IT-Sicherheitsstandards im Mittelstand

Noch vor einigen Jahren galten ein Virenschutz, Firewalls und regelmäßige Backups als vollkommend ausreichende IT-Sicherheitsmaßnahmen im Mittelstand. Mittlerweile hat sich die Situation geändert: Ganze Unternehmensbereiche sind in die Cloud ausgelagert, mobiles Arbeiten und digitale Schnittstellen zu Kunden und Partnern gehören zum Standard. Die Digitalisierung lässt neue Angriffsflächen entstehen – und in der Folge steigt die Zahl der nationalen und internationalen IT-Sicherheitsframeworks. Mittelständische Unternehmen stehen vor der Herausforderung, ihre Informationssicherheit und die geltenden Anforderungen immer wieder neu zu bewerten.

Warum sind IT-Sicherheitsstandards und -Nachweise so wichtig für den Mittelstand?

Informationssicherheit ist heute ein entscheidender Faktor für Wettbewerbsfähigkeit und Zukunftssicherheit von Unternehmen.

• Transparenz über IT-Sicherheitsmaßnahmen macht Anbieter besser vergleichbar und stärkt das Vertrauen von Kunden und Geschäftspartnern.
• Schutz vor Schäden durch Cyberangriffe und Datenverlust durch effektive Schutzmaßnahmen, klare Verantwortlichkeiten und regelmäßige standardisierte Audits.
• Compliance mit gesetzlichen Anforderungen und Branchen-Standards, um regulatorische Strafen zu vermeiden und als Nachweis für eine sichere Lieferkette, etwa im Kontext von NIS-2.
• Effizientere Prozesse durch einheitliche Qualitätsstandards klar definierte Betriebsabläufe sowie ein standardisiertes Incident Management.

IT-Sicherheitsstandards für Management und Organisation

Um regulatorische Anforderungen zu erfüllen, Lieferkettensicherheit nachzuweisen und Kunden- oder Partnervertrauen durch prüfbare Maßnahmen zu schaffen, sollten Unternehmen mit IT-Sicherheitsstandards wie dem BSI IT-Grundschutz, der ISO/IEC 27001 (ISMS), den EU-Cybersicherheitsanforderungen NIS-2 sowie dem BSI C5-Kriterienkatalog vertraut sein.

BSI IT-Grundschutz (DE)

Fokus: Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Ansatz zum Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Er liefert praxisnahe „Bausteine“ mit konkreten Anforderungen und Maßnahmen, um ein angemessenes Sicherheitsniveau systematisch umzusetzen und nachweisbar zu machen. Formale Nachweise sind durch ISO/IEC 27001-Zertifizierung auf IT-Grundschutz-Basis möglich.

Geltungsbereich: Der BSI IT-Grundschutz umfasst die Informationssicherheit für Organisation, Prozesse, Anwendungen, IT-Systeme, Netze und Infrastruktur – entweder für das gesamte Unternehmen oder für klar abgegrenzte Bereiche, beispielsweise einen einzelnen Standort, ein Rechenzentrum oder einen bestimmten Service.

Betroffene Branchen: Verpflichtend bzw. faktisch erforderlich ist der IT-Grundschutz vor allem dort, wo Vorgaben des Bundes unmittelbar greifen oder öffentliche Auftraggeber ihn als Standard voraussetzen – typischerweise bei Bundesbehörden und in öffentlichen Vergaben, teils auch im KRITIS-nahen Umfeld. Für alle anderen Unternehmen ist der IT-Grundschutz insbesondere dann eine sehr gute Orientierung, wenn ein hoher Schutzbedarf besteht oder ein belastbarer Sicherheitsnachweis gegenüber Kunden verlangt wird, etwa in der Energieversorgung, im Gesundheitswesen und im Finanzumfeld sowie bei IT-Dienstleistern, Industrie- und Zulieferunternehmen in sicherheitskritischen Lieferketten.

