Isabel Weyerts Keine Kommentare

BITMi zum Gesetz zur Stärkung der Cybersicherheit des BMI

Aachen/Berlin, 11. Mai 2026 – Der IT-Mittelstand unterstützt die Zielsetzung des Referentenentwurfs, die Cybersicherheit in Deutschland zu stärken. In der vorliegenden Form bestehen jedoch erhebliche Bedenken hinsichtlich der praktischen Umsetzbarkeit, der Verhältnismäßigkeit einzelner Maßnahmen sowie der Auswirkungen auf die Wettbewerbsfähigkeit mittelständischer Unternehmen.

Kritisch sind aus Sicht des IT-Mittelstands besonders

  • die weitreichenden Eingriffsbefugnisse staatlicher Stellen in zentrale Infrastrukturen von Unternehmen,
  • die fehlende Differenzierung bei Bußgeldern,
  • unklare und potenziell überfordernde Mitwirkungs- und Informationspflichten sowie zusätzliche bürokratische Belastungen im Zusammenspiel mit bestehenden europäischen Regulierungen wie der NIS-2-Richtlinie und dem Cyber Resilience Act.

Darüber hinaus bestehen wesentliche Unklarheiten hinsichtlich der konkreten Ausgestaltung der Zusammenarbeit zwischen staatlichen Stellen und mittelständischer IT-Wirtschaft. Insbesondere fehlt es an klar definierten, praktikablen Mechanismen für einen strukturierten Informationsaustausch und eine verlässliche Kommunikation, die für eine wirksame Cybersicherheitsarchitektur essenziell sind.

Zur gesamten Stellungnahme

Isabel Weyerts Keine Kommentare

Mittelstand analysiert die europäische Wirtschaftspolitik der AfD

Am 09. Mai feiern wir den Europatag. Dieser Tag erinnert uns an die Erfolge, die unser europäisches Projekt bisher erreicht hat. Die vier Freiheiten der Europäischen Union im freien Verkehr von Personen, Waren, Dienstleistungen und Kapital sind Errungenschaften, von denen nicht nur unsere mittelständischen Unternehmen enorm profitieren, sondern die allen Europäern zugutekommen.

Gleichzeitig muss die Europäische Union jetzt zeigen, dass sie über die Grundfreiheiten hinaus ein zukunftsfähiges Wirtschaftskonzept hat, um der Stagnation entgegenzuwirken.

Der Bundesverband IT-Mittelstand e.V. (BITMi) hat gemeinsam mit dem BVMW den Europatag sowie die aktuelle wirtschaftspolitische Diskussion in Deutschland zum Anlass genommen, um im Verbund mit verschiedenen Branchen- und Unternehmensverbänden aus der Mittelstandsallianz die europapolitische Agenda der aktuell größten Oppositionspartei in Deutschland zu untersuchen. Die Analyse zeigt deutlich, dass die Pläne der Alternative für Deutschland (AfD) enorme negative Folgen für den Mittelstand in Deutschland hätten. Die Europapolitik der AfD wird kein Wirtschaftswachstum erzeugen.

Analyse: Positionierung der AfD zu Europa – Relevanz für den Mittelstand

Isabel Weyerts Keine Kommentare

Ein Jahr Digitalministerium: Mehr Mut zur Umsetzung wagen

Aachen/ Berlin, 8. Mai 2026 – Ein Jahr nach Gründung des Bundesdigitalministeriums ist der Kurs gesetzt: Digitale Souveränität ist eine, wenn nicht die zentrale wirtschafts- und industriepolitische Aufgabe der nächsten Jahre. Jetzt zählt vor allem eine entschlossene Umsetzung entlang der bereits gestellten Weichen. Dafür formuliert der Bundesverband IT-Mittelstand e.V. (BITMi) drei konkrete Forderungen, die es zügig umzusetzen gilt, um das geschaffene Momentum aufrecht zu erhalten.

BITMi-Präsident Dr. Oliver Grün erklärt: „Die Einführung des Digitalministeriums hat dem Thema digitale Souveränität die lange benötigte Aufmerksamkeit bereitet. Nun kommt es darauf an, dass von der Theorie in die Praxis umgesetzt wird. Technologische Abhängigkeiten müssen gezielt abgebaut und der digitale Wirtschaftsstandort Deutschland nachhaltig gestärkt werden. Dafür braucht es eine verbindliche Strategie, pragmatische Rahmenbedingungen und vor allem den Mut zur konsequenten Umsetzung.“

Die drei Kernforderungen des IT-Mittelstands zu mehr Entschlossenheit bei digitaler Souveränität sind:

1. Digitale Souveränität als Leitmotiv in der Beschaffung verankern

  • Zuschlagskriterium im Vergaberecht nutzen, den Staat als Ankerkunden etablieren und IT-Einkäufer aufklären
  • Klare Strukturen bei zentralen Marktplätzen für mittelstandsfreundlichen Zugang

2. eine ambitionierte Definition von digitaler Souveränität mit eindeutiger EU-Präferenz

  • Ambitionierte Definition der Bundesregierung
  • Standort Europa stärken über EU-Präferenzklausel

3. Bürokratie abbauen und Umsetzung für KMU gezielt vereinfachen

  • Konkrete Entlastungen vorweisen
  • EU-Regulierung harmonisieren
  • „EU-Inc.“ vorantreiben

Zum Forderungspapier

Iris Albertin Keine Kommentare

TEK-Einkaufsportal auf DEUTSCHLAND.DIGITAL-Marktplatz gelistet

Städte, Gemeinden und Landkreise suchen nach passenden digitalen Lösungen, um den Alltag einfacher, moderner und effizienter zu gestalten.

