Skip to content
Menü schließen
Suche

IT-Service für den Mittelstand

Überblick über unsere IT-Services, Managed Services und Betreuungsmodelle für kleine und mittelständische Unternehmen.

IT ServiceFlat

Ihr Rundum-Servicevertrag zum monatlichen Festpreis – mit persönlicher Betreuung, Service Desk und proaktiver Wartung.

Unsere Arbeitsweise im Mittelstand

Klare Prozesse für Onboarding, Betrieb und Zusammenarbeit.

IT Security

Wir betreiben Ihre IT-Sicherheitsinfrastruktur.

Microsoft 365 Betreuung

Ihre Microsoft Cloud - abgesichert, optimal lizenziert und laufend administriert.

Microsoft Azure Cloud Betrieb

Service Desk / HelpDesk

Fallbeispiele

Konzept für Übergreifende vereinheitlichtes IT-Management über 16 Unternehmen der Gruppe.

 

IT-Storage-Lösungen im Gesundheitswesen - Optimierung von Patientendaten mit HPE Lösungen.
Umfangreiche IT-Modernisierung und Teams-Einführung für ein Unternehmen mit 1100 Mitarbeitenden.

IT-Beratung

Strategische IT-Beratung für den Mittelstand – herstellerneutral, praxisnah und mit klarem Fokus auf Ihre Ziele.

Cloud Beratung

Strategische Beratung für Cloud-Architekturen, Microsoft Azure und hybride IT-Umgebungen.

Microsoft Azure Migration

Sichere Migration Ihrer IT-Systeme in die Azure Cloud – strukturiert geplant und professionell umgesetzt.

Microsoft 365 Einführung

Maßgeschneiderte Microsoft 365-Strategien – von der Beratung über die Migration bis zum sicheren Betrieb Ihrer Cloud-Umgebung.

IT-Checks / System- und Sicherheitsprüfungen

IT-Prüfungen für höchste Sicherheit, Leistung und Business Continuity

IT Security Beratung

Umfassende Beratung zum Schutz von Daten und Anwendungen.

NIS2- Readiness Assessment

Gezielte Analyse Ihrer Sicherheitsprozesse und klare Handlungsempfehlungen zur Erfüllung der NIS2-Vorgaben.

IT-Sicherheits-Reifegradmodell

In drei Stufen zu mehr Sicherheit, Transparenz und schnellerer Reaktion auf Cyberrisiken.

solutionsmichael-wessel.de Logo-weiß

Unser Produktportfolio finden Sie auf dieser Webseite.

→ Zu den Produkten

flinked-logo-neu-schwarz

Unsere Managed-IT-Security-Leistungen sind nun in flinked konsolidiert: ein sofort startfähiges, klar standardisiertes Service-Modell.

Zu flinked

KI & Sprachmodelle

KI-Beratung
Individuelle Strategien und Projekte für den erfolgreichen Einsatz von Künstlicher Intelligenz in Ihrem Unternehmen.

KI-Implementierung
Von der Strategie bis zur Umsetzung - wir begleiten Sie auf dem Weg zu erfolgreichen KI-Projekten.

KI in Datacenter und IT Security
Effizienz steigern, Kosten senken und IT-Prozesse intelligent automatisieren – mit KI-Lösungen im Rechenzentrum.

KI-Compliance
KI rechtssicher einsetzen -  Chancen gewinnbringend nutzen

KI im Gesundheitswesen
Wie ChatGPT & Co. die Kommunikation, Prozesse und Verantwortung verändern

Copilot

Microsoft Copilot richtig einführen
Technisch sauber, sicher und steuerbar

Kommunikation & Produktivität

STARFACE
Software-basierte VoIP und Cloud-Telefonie

Microsoft Teams
Nahtlose Zusammenarbeit und Meetings in einer Plattform.

Microsoft Teams & Office 365 Schulungen
Von der Einführung bis zur optimalen Nutzung – alles aus einer Hand.

Wir bei michael wessel 
Karriere bei michael wessel
Karriere_Stellenangebote
Jobs & Karriere
Aktuelle Stellenangebote
Deine Ausbildung bei michael wessel
Lerne von Profis und starte deine Karriere. Bewirb dich jetzt für deine Ausbildung bei uns!
Jetzt informieren und bewerben
03.20263 Minuten lesezeit

Lieferketten-Security: Der blinde Fleck im deutschen Mittelstand

Lieferketten-Security: Der blinde Fleck im deutschen Mittelstand
5:47

 "Unser IT-Dienstleister hatte einen Ransomware-Angriff. Plötzlich standen auch unsere Systeme still."

