Industrie- und Handelskammer Nordschwarzwald (IHK Nordschwarzwald) · Pforzheim · Nagold · Freudenstadt

Cybersecurity-Qualifizierung für den Mittelstand

Ein durchgängiges Bildungsmodell vom Entscheider bis zum Systemadministrator. Konzeption: Giacomo Große, KlarKern.

Die meisten Sicherheitsvorfälle im Mittelstand entstehen nicht durch raffinierte Angriffe, sondern durch fehlendes Wissen an der richtigen Stelle. Ein Geschäftsführer trifft heute Entscheidungen zur Cybersicherheit, ohne deren Tragweite einschätzen zu können. Ein IT-Leiter steuert Dienstleister, ohne die passenden Maßstäbe zu kennen. Ein Systemadministrator setzt Maßnahmen um, ohne Rückhalt aus der Führungsebene zu spüren. Dieses Konzept schließt genau diese drei Lücken, mit drei Modulen, die aufeinander aufbauen und jeweils genau das vermitteln, was die jeweilige Rolle wirklich braucht.

Ausgangslage

Warum das jetzt zählt

Seit dem 6. Dezember 2025 ist in Deutschland das Gesetz zur Umsetzung der Zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in Kraft, ohne Übergangsfrist. Betroffen sind Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in einem von 18 festgelegten Sektoren, von der Energieversorgung über die Lebensmittelproduktion bis zur digitalen Infrastruktur. Wer selbst nicht direkt betroffen ist, wird es häufig indirekt, als Zulieferer oder IT-Dienstleister eines betroffenen Unternehmens. Schätzungen gehen von mehreren Zehntausend Unternehmen in Deutschland aus, die neue Pflichten erfüllen müssen, viele davon, ohne bislang davon zu wissen.

Für Geschäftsführerinnen und Geschäftsführer bedeutet das eine persönliche Verantwortung, die weit über das hinausgeht, was die meisten erwarten. Genau diese Unsicherheit ist der Ausgangspunkt für Modul 1.

Aufbau

Drei Stufen, ein Sicherheitsniveau

Jedes Modul spricht die Sprache seiner Zielgruppe. Kein Teilnehmer sitzt in einem Format, das an seiner Rolle vorbeigeht. Das ist keine Abkürzung, sondern die Voraussetzung dafür, dass Wissen im Unternehmen tatsächlich ankommt.

Modul 1

Entscheider-Impuls

Geschäftsführer, Inhaber

4 Stunden

45 Min. Vortrag 15 Min. Netzwerkpause

Ein halber Nachmittag, der Geschäftsführerinnen und Geschäftsführern verständlich macht, wofür sie persönlich haften, was die Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) tatsächlich bedeutet und wie sich das eigene Risiko realistisch einschätzen lässt. Kein Fachvortrag, sondern eine klare Einordnung.

Modul 2

Governance & Steuerung

IT-Leiter, IT-Verantwortliche

1 bis 2 Tage

In ein bis zwei Tagen lernen IT-Leiterinnen und IT-Leiter, woran sie gute von unzureichender Arbeit ihrer IT-Dienstleister unterscheiden. Zwei anerkannte Regelwerke bilden die Grundlage: die IT-Sicherheitsberatung für Klein- und Kleinstunternehmen (DIN SPEC 27076) und das Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (VdS 10000).

Modul 3

Praxis-Labor

Systemadministratoren

3 bis 5 Tage

Drei bis fünf Tage im Praxislabor, in denen Systemadministratoren die Maßnahmen tatsächlich umsetzen, die vorher nur besprochen wurden. Netzwerke werden mit einem virtuellen lokalen Netzwerk (VLAN) so aufgeteilt, dass ein Angriff nicht gleich den ganzen Betrieb lahmlegt. Am Ende steht das Zertifikat der Industrie- und Handelskammer (IHK-Zertifikat).

Details

Vertiefung der Modulinhalte

Was in jeder Stufe konkret vermittelt wird, und warum es für die jeweilige Rolle den Unterschied macht.