Zahlreiche Kommunen sind bereits Teil des Netzwerks von Marktplatz.DEUTSCHLAND.DIGITAL um Angebote für Verwaltung, Daseinsvorsorge und Lebensqualität entdecken.
Das immer dichter werdende Netz engagierter Regionen, soll den digitalen Wandel für ein modernes und digitales Deutschland vorantreiben.

Als bundesweit tätiger Einkaufsdienstleister der öffentlichen Hand hat sich TEK-SERVICE AG entschlossen, diesem Netzwerk beizutreten.
Seit April 2026 ist das Unternehmen präsentiert unter

https://marktplatz.deutschlanddigital.org/tek-einkaufsportal-2ba257b5-0949-41ae-85f6-f1cea0047253

Übersichtlich, gut strukturiert und informativ. Der Besuch lohnt sich.

TEK-Einkaufsportal – das „Kaufhaus für alle“ Verwaltungen und Organisationen

Das TEK-Einkaufsportal digitalisiert Beschaffungsprozesse vollständig – von der Bestellung bis zur Abrechnung. Auf Basis webbasierten Technologie und mit minimaler Voraussetzung (Internetzugang) werden analoge Abläufe innerhalb von 6 bis 8 Wochen in effiziente, elektronische Prozesse überführt. Dabei unterstützt TEK bei der Einrichtung von Organisationsstrukturen, Katalogen sowie Lieferanten- und Bestelldaten.

Im Tagesgeschäft greifen autorisierte Nutzer auf Rahmenverträge zu und lösen Bestellungen mit allen relevanten Informationen aus. Automatisierte Prozesse – inklusive Budgetsteuerung, Genehmigungen und digitaler Rechnungsformate wie XRechnung oder ZUGFeRD – sorgen für durchgängige Abläufe ohne Medienbrüche. Monitoring-Tools ermöglichen Transparenz auf allen Ebenen.

Zusätzliche Leistungen wie elektronische Leistungsbeschreibungen, strategische Beratung, Helpdesk-Support sowie die optionale Bildung von Einkaufsgemeinschaften erweitern den Nutzen. So profitieren Verwaltungen von mehr Effizienz, besseren Steuerungsmöglichkeiten und wirtschaftlichen Vorteilen – bei gleichzeitig hoher Sicherheit und Einhaltung von Standards wie DSGVO, BITV 2.0 und BSI IT-Grundschutz.

Isabel Weyerts Keine Kommentare

Stellungnahme zum geplanten 28. Regime der EU: Digitale Integration als Schlüssel zum europäischen Binnenmarkt

Anlässlich der Anhörung des Justizministeriums zum 28. Regime im Gesellschaftsrecht hat der Bundesverband IT-Mittelstand e.V. (BITMi) eine Stellungnahme zur geplanten Reform eingereicht.

Das 28. Regime der EU könnte die einflussreichste Reform des europäischen Binnenmarkts seit mehr  als 20 Jahren werden. Im Kern zielt es auf die Schaffung eines einheitlichen, interoperablen und digital
durchgängigen Unternehmensrahmens in allen 27 Mitgliedstaaten ab. Als Vertreter der deutschen  mittelständischen IT-Unternehmen fordern wir die Bundesregierung auf, Ehrgeiz, Tempo und digitale
Innovation an erste Stelle zu setzen. Europa darf im globalen Wettbewerb um Wettbewerbsfähigkeit  nicht zurückfallen – besonders nicht im digitalen Zeitalter.

Während Waren und Dienstleistungen immer einfacher grenzüberschreitend gehandelt werden, hinkt  die digitale Integration Europas hinterher. Nationale Regulierungen, inkompatible technische
Standards und fragmentierte Märkte behindern die Entwicklung eines echten digitalen Binnenmarkts. Die mittelständische Digitalwirtschaft, die ein zentraler Treiber für Innovation und Beschäftigung ist,
leidet besonders unter den aktuellen Barrieren. Vereinfachte, digitale und interoperable Regelungen sind daher kein Luxus, sondern eine Notwendigkeit.

Der BITMi plädiert für die Einführung der EU Inc. als einheitliche, digitale Rechtsform und fordert drei digitale Grundsätze für die Reform:

  1. Digital by Default: Vollständige Digitalisierung aller Prozesse
  2. Offener Rahmen für alle – ohne Ausgrenzung
  3. Interoperabilität als Voraussetzung

zur Stellungnahme

Logos beider Verbände und ein Symbolbild eines Handschlags
Isabel Weyerts Keine Kommentare

Das BITMi-Netzwerk wächst: Die Low-Code Association schließt sich an

Aachen/ Berlin, 27. April 2026 – Die Low-Code Association e.V. ist als assoziiertes Mitglied dem Bundesverband IT-Mittelstand e.V. (BITMi) beigetreten. Durch die Partnerschaft bündeln beide Organisationen ihre Expertise, um die digitale Transformation in Deutschland gezielt und souverän voranzubringen.

„Ich freue mich sehr, die Low-Code Association im BITMi-Netzwerk willkommen zu heißen. Mit ihr gewinnen wir einen starken Partner, der wichtige Impulse für die Digitalisierung der deutschen Wirtschaft setzt. Gemeinsam wollen wir Innovationen ‚Made in Europe‘ stärken und so langfristig dazu beitragen, die Abhängigkeit von außereuropäischen Technologiekonzernen zu reduzieren“, erklärt Christian Gericke, Vizepräsident des BITMi.

Die Low-Code Association e.V. vereint führende Low-Code-Plattformanbieter und Systemintegratoren im deutschsprachigen Raum sowie ausgewählte europäische Plattformen. Als zentrale Austauschplattform bringt sie die relevanten Akteure der Low-Code-Community zusammen – von Technologieanbietern über Integratoren und Entwickler bis hin zu Fachbereichen und Anwendern. Der Verband fördert den strukturierten Austausch, Best Practices und gemeinsame Initiativen und schafft so die Grundlage für den breiten und wirksamen Einsatz von Low-Code und No-Code in der Praxis.