Dieses Szenario ist keine Zukunftsmusik – es passiert täglich. Der Angriff auf Kaseya 2021 legte über 1.500 Unternehmen weltweit lahm. Der Solar Winds Hack 2020 betraf 18.000 Organisationen. Die Gemeinsamkeit: Der Angriff kam nicht direkt, sondern über einen Dienstleister.

Die unbequeme Wahrheit: Ihre IT-Sicherheit ist nur so stark wie die Ihres schwächsten Dienstleisters. Und NIS2 macht Sie persönlich dafür verantwortlich.

Das Problem: Die meisten Mittelständler haben ihre interne IT im Griff. Aber ihre Lieferkette? Ein blinder Fleck. Dieser Artikel zeigt Ihnen, wie Sie dieses Risiko erkennen, bewerten und absichern – bevor es zu spät ist.

 

Warum Lieferketten-Security der größte Risikofaktor 2025+ ist

Die Zahlen sprechen für sich: 

  • 98% aller Unternehmen hatten 2023 einen Cybervorfall in ihrer Lieferkette (Ponemon)
  • 45% der Datenschutzverletzungen betreffen Drittanbieter (IBM Cost of Data Breach)
  • Durchschnittlicher Schaden: 4,5 Mio. € pro Vorfall

Warum sind Dienstleister so attraktiv für Angreifer? 

  • 1. Privilegierter Zugang: IT-Dienstleister haben oft Admin-Rechte
  • 2. Domino-Effekt: Ein erfolgreicher Angriff betrifft Dutzende Kunden
  • 3. Schwächstes Glied: Kleinere Dienstleister haben oft schlechtere Security
  • 4. Vertrauens-Missbrauch: Malware kommt von 'vertrauenswürdiger' Quelle

 

Was NIS2 konkret von Ihnen fordert 

§ 30 Abs. 1 Nr. 8 NIS2-Umsetzungsgesetz: 

"Die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

Was das in der Praxis bedeutet: 

  • Sie müssen ALLE Dienstleister identifizieren, die Zugang zu IT-Systemen haben

  • Sie müssen deren Sicherheitsniveau bewerten

  • Sie müssen Risiken dokumentieren und Maßnahmen ergreifen

  • Sie müssen vertraglich absichern (Audit-Rechte, Meldepflichten)

  • Sie haften, wenn ein Dienstleister einen Vorfall verursacht 


Lieferketten-Security in 4 Schritten absichern 

Schritt 1: Transparenz schaffen – Wer hat Zugang zu was? 

Erstellen Sie eine vollständige Liste ALLER Dienstleister mit IT-Zugang: 

  • IT-Dienstleister (Managed Services, Support) 

  • Cloud-Provider (Office 365, AWS, etc.) 

  • Software-Anbieter mit Fernwartungszugang

  • Spezialisten (ERP-Berater, Netzwerk-Spezialisten)

Dokumentieren Sie für jeden:

  • Welche Systeme/Daten er zugreifen kann
  • Art des Zugangs (VPN, Remote Desktop, Admin-Rechte)
  • Kritikalität (High/Medium/Low)

 

Schritt 2: Risikobewertung – Wer ist Ihr größtes Risiko?  

Bewerten Sie jeden Dienstleister nach:

  • Zugangsrechte (je höher, desto riskanter)
  • Datensensibilität (verarbeitet er kritische Daten?)
  • Security-Niveau (hat er Zertifikate? ISO 27001?)
  • Abhängigkeit (können Sie kurzfristig wechseln?)

Priorisierung: Top 10 kritische Dienstleister identifizieren

 

Schritt 3: Maßnahmen umsetzen – Security-Nachweise einfordern   

Für Hochrisiko-Dienstleister:

  • Security-Fragebogen versenden
  • ISO 27001 oder vergleichbare Zertifizierung fordern
  • Audit-Rechte vertraglich vereinbaren
  • Incident-Meldepflichten festlegen (24h)

Für Hochrisiko-Dienstleister:

  • Selbstauskunft zu Security-Maßnahmen
  • NIS2-konforme Vertragsklauseln

 

Schritt 4: Monitoring & Kontrolle – Nicht einmal, sondern kontinuierlich    

  • Jährliche Re-Bewertung aller Dienstleister
  • Bei Vertragsänderung: Security-Check wiederholen
  • Vorfälle tracken: Hat Dienstleister Incidents gehabt?

