1. Sicherheit ist kein IT-Thema, sondern Betriebsfähigkeit

Internationale Leitlinien sind hier eindeutig: Sicherheitsrisiken sind Geschäftsrisiken. Sie wirken sich direkt auf Lieferfähigkeit, Zahlungsfähigkeit und Vertrauen aus (OECD, 2019; ENISA, 2024).

Für KMU bedeutet das operativ:

• Sicherheitsausfälle = Produktions- oder Leistungsausfall
• Leistungsausfall = Umsatzverlust
• Umsatzverlust = Liquiditätsrisiko

ENISA weist darauf hin, dass ein signifikanter Teil europäischer KMU davon ausgeht, einen schweren Cybervorfall wirtschaftlich nicht zu überleben (ENISA, 2024).

Die logische operative Schlussfolgerung kann nur lauten, dass Sicherheit dort ansetzen muss, wo sie kurzfristig Betriebsunterbrechungen verhindert oder verkürzt.

2. Minimum Viable Security: das operative Pflichtprogramm für KMU

Für KMU bewährt sich ein Ansatz, der in der Forschung und in Leitlinien als niedrigschwellige, risikobasierte Grundabsicherung beschrieben wird (NIST, 2025).

Operativer Mindeststandard (Beispiel)

Diese Maßnahmen sind kein „Nice-to-have“, sondern Basisbetriebssicherung:

• Mehrfaktor-Authentifizierung (MFA) für E-Mail, Admin- und Cloud-Zugänge
• Backups + regelmäßiger Restore-Test (ohne Test kein Backup)
• Patch- und Update-Routine (Systeme, Router, Firewalls, Cloud-Dienste)
• Zahlungsprozesse gegen CEO-Fraud (Rückrufpflicht, Vier-Augen-Prinzip)
• Incident-Kurzanleitung: Wer entscheidet in den ersten 30–60 Minuten?

Studien zeigen, dass gerade diese wenigen Maßnahmen einen überproportional hohen Risikoreduktionseffekt haben (ENISA, 2024; NIST, 2025).

3. Business Continuity Management „light“: operativ statt theoretisch

Business Continuity Management (BCM) wird oft als bürokratisch wahrgenommen. Aktuelle Forschung zu BCM in KMU zeigt jedoch klar: vereinfachte BCM-Ansätze erhöhen Resilienz und Performance, wenn sie pragmatisch umgesetzt werden (Awang Ali et al., 2023).

BCM light – operativ gedacht

Für KMU reicht es, wenn folgende Fragen klar beantwortet werden:

• Welche Prozesse dürfen maximal 24 / 72 Stunden ausfallen?
• Wer übernimmt Schlüsselrollen, wenn Personen ausfallen?
• Wie kommunizieren wir intern und extern im Krisenfall?
• Wo liegen kritische Informationen (offline erreichbar)?

ISO 22301 (2019) dient hier als Referenz, muss aber nicht vollständig implementiert werden. Ein zweiseitiger Notfallplan ist in der Praxis wirksamer als ein ungenutztes Handbuch (ISO, 2019; Awang Ali et al., 2023).

4. Wann lohnt sich strategische Sicherheitsberatung zu Spionage?

Industrie- und Wirtschaftsspionage ist kein Ausnahmephänomen mehr. Systematische Literaturübersichten zeigen, dass Digitalisierung, verteilte Zusammenarbeit und Cloud-Nutzung das Risiko insbesondere für KMU erhöhen (Hou & Wang, 2020).

Operative Trigger für Spionagerisiken in KMU

Strategische Beratung ist dann sinnvoll, wenn mindestens einer der folgenden Punkte zutrifft:

• Das Unternehmen lebt von Know-how (Rezepturen, Fertigungsparameter, CAD-Daten, Software, Algorithmen).
• Es gibt Prototypen, F&E oder Geschäftsgeheimnisse.
• Das KMU ist Teil einer kritischen Lieferkette oder eines auditpflichtigen B2B-Umfelds.

Empirische Studien zeigen, dass KMU Know-how-Abfluss häufig erst nach einem Schaden erkennen – dann aber kaum reagieren können (Härting et al., 2022).

Operative Spionageprävention (KMU-tauglich)

• Trade-Secret-Landkarte: Welche Informationen sind geschäftskritisch?
• Need-to-know-Prinzip bei Zugriffen und externen Partnern
• Sauberes On- und Offboarding
• Reaktionsplan bei Verdacht (IT, Recht, Kommunikation)

Hier entsteht oft ein klar messbarer Return on Security Investment, weil Know-how häufig den eigentlichen Unternehmenswert darstellt (Härting et al., 2022).

