1. Startseite
  2. Aktuelles
  3. Aus den Ausschüssen
  4. Wirtschaftsausschuss: Sachverständigenanhörung zum Thema "IT-Sicherheit in der bayerischen Wirtschaft"

IT-Sicherheit in der Wirtschaft

Sachverständigenanhörung im Ausschuss für Wirtschaft, Landesentwicklung, Energie, Medien und Digitalisierung

| Foto: stock.adobe.com/Michael Traitov

27. November 2025

MÜNCHEN.    Durch Cyber-Attacken auf bayerische Firmen entsteht jährlich ein Milliardenschaden. 2024 wurde fast ein Viertel der Unternehmen digital angegriffen. Im Rahmen einer Expertenanhörung im Ausschuss für Wirtschaft, Landesentwicklung, Energie, Medien und Digitalisierung verschafften sich die Abgeordneten ein Bild über die Lage und informierten sich über Gegenmaßnahmen. Nach Einschätzung der Fachleute brauchen vor allem kleinere und mittlere Unternehmen mehr Unterstützung beim Schutz ihrer IT-Systeme.

Viele kleinere und mittelgroße Unternehmen (KMU) in Bayern sind nicht ausreichend vor kriminellen Cyber-Angriffen sowie digitaler Spionage und Sabotage geschützt. Das wurde bei einer Fachanhörung im Wirtschaftsausschuss zur IT-Sicherheit in der bayerischen Wirtschaft deutlich. Nach Angaben der Vizepräsidentin der IHK für München und Oberbayern, Dagmar Schuller, hat nur ein Drittel der Betriebe mit weniger als 20 Mitarbeitern eigene Cyberschutzpläne. Gerade kleinere Unternehmen würden Prävention entweder aus Kostengründen oder wegen fehlender personeller Ressourcen vernachlässigen und erst im Schadensfall reagieren. Politik und Wirtschaftsverbände sollten deshalb Maßnahmen zur Stärkung der Prävention flächendeckend mehr beraten und fachlich unterstützen, mahnte Schuller an.

“Wir werden permanent angegriffen”

Nach Einschätzung von Holger Blumberg, dem Chef der IT-Abteilung bei der Oberpfälzer Krones AG sind Großunternehmen im Regelfall vergleichsweise gut gegen Cyber-Angriffe abgesichert. Krones beschäftige weltweit allein 400 IT-Spezialisten dafür. „Unser Unternehmen wird permanent angegriffen, wir müssen uns ständig verteidigen“, berichtete er. Viele kleine Mittelständler hätten dagegen – wenn überhaupt – nur einen Mitarbeiter für die IT-Sicherheit abgestellt. Der erforderliche Rund-um-die-Uhr-Schutz der betrieblichen Systeme sei so nicht zu gewährleisten. Mangels eigener Expertise versuchten kleinere Unternehmen deshalb häufig, ihre Sicherheit durch externe Anbieter zu verbessern. „Da wird leider oft viel Geld für fadenscheinige Berater ausgegeben“, berichtete Blumberg.

Marc Luczak, Leiter der Informationssicherheit bei BMW Financial Services, nannte die wichtigsten Motive für Cyber-Attacken. Häufig würden Angreifer mit Ransomware Betriebsdaten verschlüsseln und den Zugriff auf betriebliche IT-Systeme sperren, um für die Freigabe der Daten ein Lösegeld zu verlangen. Ein weiterer Grund für Attacken sei schlicht klassische Industriespionage, ein anderer die Zerstörung von Daten, um dem betroffenen Unternehmen möglichst großen Schaden zuzufügen. Gerade für kleine Unternehmen ohne ausreichende Sicherungssysteme könne das existenzgefährdend werden, wenn IT-Systeme für mehrere Tage lahmgelegt seien, erklärte Luczak. Nur Großunternehmen wie BMW könnten sich ein zweites Rechenzentrum als Backup für den Notfall leisten.

