Cybersicherheit entsteht nicht durch einzelne Tools, sondern durch klare Strukturen, definierte Prozesse und kontrollierte Technik.
Technische und organisatorische Maßnahmen – kurz TOMs – bilden das operative Rückgrat jeder Sicherheitsstrategie. Sie übersetzen Governance, Verantwortung und Risikomanagement in konkrete, überprüfbare Handlungen.
In diesem Beitrag geht es darum, welche Maßnahmen heute unverzichtbar sind, wie sie ineinandergreifen und wie Sie mit realistischem Aufwand ein hohes Sicherheitsniveau erreichen.
Die NIS2-Richtlinie nennt sie ausdrücklich als Kernanforderung, aber auch unabhängig davon sind sie der Schlüssel zu Stabilität, Verfügbarkeit und Vertrauen.
Technische Maßnahmen schützen Systeme, organisatorische Maßnahmen sichern Prozesse – erst gemeinsam ergeben sie wirksame Sicherheit.
Ein Beispiel:
Ein starkes Passwort bringt wenig, wenn Mitarbeitende es auf Haftnotizen schreiben.
Ein modernes Backup hilft nicht, wenn niemand weiß, wie es wiederhergestellt wird.
Darum gilt: Sicherheit entsteht im Zusammenspiel von Mensch, Technik und Organisation.
Ziele der Maßnahmen sind:
Angriffe erkennen, bevor Schaden entsteht
Daten, Systeme und Dienste verfügbar halten
Unbefugten Zugriff verhindern
Schäden begrenzen und Wiederanlauf sicherstellen
Nachweise und Dokumentation gewährleisten
Die europäische NIS2-Richtlinie und etablierte Standards wie ISO 27001 oder BSI-Grundschutz erwarten ein Mindestniveau an Sicherheitsmaßnahmen, das an den Stand der Technik angepasst ist.
Dazu gehören im Kern:
Risikobasiertes Sicherheitsmanagement
Incident-Response-Prozesse
Business-Continuity-Management
Sicherheitsarchitektur und Zugriffskontrollen
Sichere Kommunikation und Verschlüsselung
Sicherheitsüberwachung und Logging
Patch- und Schwachstellenmanagement
Sicherung der Lieferkette
Awareness-Programme
Dokumentation und Nachweisführung
Diese zehn Bereiche bilden den Orientierungsrahmen für jedes Unternehmen – egal ob reguliert oder freiwillig zertifiziert.
Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) sorgt für Struktur, Verantwortlichkeiten und Nachvollziehbarkeit.
Es definiert Ziele, Rollen, Verfahren und den Umgang mit Risiken.
Praktisch heißt das: Richtlinien, Prozesse, Prüfzyklen, Schulungen und regelmäßige Berichte.
Ohne dieses Fundament bleiben technische Maßnahmen Stückwerk.
Ziel: Nur berechtigte Personen haben Zugang zu Systemen und Daten – und nur so lange, wie nötig.
Maßnahmen:
Zentrale Benutzerverwaltung und Rollenmodelle
Multi-Faktor-Authentifizierung (MFA)
Regelmäßige Überprüfung von Zugriffsrechten
Kontrolle privilegierter Konten (z. B. Administratoren)
Deaktivierung inaktiver Konten
Praxis-Tipp:
Nutzen Sie das „Least Privilege“-Prinzip. Jeder bekommt nur die Berechtigungen, die für seine Aufgabe erforderlich sind – nicht mehr.
Ziel: Angreifer sollen sich im Netzwerk nicht frei bewegen können.
Maßnahmen:
Segmentierung in Zonen (z. B. Produktion, Verwaltung, externe Schnittstellen)
Firewalls und Mikrosegmentierung
Intrusion Detection und Prevention Systeme (IDS/IPS)
Sicheres Fernzugriffsmanagement (VPN, Zero Trust Network Access)
Segmentierung ist kein Luxus, sondern die effektivste Maßnahme, um Schadensausbreitung zu verhindern.
