Was passiert, wenn morgen alles steht?
Stellen Sie sich nicht den Angriff vor. Stellen Sie sich den Moment danach vor.
Der Moment, in dem Ihr CFO anruft und sagt, dass niemand mehr auf das ERP zugreifen kann. Der Vertrieb kann keine offenen Aufträge sehen. Die Produktion kennt die aktuellen Stücklisten nicht. Die Buchhaltung hat keinen Zugriff auf Forderungen oder Zahlungspläne. Und gleichzeitig fragen Kunden, warum sie keine Lieferbestätigung erhalten.
In diesem Moment ist die entscheidende Frage nicht technischer Natur. Sie lautet: Wie lange können wir so arbeiten, ohne nachhaltig Schaden zu nehmen?
Cyber Resilienz und Betriebssicherheit werden in vielen Unternehmen noch immer als IT-Thema behandelt. Man delegiert es an interne Spezialisten oder an den IT-Partner. Doch die eigentliche Dimension ist unternehmerisch. Es geht um Handlungsfähigkeit, Reputation und Vertrauenswürdigkeit.
Die Bedrohungslage hat sich in den letzten Jahren grundlegend verändert. Ransomware-Angriffe sind professionalisiert, hochgradig organisiert und gezielt auf mittelständische Unternehmen ausgerichtet. Gleichzeitig ist die Abhängigkeit von digitalen Systemen massiv gestiegen. Was früher ein unangenehmer IT-Ausfall gewesen wäre, ist heute ein unmittelbarer Geschäftsunterbruch.
Deshalb sollte sich jede Geschäftsleitung mit einer einfachen, aber unbequemen Leitfrage auseinandersetzen: Was passiert, wenn morgen alles steht?
Nicht hypothetisch, sondern konkret. Wie lange dauert es, bis das ERP wieder verfügbar ist? Wie schnell lassen sich Daten aus einem Backup konsistent wiederherstellen? Wer entscheidet im Ernstfall über Kommunikationsmassnahmen? Wie rasch wird ein Incident erkannt und isoliert?
Diese Fragen lassen sich nicht mit allgemeinen Aussagen beantworten. Sie sind messbar. Die Zeit bis zur Wiederherstellung nach einem Ausfall ist eine Kennzahl. Die tatsächliche Abdeckung von Multi-Faktor-Authentifizierung ist messbar. Die Anzahl offener kritischer Sicherheitslücken ist quantifizierbar. Die durchschnittliche Reaktionszeit auf Sicherheitsvorfälle ist dokumentierbar.
Viele KMU kennen diese Zahlen nicht präzise. Man verlässt sich auf Erfahrungswerte, auf das Gefühl, dass „es bisher immer funktioniert hat“. Genau darin liegt das Risiko. Stabilität in der Vergangenheit ist kein Indikator für Resilienz in der Zukunft.
Ein strukturelles Problem liegt in historisch gewachsenen On-Premises-Architekturen. Systeme wie Dynamics NAV laufen oft seit vielen Jahren zuverlässig im eigenen Rechenzentrum oder bei einem Hosting-Partner. Die Infrastruktur wurde über die Zeit erweitert, angepasst, individualisiert. Berechtigungen wurden vergeben, neue Schnittstellen angebunden, individuelle Reports gebaut.
Technisch mag das System stabil erscheinen. Doch Sicherheit ist nicht nur eine Frage der Verfügbarkeit, sondern auch der Verantwortlichkeit.
- Wer ist für das Patch-Management zuständig? Wer überwacht Sicherheitsmeldungen des Betriebssystems?
- Wer kontrolliert regelmässig, ob Backup-Wiederherstellungen tatsächlich funktionieren?
- Wer überprüft Berechtigungsstrukturen auf übermässige Zugriffe?
Je mehr Aufgaben im eigenen Verantwortungsbereich liegen, desto grösser ist die Wahrscheinlichkeit von Lücken.
On-Premises bedeutet in letzter Konsequenz: Das Unternehmen trägt die operative Sicherheitsverantwortung selbst. Das ist legitim – aber es ist eine strategische Entscheidung, die bewusst getroffen werden sollte.
Mit der Verlagerung von Business Central in die Microsoft Cloud verschiebt sich diese Verantwortung teilweise. Die Infrastruktur wird auf einer globalen Plattform betrieben, die permanent überwacht, gepatcht und gegen neue Bedrohungen gehärtet wird. Microsoft investiert in Security auf einem Niveau, das für ein einzelnes KMU weder wirtschaftlich noch organisatorisch darstellbar ist. Redundante Rechenzentren, automatisiertes Patch-Management, globale Bedrohungsanalysen und kontinuierliche Systemüberwachung sind integraler Bestandteil der Plattform.
Das allein macht ein Unternehmen jedoch noch nicht resilient. SaaS ist keine Garantie, sondern eine Grundlage. Entscheidend ist, wie diese Grundlage genutzt wird.
Eine moderne Sicherheitsarchitektur beginnt mit klar definierten Rollen- und Berechtigungskonzepten.
- Wer darf welche Daten sehen, verändern oder exportieren?
- Wie werden privilegierte Zugriffe kontrolliert?
- Wie werden Identitäten verwaltet?
Die Integration in den Microsoft Security Stack – inklusive Azure Active Directory, Multi-Faktor-Authentifizierung, Conditional Access und Security Monitoring – schafft eine konsistente Sicherheitsumgebung. Zugriffe lassen sich granular steuern, ungewöhnliche Aktivitäten werden erkannt, Risiken frühzeitig adressiert.
Darüber hinaus gehört Governance von Beginn an in jedes Transformationsprojekt. Sicherheit darf kein nachgelagerter Gedanke sein, der erst nach der Implementierung diskutiert wird. Sie muss Teil der Architektur sein. Dazu gehören klare Prozesse für Incident Response, regelmässige Überprüfung von Berechtigungen, dokumentierte Wiederherstellungspläne und definierte Kommunikationswege im Krisenfall.
Cyber Resilienz ist somit weniger eine technische Frage als eine Führungsentscheidung. Ein CEO muss keine technischen Details beherrschen. Aber er muss wissen, wie exponiert sein Unternehmen ist. Er muss verstehen, wie lange ein Systemausfall tolerierbar wäre und welche finanziellen und reputativen Folgen daraus entstehen könnten. Er muss sicherstellen, dass Sicherheitsmechanismen nicht nur existieren, sondern auch wirksam überprüft werden.
Die nüchterne Realität lautet: Ein historisch gewachsenes On-Premises-NAV-System mag heute funktionieren. Doch es bindet das Unternehmen an eine Sicherheitsverantwortung, die mit steigender Bedrohungslage immer anspruchsvoller wird. Ein sauber implementiertes SaaS-Modell in der Microsoft Cloud, kombiniert mit klarer Governance und integriertem Security Framework, reduziert diese strukturellen Risiken erheblich.
Resilienz bedeutet nicht, dass kein Angriff stattfindet. Resilienz bedeutet, dass ein Angriff nicht zur existenziellen Krise wird. Dass Systeme wiederherstellbar sind. Dass Daten geschützt sind. Dass Kunden weiterhin Vertrauen haben.
Am Ende ist die Frage nicht, ob ein Sicherheitsvorfall eintreten kann. Die Frage ist, wie gut ein Unternehmen darauf vorbereitet ist. Und Vorbereitung ist keine IT-Option. Sie ist Teil verantwortungsvoller Unternehmensführung.
Lassen Sie uns gemeinsam an Ihrem Projekt arbeiten.
Wir freuen uns über Ihre Kontaktaufnahme. Melden Sie sich für ein unverbindliches Erstgespräch.
