BSI-Grundschutz & IT-Sicherheitsgesetz 2.0

BSI-Grundschutz & IT-Sicherheitsgesetz 2.0:

Was Geschäftsführer jetzt wissen müssen

Cyberangriffe betreffen schon lange nicht mehr nur große Unternehmen. 46 Prozent aller deutschen Firmen wurden 2025 Ziel eines Angriffs. Besonders betroffen ist der Mittelstand. Das zeigt, dass es immer wichtiger wird, sich mit IT-Sicherheit auseinanderzusetzen.

Die aktuelle Bedrohungslage

Die Zahlen des BSI-Lageberichts 2025 sind eindeutig: Täglich entstehen über 300.000 neue Schadsoftware-Varianten. Der durchschnittliche wirtschaftliche Schaden eines Cyberangriffs liegt zwischen 200.000 und 500.000 Euro.

Nach einem Ransomware-Angriff dauert die durchschnittliche Ausfallzeit 21 Tage. Das sind drei Wochen, in denen Ihr Unternehmen stillsteht.

Besonders alarmierend ist, dass die häufigsten Einfallstore nach wie vor E-Mails und veraltete Systeme sind. Angreifer nutzen keine komplexen Methoden, sondern setzen bekannte Schwachstellen ein. Das sind oft solche, für die längst Sicherheitsupdates existieren.

Die Frage ist nicht mehr, ob Ihr Unternehmen angegriffen wird, sondern wann.

Was ist der BSI-Grundschutz?

Der BSI-Grundschutz ist ein Rahmenwerk, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt wurde. Es hilft Unternehmen, Informationssicherheit systematisch umzusetzen. Der Grundschutz bietet einen strukturierten Fahrplan, um:

• Risiken zu erkennen
• Schutzmaßnahmen zu priorisieren
• Nachweisbar sicher zu arbeiten

Die drei Absicherungsstufen

Das BSI unterscheidet drei Absicherungsstufen, die auf verschiedene Anforderungen und Unternehmensgrößen ausgerichtet sind:

1. Basis-Absicherung Der Einstieg für kleine und mittlere Unternehmen. Diese Stufe bietet einen grundlegenden Schutz und eignet sich besonders für Organisationen, die erstmals systematisch an das Thema IT-Sicherheit herangehen.
2. Standard-Absicherung Für Unternehmen mit erhöhtem Schutzbedarf. Diese Stufe geht über die Grundlagen hinaus und implementiert umfassendere Sicherheitsmaßnahmen.
3. Kern-Absicherung Der Schutz besonders kritischer Geschäftsprozesse. Diese höchste Stufe richtet sich an Unternehmen, deren Kernprozesse besonderen Schutz erfordern.

Das IT-Sicherheitsgesetz 2.0: Die wichtigsten Neuerungen

Seit Mai 2021 gelten mit dem IT-Sicherheitsgesetz 2.0 verschärfte Anforderungen. Diese betreffen nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch viele mittelständische Unternehmen.

Erweiterter Anwendungsbereich

Das Gesetz erfasst jetzt auch „Unternehmen im besonderen öffentlichen Interesse“. Damit stehen deutlich mehr Organisationen im Fokus der gesetzlichen Anforderungen.

Zulieferer-Pflichten

Die Sicherheit der Lieferkette wird wichtiger. Auch wenn Sie nicht direkt unter das Gesetz fallen, könnten Anforderungen Ihrer Kunden oder Partner auf Sie zukommen.

Verpflichtende Angriffserkennung

Betreiber kritischer Infrastrukturen (KRITIS) müssen Systeme zur Angriffserkennung einsetzen. Diese Anforderung wird sich mittelfristig auch auf andere Branchen ausdehnen.

Meldepflichten

Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden. Eine schnelle Reaktionsfähigkeit ist damit nicht nur sinnvoll, sondern auch gesetzlich vorgeschrieben.

