Close Menu
Login Registrieren
Security

Götterdämmerung im Mittelstand:: Technische Schulden, Schatten-IT und veraltete Sicherheitskontrollen auflösen

4 Min. Lesedauer
Technische SchuldenQuelle: Thai, Adobe Stock Photos, generiert mit KI

Was gestern noch funktionierte, kann heute zur Schwachstelle werden: In vielen mittelständischen Unternehmen hat sich über Jahre hinweg ein komplexes Geflecht aus gewachsenen IT-Strukturen, veralteten Sicherheitsmechanismen und unkontrollierter Schatten-IT etabliert. Diese „technischen Schulden“ sind nicht nur ein Innovationshemmnis, sondern stellen ein erhebliches Sicherheitsrisiko dar.

Laut einer Studie von McKinsey (2023) geben 70% der IT-Führungskräfte an, dass technische Schulden ihre Fähigkeit zur digitalen Transformation erheblich einschränken. Gleichzeitig steigt die Bedrohungslage durch Cyberangriffe kontinuierlich, insbesondere im Mittelstand. Dort treten laut Bitkom (2024) 43% aller gemeldeten Sicherheitsvorfälle auf.

Was sind technische Schulden und warum sind sie gefährlich?

Technische Schulden entstehen, wenn kurzfristige Lösungen langfristige Wartungsprobleme verursachen. Beispiele sind:

  • Legacy-Systeme ohne aktuelle Sicherheitsupdates
  • Unzureichend dokumentierte Eigenentwicklungen
  • Fehlende Integration moderner Sicherheitsstandards
  • Manuelle Workarounds statt automatisierter Prozesse

Diese Altlasten führen zu einer erhöhten Angriffsfläche, erschweren Audits und Compliance-Prüfungen und blockieren die Einführung neuer Technologien. Besonders kritisch: Viele dieser Schulden sind unsichtbar, bis es zu einem Sicherheitsvorfall kommt.

Schatten-IT: Die stille Bedrohung aus den Fachabteilungen

Schatten-IT bezeichnet IT-Systeme und Anwendungen, die außerhalb der offiziellen IT-Governance betrieben werden. Häufig entstehen sie in Fachabteilungen, wenn Mitarbeitende aus Effizienzgründen eigene Lösungen einsetzen, etwa Cloud-Dienste wie Dropbox zur Datenablage oder Messenger-Dienste zur Projektkommunikation. Laut Gartner (2022) stammen bis zu 30?% der Sicherheitsvorfälle aus solchen nicht autorisierten Systemen.

Doch Schatten-IT ist längst kein exklusives Problem der Fachbereiche. Auch IT-Mitarbeitende greifen zunehmend zu inoffiziellen Tools und Workarounds, beispielsweise zur Automatisierung von Aufgaben, zur Nutzung moderner Entwicklungsumgebungen oder zur Umgehung langwieriger Freigabeprozesse. Gründe dafür sind oft:

  • Restriktive Unternehmensrichtlinien
  • Fehlende Flexibilität in der Tool-Auswahl
  • Langsame Genehmigungsprozesse für neue Software
  • Unzureichende Ressourcen für Innovation

Diese „interne Schatten-IT“ ist besonders kritisch, da sie oft tief in die Infrastruktur eingreift, mit sensiblen Unternehmensdaten in Berührung kommt und mit erhöhten Rechten betrieben wird. Sie entzieht sich nicht nur der Kontrolle, sondern kann auch bestehende Sicherheitsmechanismen unterlaufen, etwa durch eigene API-Integrationen, nicht dokumentierte Skripte oder lokale Datenbanken.

Ein ganzheitlicher Umgang mit Schatten-IT muss daher beide Perspektiven berücksichtigen: die der Fachabteilungen und die der IT selbst. ADLON empfiehlt hier eine Kombination aus technischer Transparenz z.B. durch Cloud Access Security Broker (CASB), klare Governance-Regeln und einen offenen Innovationsprozess, der Mitarbeitende aktiv einbindet, statt sie zu umgehen.