Markus Bernhart, stellvertretender Vorstandsvorsitzender der Low-Code Association e.V. erklärt: „Deutschland diskutiert viel über Digitalisierung. Wir wollen sie endlich umsetzen. Moderne, agile Softwareentwicklung wie Low-Code ist dafür einer der schnellsten und wirksamsten Hebel und längst mehr als ein Effizienzthema. Sie ist ein zentraler Baustein für digitale Souveränität. Mit dem BITMi bündeln wir gezielt unsere Kräfte, um diesen Ansatz aus der Nische in die breite Anwendung zu bringen, in der privaten Wirtschaft ebenso wie in der öffentlichen Verwaltung. Unser Anspruch ist klar: weniger Theorie, mehr Umsetzung.“

Porträt von Dr. Oliver Grün mit Abbildung des Zitates aus dem Text
Isabel Weyerts Keine Kommentare

BITMi zur Vergaberechtsreform: Mehr Mut zu Digitaler Souveränität

Aachen/ Berlin, 24. April 2026 – Gestern hat der Bundestag das Vergabebeschleunigungsgesetz verabschiedet mit dem Ziel, Vergabeprozesse zu verkürzen und die Berücksichtigung von Kriterien der Cybersicherheit und digitalen Souveränität zu vereinfachen. Der Bundesverband IT-Mittelstand e.V. (BITMi) begrüßt den optionalen Einbezug digitaler Souveränität als Zuschlagskriterium grundsätzlich, auch wenn eine verpflichtende Berücksichtigung das Ziel sein sollte.

„Die öffentliche Hand als größter IT-Einkäufer in Deutschland ist ein entscheidender Hebel für die Förderung digitaler Souveränität. Zwar verliert das neue Vergaberecht einiges an Kraft dadurch, dass digitale Souveränität nur als optionales Kriterium aufgenommen wurde. Dennoch bietet die Reform jetzt Spielraum zur expliziten Berücksichtigung. Jetzt kommt es darauf an, diesen auch zu nutzen und sich in kritischen Bereichen für digitale souveräne Lösungen zu entscheiden. Wir appellieren an jeden staatlichen Einkäufer, sich für IT-Lösungen zu entscheiden, die auf technologische Selbstbestimmung einzahlen und die lokale Wertschöpfung stärken,“ kommentiert BITMi-Präsident Dr. Oliver Grün.

Diagramme mit Kernerkenntnissen der Umfrage: Die Anzahl der Unternehmen mit über 10% unbesetzten IT-Stellen hat sich fast halbiert. Ursachen sind die Wirtschaftslage, Budgetkürzungen bei Kunden, Umstrukturierung und Effizienzgewinne durch KI. Top 3 gesuchte Jobs sind IT-Support, Systemadmin und IT-Projektmanager. Top 3 gesuchte Skills sind Kommunikation und Kundenverständnis, Deutsch und IT-Security
Isabel Weyerts Keine Kommentare

Fachkräftemangel von Konjunkturdruck überlagert – Umfrage im IT-Mittelstand

  • Der IT-Fachkräftemangel wird aktuell von der herausfordernden wirtschaftlichen Situation überschattet.
  • Fachkräftemangel existiert in entschärfter Version weiterhin, doch fehlt es dabei nicht an Bewerbern, sondern an passenden Kandidaten.
  • KI-Einsatz in der IT-Branche zeigt erste Auswirkungen auf den Stellenmarkt.
  • Das Fähigkeitenprofil für IT-Fachkräfte erweitert sich um KI-Kenntnisse, verlangt aber vor allem auch Kommunikationsfähigkeit und Kundenverständnis.

Aachen, 20. April 2026 – Noch vor drei Jahren war der Fachkräftemangel die größte Herausforderung für die deutsche IT-Branche. Die aktuelle Umfrage des Bundesverband IT-Mittelstand e.V. (BITMi) zur Fachkräftesituation in kleinen und mittleren IT-Unternehmen (IT-KMU) zeigt: Die Fachkräftelücke ist schmaler geworden, hat sich aber nicht geschlossen. Die schwierige Wirtschaftssituation stellt KMU vor eine Herausforderung, die die Suche nach Fachkräften in den Hintergrund rücken lässt. Gleichzeitig zeigt der Einzug von KI in die IT-Branche erste Auswirkungen auf dem IT-Stellenmarkt.

„Unsere aktuelle Umfrage zeigt, dass der Fachkräftemangel, der lange ein so enormes Problem für die deutsche IT-Wirtschaft war, keinesfalls langfristig gelöst wurde. Vielmehr wird er aktuell durch unsere schwächelnde Konjunktur überdeckt, wird aber spätestens durch den demographischen Wandel später zurückkehren“, ordnet Dr. Oliver Grün, Präsident des BITMi, die Umfrageergebnisse ein, „Für den Wirtschaftsstandort Deutschland bleibt eine starke Digitalwirtschaft aber entscheidend, um im internationalen Wettbewerb zu bestehen. Und hier ist der IT-Mittelstand entscheidend, denn er macht die Mehrzahl der Arbeitsplätze und rund die Hälfte des Marktvolumens in der deutschen IT-Branche aus. Damit er dieses Potenzial weiterhin ausschöpfen kann, braucht es jetzt die richtigen politischen Impulse.“

Vom Fachkräfte- zum Konjunkturproblem – welche Rolle spielt KI?