Ziel: Schwachstellen schnell finden und schließen, bevor sie ausgenutzt werden.
Maßnahmen:
Regelmäßige Schwachstellenscans und Priorisierung nach Risiko
Feste Zeitvorgaben für Patches (z. B. kritische Lücken innerhalb von sieben Tagen)
Automatisierte Verteilung und Überprüfung
Dokumentation von Abweichungen und Begründungen
Kennzahl:
Zeit zwischen Bekanntwerden und Schließen einer kritischen Schwachstelle – je kürzer, desto reifer das System.
Ziel: Geschäftsbetrieb sichern – auch nach Ausfällen, Angriffen oder Fehlbedienungen.
Maßnahmen:
Regelmäßige Sicherung nach 3-2-1-Regel (drei Kopien, zwei Medien, eine offline)
Automatisierte Prüfungen und Alarmierungen
Regelmäßige Wiederherstellungstests mit Messung der Dauer
Klare Verantwortlichkeiten für Backup und Recovery
Ein Backup ohne geprüfte Wiederherstellung ist kein Backup.
Ziel: Auffälligkeiten und Angriffe frühzeitig erkennen.
Maßnahmen:
Zentrale Protokollierung sicherheitsrelevanter Ereignisse
SIEM- oder Log-Management-Systeme
Alarme bei ungewöhnlichen Aktivitäten
Regelmäßige Auswertung durch Security-Team oder externen Dienstleister
Aufbewahrung und Manipulationsschutz der Logs
Praxis-Tipp:
Starten Sie mit den wichtigsten Systemen – z. B. Authentifizierung, Netzwerkzugänge, E-Mail-Gateway – und erweitern Sie schrittweise.
Ziel: Vertraulichkeit und Integrität von Daten gewährleisten.
Maßnahmen:
Verschlüsselung von Daten im Ruhezustand und bei Übertragung
Einsatz aktueller Protokolle (TLS 1.2 oder höher)
Sichere E-Mail-Kommunikation (SPF, DKIM, DMARC)
Notfallkommunikationskanäle (z. B. bei Ausfall digitaler Systeme)
Sonderfall:
Kritische Kommunikation sollte auch außerhalb des Unternehmens sicher erfolgen – z. B. über geprüfte Plattformen für Krisenkoordination.
Ziel: Transparenz über Systeme und Änderungen.
Maßnahmen:
Vollständige Inventarisierung aller Assets (Hardware, Software, Cloud-Dienste)
Standardisierte Freigabeprozesse für Änderungen
Versionierung und Dokumentation von Konfigurationen
Automatische Erkennung neuer Geräte oder Dienste
Nur wer weiß, was er besitzt, kann es schützen.
Ziel: Schutz von IT-Infrastruktur, Serverräumen und Arbeitsplätzen.
Maßnahmen:
Zutrittskontrollen und Besucherregelungen
Überwachung von Serverräumen und Netzverteilern
Schutz vor Feuer, Wasser, Stromausfall
Notfallpläne und Kommunikationslisten
Regelmäßige Tests der Wiederanlaufverfahren
Physische Sicherheit ist die Basis – sie wird oft unterschätzt, bleibt aber entscheidend.
Ziel: Prozesse und Menschen einbeziehen.
Maßnahmen:
Richtlinien zu Informationssicherheit, Nutzung und Passwortmanagement
Schulungen und Awareness-Kampagnen
Regelmäßige Übungen (z. B. Phishing-Tests oder Incident-Simulationen)
Dokumentierte Verantwortlichkeiten und Vertretungsregelungen
Integration in Personalprozesse (Eintritt, Wechsel, Austritt)
Organisatorische Maßnahmen machen Technik erst wirksam.
Technische und organisatorische Maßnahmen sind zwei Seiten derselben Medaille.
Die Technik erkennt, meldet und verhindert – die Organisation bewertet, entscheidet und verbessert.