ISO/IEC 27001 (ISMS)

Fokus: ISO/IEC 27001 ist der international anerkannte Standard für den Aufbau, Betrieb und die kontinuierliche Verbesserung von Informationssicherheits-Managementsystemen (ISMS). ISO 27001 bietet einen systematischen Rahmen, um Daten, IT-Systeme und Prozesse im Unternehmen gegen Cyberbedrohungen abzusichern. Kernartefakte sind u. a. Scope, Risikoanalyse, Statement of Applicability (SoA), Richtlinien sowie interne Audits/Management Reviews.

Geltungsbereich: ISO/IEC 27001 ist weltweit anerkannt und kann auf das gesamte Unternehmen oder auf abgegrenzte Bereiche angewendet werden, beispielsweise auf einzelne Standorte, Geschäftsbereiche, Services, Rechenzentren oder Cloud-Umgebungen.

Betroffene Branchen: Der Standard ist besonders relevant für IT- und Cloud-Dienstleister, Softwareunternehmen, Industrie- und Produktionsbetriebe, Finanzdienstleister, Gesundheitswesen und Logistik. Hinzu kommen Unternehmen mit hohen Kunden- oder Lieferkettenanforderungen, etwa im Umfeld von Ausschreibungen und regulatorischen Pflichten.

NIS-2 / EU-Cybersicherheitsanforderungen

Fokus: NIS-2 ist die EU-Richtlinie zur Stärkung der Cybersicherheit. Sie verpflichtet betroffene Unternehmen zu verbindlichen Maßnahmen des Cyber-Risikomanagements in Bereichen wie zum Beispiel Governance, Schutzmaßnahmen, Vorfallmanagement und Lieferkettensicherheit. NIS-2 regelt auch Meldepflichten bei Sicherheitsvorfällen sowie Aufsicht und Sanktionen. Die Registrierung und Kommunikation läuft in Deutschland über das BSI.

Geltungsbereich: NIS-2 gilt EU-weit und wird in den Mitgliedstaaten jeweils in nationales Recht überführt. In Deutschland ist das NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025 in Kraft.  Details zur Aufsicht/Registrierung ergeben sich aus dem BSIG-Änderungsrahmen und nachgelagerten Vorgaben.

Betroffene Branchen: NIS-2 ist verpflichtend für Organisationen in 18 Sektoren. Zu den Sektoren zählen unter anderem Energie, Verkehr, Banken und Finanzmarktinfrastrukturen sowie Gesundheitswesen sowie Produktions- und Maschinenbauunternehmen, die kritisch für Gesellschaft und Wirtschaft sind und die mindestens 50 Mitarbeiter oder einem Jahresumsatz und einer Bilanzsumme von über 10 Millionen Euro haben. Bei Unternehmen der digitalen Infrastruktur und in der öffentlichen Verwaltung sind auch kleinere Unternehmen betroffen.

BSI C5

Fokus: C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom BSI entwickelter Kriterienkatalog mit Mindestanforderungen für sicheres Cloud Computing. Er zielt vor allem darauf ab, Transparenz über das Sicherheitsniveau von Cloud-Diensten zu schaffen und prüffähige Nachweise (C5-Testat) für Kunden und deren Prüfer bereitzustellen.

Geltungsbereich: C5 ist ein deutscher Standard des BSI, wird aber in der Praxis auch über deutsche Lieferketten hinaus als nachvollziehbarer Cloud-Sicherheitsnachweis genutzt. Maßgeblich ist der jeweils definierte Scope des Cloud-Dienstes (z. B. Service, Plattform, Rechenzentren/Standorte, relevante Prozesse).

Welche Branchen sind betroffen: Direkt adressiert sind Cloud-Anbieter (inkl. SaaS/PaaS/IaaS), ihre Prüfer und Cloud-Kunden. Besonders relevant ist C5 für mittelständische Unternehmen, die Cloud-Dienste in regulierten oder sicherheitskritischen Kontexten nutzen oder als Dienstleister gegenüber Kunden einen belastbaren Cloud-Sicherheitsnachweis benötigen (z. B. Finanzen und Versicherungen, kritische und öffentliche Auftraggeber, datenintensive Branchen).