Ende 2022 sahen noch knapp über 80 Prozent der IT-Mittelständler den Fachkräftemangel als größte Herausforderung. Anfang dieses Jahres waren es nur noch 25 Prozent. Stattdessen wird nun vor allem die wirtschaftliche Lage als Problem wahrgenommen, so 77 Prozent der Unternehmen. Auch bei den offenen Stellen zeigt sich eine deutliche Veränderung: Der Anteil der Unternehmen, bei denen mehr als 10 Prozent der IT-Stellen unbesetzt sind, hat sich seit 2023 fast halbiert. Gleichzeitig hat sich der Anteil der Unternehmen ohne unbesetzte Stellen nahezu verdoppelt. Das zeigt die aktuelle Umfrage zum IT-Fachkräftemangel.

Diese Entwicklung spiegelt sich auch in den Faktoren wider, die laut der aktuellen Umfrage die Verfügbarkeit von IT-Stellen in den Unternehmen beeinflussen. Am häufigsten nennen die Befragten wirtschaftliche Unsicherheit (45 Prozent) und Budgetkürzungen bei Kunden (37 Prozent). Danach folgen interne Umstrukturierungen (26 Prozent). Gleichzeitig spielt auch Künstliche Intelligenz (KI) eine wachsende Rolle: 24 Prozent der Unternehmen geben Effizienzgewinne durch KI als Faktor an. Außerdem sagen 37 Prozent, dass Kenntnisse im Umgang mit KI eine Fähigkeit sind, die ihnen bei IT-Fachkräften wichtig ist. Damit sind KI-Kenntnisse gleichauf mit klassischen Programmierkenntnissen.

Balkendiagramm zur Frage "Welche Faktoren bestimmen aktuell die Verfügbarkeit von IT-Stellen in Ihrem Unternehmen?" Die Balken sind: wirtschaftliche Unsicherheit im eigenen Unternehmen 45% Budgetkürzungen bei Kunden 37% Umstrukturierung im eigenen Unternehmen 26% Effizienzgewinne durch KI 24% Outsourcing/Nearshoring von IT-Leistungen 3% Sonstige 11%; n=38 (Mehrfachauswahl möglich)

 

„KI kann zu einer enormen Effizienzsteigerung in der IT-Branche, insbesondere in der Softwareentwicklung, führen. Hier liegt echtes Potenzial, das noch mehr IT-Unternehmen fundiert einsetzen müssen, um international mitzuhalten. Außerdem brauchen wir in Zukunft mehr Softwarearchitekten als Softwareentwickler, denn die Arbeit des Code Schreibens wird zunehmend durch die KI übernommen“, erklärt Grün.

Suche nach geeigneten Fachkräften bleibt Herausforderung

Trotz des Rückgangs unbesetzter Stellen schätzen rund 40 Prozent der Befragten die Verfügbarkeit von IT-Fachkräften weiterhin als schwierig oder sehr schwierig ein. Dabei geht es offenbar weniger um die reine Anzahl an Bewerbern, sondern vielmehr um deren Passgenauigkeit.

Mit deutlichem Abstand nennen die Unternehmen vor allem unterschiedliche Vorstellungen bei Gehältern (66 Prozent) und Qualifikationen (56 Prozent) als wichtigste Einflussfaktoren. Aspekte der tatsächlichen Verfügbarkeit spielen hingegen eine nachgeordnete Rolle: Eine regional begrenzte Verfügbarkeit nennen 29 Prozent, den demografischen Wandel 24 Prozent. Auch die internationale Konkurrenz durch Remote Work ist mit 17 Prozent vergleichsweise weniger bedeutend. Nur jeweils 7 Prozent nennen Teilzeitarbeit, geringe Absolventenzahlen oder eine niedrige Erwerbsbeteiligung bestimmter Gruppen als relevant.

Balkendiagramm zur Frage "Welche Faktoren beeinflussen aus Ihrer Sicht aktuell die Verfügbarkeit von IT- Fachkräften?" Die Balken sind: Diskrepanz bei den Gehaltsvorstellungen 66% Diskrepanz bei den Qualifikationsanforderungen 56% regional begrenzte Verfügbarkeit 29% demografischer Wandel 24% internationale Konkurrenz durch Remote-Work 17% Teilzeiterwerb 7% zu geringe Absolventenzahlen in IT ​Studiengängen/Ausbildung 7% zu geringe Erwerbsbeteiligung bestimmter Gruppen (z. B. ​Frauen, Ältere) 7% Sonstige 17%; n=41 (Mehrfachauswahl möglich)

„Die Diskrepanz entsteht nicht, weil es zu wenige IT-Fachkräfte gibt, sondern weil Angebot und Nachfrage strukturell aneinander vorbeilaufen. Unternehmen suchen hochspezialisierte Profile mit sofortigem Impact, während Kandidaten ihre Marktposition – getrieben durch Knappheit, Remote-Optionen und internationale Vergleichbarkeit – selbstbewusster bepreisen. Gleichzeitig entwickeln sich Technologien schneller als klassische Qualifikationsprofile“, erklärt Albert Vallendar, Sprecher der BITMi-Fachgruppe Bildung. Fachkräfte. Arbeitswelten.

Was suchen Unternehmen?

Unternehmen suchen derzeit vor allem nach Fachkräften in klassischen und zugleich strategisch wichtigen IT-Rollen. Besonders gefragt sind IT-Support und Systemadministration (jeweils 31 Prozent), dicht gefolgt von IT-Projektmanagern bzw. Product Ownern (29 Prozent) sowie IT-Security-Spezialisten (24 Prozent).
Bei den geforderten Kompetenzen stehen nicht nur technische Fähigkeiten im Vordergrund, sondern vor allem auch soziale und kommunikative Aspekte. An erster Stelle stehen Kommunikationsfähigkeit und Kundenverständnis (68 Prozent), gefolgt von Deutschkenntnissen (54 Prozent) und Wissen im Bereich IT-Security (49 Prozent). Ergänzend dazu werden Kenntnisse in Software- und Cloud-Architektur (39 Prozent bzw. 37 Prozent) sowie klassische Programmierfähigkeiten gleichauf mit KI-Kenntnissen (beide 37 Prozent) häufig genannt.

