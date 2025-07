2025 verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen neuen Höchststand an gemeldeten Cyberangriffen auf Unternehmen. Herr Pfisterer, überrascht Sie das – oder war diese Eskalation absehbar?

Überrascht hat mich nur die Geschwindigkeit, nicht die Richtung. Schon 2024 lag die Zahl neuer Malware‑Varianten laut BSI bei durchschnittlich 309 000 pro Tag. Die Professionalisierung von Ransomware‑Gruppen, das “As‑a‑Service”‑Ökosystem im Cybercrime und der mühelose Zugriff auf KI‑Werkzeuge haben das Angreifer‑Geschäft noch skalierbarer gemacht. Dass sich diese Dynamik in den Meldezahlen des BSI niederschlägt, war daher erwartbar und wird vermutlich erstmal so weitergehen, da es einfach noch zu lukrativ für die Angreifer ist. Es ist ein richtiger „Business-Zweig“ entstanden…

Viele Unternehmen investieren in Digitalisierung, aber nicht in Resilienz. Wie gefährlich ist es, IT-Infrastruktur ohne echte Sicherheitsarchitektur aufzubauen?

Es ist wie der Bau eines vernetzten Werkes ohne Fundament: Die Kosten für einen einzelnen Zwischenfall übersteigen in der Regel das Budget, das man für präventive Sicherheit gespart hat. Ohne ein Security‑by‑Design‑Modell bleibt jede neue Cloud‑Instanz, API oder IT‑Anbindung eine zusätzliche Angriffsfläche. Im Ernstfall fehlen dann segmentierte Netze, automatisierte Detection‑&‑Response‑Prozesse sowie ein eintrainierter Notfallplan. Ergebnis: längere Ausfallzeiten, Reputationsschäden und – gerade in regulierten Branchen – Bußgelder.

Wer heute Cloudlösungen einführt, entscheidet oft schneller über das Tool als über das Schutzkonzept. Warum ist genau das der erste schwere Fehler?

Die Hyperscaler liefern eine hochautomatisierte Plattform, aber das „Shared‑Responsibility‑Model“ verschiebt nur einen Teil der Verantwortung. Konfiguration, Datenklassifizierung, Logging‑Strategien, Zero‑Trust‑Policies, usw… all das bleibt Aufgabe des Kunden. Wenn diese Fragen erst nach Roll‑out gestellt werden, müssen Sie Security nachrüsten, statt sie sauber im Vorfeld zu verankern. Das kostet Zeit, Geld und oft auch Akzeptanz bei den Fachabteilungen, weil Prozesse erneut angepasst werden müssen. Oder einfacher gesagt: Cloud ist wie ein Mietbüro… Das Gebäude ist sicher, aber wer den Schlüssel bekommt, wann geputzt wird und wer nachts das Licht ausmacht, liegt bei Ihnen. Kümmern Sie sich erst nach dem Einzug darum, wird’s teuer und stört den Betrieb.

Viele Entscheider glauben noch immer, dass IT-Sicherheit ein reines Technikthema ist. Warum greift diese Sicht zu kurz?

Technik ist maximal ein Drittel der Gleichung. Die anderen zwei Drittel heißen „Mensch“ und „Prozess“. Social Engineering schlägt selbst die ausgefeilteste Firewall, wenn Mitarbeitende nicht geschult sind. Umgekehrt wird jede Investition in EDR/XDR wirkungslos, wenn das Notfallhandbuch nicht geprobt wurde und niemand Verantwortungsketten kennt. IT‑Sicherheit ist also eine Führungsaufgabe – sie verlangt Budget, KPIs und Risikomanagement wie jede andere Kernfunktion.

Sie beraten häufig Mittelständler, die aus dem industriellen Herzen Deutschlands kommen. Was erleben Sie vor Ort – eher Aufbruchstimmung oder digitale Erschöpfung?

Beides. Die Hidden Champions sind innovationshungrig – KI in der Qualitätssicherung, digitale Zwillinge in der Produktion. Gleichzeitig spüren sie den Fachkräftemangel und die Regulatorik (NIS2, DORA). Viele fühlen sich getrieben, weniger selbstbestimmt. Unsere Aufgabe ist es, diese Projekte in kleinere, beherrschbare Sprints zu zerlegen und Sicherheit als Wettbewerbsvorteil zu positionieren, nicht als Bremsklotz. Dann kippt Erschöpfung wieder in Aufbruch.

Ext-Com IT positioniert sich nicht als klassischer IT-Dienstleister, sondern als strategischer Partner auf Augenhöhe. Was bedeutet das konkret – und wo endet bei Ihnen der reine „Supportauftrag“?

Strategischer Partner heißt: Wir beginnen nicht mit dem Ticket, sondern mit den Unternehmenszielen. Wir sprechen also über Lieferkettenrisiken, M&A‑Pläne oder Digitalisierungsvorhaben und leiten daraus die nötige IT‑ und Security‑Roadmap ab.

Support endet dort, wo rein reaktives Arbeiten beginnt. Wenn wir nur Patches einspielen, ohne die Ursachen von Problemen anzugehen, wäre das Dienstleistung, nicht Partnerschaft. Deshalb sind wir dabei operatives IT-Service‑Geschäft immer mehr an Beratungs‑ und Enablement‑Pakete zu koppeln, inklusive regelmäßiger Jahresgespräche und Reviews.

Wenn Sie heute einen einzigen Satz in jedes mittelständische Geschäftsführungs-Meeting Deutschlands projizieren könnten – welcher wäre das?

„Digitale Wertschöpfung ohne konsequente Security ist kein Wachstum, sondern ein unkalkulierter Kredit bei unbekannten Gläubigern.“

Damit wäre der Zusammenhang zwischen Innovationstempo und Risikomanagement sofort sichtbar und die Diskussion startet an der richtigen Stelle.