So entsteht ein Kreislauf:
Risikomanagement identifiziert Schwachstellen und Bedrohungen.
Governance gibt Ziele und Prioritäten vor.
Technische Maßnahmen setzen die Vorgaben operativ um.
Meldewesen liefert Rückmeldungen über Vorfälle.
Awareness und Kultur sorgen dafür, dass Menschen aktiv mitwirken.
Dieser Regelkreis ist der Kern jeder funktionierenden Sicherheitsarchitektur.
Nicht alles braucht große Budgets. Diese Schritte bringen spürbare Verbesserungen innerhalb weniger Wochen:
Aktivieren Sie Mehrfaktor-Authentifizierung für alle Cloud- und VPN-Zugänge.
Führen Sie ein zentral gesteuertes Patchmanagement mit klaren Fristen ein.
Testen Sie Ihre Datensicherung – vollständiger Restore, dokumentiert und gemessen.
Erstellen Sie ein Verzeichnis aller Systeme mit Eigentümer, Kritikalität und Standort.
Protokollieren Sie Logins und administrative Aktionen auf allen Servern.
Führen Sie ein vierteljährliches Security-Review im Management durch.
Mit diesen Grundlagen entsteht Stabilität – der Rest ist Ausbau und Optimierung.
Zur Steuerung lohnt sich eine einfache Reifegradskala:
| Stufe | Beschreibung |
|---|---|
| 0 | Keine Maßnahmen oder Ad-hoc-Reaktionen |
| 1 | Einzelne Maßnahmen umgesetzt, aber nicht standardisiert |
| 2 | Prozesse definiert, überwiegend eingehalten |
| 3 | Maßnahmen gemessen, gesteuert und regelmäßig geprüft |
| 4 | Kontinuierliche Verbesserung, Integration in Geschäftsprozesse |
Dokumentieren Sie Ihren Stand pro Bereich. Das zeigt Fortschritte und Prioritäten und ist ein wertvoller Nachweis bei Audits.
Technik ohne Prozess: Tools werden eingeführt, aber niemand ist für Betrieb und Nachweis verantwortlich.
Fehlende Priorisierung: Alles ist wichtig – dadurch passiert nichts zuerst.
Keine Tests: Backups, Firewalls und Pläne werden nie praktisch geprüft.
Mangelnde Dokumentation: Ohne Nachweise gilt eine Maßnahme als nicht existent.
Einmalige Projekte: Sicherheit ist kein Ziel, sondern eine Daueraufgabe.
Erfolgreiche Unternehmen machen Sicherheit alltäglich und überprüfbar.
Governance und Verantwortung: legt fest, wer Maßnahmen steuert und kontrolliert.
Risikomanagement: zeigt, welche Maßnahmen Priorität haben.
Meldewesen: prüft, ob technische Schutzmechanismen funktionieren.
Lieferkette und Third Party: erweitert die Maßnahmen auf externe Partner.
Awareness und Kultur: macht organisatorische Maßnahmen im Alltag wirksam.
So wird aus einzelnen Bausteinen ein ganzheitliches Sicherheitsprogramm.
Technische und organisatorische Maßnahmen sind kein Selbstzweck, sondern der konkrete Ausdruck gelebter Verantwortung.
Sie machen Sicherheit sichtbar, überprüfbar und messbar.
Ein modernes Sicherheitsniveau entsteht, wenn:
Risiken verstanden,
Maßnahmen umgesetzt,
Prozesse gelebt und
Menschen eingebunden werden.
Wer diesen Kreislauf beherrscht, erfüllt nicht nur Anforderungen wie NIS2, ISO 27001 oder TISAX, sondern erreicht das eigentliche Ziel: Vertrauen in die eigene digitale Widerstandsfähigkeit.
Im nächsten Beitrag der Serie geht es um die Lieferkette und Third Party Security – wie Sie externe Partner in Ihr Sicherheitskonzept einbinden, Risiken bewerten und Verträge richtig gestalten.