Balkendiagramm zur Frage "Welche Fähigkeiten sind für Sie besonders wichtig bei IT-Fachkräften?" DIe Balken sind: Kommunikation & Kundenverständnis 68% Deutschkenntnisse 54% IT-Security 49% Software-Architektur 39% Klassische Programmierkenntnisse 37% KI-Nutzung und Prompting 37% Cloud-Architekturen 37% Branchenwissen 29% Agile Methoden 15% Englischkenntnisse 15% Sonstige 7%; n=41 (Mehrfachauswahl möglich

„Insgesamt zeigt sich, dass Unternehmen gezielt nach hochperformanten Generalisten suchen – Fachkräfte, die nicht nur technologisch exzellent sind, sondern ebenso souverän intern wie extern auftreten, komplexe Inhalte verständlich vermitteln und aktiv zur Kundenentwicklung beitragen“, so Vallendar, „Die Diskussion, ob Programmieren oder KI wichtiger ist, greift also zu kurz. Der eigentliche Engpass sind Menschen, die Technologie verkaufen, erklären und beim Kunden verankern können. Genau diese hybriden Rollen treiben aktuell den Markt – und genau dort fehlt es am meisten.“

alle Umfrageergebnisse

Lydia Schauß Keine Kommentare

KI greift an. KI verteidigt. Wer gewinnt, entscheidest du. Noch.

KI greift an. KI verteidigt. Wer gewinnt, entscheidest du. Noch.

Ein Weckruf für alle, die noch glauben, Cybersicherheit sei Sache der IT-Abteilung

Ich erinnere mich an ein Gespräch mit einem Geschäftsführer mittelständischen Zuschnitts-Maschinenbau, solides Unternehmen, 200 Leute. Er sagte: „Wir haben eine Firewall, wir haben Antivirensoftware, wir machen das seit Jahren so. Was soll uns passieren?” Drei Wochen später lag sein gesamtes Netzwerk lahm. Ransomware. Der Einstieg: eine täuschend echte E-Mail an seine Assistentin, die aussah wie eine interne Nachricht von ihm selbst – inklusive seines typischen Grußformats, das die Angreifer von seiner öffentlichen LinkedIn Seite abgezogen hatten.

Das war kein Einzelfall. Es war auch keine Panne. Es war Methode.

Willkommen in der Cyber Reality – nicht als Schlagwort, sondern als gelebter Alltag. Einer, in dem die alten Spielregeln nicht mehr gelten und in dem die Frage, ob dein Unternehmen angegriffen wird, längst beantwortet ist. Die offene Frage ist nur noch: Wann? Und wie gut bist du vorbereitet?

Angriff mit Köpfchen – und mit Maschinen.

Lange Zeit hatte Cyberkriminalität etwas Handwerkliches. Phishing-Mails mit holprigem Deutsch, generische Schadprogramme, die jeder halbwegs aktuelle Virenscanner erkannte. Das ist Geschichte.

Heute sitzen auf der Angreiferseite keine einsamen Hacker mehr in dunklen Kellern. Es sind professionell organisierte Gruppen, manche staatsnahe, manche rein kommerziell motiviert, die KI-Werkzeuge einsetzen, um ihre Angriffe zu skalieren und zu verfeinern. Generative
Modelle schreiben Phishing-Nachrichten, die keine Rechtschreibfehler mehr enthalten, die den Tonfall der Zielperson imitieren, die auf aktuelle Ereignisse im Unternehmen eingehen. Sprachmodelle recherchieren Opferprofile automatisiert. Deepfake-Technologie erzeugt
Videos und Sprachnachrichten, die den CEO beim „Geldtransfer-Anruf” überzeugend simulieren.

Was früher Dutzende Stunden manueller Vorbereitung kostete, erledigt heute ein gut konfiguriertes Skript in Minuten. Die Angriffsoberfläche wächst. Die Angriffspräzision auch. Und die Verteidigung? Hinkt hinterher. Nicht weil es keine guten Werkzeuge gäbe,
sondern weil es zu wenige Menschen gibt, die sie verstehen und einsetzen können.

KI-Skills: Was damit wirklich gemeint ist.

Hier beginnt das eigentliche Problem. “KI-Kompetenz” klingt nach Buzzword – und wird oft auch so behandelt. Ein Prompt-Workshop hier, ein halber Tag „Einführung in ChatGPT”  dort, fertig. Das reicht nicht. Das reicht bei weitem nicht. Wer in einem Unternehmen mit KI-Systemen arbeitet – und das tut heute fast jeder, bewusst oder unbewusst – trägt eine Mitverantwortung für die Sicherheit dieser Systeme. Das erfordert mehr als Bedienkompetenz.

Es geht erstens darum zu verstehen, wie diese Systeme funktionieren. Nicht auf Doktoratsniveau, aber so, dass man ihre Grenzen kennt. Dass man weiß: Ein Sprachmodell erfindet manchmal Dinge. Es hat keine Ahnung, ob eine Information aktuell ist. Es gibt überzeugend klingende Antworten auf Fragen, auf die es eigentlich keine verlässliche Antwort kennt. Wer das nicht verinnerlicht hat, wird blind auf KI-Outputs vertrauen, und in einem Sicherheitskontext kann das fatal sein.

Es geht zweitens darum, Datensouveränität zu verstehen. Welche Daten darf ich in welches KI-System eingeben? Was passiert mit dem, was ich dort eintippe? Diese Fragen klingen banal – aber ich bin regelmäßig in Workshops, wo Mitarbeitende seelenruhig Kundendaten in
öffentliche KI-Dienste kopieren, weil sie die Antworten schlicht nicht kennen oder nie gefragt wurden.