Operative Richtlinien für Netzwerke, Systeme und Prozesse in Unternehmen

Klare Richtlinien für den sicheren Betrieb von Netzwerken, Systemen und Prozessen sind essenziell, um Cyberangriffe abzuwehren und insbesondere OT-Umgebungen in der Industrie zu schützen. Unternehmen – vor allem mittelständische – profitieren dabei von praxistauglichen Best Practices wie den CIS Critical Security Controls v8 sowie von den in der IEC 62443 beschriebenen Anforderungen und Vorgehensweisen zur Cybersicherheit in der industriellen Automatisierung und Steuerungstechnik.

CIS Critical Security Controls v8

Fokus: Die CIS Critical Security Controls v8 sind eine Sammlung von Best Practices für die Abwehr der häufigsten Cyberangriffe im Unternehmen. Die 18 Maßnahmen sind in drei Implementierungsgruppen (IGs) unterteilt, von grundlegender Absicherung bis zu komplexeren Empfehlungen. So können auch kleine Unternehmen mit begrenzten Ressourcen schrittweise starten.

Geltungsbereich: Die CIS Controls sind international und branchenübergreifend etabliert. Die Maßnahmen sind nach dem Baukastenprinzip kombinierbar und lassen sich auf bestehende Managementsysteme und Anforderungen wie ein ISMS nach ISO 27001 anwenden.

Betroffene Branchen: Die CIS Controls sind besonders sinnvoll für mittelständische Unternehmen, die mit begrenzten Ressourcen schnell ein strukturiertes, nachweisbares Sicherheitsniveau aufbauen und dieses gegenüber Kunden belegen wollen.

IEC 62443 (Industrial & OT Security)

Fokus: IEC 62443 ist eine Normenreihe für Cybersicherheit in der industriellen Automatisierung und Steuerungstechnik (OT/IACS). Sie beschreibt Anforderungen und Vorgehensweisen, um industrielle Anlagen und Produktionsumgebungen systematisch zu schützen – vom Sicherheitsmanagement über sichere Entwicklung bis hin zu technischen Kontrollen für Komponenten und Systeme.

Geltungsbereich: Die internationale Norm richtet sich an Betreiber, Integratoren und Hersteller. Sie kann auf einzelne Anlagen, Produktionslinien, Standorte oder OT-Services angewendet werden und deckt sowohl Organisation und Prozesse als auch Technik ab.

Betroffene Branchen: Besonders relevant ist IEC 62443 für Produktionsbetriebe, Maschinen- und Anlagenbau, Automotive, Chemie und Pharma, Energie, Lebensmittelproduktion, Wasser/Abwasser, Logistik mit OT-Anteilen sowie generell für mittelständische Industriebetriebe mit vernetzten Steuerungen und Industrial-IoT.

Branchen- und prozessspezifische IT-Sicherheitsstandards

Branchen- und prozessspezifische IT-Sicherheitsstandards werden dort entscheidend, wo Kunden, Aufsicht oder Zahlungsnetzwerke konkrete Nachweise verlangen und allgemeine Best Practices allein nicht ausreichen. Die folgenden Anforderungen zeigen, welche Nachweis- und Prüfregime Unternehmen je nach Umfeld typischerweise erfüllen müssen – von TISAX in der Automotive-Lieferkette über PCI DSS im Zahlungsverkehr und DORA im Finanzsektor bis hin zu SOC 2 als international anerkanntem Prüfbericht für IT- und Cloud-Dienstleister.

TISAX (Automotive)

Fokus: TISAX (Trusted Information Security Assessment Exchange) ist ein internationales Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Ziel ist, dass Unternehmen auf Basis des VDA-ISA-Anforderungskatalogs das Niveau ihrer Informationssicherheit nachweisen können und die Aufwände für wiederholte Audits bei verschiedenen Kunden minimieren können.