Modul 1 · Entscheider-Impuls
  • Was die Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) konkret bedeutet: welche Unternehmen direkt betroffen sind, welche auch indirekt als Zulieferer betroffen sind, und welche Fristen bereits abgelaufen sind
  • Persönliche Haftung der Geschäftsführung bei Sicherheitsvorfällen, und was eine Vermögensschaden-Haftpflichtversicherung für Führungskräfte (D&O-Versicherung) dabei tatsächlich abdeckt und was nicht
  • Was ein Cybervorfall ein mittelständisches Unternehmen wirtschaftlich wirklich kostet, anhand echter Beispiele aus der Region Nordschwarzwald
  • Eine klare Orientierung, welche Entscheidungen die Geschäftsführung selbst treffen sollte und was sich sicher an Experten delegieren lässt
  • Die Netzwerkpause als fester Teil des Formats, in der sich Unternehmerinnen und Unternehmer der Region untereinander austauschen
Modul 2 · Governance & Steuerung

Die IT-Sicherheitsberatung für Klein- und Kleinstunternehmen (DIN SPEC 27076) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundesverband der mittelständischen Wirtschaft (BVMW) speziell für Betriebe mit bis zu 50 Beschäftigten entwickelt, kostenfrei und staatlich gefördert. Das Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (VdS 10000) der VdS Schadenverhütung GmbH, einer Tochtergesellschaft der deutschen Versicherungswirtschaft, geht einen Schritt weiter und führt zu einer Zertifizierung, die Versicherer zunehmend voraussetzen. Beide Regelwerke bilden den roten Faden dieses Moduls.

  • Aufbau eines schlanken Informationssicherheitsmanagementsystems (ISMS) nach DIN SPEC 27076
  • VdS 10000 als praktikabler Zertifizierungsweg für kleine und mittlere Unternehmen
  • Wie sich die Qualität externer IT-Dienstleister objektiv beurteilen lässt, mit klaren Kriterien statt Bauchgefühl
  • Budget für Sicherheitsmaßnahmen sinnvoll einsetzen, was zuerst kommt und was warten kann
  • Verständliche Kommunikation zwischen Geschäftsführung und Technik, damit Entscheidungen auf beiden Seiten nachvollziehbar sind
  • Ein klarer Plan für den Ernstfall, wer wann informiert wird und was in den ersten Stunden nach einem Vorfall passiert
Modul 3 · Praxis-Labor
  • Netzwerksegmentierung mit einem virtuellen lokalen Netzwerk (VLAN): das Firmennetz wird in getrennte Bereiche aufgeteilt, damit sich ein Angriff nicht ungehindert ausbreitet
  • Systemhärtung von Servern und Endgeräten, unnötige Zugänge und Schwachstellen werden gezielt geschlossen
  • Backup-Konzepte mit echten Wiederherstellungstests, nach der bewährten 3-2-1-Regel: drei Kopien, zwei Speicherorte, eine davon außerhalb des Unternehmens
  • Laufendes Schließen bekannter Sicherheitslücken durch systematisches Patch-Management
  • Simulierte Angriffe, um ungewöhnliches Verhalten im Netzwerk frühzeitig zu erkennen
  • Abschlussprüfung und Ausgabe des Zertifikats der Industrie- und Handelskammer (IHK-Zertifikat)

Einordnung

Strategischer Mehrwert für die IHK

Drei Effekte, die über den einzelnen Kurs hinausreichen.

Wiederkehrender Umsatz

Jede abgeschlossene Stufe schafft Nachfrage nach der nächsten. Entscheider empfehlen ihren IT-Leitern Modul 2, IT-Leiter schicken ihre Administratoren in Modul 3. Aus einem einzelnen Kurs wird eine mehrjährige Kundenbeziehung.

Regionale Marktlücke

Aktuell deckt keine Bildungseinrichtung im Nordschwarzwald eine durchgängige, zielgruppengerechte Cybersecurity-Qualifizierung ab. Die IHK Nordschwarzwald besetzt diese Lücke als Erste, während die Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) den Handlungsdruck bei regionalen Unternehmen spürbar erhöht.

Flexible Skalierbarkeit

Einzelne Stufen lassen sich unabhängig an den Standorten Pforzheim, Nagold und Freudenstadt anbieten und je nach Nachfrage ausbauen, ohne dass das Gesamtkonzept neu geplant werden muss.