dorthin muss jedoch zur Organisation passen. In dynamischen Strukturen sind pragmatische, kompensierende Maßnahmen kein Kompromiss, sondern vielmehr eine Notwendigkeit.

Empathischer Pragmatismus setzt genau hier an: Informationssicherheit orientiert sich an realen Arbeitsweisen. Empathie bedeutet, die Perspektiven der Mitarbeitenden, einschließlich Zeitdruck, gewachsener Toollandschaften, Workarounds und operativer Zwänge zu verstehen. Pragmatismus bedeutet, darauf aufbauend passende und teilweise kreative Lösungen zu entwickeln.

Konkret bedeutet das:

• Fokus auf hochwirksame Maßnahmen wie MFA, Patch-Management, Zugriffskontrollen, Monitoring und praxisnahe Awareness Maßnahmen.
• Integration von Sicherheit in bestehende Prozesse statt zusätzlicher Komplexität.
• Reduktion von Prozesskomplexität zur Minimierung von Umgehung und Fehlern.
• Priorisierung realer Risiken statt theoretischer Vollständigkeit.
• Fokus auf maximalen Sicherheitsgewinn bei vertretbarem Aufwand.

Dabei gilt:  Kontrollen, die umgangen werden, existieren faktisch nicht.

Wirksame Sicherheitsmaßnahmen entstehen durch Einbindung. Fachabteilungen müssen frühzeitig beteiligt werden, damit Lösungen anschlussfähig und gelebt werden.

Neben dem „Wie“ und „Was“ ist vor allem das „Warum“ entscheidend. Werden Maßnahmen nachvollziehbar vermittelt, entsteht nachhaltiges Verständnis. Gerade in dynamischen Organisationen ist es unrealistisch, für alle Szenarien klare Vorgaben zu haben. Umso wichtiger ist es, dass Mitarbeitende Risiken erkennen und Verantwortung übernehmen. Sicherheit kann nicht zentral gesteuert werden, sie muss dezentral mitgetragen werden. Sie entsteht nicht in Richtlinien, sondern in den täglichen Entscheidungen.

Ein greifbarer persönlicher Nutzen, etwa im sicheren Umgang mit privaten Daten oder im Erkennen von Phishing, kann die Motivation zusätzlich stärken und die Sicherheitskultur nachhaltig verankern.

Neben Prozessen und Maßnahmen ist die Kultur entscheidend. Vertrauen, offene Kommunikation und eine konstruktive Fehlerkultur schaffen Transparenz über reale Risiken. Fehler lassen sich nicht vollständig vermeiden, aber ihr Umgang bestimmt letztendlich das Sicherheitsniveau. Sicherheitsrelevante Vorfälle müssen frühzeitig erkannt, offen kommuniziert und rasch adressiert werden. Gleichzeitig bietet jeder Vorfall die Möglichkeit, aus Fehlern zu lernen und bestehende Maßnahmen gezielt weiterzuentwickeln.

Ein vollständiges Sicherheitsniveau von Beginn an ist unrealistisch. Stattdessen bewährt sich ein iterativer Ansatz: Informationssicherheit wird schrittweise aufgebaut, mit Fokus auf wesentliche Risiken und kontinuierlicher Anpassung. So wächst das Sicherheitsniveau mit dem Unternehmen.

Informationssicherheit in schnell wachsenden KMU ist keine Frage maximaler Regelwerke, sondern der Passung zur Realität. Empathischer Pragmatismus bedeutet nicht weniger Sicherheit, sondern bessere Priorisierung. Entscheidend ist nicht die formale Vollständigkeit, sondern die tatsächliche Wirksamkeit der umgesetzten Maßnahmen.

Sicherheit entsteht dort, wo sie gemeinsam entwickelt und gelebt wird und jede/r Verantwortung übernimmt, nicht dort, wo sie lediglich dokumentiert und vorgegeben ist.

Wer das Thema vertiefen möchte, kann sich mit unseren Expert:innen beim Security- und Risk Management-Kongress austauschen, der am 21. und 22. April in Kitzbühel stattfindet.