Geltungsbereich: TISAX ist speziell für die Automobilindustrie konzipiert und wird international in globalen Lieferketten eingesetzt. Der Geltungsbereich wird durch den Umfang der Leistung definiert (z. B. Standorte, Prozesse, Arten vertraulicher Informationen) Die Ergebnisse sind den autorisierten Teilnehmern (OEMs, Zulieferer) über die ENX-Plattform zugänglich.

Betroffene Branchen: Automobilhersteller (OEMs) sowie deren Zulieferer, Entwicklungsdienstleister, IT- und Cloud-Provider, Engineering- und Logistikpartner, wenn sie vertrauliche Informationen wie Entwicklungsdaten und Prototypeninformationen verarbeiten oder als Lieferant einen Sicherheitsnachweis erbringen müssen.

PCI DSS v4.0 (Zahlungsverkehr)

Fokus: Der Payment Card Industry Data Security Standard v4.0, kurz PCI DSS v4.0, ist ein verbindlicher, internationaler Sicherheitsstandard zum Schutz von Zahlkarten- und Transaktionsdaten des PCI Security Standards Council (PCI SSC). Der PCI DSS v4.0 legt technische und organisatorische Anforderungen fest, damit Kartendaten bei Speicherung, Verarbeitung und Übertragung wirksam geschützt werden.

Geltungsbereich: PCI DSS gilt weltweit für alle Unternehmen und daran beteiligten Dienstleister, die Kreditkartenzahlungen akzeptieren, verarbeiten, speichern oder übertragen. Dies umfasst insbesondere die Cardholder Data Environment (CDE) sowie alle Systeme und Prozesse, die Kartendaten berühren oder die CDE beeinflussen. Je nach Händler/Service-Provider-Level erfolgt die Validierung per SAQ oder externem QSA-Assessment; entscheidend ist die saubere Abgrenzung der CDE.

Betroffene Branchen: Insbesondere Handel und E-Commerce, Hotel- und Gastronomie, Reise/Transport, Abonnement- und Plattformmodelle, Finanzdienstleister/Payment Service Provider, Callcenter sowie IT- und Cloud-Dienstleister, die Zahlungsprozesse oder kartendatennahe Systeme betreiben.

DORA VO (EU) 2022/2554

Fokus: DORA, kurz für Digital Operational Resilience Act, VO (EU) 2022/2554, ist eine EU-Verordnung zur Stärkung der IT-Sicherheit im Finanzsektor. Die Verordnung umfasst IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle, Resilienztests sowie ein strengeres Management von IKT-Drittparteienrisiken, beispielsweise Cloud-Provider. Praktische Kernthemen sind u. a. das Register of Information (RoI), vertragliche Mindestanforderungen sowie Exit- und Resilienztests (inkl. TLPT je nach Institut). Die Einhaltung der DORA-Vorgaben wird primär durch nationale Aufsichtsbehörden wie die BaFin überwacht. Auf EU-Ebene konkretisieren EBA, EIOPA und ESMA die Anforderungen und übernehmen die Aufsicht über als kritisch eingestufte IKT-Drittdienstleister.

Geltungsbereich: DORA gilt unmittelbar in allen EU-Mitgliedstaaten. Sie ist seit dem 17. Januar 2025 anzuwenden.

Betroffene Branchen: DORA betrifft rund 20 Kategorien von Finanzunternehmen, darunter Banken, Versicherungen, Wertpapierfirmen, Asset Manager sowie weitere regulierte Finanzakteure. Auch IKT-Drittanbieter sind durch verbindliche Vorgaben zu Auslagerung und Verträgen in der Verordnung erfasst. Besonders wichtige Anbieter können als kritische IKT-Drittanbieter (CTPPs) eingestuft und EU-weit direkt beaufsichtigt werden.

SOC 2 (AICPA)

Fokus: SOC 2 ist ein globaler Prüfstandard des American Institute of CPAs (AICPA) für Dienstleister. Er legt auf Basis der fünf Kriterien Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz fest, wie Dienstleister ihre Kundendaten sicher speichern und verarbeiten. Wichtig zu wissen: SOC 2 ist ein Prüfbericht und keine Zertifizierung.