Empfindliche Bußgelder

Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Besondere Relevanz für Steuerberater

Steuerberater und Kanzleien arbeiten mit sensible Mandantendaten: Einkommensverhältnisse, Bankverbindungen, Unternehmensinformationen. Ein Sicherheitsvorfall kann hier existenzbedrohend sein. Nicht nur finanziell, sondern auch durch den Vertrauensverlust beim Mandanten und berufsrechtlich.

Regulatorische Anforderungen für Steuerberater

• § 57 StBerG: Die gewissenhafte Berufsausübung umfasst auch den Schutz von Mandantendaten.
• Art. 32 DSGVO: Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten sind verpflichtend.
• GoBD: Die Grundsätze ordnungsmäßiger Buchführung stellen Anforderungen an IT-gestützte Prozesse.

Die Kombination dieser Anforderungen zeigt: IT-Sicherheit ist für Steuerberater keine Option, sondern eine berufsrechtliche Notwendigkeit.

Fünf Sofortmaßnahmen, die Sie diese Woche umsetzen können

Sie müssen nicht sofort ein umfassendes Sicherheitskonzept implementieren. Beginnen Sie mit diesen fünf Maßnahmen, die Sie unmittelbar umsetzen können:

1. Asset-Inventar erstellen

Welche Systeme und Daten gibt es in Ihrem Unternehmen? Nur was Sie kennen, können Sie schützen. Erstellen Sie eine vollständige Liste aller IT-Systeme, Anwendungen und Datenbestände.

2. Backup prüfen

Wann war der letzte Restore-Test? Ein Backup, das im Ernstfall nicht funktioniert, ist wertlos. Testen Sie regelmäßig, ob Ihre Datensicherung tatsächlich wiederhergestellt werden kann.

3. Multi-Faktor-Authentifizierung aktivieren

Aktivieren Sie MFA mindestens für E-Mail, VPN und Cloud-Dienste. Diese einfache Maßnahme verhindert viele Account-Übernahmen.

4. Mitarbeiter schulen

Phishing bleibt das Einfallstor Nummer eins. Sensibilisieren Sie Ihre Mitarbeiter für verdächtige E-Mails und entwickeln Sie klare Prozesse für den Umgang mit unbekannten Anhängen oder Links.

5. Notfallkontakte definieren

Wen rufen Sie an, wenn es brennt? Definieren Sie im Vorfeld, wer im Ernstfall zuständig ist – intern und extern. Im Krisenfall zählt jede Minute.

Unser Ansatz: Struktur schafft Sicherheit

Wir bei Innolab IT & Consulting sind überzeugt: Gute IT fällt nicht auf – sie funktioniert einfach. So können Sie sich auf das Wesentliche konzentrieren.

Unser Ansatz basiert auf drei Prinzipien:

• Proaktiv statt reaktiv: Wir erkennen Probleme, bevor sie entstehen.
• Strukturiert statt chaotisch: Klare Prozesse schaffen Sicherheit.
• Partnerschaftlich statt transaktional: Wir verstehen uns als Ihr IT-Partner, nicht als Dienstleister auf Abruf.

Fazit: Handeln Sie jetzt

Die Bedrohungslage ist real, die gesetzlichen Anforderungen steigen, und die Frage ist nicht ob, sondern wann Ihr Unternehmen ins Visier gerät. Die gute Nachricht: Mit den richtigen Maßnahmen können Sie Ihr Risiko erheblich reduzieren.

Beginnen Sie mit den Sofortmaßnahmen, verschaffen Sie sich einen Überblick über Ihre IT-Landschaft und entwickeln Sie schrittweise ein systematisches Sicherheitskonzept.

Möchten Sie wissen, wie Ihr Unternehmen aufgestellt ist? 

Sprechen Sie uns an! Wir geben Ihnen eine ehrliche Einschätzung Ihrer aktuellen IT-Sicherheitslage und erstellen für Sie ein Sicherheitskonzept, dass Ihr Unternehmen und Ihre Daten langfristig schützt.

Buchen Sie hier ihr kostenloses Erstgespräch.