Es geht drittens um die Fähigkeit, KI-Outputs kritisch zu bewerten. Das klingt selbstverständlich. Es ist es nicht. Wir neigen dazu, Systemen zu vertrauen, die selbstsicher klingen und schnell antworten. KI-Systeme tun beides, unabhängig davon, ob sie recht haben.

Und es geht viertens um ein Verständnis der rechtlichen Lage. Der EU AI Act ist kein akademisches Konstrukt, er ist geltendes Recht mit Konsequenzen. NIS2 betrifft inzwischen eine enorme Zahl von Unternehmen, die sich noch gar nicht als betroffen betrachten. Wer
hier ohne Grundwissen agiert, riskiert nicht nur Bußgelder, er riskiert das Vertrauen seiner Kunden.

Das schwächste Glied ist nicht der Server.

Hier muss ich etwas sagen, das viele IT-Verantwortliche nicht gerne hören: Die meisten erfolgreichen Cyberangriffe der letzten Jahre haben nicht die Technik überwunden. Sie haben Menschen überwunden. Nicht böswillige Menschen. Gutgläubige. Unter Zeitdruck stehende. Nicht ausreichend informierte. Die Assistentin, die auf den Link klickt, weil die E-Mail wie eine interne Anfrage aussieht. Der Entwickler, der ein kompromittiertes Open-Source-Paket einbindet, weil er keine Zeit hatte, es zu prüfen. Der Einkäufer, der Zugangsdaten an einen „IT-Support-Mitarbeiter” weitergibt, der am Telefon alles richtig macht.

Mit KI werden diese Szenarien raffinierter, überzeugender, schwerer erkennbar. Deepfake Anrufe, in denen die Stimme des Vorgesetzten täuschend echt klingt. Nachrichten, die exakt den Schreibstil einer Kollegin imitieren. Dokumente, die wie offizielle Unternehmensmitteilungen aussehen. Dagegen hilft keine neue Firewall. Dagegen hilft Kompetenz, Aufmerksamkeit und eine
Unternehmenskultur, in der es keine dummen Fragen gibt, sondern nur gefährliche Annahmen.

Die Verteidigungsseite: Was KI wirklich kann

Ich will kein Pessimismus verbreiten. KI ist nicht nur Bedrohung, sie ist auch eines der mächtigsten Werkzeuge, die wir auf der Verteidigungsseite haben. Aber man muss sie einsetzen wollen. Und können. Moderne Erkennungssysteme, die auf maschinellem Lernen basieren, analysieren Verhalten, nicht nur Signaturen. Sie merken, wenn ein Nutzeraccount plötzlich um 3 Uhr morgens Daten aus einer Datenbank zieht, die er in zwei Jahren nie angefasst hat. Sie erkennen Kommunikationsmuster, die auf eine laufende Exfiltration hindeuten, bevor ein Mensch überhaupt vom Vorfall weiß. Sie korrelieren Ereignisse über tausende Systeme hinweg in Echtzeit – eine Leistung, die kein SOC-Team manuell erbringen könnte. Das ist echter Fortschritt. Und er funktioniert, wenn die Menschen dahinter wissen, wie sie die Alarme zu bewerten haben, wie sie die Systeme konfigurieren, was ein False Positive ist und was echter Angriff. Ohne dieses Wissen produzieren die besten KI-Sicherheitssysteme nur Lärm, den niemand mehr hört. KI in der Cybersicherheit ist kein Selbstläufer. Sie ist ein Kraftverstärker für kompetente Teams. Und ein Haftungsrisiko für inkompetente.

Der Markt liefert nicht, was ihr braucht.

Es gibt eine unbequeme Wahrheit, die in Führungsetagen zu selten ausgesprochen wird: Den Fachkräftemarkt, auf den viele hoffen, gibt es so nicht. Nicht in dem Umfang, den die aktuelle Lage erfordert. IT-Sicherheitsexpertinnen und -experten mit echtem KI-Verständnis,
Erfahrung in der Incident Response und der Fähigkeit, Unternehmensführungen verständlich zu beraten – diese Profile sind knapp. Sehr knapp. Was das bedeutet: Wer wartet, bis der Markt das Problem löst, wartet zu lange. Die einzige realistische Antwort ist, in die eigene Belegschaft zu investieren. Nicht mit einmaligen Schulungen, sondern mit kontinuierlichen, rollenspezifischen Qualifizierungsprogrammen.
Der Buchhalter braucht andere KI-Skills als die Systemadministratorin. Die Führungskraft braucht andere als die Projektmanagerin. Wer alle mit demselben 8-Stunden-Kurs abspeist, hat das Problem nicht verstanden. Upskilling ist keine HR-Maßnahme. Es ist Sicherheitsinvestition. Und gemessen an den Kosten eines erfolgreichen Angriffs – Betriebsausfall, Reputationsschaden, Lösegeldforderungen, Wiederherstellungskosten – ist es die günstigste.

Sicherheit ist Chefsache. Ernsthaft diesmal.

Ich weiß, dieser Satz steht in jedem zweiten Cybersecurity-Artikel. Und ich weiß, dass er in der Praxis oft nichts bewirkt. Deshalb formuliere ich ihn anders: Wenn beim nächsten Angriff auf dein Unternehmen herauskommt, dass das Management nicht wusste, wie die eigene KI-Strategie aussieht dann ist das kein technisches Versagen. Das ist Führungsversagen. Und zunehmend auch ein juristisches Problem. NIS2 macht Vorstände und Geschäftsführungen persönlich verantwortlich für das Sicherheitsniveau ihrer Organisation. Das ist neu. Das ist ernst gemeint. Und das wird durchgesetzt werden. Eine Sicherheitskultur, die wirklich funktioniert, lebt nicht von Richtlinien, die niemand liest. Sie lebt davon, dass Führungskräfte selbst Bescheid wissen, Fragen stellen, Vorfälle nicht vertuschen und Sicherheitsbedenken nicht wegmoderieren, wenn sie den Zeitplan stören. Die beste technische Infrastruktur der Welt nützt nichts in einer Organisation, in der
Mitarbeitende Angst haben, einen verdächtigen Vorfall zu melden, weil sie Konsequenzen befürchten.