• SOC 2 Type I bewertet das Design an einem definierten Stichtag
• SOC 2 Type II bewertet zusätzlich die Wirksamkeit über einen Zeitraum

Geltungsbereich: SOC 2 hat seinen Ursprung in den USA und wird weltweit als Nachweis in B2B-Lieferketten genutzt. Er kann vorab definierte Services, Systeme und Standorte umfassen.

Betroffene Branchen: SaaS- und Cloud-Anbieter, Managed Service Provider, Rechenzentrums- und Hosting-Dienstleister, FinTech und Payment-nahe Services sowie generell Unternehmen, die Kundendaten oder kritische Geschäftsprozesse als Service für andere Organisationen verarbeiten und dafür entsprechende Sicherheitsnachweise liefern müssen.

Produktsicherheit und IoT-Sicherheit

Produktsicherheit und IoT-Sicherheit sind zentrale Compliance-Themen, sobald digitale Produkte in Verkehr gebracht werden und über ihren Lebenszyklus sicher bleiben müssen. Wichtige Ankerpunkte bilden der EU Cyber Resilience Act (CRA) als verbindlicher Rechtsrahmen für Produkte mit digitalen Elementen sowie ETSI EN 303 645 als praxisnahe Basissicherheitsnorm für Consumer-IoT-Geräte.

EU Cyber Resilience Act (CRA)

Fokus: Der Cyber Resilience Act (kurz CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen festlegt. Der CRA ist Produktsicherheitsrecht: Er führt CE‑Konformität für Cybersecurity ein und verpflichtet Wirtschaftsakteure entlang der Lieferkette zu Mindeststandards für die Cybersicherheit, macht sie verantwortlich für die Produktsicherheit über den gesamten Lebenszyklus hinweg und verpflichtet sie, Sicherheitslücken zu melden.

Geltungsbereich: Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden (einschließlich separat bereitgestellter Komponenten und „remote data processing solutions“).

Betroffene Branchen: Betroffen sind Hersteller, aber auch Importeure und Händler oder Distributoren von vernetzten Produkten und Software, unabhängig von der Branche und Unternehmensgröße.

Der Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten und ist vollständig verbindlich ab dem 11. Dezember 2027. Vorverlagerte Pflichten gelten bereits früher – insbesondere die Meldepflichten nach Art. 14 CRA zu aktiv ausgenutzten Schwachstellen an die ENISA oder das nationale CSIRT (in DE i. d. R. BSI/CSIRT‑Bund) ab dem 11. September 2026.

ETSI EN 303 645

Fokus: Die europäische Norm ETSI EN 303 645 regelt Basisanforderungen für Cybersecurity und Datenschutz bei Consumer-IoT-Geräten wie Smart-Home-Produkten oder Wearables, die mit dem Internet oder Heimnetz verbunden sind und mit zugehörigen Diensten interagieren.

Geltungsbereich: ETSI EN 303 645 ist vor allem EU-weit relevant und wird häufig als Referenz für Konformitätsbewertungen genutzt. In der Praxis kann sie auch international als Best Practice für vernetzte Verbrauchergeräte und deren Ökosystem angewendet werden.

Betroffene Branchen: Hersteller, Inverkehrbringer und Händler von Consumer-IoT-Produkten, außerdem Plattform- und App-Anbieter sowie Dienstleister, die zugehörige IoT-Services betreiben oder integrieren.

Rechtsrahmen für Künstliche Intelligenz: EU AI Act

Fokus: Der EU AI Act (Verordnung (EU) 2024/1689) ist der EU-Rechtsrahmen der zur Regulierung von Künstlicher Intelligenz (KI). Er folgt einem risikobasierten Ansatz: bestimmte KI-Praktiken sind verboten und Hochrisiko-KI unterliegt strengen Anforderungen in den Bereichen Risikomanagement, Datenqualität, technische Dokumentation und menschliche Aufsicht (Human Oversight). Für General-Purpose AI (GPAI) mit erheblicher Allgemeinverwendbarkeit gelten eigene Pflichten.