Veraltete Sicherheitskontrollen: Wenn Schutz zur Schwachstelle wird

Viele mittelständische Unternehmen setzen noch immer auf klassische Sicherheitsmechanismen wie Firewalls und Antivirenprogramme, ohne diese in ein ganzheitliches Sicherheitskonzept einzubetten. Moderne Bedrohungen wie Ransomware, Supply-Chain-Attacken oder Zero-Day-Exploits erfordern jedoch:

  • Umsetzung von Security Prinzipien, wie z.B. “Security by Design”
  • Zero-Trust-Architekturen
  • Extended Detection & Response (XDR)
  • Security Information and Event Management (SIEM)
  • Automatisierte Patch-Management-Systeme
  • Moderne Data Loss Prevention Systeme

Handlungsplan: Technische Schulden systematisch abbauen

Die Aufarbeitung technischer Schulden ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. ADLON empfiehlt folgende Schritte:

  1. Inventarisierung: Vollständige Erfassung aller IT-Systeme, Anwendungen, Daten und Schnittstellen – inklusive Schatten-IT und historisch gewachsener Strukturen.
  2. Bewertung: Klassifizierung nach Sicherheitsrelevanz, Wartbarkeit und strategischer Bedeutung. Hierbei helfen standardisierte Kriterien wie CVSS-Scores, Lifecycle-Status und Integrationsfähigkeit.
  3. Priorisierung: Fokus auf Systeme mit hohem Risiko und geringer Zukunftsfähigkeit. Besonders kritisch sind Anwendungen mit fehlenden Updates, proprietären Schnittstellen oder unklarer Datenhaltung. Kombiniert mit der Erreichbarkeit aus dem Internet, sind diese Systeme tickende Zeitbomben.
  4. Security-Checks: Regelmäßige Durchführung strukturierter Sicherheitsanalysen, z. B. durch die ADLON Security Checks. Diese umfassen technische Prüfungen (z. B. Konfigurationsanalysen, Schwachstellenscans), organisatorische Bewertungen (z. B. Rollen- und Rechtekonzepte) sowie Empfehlungen zur Absicherung des digitalen Arbeitsplatzes. Die Ergebnisse dienen als Grundlage für gezielte Maßnahmen und Priorisierungen.
  5. Modernisierung: Ablösung durch cloudbasierte, skalierbare und sichere Lösungen. Dabei sollte auf Interoperabilität, Automatisierung und Zero-Trust-Prinzipien geachtet werden.
  6. Dokumentation: Aufbau und regelmäßige Aktualisierung eines zentralen IT-Registers mit Versionshistorie, Verantwortlichkeiten und Sicherheitsstatus. Dies erleichtert Audits, Compliance-Prüfungen und zukünftige Migrationen.

Richtlinien für Informationssicherheit: Governance als Fundament

Parallel zur technischen Modernisierung müssen klare Richtlinien für Informationssicherheit etabliert werden. Diese sollten folgende Elemente enthalten:

  • Zugriffsmanagement: Rollenbasierte Rechtevergabe, MFA, Least Privilege
  • Datenschutz: DSGVO-konforme Prozesse, Löschkonzepte, Verschlüsselung
  • Awareness: Schulungen für Mitarbeitende, Phishing-Simulationen, Notfallübungen
  • Monitoring: Echtzeitüberwachung, automatisierte Alarmierung, Reporting

Die ISO/IEC 27001 bietet hier einen international anerkannten Rahmen für die Einführung eines Informationssicherheits-Managementsystems (ISMS). ADLON begleitet Unternehmen bei der Umsetzung dieser Norm und integriert sie in bestehende Prozesse.

Fazit: Neuanfang durch proaktive IT-Sanierung

Technische Schulden, Schatten-IT und veraltete Sicherheitskontrollen sind keine Randprobleme, sondern zentrale Herausforderungen für den Mittelstand. Wer sie ignoriert, riskiert nicht nur Datenverlust und Reputationsschäden, sondern auch regulatorische Sanktionen. Die Lösung liegt in einem ganzheitlichen Ansatz: IT-Modernisierung, Sicherheitsarchitektur und Governance müssen Hand in Hand gehen.

Ein Beitrag von Tizian Kohler, Head of Security des IT-Beratungsunternehmens Adlon

Tizian Kohler, Head of Security des IT-Beratungsunternehmens Adlon

Weitere Informationen zu Adlon finden Sie hier.

Teilen.

Verwandte Beiträge

© 2026 ITP VERLAG — MIDRANGE
DSGVO Cookie-Einwilligung mit Real Cookie Banner