5. Terrorismus: operativ relevant nur bei bestimmten Geschäftsmodellen

Für die Mehrheit der KMU ist Terrorismus kein permanentes Risiko. BCM- und Sicherheitsliteratur führen Terrorismus jedoch als hochdisruptives Ereignis mit geringer Eintrittswahrscheinlichkeit, das bei bestimmten Rahmenbedingungen relevant wird (Awang Ali et al., 2023; European Commission JRC, 2022).

Wann Terrorismus operativ relevant wird

• Publikumsintensive Betriebe (Handel, Gastro, Veranstaltungen)
• Großevents oder temporäre Events
• Symbolisch oder medial exponierte Standorte

Das EU-JRC-Handbuch „Security by Design“ betont, dass Schutzmaßnahmen integriert und verhältnismäßig sein müssen – nicht sichtbar „militarisiert“ (European Commission JRC, 2022).

Operative Maßnahmen (realistisch für KMU)

• Kurzes Standort- oder Event-Risikoassessment
• Klare Alarm- und Evakuierungslogik
• Tabletop-Übung für Führungskräfte (60–90 Minuten)
• Security-by-Design bei Umbauten oder Events

6. Extremismus: operativ als Insider- und Workplace-Risiko

Extremismus betrifft KMU selten direkt, wird aber relevant als Insider Threat, als Bedrohungslage oder als Reputationsrisiko. Aktuelle Policy- und Facharbeiten ordnen Extremismus klar in den Kontext von Insider-Risiken ein (RAN, 2022; Baweja et al., 2024).

Operative Trigger für KMU

• Sicherheitskritische Rollen (IT-Admin, Zugang zu Gefahrstoffen, Logistik)
• Wiederholte Drohungen oder Belästigungen
• Hohe öffentliche Sichtbarkeit des Unternehmens

Pragmatische Maßnahmen

• Rollenbasierte Personnel Security
• Klare Meldewege und dokumentierte Entscheidungslogik
• Schutz der Mitarbeitenden als Führungsaufgabe

Hier ist wichtig zu verstehen, dass es nicht um Gesinnungskontrolle geht, sondern um Verhaltens- und Risikomanagement (RAN, 2022).

7. Operatives Drei-Stufen-Modell für KMU

Stufe 1 – Pflicht (alle KMU):
Minimum Viable Security + BCM light
(ENISA, 2024; NIST, 2025)

Stufe 2 – gezielt (viele KMU):
Know-how-Schutz, Lieferanten- und Insider-Risiken
(Härting et al., 2022; Hou & Wang, 2020)

Stufe 3 – spezialisiert (wenige KMU):
Terrorismus (Publikum/Events) und Extremismus (Insider)
(European Commission JRC, 2022; Baweja et al., 2024)

Fazit

Österreichische KMU brauchen keine Konzern-Sicherheitsprogramme, sondern operative Sicherheitsfähigkeit. Aktuelle Forschung zeigt klar:

• Sicherheit wirkt dann, wenn sie einfach, fokussiert und betrieblich anschlussfähig ist (ENISA, 2024).
• Strategische Sicherheitsberatung lohnt sich nur bei klaren Triggern, nicht pauschal.
• Unternehmenssicherheit entscheidet nicht darüber, ob etwas passiert, sondern wie schnell ein Betrieb wieder arbeitsfähig ist (Awang Ali et al., 2023).

Literaturverzeichnis (APA 7)

Awang Ali, Q. S., Hanafiah, M. H., & Mogindol, S. H. (2023). Systematic literature review of business continuity management (BCM) practices: Integrating organisational resilience and performance in SMEs. International Journal of Disaster Risk Reduction, 95, 103843. https://doi.org/10.1016/j.ijdrr.2023.103843

Baweja, J. A., et al. (2024). Safeguarding against extremist insider threats. Technical Report. OSTI.

Bundesministerium für Inneres. (2024). Bericht Cybersicherheit 2024. BMI.

European Commission, Joint Research Centre. (2022). Security by design: Protection of public spaces from terrorist attacks. Publications Office of the European Union.

European Union Agency for Cybersecurity. (2024). Report on the state of cybersecurity in the Union – condensed version. ENISA.

Härting, R.-C., Bühler, L., Winter, K., & Gugel, A. (2022). The threat of industrial espionage for SMEs in the age of digitalization. Procedia Computer Science, 204, 56–63. https://doi.org/10.1016/j.procs.2022.09.352

Hou, T., & Wang, V. (2020). Industrial espionage: A systematic literature review. Computers & Security, 98, 102019. https://doi.org/10.1016/j.cose.2020.102019

International Organization for Standardization. (2019). ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements. ISO.

National Institute of Standards and Technology. (2025). Small business cybersecurity: NIST IR 7621r2 (IPD). NIST.

Radicalisation Awareness Network. (2022). Preventing and countering radicalisation in organisations. European Commission (DG HOME).