Als Geschäftsführer von Precision Parts Manufacturing, einem mittelständischen Unternehmen im Herzen des deutschen Industriegebiets, war ich immer stolz darauf, ein straffes Unternehmen zu führen. Mit rund 250 Mitarbeitern sind wir auf die Herstellung hochpräziser Komponenten für die Automobil- und Maschinenbaubranche spezialisiert. Unsere Abläufe sind effizient, unsere Produkte sind erstklassig und unser Team ist engagiert. Aber in den letzten Jahren hat mich eine ständige Bedrohung nachts wachgehalten: Cyberkriminelle.
Es fing harmlos genug an – oder so schien es. Vor einigen Jahren füllte sich unser Posteingang mit verdächtigen E-Mails. Zuerst waren es die klassischen Phishing-Versuche: „Sie haben einen Preis gewonnen!“ oder „Aktualisieren Sie dringend Ihre Bankdaten.“ Wir lachten darüber und löschten sie. Aber mit der Zeit wurden die Betrugsversuche immer ausgefeilter. Gefälschte Rechnungen von vermeintlichen Lieferanten, dringende Anfragen von „Kollegen“, die Überweisungen benötigten, sogar personalisierte Nachrichten, die sich auf unsere letzten Projekte bezogen. Eines Tages wäre unser Finanzmanager fast auf eine Spear-Phishing-E-Mail hereingefallen, die genau so aussah, als käme sie von mir, in der er um eine schnelle Überweisung an einen „neuen Lieferanten“ bat. Wir haben es gerade noch rechtzeitig bemerkt, aber es war ein Weckruf. Das waren keine zufälligen Treffer; jemand hatte es auf uns abgesehen.
Nach der Pandemie wollte ich unserem Team mehr Flexibilität bieten. Viele Mitarbeiter hatten während der Lockdowns in Remote-Setups gute Leistungen erbracht, und ich sah dauerhafte Homeoffice-Optionen als Möglichkeit, die Moral zu steigern und Talente zu halten. Aber wie konnte ich sicherstellen, dass der Zugriff von zu Hause aus die Schleusen nicht für weitere Cyber-Bedrohungen öffnen würde? Unsere IT-Abteilung kümmert sich um den täglichen technischen Support, aber wir haben kein eigenes Sicherheitsteam. Wir sind ein Fertigungsunternehmen, kein Technologiekonzern – unsere Expertise liegt in der Metallbearbeitung, nicht in Firewalls.
Ich begann, Optionen zu recherchieren, mit Kollegen auf Branchenkonferenzen zu sprechen und mich über Cybersicherheitstrends zu informieren. Dabei stieß ich auf vali.now, ein Cybersicherheitsunternehmen, das darauf spezialisiert ist, KMUs wie unseren dabei zu helfen, robuste Abwehrmaßnahmen aufzubauen, ohne das Budget zu sprengen. Ihr Ansatz sprach mich an: praktische, maßgeschneiderte Lösungen, die sich auf konkrete Risiken konzentrieren. Ich meldete mich, und schon beim ersten Anruf wusste ich, dass wir in guten Händen waren.
Die Experten von vali.now starteten mit einem umfassenden Sicherheits-Check-up. Es war wie ein Ganzkörperscan unserer digitalen Infrastruktur. Sie tauchten in unsere Netzwerke, E-Mail-Systeme und Remote-Access-Protokolle ein. Was sie aufdeckten, war aufschlussreich – und ein wenig demütigend. Wir hatten veraltete Software-Patches, die ausgenutzt werden konnten, schwache Passwortrichtlinien (zu viele „Passwort123“-Varianten) und unzureichende Multi-Faktor-Authentifizierung für unsere Tools. Es gab sogar ein paar Legacy-Systeme aus unserem alten ERP-Setup, die Hintertüren hatten, von denen wir nichts wussten. Bisher war noch nichts Katastrophales passiert, aber es war nur eine Frage der Zeit.
In enger Zusammenarbeit mit ihrem Team haben wir diese Schwachstellen Schritt für Schritt behoben. Sie halfen uns, eine stärkere Verschlüsselung für unsere Datenübertragungen zu implementieren, sichere VPNs für den Homeoffice-Zugang einzurichten und automatisierte Tools zur Erkennung von Bedrohungen einzuführen. Einer der größten Erfolge war die Überarbeitung unserer Datenprozesse. Wir haben täglich mit sensiblen Blaupausen und Kundenspezifikationen zu tun, daher haben sie uns bei der Klassifizierung von Daten, der Beschränkung des Zugriffs auf der Grundlage von Rollen und der Sicherstellung, dass Backups verschlüsselt und ausgelagert werden, unterstützt. Keine riskanten Dateifreigaben mehr per E-Mail – alles läuft jetzt über sichere, geprüfte Kanäle.
Aber vali.now hat nicht bei technischen Korrekturen aufgehört. Sie betonten, dass Sicherheit ebenso mit Menschen zu tun hat wie mit Systemen. Sie führten maßgeschneiderte Schulungen für unsere Mitarbeiter durch und vermittelten ihnen das, was sie das „Security Mindset“ nennen. Es war nicht nur eine langweilige Diashow, sondern auch interaktive Workshops mit realen Beispielen aus Betrugsfällen, denen wir begegnet waren. Unser Team lernte, Warnsignale zu erkennen, wie z. B. nicht übereinstimmende E-Mail-Domains oder dringende Formulierungen in Nachrichten. Wir führten sogar simulierte Phishing-Tests durch – und obwohl ein paar Leute zuerst auf den Köder klickten, machten die anschließenden Diskussionen daraus eine Lernerfahrung. Jetzt sind unsere Mitarbeiter wachsam, melden verdächtige Aktivitäten umgehend, und wir haben einen dramatischen Rückgang von Beinahe-Unfällen erlebt.
Sechs Monate später ist der Unterschied wie Tag und Nacht. Betrugs-E-Mails kommen immer noch an – Cyberkriminelle geben nicht auf – aber sie prallen an unseren Abwehrmaßnahmen ab wie Regen an einer Windschutzscheibe. Homeoffice ist jetzt für etwa 30 % unserer Mitarbeiter Realität, und die Produktivität ist gestiegen, ohne dass es zu Sicherheitsvorfällen gekommen ist. Das Beste daran ist, dass ich besser schlafe, weil ich weiß, dass wir nicht nur auf Bedrohungen reagieren, sondern ihnen proaktiv einen Schritt voraus sind.
Dies ist eine wahre, anonymisierte und leicht veränderte Geschichte. Wenn Sie ein KMU leiten und sich von Cyberrisiken überfordert fühlen, warten Sie nicht darauf, dass eine Verletzung Sie dazu zwingt, zu handeln. Wenden Sie sich an vali.now – unsere Expertise verwandelt Ihre Schwachstellen in Stärken. In der heutigen Welt ist Cybersicherheit kein Luxus, sondern eine Notwendigkeit zum Überleben.
Was ist Ihre Geschichte? Teilen Sie sie in den Kommentaren unten mit oder vereinbaren Sie noch heute Ihren eigenen Sicherheits-Check-up.