Was jetzt zu tun ist, konkret.

Kein Artikel ohne Handlungsempfehlungen, ich weiß. Aber ich mache es kurz und konkret:

Schau dir ehrlich an, wo dein Unternehmen heute steht. Nicht was auf dem Papier steht – was tatsächlich passiert. Werden KI-Tools genutzt? Mit welchem Wissen? Welche Daten fließen wohin? Diese Bestandsaufnahme ist unbequem, aber sie ist der einzige valide  Ausgangspunkt.

Investiere in rollenspezifische Qualifizierung – nicht in Einheitsware. Führungskräfte brauchen strategisches Risikobewusstsein. Technische Teams brauchen operative Tiefe. Alle anderen brauchen praxisnahe Szenarien, die zeigen, wie ein Angriff im Alltag aussieht, nicht abstrakte Theorie.

Überprüfe deine Lieferkette. Viele der schlimmsten Angriffe der letzten Jahre liefen über Partnerunternehmen, die schwächer gesichert waren als das eigentliche Ziel. Deine Sicherheit ist nur so stark wie das schwächste Glied in deinem Netzwerk. Und: Höre auf, Sicherheit als Kostenfaktor zu betrachten. Es ist Risikomanagement. Wer das versteht, entscheidet anders.

Noch.

Das „Noch.” im Titel dieses Artikels ist kein Effekthascherei. Es ist eine ernste Aussage über ein enges Zeitfenster. Aktuell haben Menschen noch die Kontrolle. Wir entscheiden noch, welche KI-Systeme wir einsetzen, wie wir sie konfigurieren, welche Grenzen wir setzen. Wir
können noch lernen, noch aufholen, noch Strukturen aufbauen, die uns schützen. Aber dieses Fenster schließt sich. Nicht dramatisch, nicht über Nacht – sondern still, Quartal für Quartal, während Angreifer besser werden und die Qualifikationslücke auf der Verteidigungsseite wächst. KI-Kompetenz ist keine Frage der Zukunft. Sie ist eine Frage des Jetzt. Wer sie ignoriert, übergibt das Steuer – still, unbemerkt, unwiderruflich.

Unternehmensprofil

Die Schönbrunn TASC GmbH ist ein spezialisierter Anbieter für Cyber-Resilienz und IT-Sicherheitslösungen im DACH-Raum. TASC steht für Training, Audit, System und Consulting und verbindet technische Exzellenz mit managementorientierter Sicherheitsstrategie nach dem Leitprinzip Security-by-Design. Das Unternehmen unterstützt Organisationen mit praxisnahen Trainings und international anerkannten Zertifizierungen (u. a. Security+, CEH, CISSP, CRISC®, CISM®) über seine akkreditierte Trainingsakademie. Darüber hinaus prüfen zertifizierte Berater und Penetrationstester IT-Infrastrukturen unter realistischen Bedingungen – von Anwendungssicherheit und Passwort-Checks bis hin zu OSINT- und Darknet-Analysen. Ergänzend begleitet Schönbrunn TASC Unternehmen bei der Umsetzung regulatorischer Anforderungen wie ISO 27001, NIS2, DORA und TISAX® sowie beim Aufbau nachhaltiger Informationssicherheits-Managementsysteme (ISMS). Gegründet 2021, betreut Schönbrunn TASC vom Hauptsitz in Leonberg aus heute mehr als 200 Kunden.

Kontakt

Kseniia Guillement

Head of Growth & OPs

Schönbrunn TASC GmbH

kseniia.guillement@schoenbrunn-tasc.de 

 

Bilder: Kseniia Guillement

Ein virtueller, blau leuchtender Baum wächst aus einem Tablet, das flach auf einer ausgestreckten Hand liegt.
Isabel Weyerts Keine Kommentare

Security-Awareness als Kulturfaktor: Wie gelebte IT-Sicherheit die Fachkräftebindung stärkt

Ein Impuls darüber, wie eine moderne Sicherheitskultur das Vertrauen im Team festigt und die Attraktivität als Arbeitgeber steigert.

In der modernen, hypervernetzten Geschäftswelt wird die Debatte um Cybersicherheit oft auf technische Parameter reduziert: Firewalls, Verschlüsselungsalgorithmen, Endpoint-Protection. Diese Abwehrmechanismen sind essenziell, keine Frage. Doch als CEO der Basec GmbH betrachte ich die digitale Resilienz eines Unternehmens aus einer weiteren, entscheidenden Perspektive: der kulturellen.

Wir leben in einer Zeit des eklatanten Fachkräftemangels. Qualifizierte Mitarbeiter suchen nicht mehr nur nach einem Gehaltsscheck; sie suchen nach Purpose, nach psychologischer Sicherheit und nach einem Arbeitsumfeld, das Professionalität ausstrahlt. Ein oft übersehener Hebel für die Gewinnung und, noch wichtiger, die langfristige Bindung dieser Talente liegt in der Etablierung einer gelebten IT-Sicherheitskultur.

Der Wandel: Vom „menschlichen Risiko“ zum „menschlichen Sensor“

Lange Zeit dominierte in der IT-Security das Paradigma des „Faktors Mensch“ als Schwachstelle. Mitarbeiter wurden als Sicherheitsrisiko Nr. 1 betrachtet, das durch restriktive Policen und jährliche, oft zähe Compliance-Schulungen „domestiziert“ werden musste. Dieser Ansatz ist nicht nur ineffektiv, sondern kontraproduktiv für die Mitarbeiterbindung. Wer möchte in einem Umfeld arbeiten, das von Misstrauen und der permanenten Angst vor Fehlern geprägt ist?