 

Praxisfall: Wie ein Mittelständler durch seinen MSP gehackt wurde 

Ausgangssituation:

Erstellen Sie eine vollständige Liste ALLER Dienstleister mit IT-Zugang: 

  • Mittelständisches Produktionsunternehmen, 200 Mitarbeiter
  • Gute interne IT-Security (Firewall, MFA, Backups)
  • Externer MSP für Server-Wartung
  • 5 Tage Produktionsstillstand
  • 420.000 € Umsatzausfall
  • 80.000 € Wiederherstellungskosten
  • Reputationsschaden bei Kunden
  • Audit des MSP (hätte schwaches Phishing-Training aufgedeckt)
  • Vertragliche Pflicht zur MFA für MSP-Mitarbeiter
  • Netzwerk-Segmentierung (MSP nur Zugang zu nicht-kritischen Systemen)

Was passierte:

Der MSP wurde Opfer eines Phishing-Angriffs. Angreifer erbeuteten Admin-Credentials für Remote-Zugänge zu allen Kundensystemen.

Innerhalb von 48h waren 12 Kunden des MSP mit Ransomware infiziert – darunter das Produktionsunternehmen.

Der Schaden:

  • 5 Tage Produktionsstillstand
  • 420.000 € Umsatzausfall
  • 80.000 € Wiederherstellungskosten
  • Reputationsschaden bei Kunden

Was hätte den Vorfall verhindert:

  •  Audit des MSP (hätte schwaches Phishing-Training aufgedeckt)

  • Vertragliche Pflicht zur MFA für MSP-Mitarbeiter

  • Netzwerk-Segmentierung (MSP nur Zugang zu nicht-kritischen Systemen)

 

NIS2-konforme Vertragsklauseln für Dienstleister 

Pflicht-Klauseln: 

  • 1. Sicherheitsstandards: 'Der Dienstleister verpflichtet sich, angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit zu treffen.'
  • 2. Meldepflicht: 'Der Dienstleister meldet Sicherheitsvorfälle innerhalb von 24 Stunden.'
  • 3. Audit-Rechte: 'Der Auftraggeber hat das Recht, die Sicherheitsmaßnahmen des Dienstleisters jährlich zu auditieren.'
  • 4. Haftung: 'Der Dienstleister haftet für Schäden durch Sicherheitsvorfälle in seinem Verantwortungsbereich.'
  • 5. Subunternehmer: 'Der Dienstleister darf nur Subunternehmer einsetzen, die gleichwertige Sicherheitsstandards erfüllen.'


Häufige Fragen zur Lieferketten-Security 

Was ist, wenn mein Dienstleister keine Zertifizierung hat?

Zertifizierung ist nicht zwingend. Aber Sie müssen sicherstellen, dass das Sicherheitsniveau angemessen ist. Alternative: Selbstauskunft + gelegentliche Audits.

Muss ich ALLE Dienstleister prüfen?

Nein. Fokus auf kritische Dienstleister mit IT-Zugang oder Datenzugriff. Der Paketbote braucht kein Security-Audit.

Was, wenn ein Dienstleister die Anforderungen ablehnt?

Dann haben Sie zwei Optionen: (1) Akzeptieren Sie das Risiko und dokumentieren Sie es. (2) Wechseln Sie den Dienstleister. Bei kritischen Dienstleistern empfehlen wir Option 2.

Fazit: Ihre Lieferkette ist Ihr größtes Sicherheitsrisiko

Die Kernbotschaften:

  • 98% der Unternehmen hatten 2023 einen Lieferkettenvorfall
  • NIS2 macht SIE verantwortlich für Ihre Dienstleister
  • Transparenz ist der erste Schritt (Wer hat Zugang?)
  • Priorisieren Sie: Top 10 kritische Dienstleister zuerst
  • Vertraglich absichern: Audit-Rechte, Meldepflichten, Haftung
avatar
Christian Blaue
Leitung Account Management
Mit dem Fokus auf vertrauensvoller IT-Beratung setzt mein Team Ihre Anforderungen und Wünsche in die Tat um.
KOMMENTARE

VERWANDTE ARTIKEL