Die Umsetzung des EU AI Acts erfolgt stufenweise:

• Verbote und Anforderungen an AI-Literacy ab Februar 2025
• GPAI-Pflichten ab August 2025
• die breite Anwendung der wesentlichen Regelungen ab August 2026
• für Hochrisiko-KI in regulierten Produkten gilt eine verlängerte Übergangsfrist bis August 2027

Geltungsbereich: Der AI Act gilt EU-weit. Er erfasst Anbieter, Betreiber, Anwender (Deployers) und Importeure oder Händler von KI-Systemen in der EU sowie Akteure außerhalb der EU, wenn die KI-Ausgabe in der EU genutzt wird.

Betroffene Branchen: Grundsätzlich betrifft der AI Act alle Unternehmen, die KI entwickeln, vertreiben oder einsetzen. Besonders relevant ist das Gesetz dort, wo KI menschenbezogene Entscheidungen beeinflusst oder in kritischen Bereichen eingesetzt wird, beispielsweise Biometrie, kritische Infrastrukturen, Bildung, HR sowie wesentliche private, öffentliche und staatliche Dienste.

Zeitplan: Der AI Act trat 20 Tage nach Veröffentlichung im EU-Amtsblatt (12. Juli 2024) in Kraft und ist grundsätzlich ab 2. August 2026 anwendbar. Bestimmte Hochrisiko-Regelungen (Art. 6(1) und korrespondierende Pflichten) gelten ab 2. August 2027.

IT-Security-Compliance: Wie sollten Unternehmen vorgehen?

Die Anforderungen an die IT-Sicherheit und die geltenden Sicherheitsstandards variieren je nach Branche und Leistungsumfang. Ein systematisches Vorgehen, bestehend aus Risiko- bzw. Bedarfsanalyse, Projektplanung, Rollenvergabe und regelmäßigen Audits hilft Ihnen, Compliance zu erreichen und zu erhalten.

• Für das Unternehmen relevante Pflichten und Kundenanforderungen identifizieren
• Kritische Geschäftsprozesse sowie besonders schutzbedürftige Informationen und Systeme festlegen
• Ist-Bestandsaufnahme von Policies, technischen Maßnahmen, vorhandenen Nachweisen und Zertifizierungen
• Risiko- und Bedarfsanalyse durchführen und Prioritäten definieren
• Festlegen, welche Bereiche abgedeckt werden sollen (gesamtes Unternehmen oder einzelne Standorte/Services) und nach welchem Rahmen, z. B. mit einem ISMS nach ISO 27001 oder mit einem Maßnahmenkatalog wie den CIS Controls
• Projektplan erstellen für Meilensteine, Ressourcen, Budget, externe Unterstützung etc.
• Rollen und Verantwortlichkeiten verbindlich zuweisen
• Kernprozesse verbindlich regeln und dokumentieren, z. B. Zugriffe, Patch/Change, Backups, Incident Response etc.
• Technische Basismaßnahmen umsetzen
• Regelmäßige Audits und Management-Reporting etablieren

Darum ist Möhrle Happ Luther Ihr Partner für alle Fragen zu Ihrer Cybersicherheit

Als multidisziplinäre Wirtschaftskanzlei mit internationalem Netzwerk begleiten wir Sie bei allen IT-Sicherheitsanforderungen ganzheitlich. Unsere IT-Consultants übersetzen Standards und regulatorische Vorgaben wie NIS2, CRA, ISO 27001 oder BSI-Grundschutz in konkrete Maßnahmen, etablieren Governance- und ISMS-Strukturen, unterstützen bei Risikobewertungen, Prozessen, Dokumentation und bereiten Ihr Unternehmen audit- und nachweisfähig vor. So erhalten Sie Lösungen, die technisch tragfähig, organisatorisch umsetzbar und rechtlich belastbar sind – auch in komplexen Projekten und internationalen Strukturen.