IT-Sicherheit darf kein Nebenaspekt sein

Als Haupteinfallstore für Cyber-Angreifer zählte die Computerwissenschaftlerin Haya Schulmann von der Goethe Universität Frankfurt im Hintergrund laufende, veraltete IT-Systeme, digitale Lieferketten, fehlende oder falsch konfigurierte IT-Sicherheitsmechanismen und mangelhaftes IT-Management auf. Je kleiner die Firmen, desto größer im Regelfall die Lücken. „Die Unternehmen müssen IT-Sicherheit als Primärziel und nicht als Nebenaspekt verstehen“, mahnte Schulmann. Es brauche bei der IT-Sicherheit klare Verantwortlichkeiten und hohe Professionalität.

Damit sich kleinere und mittlere Unternehmen besser vor Cyber-Angriffen schützen können, rief Blumberg zu stärkerer staatlicher Unterstützung auf. Eine wichtige Hilfe könnte die Förderung der Anschaffung von Schutz-Software und finanzielle Unterstützung beim Einsatz professioneller Dienstleister sein. Anders als Großkunden könnten KMU kaum von Rabatten der Hersteller profitieren und müssten oft 15 Prozent und mehr für Schutzmechanismen zahlen. „Wir müssen dafür sorgen, dass diese Dinge für KMU bezahlbar werden“, sagte Blumberg. Neben der Förderung müssten Kooperationen auf- und die Beratung ausgebaut werden. Nützlich wäre laut Blumberg zudem die Gründung einer „schnellen Eingreiftruppe“ von Experten, auf die Unternehmen im Notfall rasch zugreifen könnten. Schulmann sprach sich für die Einführung gesetzlich festgeschriebener Mindeststandards aus. Es zeige sich, dass Freiwilligkeit nicht ausreiche.

“Üben wie beim Feueralarm”

Thomas Boele, dessen Firma Check Point Software Technologies IT-Sicherheitssysteme anbietet, riet Unternehmen, sich nicht nur auf einen Angriffsfall vorzubereiten, sondern auch die Reaktion darauf regelmäßig zu üben. „Das ist wie beim Feueralarm in der Schule“, sagte er. Der Einsatz Künstlicher Intelligenz durch die Angreifer vergrößere die Gefahren zusehends. Boele appellierte an die Politik, Gesetze dem technologischen Fortschritt anzupassen. „Wir leben im digitalen Zeitalter und arbeiten immer noch mit dem Briefgeheimnis“, bemängelte er. Luczak thematisierte zudem den wachsenden Fachkräftemangel. Junge Menschen müssten stärker dazu motoviert werden, Informatik und Cyber-Sicherheit zu studieren. Ansonsten breche der nötige Nachwuchs in den Firmen weg.

Firmen brauchen “systematischen Grundschutz”

Der Präsident des bayerischen Landeskriminalamts (LKA), Norbert Radmacher, verwies auf die Beratungsangebote seiner Behörde für Kommunen und Unternehmen. Als wichtige Maßnahmen für einen Basisschutz nannte er konsequente Passwortsicherheit, regelmäßige Updates, Systemfunktionstests und Krisenübungen. Das LKA biete dafür unter anderem Planspiele für den Ernstfall an. Zudem gebe es für betroffene Unternehmen eine ständig besetzte Hotline. Radmacher reit dazu, erfolgreiche Cyber-Attacken sofort bei der Polizei anzuzeigen. Nur so könne es gelingen, Täter zu ermitteln und weitere potenzielle Opfer zu schützen.

Zum Schutz vor Spionage und Sabotage verwies Verfassungsschutzvizepräsident Josef Schinabeck auf das bayerische Cyber-Allianz-Zentrum, das auch Unternehmen offen stehe. Dort würden Firmendaten vertraulich behandelt. Bernd Geisler, Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI), empfahl den Unternehmen einen „systematischen Grundschutz“. „Wer sich an den Stand der Technik hält, ist weitgehend vor Angriffen geschützt“, betonte er. Im Notfall gelte es schnell zu reagieren, bevor das komplette System gekapert sei. Dabei gehe es um Minuten. Nach Geislers Angaben berät das LSI auf Anfrage auch Unternehmen in Sachen Cyber-Sicherheit.

Jürgen Umlauft

Randspalte

Seitenanfang