Eine moderne Sicherheitskultur, wie wir sie bei Basec verstehen, dreht dieses Narrativ um. Wir betrachten unsere Mitarbeiter nicht als Risikofaktor, sondern als unsere stärkste Verteidigungslinie: als aufmerksame, befähigte menschliche Sensoren.

Dieser Wandel beginnt im Kopf der Führungsebene. Erfordert wird eine Transformation von Security-Compliance hin zu echtem Security-Engagement. Ziel ist es, dass jeder Mitarbeiter, vom Praktikanten bis zum CEO, versteht, warum Sicherheit wichtig ist, nicht nur für das Unternehmen, sondern auch für seine eigene Arbeitsfähigkeit und die Integrität der Kundendaten.

Psychologische Sicherheit als Fundament

Der stärkste Klebstoff für Teams ist Vertrauen. In einer toxischen Kultur, in der ein Klick auf einen Phishing-Link zu öffentlicher Bloßstellung oder drakonischen Strafen führt, werden Fehler verheimlicht. Verheimlichte Fehler sind die Einfallstore, nach denen Angreifer suchen.

In einer gelebten IT-Sicherheitskultur hingegen herrscht psychologische Sicherheit. Wenn ein Mitarbeiter einen Fehler macht (und jeder macht Fehler), fühlt er sich sicher genug, diesen sofort zu melden, ohne Angst vor Repressalien. Das Management reagiert nicht mit Strafe, sondern mit Unterstützung und dem Fokus auf die gemeinsame Behebung des Vorfalls. Diese Fehlerkultur festigt das Vertrauen im Team immens. Es signalisiert: „Wir stehen zusammen, wir lösen Probleme gemeinsam, und wir lernen daraus.“ Ein solches Umfeld ist für High Potentials hochattraktiv.

Die Arbeitgebermarke (Employer Brand) im digitalen Zeitalter

Die Professionalität, mit der ein Unternehmen seine IT-Sicherheit handhabt, ist heute ein direkter Indikator für seine allgemeine Managementqualität. Fachkräfte, insbesondere aus dem Technologie- oder Datensektor, durchschauen schnell, ob Security nur ein Marketing-Slogan ist oder gelebte Realität.

Eine robuste, transparente Sicherheitskultur signalisiert:

  1. Technologische Reife: Wir arbeiten mit modernen Tools und Prozessen.
  2. Verantwortungsbewusstsein: Wir schützen die Daten unserer Kunden und Mitarbeiter mit höchster Priorität.
  3. Zukunftsfähigkeit: Wir sind gegen die existenziellen Risiken der Digitalisierung gewappnet.

Wenn ein Bewerber im Onboarding-Prozess erlebt, dass Security-Awareness spielerisch, kontinuierlich und als integraler Bestandteil der Arbeit (und nicht als lästiges Extra) vermittelt wird, steigert dies die Attraktivität des Arbeitgebers. Es zeigt, dass das Unternehmen in die Befähigung seiner Mitarbeiter investiert.

Der Weg zur gelebten Sicherheitskultur

Wie transformiert man nun die Unternehmenskultur? Das ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Prozess, der „Top-Down“ vorgelebt und „Bottom-Up“ getragen werden muss.

  • Wir C-Level-Manager müssen die ersten Botschafter der Sicherheitskultur sein. Wenn ich Sicherheitsregeln umgehe, warum sollte sich mein Team daran halten?
  • Schulungen dürfen nicht generisch sein. Sie müssen die spezifischen Risiken des jeweiligen Arbeitsplatzes adressieren. Storytelling ist hierbei effektiver als das bloße Herunterbeten von Paragraphen.
  • Statt nur auf Fehler zu lauern, sollten wir sicheres Verhalten belohnen. Gamification-Elemente, bei denen Teams spielerisch gegeneinander antreten, um Sicherheits-Champions zu werden, fördern das Engagement und den Teamgeist.
  • IT-Sicherheit darf die Arbeitsabläufe nicht blockieren. Wenn Sicherheitsmaßnahmen zu umständlich sind, werden Mitarbeiter Wege finden, sie zu umgehen („Shadow-IT“). Unser Ziel bei BASEC ist es, Sicherheit by design so einfach wie möglich zu gestalten.

In der digitalen Ökonomie ist IT-Sicherheit weit mehr als ein technischer Schutzschild. Sie ist ein Spiegelbild der Unternehmenskultur. Eine Kultur, die auf Befähigung, Vertrauen und gemeinsamer Verantwortung basiert, schützt nicht nur die digitalen Assets des Unternehmens, sondern stärkt auch die Bindung der wertvollsten Ressource: der Fachkräfte.

Sicherheitsbewusstsein als Kulturfaktor festigt das Vertrauen im Team und positioniert das Unternehmen als attraktiven, professionellen und zukunftssicheren Arbeitgeber. Wer die menschliche Komponente der Cybersicherheit vernachlässigt, riskiert nicht nur Datenverluste, sondern auch den Verlust seiner besten Talente.

 

Unternehmensprofil

In einer vernetzten Welt sind die wertvollsten Ressourcen Information und die Hoheit darüber. Die Basec GmbH versteht Cybersecurity nicht als bloße Abwehr von Bedrohungen, sondern als Fundament digitaler Souveränität. Basec gibt Ihnen die Kontrolle über Ihre digitale Identität zurück.

Kontakt

Portrait von Jannik Schumann

Dr. Jannik Schumann

CEO
Deidesheim
jannik.schumann@basec.de